高校网络安全建设初探

目录TOC\o"1-2"\h\u11815摘要 前言网络安全，指的是计算机网络系统的安全，不仅包括网络系统正常运行的硬件、软件环境安全，也包括网络传输的资源、数据等信息安全。网络安全不仅关系到我们每一个公民，更是事关国家安全的重要问题。高校作为培养当代大学生的主要阵地，在网络安全建设及教育方面更是肩负着重要的责任。面对信息泄露等校园网络安全问题以及日趋严峻的网络安全形势，如何保障高校网络安全建设的稳步推进，已经成为重中之重。一、高校网络安全运营和管理现状高校的网络化建设是十分成熟的，基于校内学子学习和交流和校外学术交流和共享设计框架下，对于网络化建设的硬件，获得了长足的进步。从物理层面上讲，高校网络服务器是可以经受得起高能、集中访问的；网络安全管理中通过权限管理、病毒预警、信息监控等手段，在一定程度上是可以抵御网络运行风险的；经历了长时间的网络安全教育，师生在高校内使用网络安全意识较高，但部分学生仍对潜在威胁的源头和传播方式不够重视，受限于专业设置和人才编制，高校网络运营中的后台管理人员的网络技能和对突发问题的有效处理上，还存在着一定的欠缺。上述问题成为网络安全建设中生发潜在问题的根源。二、高校网络安全存在的问题分析（一）缺乏网络安全专业人员目前高校已基本上实现校园网络全覆盖。有成千上万的网络计算机，但与之配套的网络安全管理员却严重不足，甚至没有专职的网络安全管理员[2]。而且大部分网络安全管理人员没有接受过系统化的岗前培训，安全责任意识单薄，专业素养不够高，网络安全专业人员及其技能都存在严重不足。（二）师生网络安全意识缺失高校网络的使用主体为本校师生，群体庞大，且大部分高校未开展系统、全面、全覆盖的网络安全主题教育，导致用户群体网络安全防范意识不强。部分教师在使用计算机时对病毒防护、密码保护、漏洞修复等基础网络安全操作无意识，使得计算机很容易被入侵而造成数据及资源丢失。一些学生在面对复杂的网络环境时，由于猎奇心理及感情用事，可能会采用一些诸如“翻墙”等威胁高校网络安全的行为或者网络暴力等激进行为。（三）网络安全防护体系不完善截止到目前，很多高校尚未认识到加强网络安全管理的重要性，缺乏一套完善的网络安全防护体系。领导重视不够，未形成专门的网络安全领导小组；资金投入不足，无法购买各类网络安全防护设备；管理制度不完善，无应急预案等；技术防护手段不足，缺少各类必须的技术防护手段；网络安全人员不足，未设置网络安全技术专岗等。这些都是当前高校网络安全面临的突出问题。三、强化高校网络安全建设的策略高校网络安全建设应以人员组织为基础，以管理制度为依据，以技术防护为手段，三管齐下，切实保障好高校的网络及信息安全。（一）构建网络安全防护体系1、管理规范体系规范化是制度化的最高形式，是一种非常有效和严谨的管理方式。完善的管理规范体系是保障网络安全的法律基础，是通过建立标准规范来约束用户行为的制度。其实现的过程就是规范管理的过程。管理规范体系包括网络安全责任制、网络安全管理规范、应急响应机制、网络安全通报制度等方面的内容。2、人员组织体系自上而下，建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。管理决策层统一领导网络安全工作，研究制定网络安全发展规划，决策网络安全建设中的重大事项等。组织协调层统一协调学校网络安全建设工作，负责网络安全及运行保障项目的建设、改造、升级、维护等方面，负责制度与人员队伍建设等。落实执行层负责具体工作的落地执行。（1）网络安全责任制按照“谁主管谁负责、谁运行谁负责”的原则，明确网络安全工作责任主体，各部门应有专人专岗负责网络安全具体工作，细化网络安全各关键岗位安全管理责任，签订安全责任书，建立安全责任体系，形成网络安全工作长效机制。（2）网络安全管理规范建立健全网络安全管理制度，明确信息系统管理、数据管理、信息管理、网站、微信、微博和移动应用管理、电子邮件管理、交互式栏目管理等的管理规范，使所有的网络安全活动都有规范可依，有制度约束。（3）应急响应机制制定完善网络安全应急预案、明确应急处置流程、处置权限、落实应急技术支撑队伍，强化技能训练，强化技能训练。至少一年两次开展网络应急演练。通过模拟网络安全事故现场环境，提高应急处置能力。（4）网络安全通报制度定期开展安全检查，全面、细致地排查安全隐患，并定期对检查结果进行通报，督促相关部门落实整改。如通过《网络安全简报》、《信息化简报》等手段，通报各业务系统漏洞扫描、数据备份、日志审计、数据库审计等各项安全指标，督促相关部门做好网络安全责任落实。3、技术防护体系网络安全及运行保障是一项系统工程，对系统的过程要素、组织结构和结构功能进行分析，主要分为预警层次、检测层次、保护层次、响应层次四个层级。预警层次主要是发现问题、记录问题和预警问题。检测层次主要是发现服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞，形成完整的安全风险报告，帮助安全人员查漏补缺，防范风险于未然[4]。保护层次是对网络运行的实时保护，包括拒绝服务、入侵检测、流量分析、数据防泄露等。响应层次是对安全事件进行及时的响应，包括数据库审计、安全监管、安全服务等。（二）规范化安全基线配置由于高校信息系统数量庞大，数量级基本处于百、千这样的数量，如果对每一个系统都采用第三方的机构进行安全性验收测试，存在以下几个问题：第一，经费数量有限。针对目前市场的现状，第三方测评机构进行安全性验收需要支付测评费用，该费用对于校内小型系统建设费用来讲，数目不小。用户单位无法支付该项费用，学校信息化部门也无法全盘接下数量较大的验收费用。第二，人员数量有限。针对每个系统进行第三方验收的测评工作量较大，因为各二级单位建设系统基本都是各类工作人员兼职处理，二级单位没有技术能力和人员对接每个系统的安全性验收工作。高校信息化部门和网络安全部门在落实上级要求和日常工作中就已经处于人手较为紧缺的状况，因为人才匮乏依然是高校信息化建设的痛点。同时，高校以教学和科研服务为主要目的，作为支撑学校教学、科研和管理的信息化服务机构，在经费和人员上均没有较好的话语权。第三，第三方测评机构有限。在与第三方的合作上本身就会花费大量的沟通协调时间。假设在学校经费和人员配备都十分充足的情况下，第三方测评机构的人员配备是否能够满足教育行业如此庞大的数量级系统验收工作也是存在一定的不确定性。因此，学校层面需要动用自己专业的技术人员对信息系统上线工作进行安全性把控，在系统合规性和高危漏洞上把好第一道关。做好信息系统上线强制安全检查工作。信息系统上线前强制安全检查是指校内新建信息系统在接入互联网、进行域名解析之前须完成高校网络安全技术部门的安全检查，对信息系统安全性检查工作包括应用系统、操作系统、数据库系统漏洞扫描，安全基线配置核查，性能测试等方面。对于重要信息系统需要组织第三方测评机构对该信息系统进行安全测评，并出具测评报告。以我校信息系统安全性检查为例，信息系统上线前强制安全检查由我校网络安全部门专门落实，对照我校制定的《信息系统上线前强制安全检查清单》，逐条排查分析，对不符合指标项实施一票否决制。部分清单见表1。表1信息系统上线强制安全检查部分清单控制层面检查内容不符合指标操作系统1、操作系统版本

