信息安全措施無法做到絕對性的安全,一旦網站頁面纂改事件真的發生,應第一時間阻斷外界對網站頁面的訪問。可在各個層面做好“一鍵斷網”的預案。随着高校信息化建設的迅速發展,高校信息化建設已經滲透到日常學習、科研、管理、服務的方方面面。建設時期不可避免的重建設發展,輕運維安全,使得高校在信息系統安全方面基礎薄弱。與此同時,高校還必須面對日益嚴峻的安全形勢,面對來自各相關部門越來越高的安全工作要求,挑戰與壓力都是巨大的。在有限的人力物力和急迫的網絡安全需求下,應對高校的信息安全工作設立清晰務實的工作目标,執行簡明高效的安全措施。
工作目标
确保核心業務系統與主要信息發布平台正常運作
高校師生的日常工作、學習、科研已經高度依賴于各業務信息系統與信息發布平台的正常運作,如果核心業務信息系統與主要信息發布平台停止運作,将導緻高校日常工作的中斷與信息不能傳達的嚴重後果,同時信息安全工作也就失去了存在的意義,所以信息安全工作的首要目标是确保高校核心業務系統與主要信息發布平台的正常運作。
确保敏感業務數據不被竊取
教育相關的業務數據洩露曾造成過嚴重的後果,如2016年8月,山東省臨沂市高考錄取新生徐玉玉被不法分子冒充教育、财政部門工作人員詐騙9900元,并導緻猝死。該案件中罪犯掌握的受害者大量個人信息正是黑客利用技術手段攻擊了“山東省2016高考網上報名信息系統”盜取并出售給詐騙團夥的。确保高校信息系統中的敏感業務數據不被濫用和竊取,是高校信息安全工作的重要目标。
确保展示度高的系統不被篡改内容
高校近年面臨的一大安全挑戰是面向公衆的網站和各類應用系統迅速增多,黑客通過官方網站或應用系統界面達到非法目的,使得高校遭受巨大損失。近年某境外黑客組織更是以事業單位和高校的對外網站為主要纂改攻擊對象,造成了一系列嚴重後果。确保高校網站和主要應用系統的用戶界面不被非法纂改,是高校信息安全工作中不可或缺的一環。
總之,在保證網絡安全的前提下盡可能保障師生的網絡應用需求。
值得注意的是,各種信息網絡安全措施的落實,不可避免會給高校師生的信息網絡應用帶來額外的不便。各種應用已經是師生工作生活中不可或缺的一部分,需要在保證信息網絡安全的前提下盡可能地保障師生的網絡應用需求。
幾個關鍵點
Network-網絡層面
在網絡層面,需要注意的是:
1.在校園網中區隔用戶網絡和數據中心網絡,并在數據中心網絡中進一步實施業務分區;
2.策略性關閉校園網邊界的部分端口,限制外網對校園網的SSH/Telnet/Ftp及常見遠程控制端口;
3.設立高安全性、多因素認證的可信用戶内網,構建特殊業務系統訪問VPN、堡壘機等通道;
4.在數據中心的邊緣部署IPS/IDS與防火牆,對服務器網絡執行比用戶網絡更高的網絡安全策略;
5.由于極易通過無線監聽與MAC僞造技術非法冒用身份登錄,應逐步關閉基于MAC匹配的無線網無感知認證,采用安全性較高的802.1x接入認證。
IAAS-虛拟機層面
在網絡層面,需要注意的是:
1.應在虛拟機層面利用虛拟網絡的軟件定義特性實施比數據中心邊界更精細的網絡訪問控制策略來提高安全能力;
2.應在虛拟機層面部署比操作系統更底層的反病毒反惡意代碼安全産品,實現高效的全局安全控制;
3.應充分利用虛拟機層面的資源,使用統計數據進行安全預警和判斷。
OS-操作系統層面
在操作系統層面,需要注意的是:
1.應做好操作系統尤其是服務器操作系統的補丁控管策略,及時升級修補操作系統漏洞;
2.應減少操作系統多樣性,盡量安裝統一的操作系統,便于安全漏洞的統一管理,簡化安全工作;
3.在操作系統層面應安裝資源監控Agent,及時發現資源的異常使用是發現信息安全威脅的重要手段;
4.在操作系統層面設置缺省部署的安全訪問策略,遵循最小開放原則以最大化安全能力。
Web網站層面
在網站系統層面,需要注意的是:
1.應執行網站最小開放規則,關閉所有可以關閉的網站B/S業務;
2.對必須對外開放的網站站點進行重點安全強化,包括但不限于靜态化、防篡改、全新部署等手段;并最小化網站的可訪問範圍;
3.高校二級單位自主建設的網站安全能力參差不齊,網絡地址分散各處,難以集中保護,存在極大的安全風險,也一直是黑客攻陷的重災區,集中規範化建設的站群系統能極大地提升網站的安全性;
4.應對高校的主要網站做定期的主動漏洞掃描,并對其出入流量進行被動IDS分析,以及時發現安全風險。
重大保障期間的特别舉措
重保期間指重大活動網絡安保期間。高校由于其特殊性,在國家重大活動期間往往需要暫時性地特别提升信息網絡安全的防禦能力,需要執行一系列特别舉措。
包括:重要服務器的重新部署
對重要服務器應該完全從操作系統開始重新部署,防止存在可能的曆史黑客留下的潛在後門。對于高校而言,DNS系統相關服務器、主頁相關服務器屬于重要的高危服務器,應酌情重新部署。可以使用例如Ansible這樣的服務器部署工具進行批量系統配置、批量程序部署、批量運行命令,實現配置的标準化和自動化。
重要服務器的安全強化
對于重要服務器應進行安全策略的強化保護,使用漏洞掃描工具可以主動發現潛在的安全問題,采用站群模式部署可以有效提高二級單位網站的安全水平,采用網站靜态化手段則可以最大化地減少安全風險。網站靜态化的本質是簡化與減少信息産生與傳輸的環節,減少被攻擊的位點,非靜态網站有SQL注入、權限繞過、XSS、CSRF等安全風險。但是沒有交互性并不等同于靜态網站:引用了第三方圖片、JS腳本、類庫、樣式表等資源,第三方一旦被篡改将被連帶篡改。徹底的靜态化則對所有第三方内容均在可信源上下載到本地固化,甚至完全圖片化。
應急預案
信息安全措施無法做到絕對性的安全,一旦網站頁面纂改事件真的發生,應第一時間阻斷外界對網站頁面的訪問。可在各個層面做好“一鍵斷網”的預案。在操作系統層面,可以預制防火牆規則在需要時生效,或是直接進行系統關機操作;在Web服務器層面,可以設定訪問某個開關頁面關停Web服務;在虛拟機層面,可以關閉虛拟機網絡或虛拟機本身;在實體機層面,可以直接拔出網線甚至電源;在數據中心網絡邊界,可以預制WAF、IPS、FW的阻斷規則;在接入網絡層面,可以在出口網關上預制ACL規則、在路由器拔出上聯網線乃至電源。
這些手段分别适用于不同專業的工作人員,在應急值班期間可以因人施用,在不同層面第一時間阻斷訪問。
攻擊溯源
在信息安全攻擊事件發生後,為了給下一次工作積累經驗,也為了固定證據,應當做好攻擊溯源工作,相關的日志應當寫入專門的遠程日志服務器,并可使用虛拟機快照等手段對重要服務器做到分鐘級别的遠端備份以防止攻擊者擦除攻擊痕迹。
網站關閉的通知頁面
對于一些存在安全隐患而被暫時性下線的網站,可使用應用交付設備或者将DNS導入到一個特定的通知頁面,以最小化網站下線對用戶帶來的負面影響。為避免臨時性替換網站頁面内容導緻搜索引擎删除原有網站信息,通知頁面應當返回503HTTP狀态碼,也可根據恢複時間指定Retry-After返回值。
重保時期的幫助站點與客戶服務
重保時期執行的各種信息安全管理策略無可避免将影響用戶使用體驗,原有系統的幫助頁面被基于最小開放原則關閉将極大地增加客服部門工作量,應針對重保時期的信息系統客服服務特點預先設計特殊時期的幫助站點與客戶服務方案。
最小化不可控風險的負面影響
針對非主觀措施可以防止的上級DNS、CDN篡改、甚至僞造頁面截圖的假攻擊也應做好應對預案,如發現被攻擊,應當及時下線,并執行檢查,如果确定非自身因素則應當及時恢複上線,并在頁面上顯著位置公布以消除不良影響,在條件允許的情況下建立自動刷新頁面的第三方錄像存證。
(責編:王左利)
(作者單位為廈門大學信息與網絡中心)