隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應用，網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大。教育信息化是國家信息化重要組成部分，而高校網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進和教育事業(yè)的改革發(fā)展，只有建立健全網(wǎng)絡(luò)與信息安全保障體系，提高防護能力和水平，才能保障高校教育事業(yè)健康有序發(fā)展。高校負責網(wǎng)絡(luò)與信息安全的部門，除了制定網(wǎng)絡(luò)與信息安全的管理制度，還應該制定網(wǎng)絡(luò)與信息安全技術(shù)防護方案。

筆者高校信息中心負責全校的網(wǎng)絡(luò)和信息安全工作，經(jīng)過近幾年的摸索和嘗試，建立了多層次網(wǎng)絡(luò)與信息安全技術(shù)防護體系，按需配置網(wǎng)絡(luò)與信息安全防護設(shè)備和軟件，實現(xiàn)了安全防護、監(jiān)測預警、安全認證等安全保障與網(wǎng)絡(luò)信任功能，構(gòu)建了可信、可控、可查的網(wǎng)絡(luò)與信息安全技術(shù)防護環(huán)境。本文以筆者單位為例，主要從技術(shù)層面介紹信息安全防護體系的建設(shè)和規(guī)劃，并提出幾點經(jīng)驗和建議以供大家參考和探討。

集中資源，重點防護

由于高校的網(wǎng)絡(luò)結(jié)構(gòu)和資源分布不同，因此防護的考慮和策略也不一樣。筆者高校網(wǎng)絡(luò)結(jié)構(gòu)大致如圖1所示，出口有聯(lián)通、電信和教育網(wǎng)（Cernet），邊界配置了傳統(tǒng)防火墻。內(nèi)部網(wǎng)絡(luò)主要分為服務(wù)器區(qū)、辦公網(wǎng)和學生宿舍網(wǎng)，在規(guī)劃網(wǎng)絡(luò)和信息安全的時候，我們應該重點考慮服務(wù)器區(qū)，同時要求各種信息系統(tǒng)向服務(wù)器區(qū)的云平臺集中。

圖1 高校網(wǎng)絡(luò)拓撲

在進行安全保護體系建設(shè)時，一般會在網(wǎng)絡(luò)的不同區(qū)域部署傳統(tǒng)防火墻、IDS(入侵檢測系統(tǒng))、IPS等設(shè)備。Gartner公司曾指出，目前用戶面臨的網(wǎng)絡(luò)攻擊90%來自應用層，傳統(tǒng)防火墻只能抵御網(wǎng)絡(luò)層攻擊，并無法防御應用層威脅，若仍舊選用傳統(tǒng)防火墻、IPS等設(shè)備防護，將導致網(wǎng)絡(luò)無法有效抵御新的網(wǎng)絡(luò)攻擊。而第二代防火墻（簡稱“NGFW”）集成了上述安全防護功能，同時降低了管理復雜度。NGFW除具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測等基本功能外，還具備應用流量識別、應用層訪問控制、Web攻擊防護、惡意代碼防護、信息泄露防護和入侵防御等功能?？紤]到等級保護的要求和日益復雜的網(wǎng)絡(luò)環(huán)境，我們還需要NGFW能夠有效抵御諸如SQL注入、XSS跨站腳本攻擊等種類繁多的Web攻擊，保障用戶各類業(yè)務(wù)系統(tǒng)的安全。因此我們將2臺NGFW（高可用性）部署于服務(wù)器區(qū)的邊界，以達到訪問控制、入侵防范和惡意代碼防范等的要求，保護高校服務(wù)器區(qū)的云平臺和數(shù)據(jù)中心。

規(guī)范遠程運維

如果把服務(wù)器對外開放的端口比作門的話，我們重點需要防護的就是兩種類型的門，Web應用類（80、8080、443等端口）和遠程訪問類（3389、22等端口），對Web應用端口，我們可以通過NGFW或Web應用防火墻（簡稱“WAF”）來防護，而遠程訪問類，我們建議通過管理手段，強制要求所有對服務(wù)器的遠程訪問都通過統(tǒng)一安全管理與綜合審計系統(tǒng)（簡稱“堡壘機”）進行。

堡壘機通過規(guī)范運維權(quán)限管理、全程錄像運維操作過程等手段，對運維工作中的人為風險進行防范、規(guī)避。堡壘機支持SSH、RDP、HTTPS等工具對服務(wù)器資源進行操作管理，還能夠?qū)RACLE、MS SQL、MYSQL等數(shù)據(jù)庫操作進行集中審計和控制，滿足用戶隨時隨地訪問應用系統(tǒng)的需求，而且在外地還可以通過移動終端平臺安全運維。因此我們部署了兩臺堡壘機（高可用性），確保遠程運維的安全和可靠，目前所有的服務(wù)器區(qū)用戶和公司運維人員都通過堡壘機遠程管理、維護信息系統(tǒng)。這樣最重要的兩道門保護好后，其余的門（端口）都關(guān)閉，就可以保障核心服務(wù)器區(qū)的基本安全。