2、服务器端口

3、防火墙

4、服务器安装（一）操作系统版本不在厂商技术升级支撑版本范围之内，例如Windows2003等；

（二）服务器未关闭不必要的端口，例如Windowstelnet、WindowsNetBIOS等服务；

（三）未启用本地防火墙策略，例如iptable限制访问源地址；

（四）服务器采用默认安装中间件1、IIS

2、Apache

3、Nginx

4、Tomcat

5、jBoss

6、WebLogic采用的中间件版本包含已知漏洞，例如：

（一）IIS：PUT漏洞、短文件名猜解、远程代码执行、解析漏洞；

（二）Apache：解析漏洞、目录遍历；

（三）Nginx：文件解析、目录遍历、CRLF注入、目录穿越；

（四）Tomcat：远程代码执行、war后门文件部署；

（五）jBoss：反序列化漏洞、war后门文件部署；

（六）WebLogic：反序列化漏洞、SSRF、任意文件上传、war后门文件部署。应用系统1、SQL注入

2、XSS跨站脚本

3、任意文件上传

4、数据存储

5、身份认证

6、越权访问

7、密码复杂度策略

8、敏感信息

9、个人隐私信息（一）存在SQL注入漏洞；

（二）存在XSS跨站脚本漏洞；

（三）存在任意文件上传漏洞；

（四）数据明文存储；

（五）未使用身份认证；

（六）存在越权访问漏洞；

（七）存在弱口令，未强制密码复杂度策略，未设置有效的验证码机制；

（八）存在源代码、应用程序调试信息、报错信息等敏感信息对外访问；

（九）存在个人隐私信息明文传输、存储，存在个人隐私任意查看。规范化安全基线配置是指形成校内各类基础设施、平台、应用系统、服务器的参考安全基线配置标准[4]，规范化安全基线配置可以参考网络安全等级保护，同时结合各高校信息化发展特点和信息化现状，有目的、有区别、有特点地形成规范化文件，指导安全性配置落到实处。安全基线配置是信息化运维工作的重要组成部分，网络安全与信息化同步规划同步建设是打破目前网络安全与信息化建设各自为政的一种有效途径，强化运维管理工作，把孤立的信息进行整合，从顶层设计上把好网络安全关。网络安全是整体的不可分割的、动态的而非静态的、开放的而非封闭的、相对的而非绝对的、共同的而非孤立的。只有强化运维管理，才能更好地把网络安全与信息化工作协同至最佳。规范化安全基线配置是规范校内设施设备的重要手段，是走出以前“重建设、轻运维”的第一步。

