智見(jiàn)-同行｜教育信息化踔厲奮發(fā)人 夏光峰：做好高校網(wǎng)絡(luò)安全工作安全體系建設(shè)至關(guān)重要

《高校信息化應(yīng)用》：

國(guó)內(nèi)高校信息化建設(shè)20余年來(lái)，高校網(wǎng)絡(luò)安全建設(shè)與管理都經(jīng)歷哪些階段？

夏光峰：

從國(guó)內(nèi)高校20多年校園信息化建設(shè)發(fā)展的歷程來(lái)看，高校網(wǎng)絡(luò)安全建設(shè)與管理工作歷經(jīng)了三個(gè)階段。

1

基礎(chǔ)安全防護(hù)階段

該階段業(yè)務(wù)系統(tǒng)數(shù)量較少，以部署校園網(wǎng)絡(luò)邊界3-4層防火墻、個(gè)人電腦使用單機(jī)或網(wǎng)絡(luò)版防病毒為主要防護(hù)手段。

2

應(yīng)用層安全防護(hù)提升階段

該階段開(kāi)始重視應(yīng)用層安全防護(hù)，普遍采購(gòu)了waf、ips等安全設(shè)備對(duì)web應(yīng)用、服務(wù)器區(qū)域進(jìn)行應(yīng)用層防護(hù)，網(wǎng)絡(luò)邊界防火墻也升級(jí)為應(yīng)用層防火墻，網(wǎng)絡(luò)安全工作開(kāi)始由點(diǎn)及面。

3

網(wǎng)絡(luò)安全體系建設(shè)與完善階段

在這一階段中，高校普遍認(rèn)識(shí)到網(wǎng)絡(luò)安全體系建設(shè)的重要性，開(kāi)始從系統(tǒng)角度規(guī)劃部署各類網(wǎng)絡(luò)安全設(shè)備，架構(gòu)網(wǎng)絡(luò)安全整體防御體系，建設(shè)集中收集各類安全信息且具有一定智能化安全態(tài)勢(shì)分析感知能力的網(wǎng)絡(luò)安全管理平臺(tái)，全面、實(shí)時(shí)地展現(xiàn)網(wǎng)絡(luò)安全狀況，也為網(wǎng)絡(luò)安全管理者及時(shí)發(fā)現(xiàn)重大安全問(wèn)題、追根溯源提供了高效的分析手段，這也是近三年來(lái)高校網(wǎng)絡(luò)安全體系建設(shè)的重點(diǎn)。

《高校信息化應(yīng)用》：

目前學(xué)校網(wǎng)絡(luò)安全面臨哪些挑戰(zhàn)，貴校在強(qiáng)化學(xué)校安全保障方面采取了哪些可行措施，效果如何？

夏光峰：

當(dāng)前，在教學(xué)、科研、校務(wù)管理各類系統(tǒng)迅速增長(zhǎng)的同時(shí)，網(wǎng)絡(luò)攻擊技術(shù)手段更加多樣化，社會(huì)工程學(xué)也已成為高校信息系統(tǒng)入侵與反入侵的重要對(duì)抗領(lǐng)域。

從2020年、2021年安徽省教育系統(tǒng)攻防演練的統(tǒng)計(jì)數(shù)據(jù)來(lái)看，各高校在互聯(lián)網(wǎng)邊界通過(guò)安全漏洞被直接攻破的網(wǎng)站、業(yè)務(wù)系統(tǒng)數(shù)量很少，而利用社會(huì)工程學(xué)獲取vpn訪問(wèn)權(quán)限，間接從內(nèi)部發(fā)起網(wǎng)絡(luò)攻擊的成功率占到了總體淪陷數(shù)的80%以上，這也反映出忽視用戶賬戶安全管理所帶來(lái)的隱患之大，表明安徽省高校普遍存在重邊界安全、忽視內(nèi)網(wǎng)安全的問(wèn)題。比如，有些高校對(duì)業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)、選型把關(guān)不嚴(yán)，在互聯(lián)網(wǎng)開(kāi)放前缺失漏洞檢測(cè)和系統(tǒng)加固環(huán)節(jié)，短板效應(yīng)直接導(dǎo)致系統(tǒng)被攻陷進(jìn)而以此作為跳板，大幅向內(nèi)網(wǎng)擴(kuò)散；安全漏洞層出不窮、缺乏有效的安全管理手段、無(wú)法應(yīng)對(duì)社會(huì)工程學(xué)攻擊，等等。這些都是高校網(wǎng)絡(luò)安全工作中面臨的重要挑戰(zhàn)。

