曾君 懷化學(xué)院

“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，隨著高校信息化建設(shè)程度的深入，網(wǎng)絡(luò)及信息安全問題日益嚴(yán)峻，層出不窮的安全事故，讓高校信息部門疲于防護(hù)，等保制度的建立，給高校安全防護(hù)工作指明了方向，等保2.0 制度的出臺，將信息安全工作提高到了新的高度。那么，對于我們高校信息管理部門，怎么去做好安全防護(hù)工作，需要從以下方面著手。

一、建立健全安全防護(hù)管理制度

1、建立完善的安全管理制度

沒有規(guī)矩就沒有方圓，信息安全工作最終是落實(shí)到相關(guān)人員在實(shí)施，因此，建立完善的安全管理制度，是信息安全工作的基礎(chǔ)。在安全管理制度的建設(shè)中，我們需要建立和完善安全管理制度體系，健全信息安全管理機(jī)構(gòu)，明確職能部門、各級管理人員和全體信息管理人員的安全防護(hù)職責(zé)；建立安全防護(hù)管理長效機(jī)制，確保信息系統(tǒng)及數(shù)據(jù)的安全；建立信息數(shù)據(jù)的保密機(jī)制，確保重要信息不被人為的泄露。

2、加強(qiáng)安全責(zé)任教育

安全防護(hù)意識淡薄，是目前出現(xiàn)信息安全事件、信息泄露的一個(gè)重要環(huán)節(jié)，如網(wǎng)站管理員的意識淡薄，將含有敏感信息的內(nèi)容發(fā)布到網(wǎng)路；通過QQ 等公共平臺傳輸敏感數(shù)據(jù)等，都是造成信息泄露的重災(zāi)區(qū)。因此加強(qiáng)全校師生的信息安全教育，提高全校師生的安全防范意識，能有效的提高信息安全防護(hù)等級。在安全責(zé)任教育中，我們需要完善安全教育培訓(xùn)制度，制定安全培訓(xùn)計(jì)劃，建立培訓(xùn)檔案，分類別、分層次開展法律法規(guī)、安全管理規(guī)章制度、安全技術(shù)、操作規(guī)程、事故案例、應(yīng)急管理和遵章守紀(jì)等教育培訓(xùn)活動(dòng)。

二、劃分區(qū)域，分級防護(hù)

在信息系統(tǒng)的建設(shè)中，合理的劃分區(qū)域，分級防護(hù)，能有效的提高防護(hù)能力。根據(jù)信息系統(tǒng)的使用不同，可以將信息系統(tǒng)劃分為對外服務(wù)區(qū)、對內(nèi)服務(wù)區(qū)及運(yùn)維管理區(qū)等區(qū)域，針對不同的區(qū)域建立不同的防護(hù)機(jī)制。

1、對外服務(wù)區(qū)

此區(qū)域的信息系統(tǒng)為對校外即互聯(lián)網(wǎng)提供服務(wù)，此區(qū)域一般運(yùn)行的系統(tǒng)多為學(xué)校對外的服務(wù)，如網(wǎng)站，區(qū)域內(nèi)的信息系統(tǒng)面臨的安全入侵風(fēng)險(xiǎn)最大，因此需要做到最嚴(yán)的防護(hù)，此區(qū)域部署防火墻，只開發(fā)必要的服務(wù)端口，利用WAF、入侵防御、入侵檢測等安全設(shè)備做到最嚴(yán)的安全防護(hù)。

2、對內(nèi)服務(wù)區(qū)

此區(qū)域的信息系統(tǒng)為內(nèi)部服務(wù)系統(tǒng)，只對校內(nèi)提供服務(wù)，服務(wù)對象為校內(nèi)師生，相對對外服務(wù)區(qū)，安全風(fēng)險(xiǎn)相對小很多，一般出現(xiàn)的安全事件主要來自學(xué)生的實(shí)驗(yàn)測試，可以采用防火墻設(shè)備只開發(fā)必要的業(yè)務(wù)端口，有條件的可以上其它的安全設(shè)備。

3、運(yùn)維管理區(qū)

此區(qū)域內(nèi)運(yùn)行的業(yè)務(wù)系統(tǒng)為校內(nèi)信息管理系統(tǒng)及網(wǎng)絡(luò)的管理平臺，使用用戶為特定的管理人員，因此可以采用限制訪問IP的防護(hù)方式，最大程度的保證安全。

三、建立合理的防護(hù)策略

當(dāng)前形勢下，校內(nèi)信息系統(tǒng)大部分為WEB 應(yīng)用系統(tǒng)，針對信息系統(tǒng)攻擊的主要手段有WEB 注入、框架漏洞、系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)本身漏洞、業(yè)務(wù)系統(tǒng)間的入侵等方式。因此，我們可以根據(jù)不同的入侵手段，建立相應(yīng)的防護(hù)策略，最大程度的保證信息系統(tǒng)的安全。

1、WEB 注入防護(hù)

針對WEB 注入入侵，目前最普遍的做法就是部署WAF 防護(hù)墻，利用安全廠商給定的規(guī)則來防護(hù)，這樣的做法，有效果，但不是最佳的方式。我們其實(shí)可以分析WEB 業(yè)務(wù)系統(tǒng)的URL，利用WAF等安全設(shè)備，自定義URL 規(guī)則。就拿網(wǎng)站群系統(tǒng)來說，其訪問一般分為三級，即首頁、列表頁、閱讀頁，其URL 是具有規(guī)律的，如列表頁，一般是頁面程序后帶欄目ID 及頁號兩個(gè)參數(shù)，如URL 為list.php？cid=1&p=1，我們就可以在WAF 設(shè)備中建立屬于該網(wǎng)站群的一個(gè)URL 規(guī)則list.php？cid=iysigke&p=y0wie0k，限定合法的URL，其它形式的URL 均阻止訪問，即可最大程度的阻止WEB 注入入侵。當(dāng)然，如果能從信息系統(tǒng)程序本身去完善安全機(jī)制，這是最徹底的做法。