例如，Linux操作系统基线配置可以要求必须对登录用户进行身份标识和鉴别，必须及时删除多余的、过期的账户，避免共享账户存在等。以我校Linux操作系统安全基线配置为例，部分清单见表2。表2Linux操作系统安全基线配置部分清单控制项核查内容核查方法推荐参考值对登录用户进行身份标识和鉴别1、密码文件中的口令字段不为空1、查看/etc/passwd文件中各用户的第二字段处是否不为空1、第二字段处是否不为空2、各个用户主目录下的.rhosts文件2、输入：

find/–name“.rhosts”，查看各个.rhosts文件2、应删除.rhosts和/etc/hosts.equiv中的用户或主机及时删除多余的、过期的账户，避免共享账户的存在删除多余过期账

户查看/etc/shadow文件，相应账户是否为过期、多余账户（已锁定账户其所在行第一个和第二个冒号之间的口令字段为“!!或*”）1、对多余账户进行删除、锁定或禁止其登录如：uucp、nuucp、lp、adm、sync、shutdown、halt、news、operator、gopher用户（三）信息系统生命周期管控信息系统生命周期管控是指信息系统从系统建设到关停整个生命周期实施安全性周期管控，随着其生存环境的变化，信息系统在使用过程中要不断维护、修改，具有产生、发展、成熟、消亡(更新)的过程周期循环。在信息系统生命周期模型中，信息系统的整个生命周期抽象成规划组织、开发采购、实施交付、运行维护和废弃五个阶段，以及在运行维护阶段的变更产生的反馈，形成信息系统生命周期完整的闭环结构。在信息系统的生命周期中的任何时间点上，都需要综合信息系统安全保障的技术、管理、工程和人员保障要素对信息系统进行安全保障。案例实操运营商vIMSSBCCGP补丁升级（一）变更概述局点概况网络拓扑（二）变更准备1、变更目的和需求变更目的*提高网络保障运营安全变更范围DC1&DC2变更时间*（实际以客户授权时间为准）2、变更人员组成及职责姓名责任电话王某总指某变更责任人某技术专三）变更步骤总体描述序号变更主要步骤操作时间1变更准备实际时间为准2变更操作实施实际时间为准3测试验证已实际时间为准4倒回已实际时间为准5结束已实际时间为准序号*变更步骤*操作内容*实施人员*操作时间*1操作前准备1.完成CGP补丁上传2.完成升级前检查3.确认有异常告警是否影响升级4.安装CGP网管适配包5.检查网元当前版本和补丁版本LSTMEDSPCPATCHDSPPATCH6.检查OMU状态DSPOMU王某、李某操作2天前2数据备份备份网元MML和系统备份王某、李某已实际时间为准3补丁安装前环境检查补丁安装前检查是对系统的配置信息、软硬件运行状态等的基本检查。王某、李某已实际时间为准4补丁安装后验证王某、李某已实际时间为准5告警观察观察是否有新增告警王某、李某已实际时间为6变更地点现场操作和远程操作王某、李某已实际时间为（五）落实网络安全责任制高校网络安全责任主体主要包括网信领导小组、网信部门、信息化部门、二级责任单位等层级。网信领导小组统筹网络安全工作，对整体网络安全工作进行全盘战略规划，制定应急响应预案，直接指挥重大安全事件（事故）的处置，直接与上级网络安全主管单位对接；网信部门、信息化部门负责基础设施及校级平台网络安全，为网信领导小组制定策略提供技术支撑和决策建议，为二级责任单位提供技术支持；二级责任单位负责本单位的网络安全工作，承担相关系统、服务器、网络等安全责任，建立所管辖范围内的安全章程、责任分工及技术支持部门的反馈机制。（六）网络安全漏洞和事故处理机制在高校信息化工作的建设推进进程中，多数信息系统的建设由二级单位自行建设或购买，信息系统的安全水平参差不齐，许多信息系统处于无人维护的状态；同时，由于许多二级单位缺乏足够的网络安全意识和防范、应对能力，部分信息系统的域名服务、服务器（IP地址）等托管在校外，运行保障服务不在网信部门、信息化部门的管控范围之内，使其安全漏洞、事件（事故）的应急处置响应更加不可控。（七）构建安全区域边界区域边界的安全主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。边界访问控制：需要优化网络结构，根据业务情况合理划分安全域，合理划分网段和VLAN；对于重要的信息系统的网络设施采取冗余措施；访问控制需要在构建安全计算环境的基础上，依托防火墙等安全设备进行访问控制。现网需要在边界部署下一代防火墙实现边界访问控制，在