全網(wǎng)監(jiān)控和威脅感知

由于歷史原因，筆者高校有許多信息系統(tǒng)、服務(wù)器分布在各個校區(qū)的辦公網(wǎng)區(qū)域，因此對全網(wǎng)進行應用層的防護比較困難。我們的思路是首先通過路由牽引將外網(wǎng)對辦公網(wǎng)區(qū)域的80端口的訪問指向WAF，用WAF對辦公網(wǎng)區(qū)域的信息系統(tǒng)和服務(wù)器進行基本的應用層防護，但是這樣只能對外網(wǎng)的攻擊能夠起到防護，對內(nèi)網(wǎng)發(fā)起的攻擊無法阻攔。為了建立多層次的防御體系，我們部署了威脅感知系統(tǒng)，來進行全網(wǎng)監(jiān)控和威脅感知，尤其是對高級持續(xù)性威脅APT（Advanced Persistent Threat）進行防御。

APT是利用各種手段對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，APT在發(fā)動攻擊之前會對攻擊對象的業(yè)務(wù)流程和目標系統(tǒng)進行精確的收集,在收集的過程中，會主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞，并利用0day漏洞進行攻擊。2016年中國高級持續(xù)性威脅研究報告中指出，截至2016年12月，國內(nèi)疑似APT攻擊目標的組織機構(gòu)近200個，其中大學占比最高，為40%；大學內(nèi)部的科研機構(gòu)是APT攻擊的首要目標。隨著筆者高校的規(guī)模不斷擴大，科研機構(gòu)不斷增加，境外APT組織目光會聚焦于學校內(nèi)部的一些敏感科研機構(gòu)。針對以APT為首的高級威脅攻擊，使用基于規(guī)則庫、簽名技術(shù)的傳統(tǒng)防護設(shè)備無法檢測，同時產(chǎn)生的大量無用告警也會影響對于入侵攻擊的判斷。而新一代威脅感知系統(tǒng)可基于多維度的海量互聯(lián)網(wǎng)數(shù)據(jù)，進行自動化挖掘與云端關(guān)聯(lián)分析，提前洞悉各種安全威脅。同時結(jié)合部署在用戶本地的軟、硬件設(shè)備，能夠?qū)ξ粗{的惡意行為實現(xiàn)早期的快速發(fā)現(xiàn)，并可對受害目標及攻擊源頭進行精準定位，最終達到對入侵途徑及攻擊者背景的研判與溯源。依據(jù)上述分析并結(jié)合武漢大學的網(wǎng)絡(luò)現(xiàn)狀，我們部署了威脅感知系統(tǒng)（如圖2所示）。

圖2 威脅感知系統(tǒng)

分類保障數(shù)據(jù)安全

隨著高校數(shù)據(jù)庫信息價值及可訪問性提升，高校數(shù)據(jù)庫面對來自內(nèi)部的安全風險大大增加，如違規(guī)越權(quán)操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。作為保存著大量人員信息的數(shù)據(jù)庫，需要加強數(shù)據(jù)安全管理，我們的對策就是有針對性的對各種數(shù)據(jù)庫提供安全保護措施，在對系統(tǒng)和數(shù)據(jù)的重要性進行評估的基礎(chǔ)上，統(tǒng)一地、有區(qū)別地逐步建立并完善數(shù)據(jù)庫安全防護，具體措施如下：

1.對所有數(shù)據(jù)庫部署數(shù)據(jù)庫審計產(chǎn)品。通過旁路鏡像的方式，在不改變數(shù)據(jù)庫系統(tǒng)的任何設(shè)置的和在不影響數(shù)據(jù)庫系統(tǒng)自身性能的前提下，實現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護。開啟入侵檢測功能，及時地發(fā)現(xiàn)網(wǎng)絡(luò)上針對數(shù)據(jù)庫的違規(guī)操作行為，并進行記錄、報警。一旦發(fā)生威脅可迅速判斷是內(nèi)部人員的越權(quán)操作，還是外部人員的入侵行為，事后追責，滿足合規(guī)性要求。

2.對于更重要的、易受攻擊的系統(tǒng)，尤其是需要對校外人員提供服務(wù)的系統(tǒng)，比如數(shù)據(jù)中心、財務(wù)、一卡通等系統(tǒng)的數(shù)據(jù)庫服務(wù)器使用數(shù)據(jù)庫防火墻，抵御SQL注入攻擊及針對數(shù)據(jù)庫漏洞的攻擊，或者來自內(nèi)部的全表刪除等誤操作、超級權(quán)限濫用等。

3.對于采用應用系統(tǒng)和數(shù)據(jù)庫在同一臺服務(wù)器的系統(tǒng)、以及難以實施鏡像部署的系統(tǒng)、云平臺上的數(shù)據(jù)庫系統(tǒng)，通過安裝特有的軟件探針，實現(xiàn)審計功能。

4.對于尤其重要的數(shù)據(jù)庫，部署高性能的數(shù)據(jù)庫加密系統(tǒng)。對財務(wù)系統(tǒng)和招生系統(tǒng)數(shù)據(jù)庫存儲的信息進行加密存儲，并且通過獨立的權(quán)限管控系統(tǒng)來實現(xiàn)對敏感數(shù)據(jù)訪問的權(quán)限控制，確保其數(shù)據(jù)的安全性。同時對于開發(fā)和測試，采用數(shù)據(jù)庫脫敏產(chǎn)品，防止真實數(shù)據(jù)泄漏。

通過上述分類保障措施，建立了基本的數(shù)據(jù)安全防護體系，能夠有效保障高校的重要數(shù)據(jù)安全。