近几年,山东师范大学(以下简称“学校”)全面落实党中央、国务院、山东省关于网络安全和信息化工作的各项要求,不断深化与网信、公安部门、其他相关院校以及网络安全运营商的交流合作,形成了一套基于纵深防御理念的“四位一体”校园网络安全体系。该体系以监测预警为核心、以技术保障为基础、以运维管理为抓手、以标准化安全处置为目标,在网络安全等级保护2.0标准下,通过贯彻“一个中心”管理下的“三重防护”机制,分别对通信网络、区域边界、计算环境进行管理,实施多层隔离和保护措施,为学校信息化建设营造了良好的安全空间,切实增强了师生网络安全和信息化服务的体验感、获得感和安全感。网络安全体系如图1所示。
图1 网络安全纵深防御整体结构
主要做法
1.以监测预警为核心,持续优化统一运维管理平台
为保障学校信息系统安全,积极梳理学校信息系统资产,做到信息系统安全可控,学校在IDC关键位置部署了下一代防火墙、堡垒机、数据库审计、日志审计系统、网络用户行为审计系统等网络安全监控及防护设备,组建了专业的网络安全与运维保障队伍,对网络安全设备进行调试及日志分析,及时发现并防护外网攻击态势。为了能够“全天候全方位感知数据中心网络安全态势”,学校部署了网络安全态势感知系统,在关键网络节点上放置多个探针和沙箱,全面感知网络安全威胁态势,并通过全流量分析技术实现完整的网络攻击溯源取证。
构建安全可视化大屏,实现对学校流量、业务系统可用性、关键业务主机全方位监控,为监测预警工作提供有力支撑。网络安全态势感知系统能够从多维度展现校园网络安全的健康状态:外部攻击态势反映了已探测到的目前校园网正在遭受外部攻击的情况;横向威胁感知反映了目前校园网内部系统之间异常访问的状态;资产失陷态势记录了校园网内信息资产异常访问外部资源的情况。为了保障校园网及信息系统的正常运行,学校部署了统一运维监控平台,实现了信息系统运行状态的实时监控,保障了信息化疫情防控工作的顺利开展。该平台覆盖了学校网络、数据中心、信息系统等信息资产,能够以业务为视角反映当前监控的信息化服务的繁忙度、健康度等指标。
2.技术保障为基,提供全生命周期安全服务
学校现有两个校区、两个数据中心、137个网站、253个业务系统,在外部层部署了云防护系统、漏洞检测系统、威胁检查系统,在出口层部署了防火墙以及加密登录系统,在数据中心出口层部署了下一代防火墙,从而构建了层次化纵深防御体系。
为了实现新建信息系统的快速布署,学校通过总结日常线下提供的信息化服务内容,开通了“新业务系统”上线安全监测流程。
以“新业务系统”上线安全监测为例,流程由待接入的应用系统管理员发起,经本单位负责人审批后,进入系统信息的完善环节。经网络部与系统管理员调研后,按照系统实际所需,分配相关信息资源。系统管理员获得资源部署系统后,提交信息办实施网络安全检测。检测通过后,系统正式开通。流程中包含了系统所属部门责任人的审批、学校数据中心管理员的调研实施、学校网络安全责任人的审核和信息办归档等环节。流程的设计既明确了申请用户的应尽责任,又满足了信息系统审计的相关要求;既实现了数据中心管理员针对系统的调研需求,又简化了用户的表格填写任务。
信息化服务线上流程办理的实现,为网络安全与运维保障工作服务于学校信息化建设提供了有效途径。规范流程后,均严格按照申请流程进行网络安全检测,避免了信息系统“带病上线”。整个检测过程分为四个部分。
(1)信息收集。新信息系统上线需要收集业务系统的网络结构需求、IP地址、开放端口、数据库类型、操作系统、中间件类型以及应用系统架构等信息。
(2)基线检查。收集信息系统后台URL及相关用户权限,有效防止因管理人员的使用不当导致的服务器被黑客获取管理员权限。
(3)漏洞扫描。通过智能遍历规则库和多种扫描选项的组合手段,深入准确地检测出系统和网站中存在的漏洞和弱点,帮助管理员修补漏洞,全面提升整体安全性。
