亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        建設(shè)高校信息安全防護體系

        2018-11-08 05:33:18
        網(wǎng)絡(luò)安全和信息化 2018年1期
        關(guān)鍵詞:防火墻威脅運維

        隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應用,網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大。教育信息化是國家信息化重要組成部分,而高校網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進和教育事業(yè)的改革發(fā)展,只有建立健全網(wǎng)絡(luò)與信息安全保障體系,提高防護能力和水平,才能保障高校教育事業(yè)健康有序發(fā)展。高校負責網(wǎng)絡(luò)與信息安全的部門,除了制定網(wǎng)絡(luò)與信息安全的管理制度,還應該制定網(wǎng)絡(luò)與信息安全技術(shù)防護方案。

        筆者高校信息中心負責全校的網(wǎng)絡(luò)和信息安全工作,經(jīng)過近幾年的摸索和嘗試,建立了多層次網(wǎng)絡(luò)與信息安全技術(shù)防護體系,按需配置網(wǎng)絡(luò)與信息安全防護設(shè)備和軟件,實現(xiàn)了安全防護、監(jiān)測預警、安全認證等安全保障與網(wǎng)絡(luò)信任功能,構(gòu)建了可信、可控、可查的網(wǎng)絡(luò)與信息安全技術(shù)防護環(huán)境。本文以筆者單位為例,主要從技術(shù)層面介紹信息安全防護體系的建設(shè)和規(guī)劃,并提出幾點經(jīng)驗和建議以供大家參考和探討。

        集中資源,重點防護

        由于高校的網(wǎng)絡(luò)結(jié)構(gòu)和資源分布不同,因此防護的考慮和策略也不一樣。筆者高校網(wǎng)絡(luò)結(jié)構(gòu)大致如圖1所示,出口有聯(lián)通、電信和教育網(wǎng)(Cernet),邊界配置了傳統(tǒng)防火墻。內(nèi)部網(wǎng)絡(luò)主要分為服務(wù)器區(qū)、辦公網(wǎng)和學生宿舍網(wǎng),在規(guī)劃網(wǎng)絡(luò)和信息安全的時候,我們應該重點考慮服務(wù)器區(qū),同時要求各種信息系統(tǒng)向服務(wù)器區(qū)的云平臺集中。

        圖1 高校網(wǎng)絡(luò)拓撲

        在進行安全保護體系建設(shè)時,一般會在網(wǎng)絡(luò)的不同區(qū)域部署傳統(tǒng)防火墻、IDS(入侵檢測系統(tǒng))、IPS等設(shè)備。Gartner公司曾指出,目前用戶面臨的網(wǎng)絡(luò)攻擊90%來自應用層,傳統(tǒng)防火墻只能抵御網(wǎng)絡(luò)層攻擊,并無法防御應用層威脅,若仍舊選用傳統(tǒng)防火墻、IPS等設(shè)備防護,將導致網(wǎng)絡(luò)無法有效抵御新的網(wǎng)絡(luò)攻擊。而第二代防火墻(簡稱“NGFW”)集成了上述安全防護功能,同時降低了管理復雜度。NGFW除具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測等基本功能外,還具備應用流量識別、應用層訪問控制、Web攻擊防護、惡意代碼防護、信息泄露防護和入侵防御等功能??紤]到等級保護的要求和日益復雜的網(wǎng)絡(luò)環(huán)境,我們還需要NGFW能夠有效抵御諸如SQL注入、XSS跨站腳本攻擊等種類繁多的Web攻擊,保障用戶各類業(yè)務(wù)系統(tǒng)的安全。因此我們將2臺NGFW(高可用性)部署于服務(wù)器區(qū)的邊界,以達到訪問控制、入侵防范和惡意代碼防范等的要求,保護高校服務(wù)器區(qū)的云平臺和數(shù)據(jù)中心。

        規(guī)范遠程運維

        如果把服務(wù)器對外開放的端口比作門的話,我們重點需要防護的就是兩種類型的門,Web應用類(80、8080、443等端口)和遠程訪問類(3389、22等端口),對Web應用端口,我們可以通過NGFW或Web應用防火墻(簡稱“WAF”)來防護,而遠程訪問類,我們建議通過管理手段,強制要求所有對服務(wù)器的遠程訪問都通過統(tǒng)一安全管理與綜合審計系統(tǒng)(簡稱“堡壘機”)進行。