2、框架、系統(tǒng)漏洞防護(hù)

操作系統(tǒng)、信息系統(tǒng)框架，這些都會(huì)有漏洞，對于操作系統(tǒng)的漏洞，毫無疑問，最佳的做法就是及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁。信息系統(tǒng)框架的漏洞，則是需要及時(shí)關(guān)注其官方網(wǎng)站，隨著掌握其漏洞及修補(bǔ)方法，采用最合理的方法來修復(fù)漏洞，如Nginx 曾經(jīng)出現(xiàn)的文件解析漏洞，通過官網(wǎng)的相關(guān)漏洞文檔，可以采用修改配置文件或者升級Nginx 版本的方式來修復(fù)，具體采用哪種方式，根據(jù)業(yè)務(wù)系統(tǒng)的情況來決定。

3、業(yè)務(wù)系統(tǒng)間的防護(hù)

高校的業(yè)務(wù)系統(tǒng)眾多，服務(wù)器也多，同一區(qū)域內(nèi)含有眾多的業(yè)務(wù)系統(tǒng)及服務(wù)器，服務(wù)器間一般沒有安全防護(hù)設(shè)備。在安全防護(hù)建設(shè)中，我們做的最多的是防止非法用戶入侵到業(yè)務(wù)系統(tǒng)及服務(wù)器中，但是凡事都有萬一，一旦入侵到了某一臺服務(wù)器，將此服務(wù)器變成肉雞，那么此區(qū)域內(nèi)的其它服務(wù)器及業(yè)務(wù)系統(tǒng)就變成了透明，毫無安全可言。

但是，我們可以看到，服務(wù)器間，絕大部門情況下是不需要互相訪問的，因此，針對業(yè)務(wù)系統(tǒng)間的防護(hù)，我們可以采用訪問隔離的方式，即在服務(wù)器交換機(jī)中做相關(guān)配置，進(jìn)行端口隔離，禁止服務(wù)器間訪問；對于某些一定需要互訪的服務(wù)器，采用引流的方式，將數(shù)據(jù)流引入安全設(shè)備，最大程度的保證業(yè)務(wù)系統(tǒng)間的安全。

四、敏感數(shù)據(jù)，分級防護(hù)

敏感信息的防護(hù)，是高校數(shù)據(jù)安全防護(hù)中重點(diǎn)防護(hù)對象。對高校而言，敏感信息，除了公民的個(gè)人信息外，還有如公文、檔案等信息，對于敏感信息防護(hù)，可以從以下幾方面入手：

1、限定訪問區(qū)域，校內(nèi)業(yè)務(wù)系統(tǒng)不開放互聯(lián)網(wǎng)訪問，僅限校內(nèi)訪問，通過限制訪問范圍，最大程度的保障敏感信息的安全。

2、通過VPN 訪問，對于一些必須要在校外訪問的業(yè)務(wù)系統(tǒng)，由于訪問用戶為既定群體，可以采用VPN 的方式，建立安全隧道來訪問信息。

3、通過安全設(shè)備，限定敏感信息，可以通過在安全設(shè)備上建立策略，來限定敏感信息的流向，如對來自互聯(lián)網(wǎng)的訪問，對敏感信息進(jìn)行過濾，讓其只能訪問普通信息，即保障了業(yè)務(wù)系統(tǒng)的正常訪問，又保障了敏感信息數(shù)據(jù)安全。

五、改善部署模式，提高安全機(jī)制

對于WEB應(yīng)用系統(tǒng)來說，最安全的辦法，就是采用靜態(tài)HTML了。在高校，不法分子攻擊入侵最多的是網(wǎng)站，因此，對于網(wǎng)站，完全可以通過改善其部署模式來提高安全機(jī)制。建立發(fā)布服務(wù)與管理服務(wù)相分離的部署模式，在發(fā)布服務(wù)器上，只有靜態(tài)HTML 頁面，用戶訪問的永遠(yuǎn)是靜態(tài)HTML 頁面；而發(fā)布服務(wù)器則在內(nèi)網(wǎng)，通過安全設(shè)備隔離，大大的提高網(wǎng)站系統(tǒng)的安全。對于不具備分離部署條件的業(yè)務(wù)系統(tǒng)則可以采用反向代理方式進(jìn)行部署，在反向代理設(shè)備上，映射的是業(yè)務(wù)系統(tǒng)的靜態(tài)HTML 頁面，業(yè)務(wù)系統(tǒng)本身則運(yùn)行于內(nèi)網(wǎng)，使得用戶無法直接訪問業(yè)務(wù)系統(tǒng)，有效的提高了業(yè)務(wù)系統(tǒng)的安全性。

六、總結(jié)

信息安全防護(hù)任重而道遠(yuǎn)，我們要做的就是最大程度的建立安全防護(hù)機(jī)制、保障信息安全。通過制度建立、等級保護(hù)、技術(shù)保障等多方面來建立安全防護(hù)機(jī)制，有效的保護(hù)信息安全，當(dāng)然，提高信息部門自身素養(yǎng)及技術(shù)能力，也是一個(gè)重要的組成部分。本文從安全制度建設(shè)、信息系統(tǒng)業(yè)務(wù)安全、數(shù)據(jù)安全等方面，從制度及技術(shù)模式進(jìn)行思考，為當(dāng)前高校信息安全防護(hù)提供知識參考依據(jù)。