文/許卓斌

隨著高校信息化建設(shè)的迅速發(fā)展，高校信息化建設(shè)已經(jīng)滲透到日常學(xué)習(xí)、科研、管理、服務(wù)的方方面面。建設(shè)時(shí)期不可避免的重建設(shè)發(fā)展，輕運(yùn)維安全，使得高校在信息系統(tǒng)安全方面基礎(chǔ)薄弱。與此同時(shí)，高校還必須面對(duì)日益嚴(yán)峻的安全形勢(shì)，面對(duì)來(lái)自各相關(guān)部門越來(lái)越高的安全工作要求，挑戰(zhàn)與壓力都是巨大的。在有限的人力物力和急迫的網(wǎng)絡(luò)安全需求下，應(yīng)對(duì)高校的信息安全工作設(shè)立清晰務(wù)實(shí)的工作目標(biāo)，執(zhí)行簡(jiǎn)明高效的安全措施。

工作目標(biāo)

確保核心業(yè)務(wù)系統(tǒng)與主要信息發(fā)布平臺(tái)正常運(yùn)作

高校師生的日常工作、學(xué)習(xí)、科研已經(jīng)高度依賴于各業(yè)務(wù)信息系統(tǒng)與信息發(fā)布平臺(tái)的正常運(yùn)作，如果核心業(yè)務(wù)信息系統(tǒng)與主要信息發(fā)布平臺(tái)停止運(yùn)作，將導(dǎo)致高校日常工作的中斷與信息不能傳達(dá)的嚴(yán)重后果，同時(shí)信息安全工作也就失去了存在的意義，所以信息安全工作的首要目標(biāo)是確保高校核心業(yè)務(wù)系統(tǒng)與主要信息發(fā)布平臺(tái)的正常運(yùn)作。

確保敏感業(yè)務(wù)數(shù)據(jù)不被竊取

教育相關(guān)的業(yè)務(wù)數(shù)據(jù)泄露曾造成過(guò)嚴(yán)重的后果，如2016年8月，山東省臨沂市高考錄取新生徐玉玉被不法分子冒充教育、財(cái)政部門工作人員詐騙9900元，并導(dǎo)致猝死。該案件中罪犯掌握的受害者大量個(gè)人信息正是黑客利用技術(shù)手段攻擊了“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”盜取并出售給詐騙團(tuán)伙的。確保高校信息系統(tǒng)中的敏感業(yè)務(wù)數(shù)據(jù)不被濫用和竊取，是高校信息安全工作的重要目標(biāo)。

信息安全措施無(wú)法做到絕對(duì)性的安全，一旦網(wǎng)站頁(yè)面纂改事件真的發(fā)生，應(yīng)第一時(shí)間阻斷外界對(duì)網(wǎng)站頁(yè)面的訪問(wèn)?？稍诟鱾€(gè)層面做好“一鍵斷網(wǎng)”的預(yù)案。

確保展示度高的系統(tǒng)不被篡改內(nèi)容

高校近年面臨的一大安全挑戰(zhàn)是面向公眾的網(wǎng)站和各類應(yīng)用系統(tǒng)迅速增多，黑客通過(guò)官方網(wǎng)站或應(yīng)用系統(tǒng)界面達(dá)到非法目的，使得高校遭受巨大損失。近年某境外黑客組織更是以事業(yè)單位和高校的對(duì)外網(wǎng)站為主要纂改攻擊對(duì)象，造成了一系列嚴(yán)重后果。確保高校網(wǎng)站和主要應(yīng)用系統(tǒng)的用戶界面不被非法纂改，是高校信息安全工作中不可或缺的一環(huán)。

總之，在保證網(wǎng)絡(luò)安全的前提下盡可能保障師生的網(wǎng)絡(luò)應(yīng)用需求。

值得注意的是，各種信息網(wǎng)絡(luò)安全措施的落實(shí)，不可避免會(huì)給高校師生的信息網(wǎng)絡(luò)應(yīng)用帶來(lái)額外的不便。各種應(yīng)用已經(jīng)是師生工作生活中不可或缺的一部分，需要在保證信息網(wǎng)絡(luò)安全的前提下盡可能地保障師生的網(wǎng)絡(luò)應(yīng)用需求。

幾個(gè)關(guān)鍵點(diǎn)

Network-網(wǎng)絡(luò)層面

在網(wǎng)絡(luò)層面，需要注意的是：

1.在校園網(wǎng)中區(qū)隔用戶網(wǎng)絡(luò)和數(shù)據(jù)中心網(wǎng)絡(luò)，并在數(shù)據(jù)中心網(wǎng)絡(luò)中進(jìn)一步實(shí)施業(yè)務(wù)分區(qū)；

2.策略性關(guān)閉校園網(wǎng)邊界的部分端口，限制外網(wǎng)對(duì)校園網(wǎng)的SSH/Telnet/Ftp及常見(jiàn)遠(yuǎn)程控制端口；