        堡壘機通過規(guī)范運維權(quán)限管理、全程錄像運維操作過程等手段,對運維工作中的人為風險進行防范、規(guī)避。堡壘機支持SSH、RDP、HTTPS等工具對服務(wù)器資源進行操作管理,還能夠?qū)RACLE、MS SQL、MYSQL等數(shù)據(jù)庫操作進行集中審計和控制,滿足用戶隨時隨地訪問應用系統(tǒng)的需求,而且在外地還可以通過移動終端平臺安全運維。因此我們部署了兩臺堡壘機(高可用性),確保遠程運維的安全和可靠,目前所有的服務(wù)器區(qū)用戶和公司運維人員都通過堡壘機遠程管理、維護信息系統(tǒng)。這樣最重要的兩道門保護好后,其余的門(端口)都關(guān)閉,就可以保障核心服務(wù)器區(qū)的基本安全。

        全網(wǎng)監(jiān)控和威脅感知

        由于歷史原因,筆者高校有許多信息系統(tǒng)、服務(wù)器分布在各個校區(qū)的辦公網(wǎng)區(qū)域,因此對全網(wǎng)進行應用層的防護比較困難。我們的思路是首先通過路由牽引將外網(wǎng)對辦公網(wǎng)區(qū)域的80端口的訪問指向WAF,用WAF對辦公網(wǎng)區(qū)域的信息系統(tǒng)和服務(wù)器進行基本的應用層防護,但是這樣只能對外網(wǎng)的攻擊能夠起到防護,對內(nèi)網(wǎng)發(fā)起的攻擊無法阻攔。為了建立多層次的防御體系,我們部署了威脅感知系統(tǒng),來進行全網(wǎng)監(jiān)控和威脅感知,尤其是對高級持續(xù)性威脅APT(Advanced Persistent Threat)進行防御。

        APT是利用各種手段對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式,APT在發(fā)動攻擊之前會對攻擊對象的業(yè)務(wù)流程和目標系統(tǒng)進行精確的收集,在收集的過程中,會主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞,并利用0day漏洞進行攻擊。2016年中國高級持續(xù)性威脅研究報告中指出,截至2016年12月,國內(nèi)疑似APT攻擊目標的組織機構(gòu)近200個,其中大學占比最高,為40%;大學內(nèi)部的科研機構(gòu)是APT攻擊的首要目標。隨著筆者高校的規(guī)模不斷擴大,科研機構(gòu)不斷增加,境外APT組織目光會聚焦于學校內(nèi)部的一些敏感科研機構(gòu)。針對以APT為首的高級威脅攻擊,使用基于規(guī)則庫、簽名技術(shù)的傳統(tǒng)防護設(shè)備無法檢測,同時產(chǎn)生的大量無用告警也會影響對于入侵攻擊的判斷。而新一代威脅感知系統(tǒng)可基于多維度的海量互聯(lián)網(wǎng)數(shù)據(jù),進行自動化挖掘與云端關(guān)聯(lián)分析,提前洞悉各種安全威脅。同時結(jié)合部署在用戶本地的軟、硬件設(shè)備,能夠?qū)ξ粗{的惡意行為實現(xiàn)早期的快速發(fā)現(xiàn),并可對受害目標及攻擊源頭進行精準定位,最終達到對入侵途徑及攻擊者背景的研判與溯源。依據(jù)上述分析并結(jié)合武漢大學的網(wǎng)絡(luò)現(xiàn)狀,我們部署了威脅感知系統(tǒng)(如圖2所示)。

        圖2 威脅感知系統(tǒng)

        分類保障數(shù)據(jù)安全

        隨著高校數(shù)據(jù)庫信息價值及可訪問性提升,高校數(shù)據(jù)庫面對來自內(nèi)部的安全風險大大增加,如違規(guī)越權(quán)操作、惡意入侵導致機密信息竊取泄漏,但事后卻無法有效追溯和審計。作為保存著大量人員信息的數(shù)據(jù)庫,需要加強數(shù)據(jù)安全管理,我們的對策就是有針對性的對各種數(shù)據(jù)庫提供安全保護措施,在對系統(tǒng)和數(shù)據(jù)的重要性進行評估的基礎(chǔ)上,統(tǒng)一地、有區(qū)別地逐步建立并完善數(shù)據(jù)庫安全防護,具體措施如下:

        1.對所有數(shù)據(jù)庫部署數(shù)據(jù)庫審計產(chǎn)品。通過旁路鏡像的方式,在不改變數(shù)據(jù)庫系統(tǒng)的任何設(shè)置的和在不影響數(shù)據(jù)庫系統(tǒng)自身性能的前提下,實現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護。開啟入侵檢測功能,及時地發(fā)現(xiàn)網(wǎng)絡(luò)上針對數(shù)據(jù)庫的違規(guī)操作行為,并進行記錄、報警。一旦發(fā)生威脅可迅速判斷是內(nèi)部人員的越權(quán)操作,還是外部人員的入侵行為,事后追責,滿足合規(guī)性要求。

        2.對于更重要的、易受攻擊的系統(tǒng),尤其是需要對校外人員提供服務(wù)的系統(tǒng),比如數(shù)據(jù)中心、財務(wù)、一卡通等系統(tǒng)的數(shù)據(jù)庫服務(wù)器使用數(shù)據(jù)庫防火墻,抵御SQL注入攻擊及針對數(shù)據(jù)庫漏洞的攻擊,或者來自內(nèi)部的全表刪除等誤操作、超級權(quán)限濫用等。

        3.對于采用應用系統(tǒng)和數(shù)據(jù)庫在同一臺服務(wù)器的系統(tǒng)、以及難以實施鏡像部署的系統(tǒng)、云平臺上的數(shù)據(jù)庫系統(tǒng),通過安裝特有的軟件探針,實現(xiàn)審計功能。

        4.對于尤其重要的數(shù)據(jù)庫,部署高性能的數(shù)據(jù)庫加密系統(tǒng)。對財務(wù)系統(tǒng)和招生系統(tǒng)數(shù)據(jù)庫存儲的信息進行加密存儲,并且通過獨立的權(quán)限管控系統(tǒng)來實現(xiàn)對敏感數(shù)據(jù)訪問的權(quán)限控制,確保其數(shù)據(jù)的安全性。同時對于開發(fā)和測試,采用數(shù)據(jù)庫脫敏產(chǎn)品,防止真實數(shù)據(jù)泄漏。

        通過上述分類保障措施,建立了基本的數(shù)據(jù)安全防護體系,能夠有效保障高校的重要數(shù)據(jù)安全。

        猜你喜歡
        防火墻威脅運維
        人類的威脅
        構(gòu)建防控金融風險“防火墻”
        當代陜西(2019年15期)2019-09-02 01:52:08
        運維技術(shù)研發(fā)決策中ITSS運維成熟度模型應用初探
        受到威脅的生命
        風電運維困局
        能源(2018年8期)2018-09-21 07:57:24
        面對孩子的“威脅”,我們要會說“不”
        家教世界(2017年11期)2018-01-03 01:28:49
        雜亂無章的光伏運維 百億市場如何成長
        能源(2017年11期)2017-12-13 08:12:25
        基于ITIL的運維管理創(chuàng)新實踐淺析
        Why Does Sleeping in Just Make Us More Tired?
        英語學習(2015年2期)2016-01-30 00:23:16
        下一代防火墻要做的十件事
        自動化博覽(2014年6期)2014-02-28 22:32:13
        亚洲一区二区三区成人网站| 日本一区二区国产精品| 狠狠色欧美亚洲狠狠色www| 国产女人高潮叫床视频| 免费一级毛片在线播放不收费| 无码av免费一区二区三区试看 | 后入丝袜美腿在线观看| 亚洲精品无人区| 欧美一区波多野结衣第一页| 亚洲一区二区三区在线| 精品久久久少妇一区二区| 我把护士日出水了视频90分钟| 亚洲黄视频| 日本一区二区三深夜不卡| 亚洲天堂精品成人影院| 男人靠女人免费视频网站| 亚洲熟妇网| 亚洲无人区一码二码国产内射 | 精品少妇后入一区二区三区| 免费的小黄片在线观看视频| 亚洲va中文字幕| 久久久久亚洲av成人网址| 亚洲综合伊人久久综合| 亚洲一区二区三区尿失禁| 天天躁日日躁狠狠躁人妻| 欧美片欧美日韩国产综合片| 男男亚洲av无一区二区三区久久 | 视频一区中文字幕在线观看| аⅴ天堂中文在线网| 日韩好片一区二区在线看| 精品久久久久88久久久| 女同恋性吃奶舌吻完整版| 男女高潮免费观看无遮挡| 性色av无码一区二区三区人妻| 亚洲免费视频网站在线| 免费在线亚洲视频观看| 日本少妇高潮喷水xxxxxxx| 色吧综合网| 国产成人丝袜在线无码| 丰满少妇被啪啪到高潮迷轩| 无码人妻久久一区二区三区免费|