合肥學(xué)院高度重視網(wǎng)絡(luò)安全體系規(guī)劃，強(qiáng)調(diào)網(wǎng)絡(luò)安全建設(shè)要從頂層設(shè)計(jì)開(kāi)始，明確網(wǎng)絡(luò)安全管理目標(biāo)，細(xì)致分析安全威脅的主要來(lái)源，基于各系統(tǒng)之間的邏輯關(guān)聯(lián)性和物理位置、功能特性等，科學(xué)劃分安全層次和安全區(qū)域，形成水平和垂直兩個(gè)方向的多層次防護(hù)，從而提高校園網(wǎng)絡(luò)整體防御能力。

1.互聯(lián)網(wǎng)邊界安全

校園網(wǎng)邊界部署應(yīng)用層防火墻和多功能流控設(shè)備，滿足應(yīng)用層基本防護(hù)以及深層次應(yīng)用識(shí)別的要求，在相關(guān)設(shè)備上實(shí)現(xiàn)了挖礦流量的阻斷，比如，為消除各類遠(yuǎn)程維護(hù)工具帶來(lái)的安全隱患，在相關(guān)設(shè)備上阻斷幾乎所有遠(yuǎn)程維護(hù)類軟件的通信。

2.服務(wù)器區(qū)域安全

服務(wù)器區(qū)域部署防火墻、ips和waf等安全設(shè)備，配置防火墻acl限制內(nèi)外網(wǎng)用戶直接通過(guò)ip地址訪問(wèn)web應(yīng)用，僅允許訪問(wèn)waf設(shè)備的對(duì)應(yīng)端口，與dns域名解析相結(jié)合，所有內(nèi)外網(wǎng)80和443端口的web應(yīng)用指向waf設(shè)備，通過(guò)反向代理進(jìn)行安全訪問(wèn)，ips設(shè)備連接在服務(wù)器區(qū)出口鏡像端口，重點(diǎn)進(jìn)行服務(wù)器區(qū)域流量安全告警，在虛擬化平臺(tái)上部署了nsx組件通過(guò)acl規(guī)則限制虛擬機(jī)之間東西向訪問(wèn)，服務(wù)器遠(yuǎn)程管理端口限制僅允許jumpserver堡壘機(jī)和少量ip地址訪問(wèn)。這樣一來(lái)，個(gè)別服務(wù)器被攻陷后的安全發(fā)散風(fēng)險(xiǎn)可被控制在盡可能小的范圍內(nèi)。

3.遠(yuǎn)程訪問(wèn)安全管理

校外師生通過(guò)vpn設(shè)備結(jié)合統(tǒng)一身份認(rèn)證訪問(wèn)校內(nèi)資源，配置足夠復(fù)雜的密碼策略，無(wú)可告知的初始密碼，首次登錄密碼強(qiáng)制通過(guò)手機(jī)短信初始化。所有系統(tǒng)校內(nèi)外遠(yuǎn)程維護(hù)均通過(guò)jumpserver堡壘機(jī)完成，實(shí)現(xiàn)一對(duì)一的遠(yuǎn)程維護(hù)管控。

4.桌面端安全

實(shí)施軟件正版化，部署具有反病毒、主動(dòng)防御和智能攔截功能的edr軟件，結(jié)合用戶安全意識(shí)培訓(xùn)、群消息通知，降低用戶端安全問(wèn)題的發(fā)生。

5.常態(tài)化漏洞檢查

使用相關(guān)企業(yè)rsas安全評(píng)估系統(tǒng)對(duì)新上線和原有業(yè)務(wù)系統(tǒng)進(jìn)行常態(tài)化漏洞掃描，確保有問(wèn)題系統(tǒng)不“帶病上線”，新系統(tǒng)不達(dá)標(biāo)不上線。