3.設(shè)立高安全性、多因素認(rèn)證的可信用戶內(nèi)網(wǎng)，構(gòu)建特殊業(yè)務(wù)系統(tǒng)訪問(wèn)VPN、堡壘機(jī)等通道；

4.在數(shù)據(jù)中心的邊緣部署IPS/IDS與防火墻，對(duì)服務(wù)器網(wǎng)絡(luò)執(zhí)行比用戶網(wǎng)絡(luò)更高的網(wǎng)絡(luò)安全策略；

5.由于極易通過(guò)無(wú)線監(jiān)聽(tīng)與MAC偽造技術(shù)非法冒用身份登錄，應(yīng)逐步關(guān)閉基于MAC匹配的無(wú)線網(wǎng)無(wú)感知認(rèn)證，采用安全性較高的802.1x接入認(rèn)證。

IAAS-虛擬機(jī)層面

在網(wǎng)絡(luò)層面，需要注意的是：

1.應(yīng)在虛擬機(jī)層面利用虛擬網(wǎng)絡(luò)的軟件定義特性實(shí)施比數(shù)據(jù)中心邊界更精細(xì)的網(wǎng)絡(luò)訪問(wèn)控制策略來(lái)提高安全能力；

2.應(yīng)在虛擬機(jī)層面部署比操作系統(tǒng)更底層的反病毒反惡意代碼安全產(chǎn)品，實(shí)現(xiàn)高效的全局安全控制；

3.應(yīng)充分利用虛擬機(jī)層面的資源，使用統(tǒng)計(jì)數(shù)據(jù)進(jìn)行安全預(yù)警和判斷。

OS-操作系統(tǒng)層面

在操作系統(tǒng)層面，需要注意的是：

1.應(yīng)做好操作系統(tǒng)尤其是服務(wù)器操作系統(tǒng)的補(bǔ)丁控管策略，及時(shí)升級(jí)修補(bǔ)操作系統(tǒng)漏洞；

2.應(yīng)減少操作系統(tǒng)多樣性，盡量安裝統(tǒng)一的操作系統(tǒng)，便于安全漏洞的統(tǒng)一管理，簡(jiǎn)化安全工作；

3.在操作系統(tǒng)層面應(yīng)安裝資源監(jiān)控Agent，及時(shí)發(fā)現(xiàn)資源的異常使用是發(fā)現(xiàn)信息安全威脅的重要手段；

4.在操作系統(tǒng)層面設(shè)置缺省部署的安全訪問(wèn)策略，遵循最小開(kāi)放原則以最大化安全能力。

Web網(wǎng)站層面

在網(wǎng)站系統(tǒng)層面，需要注意的是：

1.應(yīng)執(zhí)行網(wǎng)站最小開(kāi)放規(guī)則，關(guān)閉所有可以關(guān)閉的網(wǎng)站B/S業(yè)務(wù)；

2.對(duì)必須對(duì)外開(kāi)放的網(wǎng)站站點(diǎn)進(jìn)行重點(diǎn)安全強(qiáng)化，包括但不限于靜態(tài)化、防篡改、全新部署等手段；并最小化網(wǎng)站的可訪問(wèn)范圍；

3.高校二級(jí)單位自主建設(shè)的網(wǎng)站安全能力參差不齊，網(wǎng)絡(luò)地址分散各處，難以集中保護(hù)，存在極大的安全風(fēng)險(xiǎn)，也一直是黑客攻陷的重災(zāi)區(qū)，集中規(guī)范化建設(shè)的站群系統(tǒng)能極大地提升網(wǎng)站的安全性；

4.應(yīng)對(duì)高校的主要網(wǎng)站做定期的主動(dòng)漏洞掃描，并對(duì)其出入流量進(jìn)行被動(dòng)IDS分析，以及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。

重大保障期間的特別舉措

重保期間指重大活動(dòng)網(wǎng)絡(luò)安保期間。高校由于其特殊性，在國(guó)家重大活動(dòng)期間往往需要暫時(shí)性地特別提升信息網(wǎng)絡(luò)安全的防御能力，需要執(zhí)行一系列特別舉措。包括：

重要服務(wù)器的重新部署

對(duì)重要服務(wù)器應(yīng)該完全從操作系統(tǒng)開(kāi)始重新部署，防止存在可能的歷史黑客留下的潛在后門。對(duì)于高校而言，DNS系統(tǒng)相關(guān)服務(wù)器、主頁(yè)相關(guān)服務(wù)器屬于重要的高危服務(wù)器，應(yīng)酌情重新部署?？梢允褂美鏏nsible這樣的服務(wù)器部署工具進(jìn)行批量系統(tǒng)配置、批量程序部署、批量運(yùn)行命令，實(shí)現(xiàn)配置的標(biāo)準(zhǔn)化和自動(dòng)化。