(4)渗透测试。通过代码、应用、系统及主机等,依据已经掌握的安全漏洞信息,多方面、全方位模拟黑客的真实攻击方法,对系统和网络进行非破坏性质的攻击性测试。
该信息系统测试符合网络安全运维规范,有效保障了学校信息化的安全运行,及时发现网络和信息系统中存在的安全风险和漏洞。在此基础上,完成安全保护建设整改和解决方案制定。应用系统接入流程在保障信息系统安全可靠的前提下,大大提升了信息系统的上线效率,保障了校内各单位信息化业务部署工作的顺利开展。
3.以运维管理为抓手,建立健全安全工作机制
学校建立了以校党委书记和校长为组长的网络安全与信息化领导小组,全面负责学校网络安全和信息化建设相关工作,领导小组办公室设在信息化工作办公室。各单位明确了由主要责任人、分管责任人、网络安全与信息管理员组成的网络安全与信息化工作队伍,落实相关工作主体责任。
良好的组织与制度体系有利于推动学校信息化工作的顺利开展。在领导小组统筹安排下,信息化工作办公室按照相关政策和制度,与主责单位充分调研项目需求,积极沟通实施方案,确保信息系统能够及时、安全上线,推动高校业务与信息技术的深度融合。
4.以标准化安全处置为目标,构建良好网络安全空间
安全是根,运维是本。信息系统能否正常运行,能否按照预期提供服务,完善的安全体系和妥善的运维服务必不可少。学校依据《网络与安全应急预案》和《网络安全事件处置流程》,协调整改各类漏洞,协同处置上级(主管部门、网信部门、网安部门)通报的网络安全风险事件,构建标准化安全处置流程。在重大活动保障的前期准备阶段,依据业务系统保障级别,对全网进行隐患排查和安全加固,建立纵深防御体系,安排网络安全专业技术人员和采购第三方服务,实施24 h值班读网制度,确保及时发现紧急事件,做到第一时间应急响应,及时、高效地完成应急处置工作。标准化安全处置流程如图2所示。
图2 标准化安全处置流程
工作成效与思考
1.“四位一体”校园网络安全体系成效显著
通过校园网络安全体系建设,充分发挥各功能要素作用,强化各要素之间的相互支撑和补充,学校实现了校园网络安全和数据中心的7×24 h监控和响应,为校园网及其各类应用安全平稳运行提供了强有力保障。学校网络安全工作水平迈向了新台阶,连续两年获评山东省教育系统网络安全先进(优秀)单位,网络资产安全监控覆盖率超过99%,被上级主管部门通报的安全事件和安全漏洞的数量维持在较低水平。2022年以来,学校安全体系建设取得阶段性成果,学校安全平台保障了24个应用快速健康上线,防御针对校内业务系统和网站的攻击3 008 751次,发现、通报并整改安全事件60个,发布安全漏洞预警7个。近年被通报的网络安全事件数如图3所示。综上成果表明,校园网络常态化安全局面基本形成。
图3 近年被通报的网络安全事件数
2.网络安全服务助力网络安全防御体系建设
网络安全即使有了成熟的网络安全防御体系,也需要专业的人员按照标准规范的流程进行运营。随着技术的发展,网络安全已经不是单纯一个技术人员就可以胜任的工作,需要网络、信息安全、数据库、系统、软件开发等多元化人才加入。学校通过引入第三方安全公司,以购买服务代替购买设备的方式,进一步提高了网络安全管理和技术保障体系双重建设标准,为纵深防御理念下“四位一体”校园网络安全体系建设提供了有力保障。
来源《网络安全和信息化》杂志
作者:山东师范大学信息化工作办公室 张敬仁 侯剑 张海
中国联通德州市分公司 邢吉和
(本文不涉密)
-END-
2024年杂志开始订阅啦~ 扫码购买↓↓↓
原文始发于微信公众号(网络安全和信息化):安全跟我学|基于纵深防御理念的高校“四位一体”网络安全体系建设
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论