近三年來(lái)，網(wǎng)絡(luò)安全措施的不斷落地，有力支撐了學(xué)校教育信息化各項(xiàng)工作的開(kāi)展。下一步，計(jì)劃建設(shè)專有系統(tǒng)對(duì)校內(nèi)it資產(chǎn)進(jìn)行管理，實(shí)現(xiàn)系統(tǒng)部署前數(shù)據(jù)收集、資產(chǎn)數(shù)據(jù)現(xiàn)狀統(tǒng)計(jì)以及安全漏洞匹配等功能。

《高校信息化應(yīng)用》：

隨著高校信息化建設(shè)向縱深發(fā)展，在線教學(xué)、資源共享、校園安防、校務(wù)管理、科學(xué)研究等高度依賴于網(wǎng)絡(luò)和數(shù)字技術(shù)的支撐，構(gòu)建完善的高校網(wǎng)絡(luò)安全體系至關(guān)重要。學(xué)校在網(wǎng)絡(luò)安全體系建設(shè)方面有什么好的經(jīng)驗(yàn)分享？

夏光峰：

學(xué)校在進(jìn)行安全態(tài)勢(shì)感知系統(tǒng)建設(shè)規(guī)劃時(shí)，希望融合現(xiàn)有多種網(wǎng)絡(luò)安全設(shè)備，建設(shè)一個(gè)集中、高效且具有一定安全態(tài)勢(shì)智能分析能力的綜合平臺(tái)。為此，學(xué)校對(duì)國(guó)內(nèi)主流的五個(gè)廠商的相關(guān)產(chǎn)品做了測(cè)試，從測(cè)試結(jié)果來(lái)看，每家產(chǎn)品都在安全問(wèn)題集中展現(xiàn)、事件關(guān)聯(lián)分析等方面做了大量工作，但也幾乎存在同樣的問(wèn)題。

一是誤報(bào)問(wèn)題。比如，學(xué)校dns服務(wù)器由于為客戶端解析了挖礦網(wǎng)址，被安全設(shè)備標(biāo)注為失陷主機(jī)。因此，建議安全廠商關(guān)注挖礦通信細(xì)節(jié)，而不是通過(guò)簡(jiǎn)單的規(guī)則進(jìn)行判斷。

二是反代引入后的攻擊溯源問(wèn)題?；诟咝＞W(wǎng)站ipv6、https的支持要求，許多學(xué)校都部署了web資源發(fā)布系統(tǒng)（商業(yè)或開(kāi)源），由于增加了反代，位于反代前端和后端的安全設(shè)備各自通報(bào)web攻擊來(lái)源和目的地址，沒(méi)有考慮邏輯拓?fù)涞淖兓@就給安全問(wèn)題溯源帶來(lái)困惑。因此，建議安全廠商考慮高校應(yīng)用實(shí)際，在此類攻擊溯源處理中進(jìn)行數(shù)據(jù)的合并優(yōu)化。

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，既要做好規(guī)劃，也要注重實(shí)施細(xì)節(jié)，一是要做好網(wǎng)絡(luò)安全設(shè)備選型工作。以合肥學(xué)院為例，關(guān)鍵網(wǎng)絡(luò)安全設(shè)備（比如防火墻、waf、ips和漏洞掃描系統(tǒng)）分別作了三個(gè)以上主流品牌長(zhǎng)時(shí)間測(cè)試，最終選擇總體最優(yōu)且符合學(xué)校需求的設(shè)備進(jìn)行部署。二是需要與安全設(shè)備廠商工程師進(jìn)行深入溝通，協(xié)作完成安全設(shè)備配置，而不是簡(jiǎn)單以默認(rèn)規(guī)則配置了事。以waf系統(tǒng)為例，應(yīng)用訪問(wèn)和安全管理往往存在矛盾，這就需要在實(shí)施中有針對(duì)性地細(xì)化規(guī)則，不斷調(diào)優(yōu)。