重要服務(wù)器的安全強(qiáng)化

對(duì)于重要服務(wù)器應(yīng)進(jìn)行安全策略的強(qiáng)化保護(hù)，使用漏洞掃描工具可以主動(dòng)發(fā)現(xiàn)潛在的安全問(wèn)題，采用站群模式部署可以有效提高二級(jí)單位網(wǎng)站的安全水平，采用網(wǎng)站靜態(tài)化手段則可以最大化地減少安全風(fēng)險(xiǎn)。網(wǎng)站靜態(tài)化的本質(zhì)是簡(jiǎn)化與減少信息產(chǎn)生與傳輸?shù)沫h(huán)節(jié)，減少被攻擊的位點(diǎn)，非靜態(tài)網(wǎng)站有SQL注入、權(quán)限繞過(guò)、XSS、CSRF等安全風(fēng)險(xiǎn)。但是沒(méi)有交互性并不等同于靜態(tài)網(wǎng)站：引用了第三方圖片、JS腳本、類庫(kù)、樣式表等資源，第三方一旦被篡改將被連帶篡改。徹底的靜態(tài)化則對(duì)所有第三方內(nèi)容均在可信源上下載到本地固化，甚至完全圖片化。

應(yīng)急預(yù)案

信息安全措施無(wú)法做到絕對(duì)性的安全，一旦網(wǎng)站頁(yè)面纂改事件真的發(fā)生，應(yīng)第一時(shí)間阻斷外界對(duì)網(wǎng)站頁(yè)面的訪問(wèn)?？稍诟鱾€(gè)層面做好“一鍵斷網(wǎng)”的預(yù)案。在操作系統(tǒng)層面，可以預(yù)制防火墻規(guī)則在需要時(shí)生效，或是直接進(jìn)行系統(tǒng)關(guān)機(jī)操作；在Web服務(wù)器層面，可以設(shè)定訪問(wèn)某個(gè)開(kāi)關(guān)頁(yè)面關(guān)停Web服務(wù)；在虛擬機(jī)層面，可以關(guān)閉虛擬機(jī)網(wǎng)絡(luò)或虛擬機(jī)本身；在實(shí)體機(jī)層面，可以直接拔出網(wǎng)線甚至電源；在數(shù)據(jù)中心網(wǎng)絡(luò)邊界，可以預(yù)制WAF、IPS、FW的阻斷規(guī)則；在接入網(wǎng)絡(luò)層面，可以在出口網(wǎng)關(guān)上預(yù)制ACL規(guī)則、在路由器拔出上聯(lián)網(wǎng)線乃至電源。

這些手段分別適用于不同專業(yè)的工作人員，在應(yīng)急值班期間可以因人施用，在不同層面第一時(shí)間阻斷訪問(wèn)。

攻擊溯源

在信息安全攻擊事件發(fā)生后，為了給下一次工作積累經(jīng)驗(yàn)，也為了固定證據(jù)，應(yīng)當(dāng)做好攻擊溯源工作，相關(guān)的日志應(yīng)當(dāng)寫入專門的遠(yuǎn)程日志服務(wù)器，并可使用虛擬機(jī)快照等手段對(duì)重要服務(wù)器做到分鐘級(jí)別的遠(yuǎn)端備份以防止攻擊者擦除攻擊痕跡。

網(wǎng)站關(guān)閉的通知頁(yè)面

對(duì)于一些存在安全隱患而被暫時(shí)性下線的網(wǎng)站，可使用應(yīng)用交付設(shè)備或者將DNS導(dǎo)入到一個(gè)特定的通知頁(yè)面，以最小化網(wǎng)站下線對(duì)用戶帶來(lái)的負(fù)面影響。為避免臨時(shí)性替換網(wǎng)站頁(yè)面內(nèi)容導(dǎo)致搜索引擎刪除原有網(wǎng)站信息，通知頁(yè)面應(yīng)當(dāng)返回503 HTTP狀態(tài)碼，也可根據(jù)恢復(fù)時(shí)間指定Retry-After返回值。

重保時(shí)期的幫助站點(diǎn)與客戶服務(wù)

重保時(shí)期執(zhí)行的各種信息安全管理策略無(wú)可避免將影響用戶使用體驗(yàn)，原有系統(tǒng)的幫助頁(yè)面被基于最小開(kāi)放原則關(guān)閉將極大地增加客服部門工作量，應(yīng)針對(duì)重保時(shí)期的信息系統(tǒng)客服服務(wù)特點(diǎn)預(yù)先設(shè)計(jì)特殊時(shí)期的幫助站點(diǎn)與客戶服務(wù)方案。

最小化不可控風(fēng)險(xiǎn)的負(fù)面影響

針對(duì)非主觀措施可以防止的上級(jí)DNS、CDN篡改、甚至偽造頁(yè)面截圖的假攻擊也應(yīng)做好應(yīng)對(duì)預(yù)案，如發(fā)現(xiàn)被攻擊，應(yīng)當(dāng)及時(shí)下線，并執(zhí)行檢查，如果確定非自身因素則應(yīng)當(dāng)及時(shí)恢復(fù)上線，并在頁(yè)面上顯著位置公布以消除不良影響，在條件允許的情況下建立自動(dòng)刷新頁(yè)面的第三方錄像存證。