高校需要怎样的安全风险管理体系?

科技   2024-10-22 08:01   北京  


01
引  言
党的二十大报告指出:“推进教育数字化,建设全民终身学习的学习型社会、学习型大国。”随着《教育信息化“十四五”规划》等相关政策文件的出台,高校普遍把教育数字化作为教育现代化的战略制高点,深入推进数字化变革,推动学校事业高质量发展。与教育数字化快速转型相伴随的,是网络安全方面的风险和挑战相应增多,对高校网络安全工作提出更高要求,网络安全管理责权不清、责任不到位,人员网络安全意识淡薄、程序代码编写不规范、网络安全防护手段不健全等相关问题也逐渐暴露,如何实现网络安全与信息化一体之两翼协同发展,将网络安全风险控制到可接受的程度,将安全漏洞被利用之前发现到修复安全漏洞的全流程闭环,成为高校信息化发展面临的难题。
02
高校网络安全特点
校园网由于其业务涉及面广、信息量大、环境复杂、人员变化快等问题, 对信息安全的保护需求更高。据中国网络安全产业联盟发布的《中国网络安全产业分析报告(2023年)》,2023年上半年,网络攻击数量总体呈上升趋势,网站态势依然严峻,教育行业的网站漏洞数量发现最多。从勒索病毒攻击目标来看,教育成为勒索病毒的主要目标行业。此外,由于教育往往与科研密不可分,因此也成为很多以窃取科技情报为目的APT攻击者的重点攻击目标,根据调研得出,教育行业主要有以下三大行业特性:
业务和网络架构复杂
一个学校的网络需要划分多个域,包括视频监控区、一卡通区、DMZ区、学生宿舍区、核心服务器区、运维管控区、甚至还有云平台区域等等,由于整个校园范围较大,各个终端、区域之间的网络安全域划分策略和权限控制相对复杂。
数据类型密集
随着教育信息化的深入,越来越多纸张上的数据向硬盘存储和网络变革,无论学籍档案、成绩管理、教职员工信息,还是学术文献资料,这些教育关键数据都在向IT系统转移。大到国家级别的教育资源和管理公共服务平台,小到院、校级别的各种数字教学平台,都汇聚存储了教育管理、教学支持领域的海量知识和用户信息。
外部面临威胁大
教育行业是一个包含巨大信息流的行业,有效利用这些数据信息将能够进一步指导教学,实现国家对教学资源的科学管理。而且,越是高等级、研究深入的教育机构产生的信息越是机密,也越有价值。但也正因此,学校也一直是数据泄露最频繁的地方,尤其是强调自由开放的学校网络,经常成为外部攻击者攻击的目标。

03
高校网络安全风险
对于采用传统网络架构的信息系统来说,随着国家实施“互联网+”战略、互联网应用日新月异,传统的网络架构也发生了巨大变化,信息系统更加开放,面向更多的公众提供服务,接入网络更加复杂,终端分布范围更广且多样化,攻击者技术和手段不断提高,传统的安全架构和防护手段已经远不能应对新的安全风险,以某部属高校为例,主要风险有:
首先,信息化资产数据不清楚,学校内部的网站和业务系统多且杂,从系统的基本信息到具体维护操作,相当一部分系统管理者不掌握,网络管理部门也不清楚具体情况。
其次,管理人员网络安全意识淡薄,许多系统缺乏必要的安全防护措施,系统不更新补丁,管理密码简单,如用户名与密码一致等。
再者,开发人员水平参差不齐,开发系统代码不规范,缺乏必要的网络安全防护考虑,SQL注入、跨站脚本常有,应用安全漏洞百出。
最后,网上攻击工具也越发智能,黑客攻击专业化水平整体提升,安全信息公开越发频繁,攻击更易上手。
上述所有问题,被攻击的入口便是漏洞,有了漏洞,也就给黑客们提供了进门的钥匙,如何尽早发现漏洞、修复漏洞,是网络安全人员防范网络安全事件发生的必备能力。漏洞的处置需要管理和技术相结合,相辅相成,缺一不可,制定一套行之有效的漏洞管理处置体系也就成为当务之急。

04
安全建设整改理念及方案
国外知名信息技术研究和分析企业Gartner发布了漏洞闭环管理框架2.0,将漏洞管理所涉及的人员管理、处置流程和技术操作看作一个连续的闭环周期。

图1 漏洞闭环管理框架2.0

框架包括五个阶段,分别是:评估、确定优先级、采取行动、重新评估和改进提高,前期工作为整个流程奠定了基础保障。该框架强调漏洞管理和安全防护是一项持续的过程。
互联网时代,黑客攻击无法百分百被拦截,系统漏洞也不可能立刻完全消失,需要转变固有的安全防护思维,即从“应急响应”到“持续响应”,前者认为攻击是偶发的,一次性的事故,而后者则认为攻击是不间断的,要承认系统时刻处在被攻击中,并在闭环的管理中不断优化、不断改进、不断完善。
基于上述安全现状及需求描述,立足目前的网络现状,同时满足GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的第三级安全要求,建设一套事前感知预警、事中防护响应、事后分析取证、持续检测分析的下一代安全防护体系,将安全可视化,简单有效保护好高校资产,合理控制风险,持续提升安全效能。

图2 基于PPDR模型的技术防护路线

具体产品部署架构如下图所示:

图3 网络安全建设拓扑图
分区分域,建立安全可靠网络架构
按照“横向分区”“纵向分层”的网络划分原则,将学校相关业务系统按照板块进行安全分区,分为网络出口安全区、DMZ安全区、安全运维区、核心交换安全区、核心业务安全区、校园网接入安全区
核心通信设计
校园网网络遵循高可用和满足业务流量需求原则,平台的网络设备、安全设备和物理链路按照承载业务的最大流量设计,并保留一定冗余,确保可以承载业务高峰期流量,且各区域网络设备、防护类安全设备和物理链路应该采用冗余设备部署,负载均衡设计,实现消除单点故障,尤其是核心交换区和边界交换区域的骨干核心网络设备。
核心数据交换区采用2台高性能企业级核心交换机,通过VSS(Virtual Switch System)虚拟化集群交换技术,将2台物理设备虚拟化为逻辑上的一台设备,其虚拟系统的性能、可靠性、灵活性及管理相比于独立的物理设备具有无与伦比的优越性。

图4 核心交换机虚拟化集群部署

威努特创新的VSS虚拟化集群交换技术,具有以下功能特点:
性能翻倍:虚拟化系统可以充分利用物理设备间的每一条链路,避免传统组网模型生成树协议对链路的阻塞,物尽其用,性能翻倍,最大程度保护原有链路投资。
高可靠性:基于先进的分布式处理技术,通过高效的跨物理设备链路聚合功能,实现逻辑控制平面、业务控制平面和业务数据平面的三平面分离,提供不间断的三层路由转发,避免了单点故障所造成的业务中断,极大地提高了虚拟系统的可靠性。
灵活性支持业务卡堆叠,可灵活配置堆叠方式。支持将虚拟集群系统的距离延伸至80KM,灵活方便,打破了传统集群技术的地域限制性。
易管理:整个虚拟系统实现单一IP统一管理,实际物理设备对用户透明,简化了对网络设备和网络拓扑的管理,大大提高了网络运营效率,从而有效降低运营维护成本。
事前感知预警
在安全运维区部署漏洞扫描系统,在高校终端上部署终端检测与响应系统,实现高校全方位的资产识别,并且针对网络设备、主机设备、应用系统等进行无损漏洞扫描。

图5 漏洞扫描功能介绍

随着网络环境越来越复杂,学校开展漏洞扫描工作需要综合考虑各种类型的脆弱性和风险点。例如,衡量一个网站的安全性,不仅要考虑网站本身,还要考虑网站所在主机的安全性。而传统漏扫产品各功能模块间相互独立,无法同时进行扫描,更无法综合评估安全风险。威努特漏洞扫描系统可同时下发多种扫描任务,并支持输出同时包含系统扫描、web扫描、基线配置核查、移动应用扫描、镜像漏洞扫描、弱口令扫描结果的综合脆弱性分析报表,方便客户整体考量安全风险态势,为决策提供有力数据支撑。
事中防护响应:
在校园网出口区及各个教学楼边界处部署第二代防火墙,通过强大的攻击回溯、防逃逸、攻击链可视化分析、攻击特征自定义、高性能IPS引擎和报文的深度还原解析技术,第二代防火墙具备从数据链路层到应用层的入侵攻击防御和已知/未知病毒实时检测拦截能力,从而有效的阻断针对网络有目的的攻击行为,全方位保护网络中的核心设施,保障学校业务系统的持续运行;

图6下一代防火墙功能总览

在DMZ区部署WEB应用防火墙,支持对HTTP协议包中各项参数,例如URL长度、Cookies长度、请求行长度以及请求头长度等进行合规性控制,通过自定义阈值与参数访问控制相结合的方式,对HTTP数据进行第一层安全控制,从最开始杜绝非法数据包传输。可有效解决当下教育行业中HTTP合规性的问题;

图7 WEB应用防火墙防护功能

在防火墙后部署上网行为管理,借助于应用识别功能,可以准确识别网络上正在运行的应用,应用流量的准确识别不但可洞悉整个网络的运行情况,而且可针对具体需求做用户行为的准确管控,这在一定程度上既可保证业务流的高效运行也可预防由于内网机器受到攻击而产生的威胁,同时识别应用类型也是应用审计与应用流量控制的基础。随着P2P应用的广泛流行和基于Web的应用的兴起,令传统的利用固定端口来区分应用类型的设备无能无力。应用识别功能把对报文的协议解析、深度内容检测以及关联分析结合起来,通过对大量实际环境中的流量的分析,总结出每种应用的流量模型,把对数据包的协议解析、深度内容检测和关系分析的结果综合起来,由决策引擎通过与流量模拟的匹配程度,智能的判定应用类型。可有效解决当下教育行业中用户上网应用识别的问题;

图8 上网行为管理的行为管理机制

事后分析取证:
在安全管理区部署日志审计系统,支持多种设备、多种协议、多种格式的日志的采集和标准化,包含7大类300多种设备日志采集,内置700多种日志解析规则,涵盖国内外主流厂商的安全设备、网络设备、中间件、数据库、主机、应用及服务日志;

图9 日志审计日志采集节点种类

持续监测分析:
在核心交换机旁部署高级威胁检测系统,将采集到的网络流量解析还原并以元数据/PCAP的形式存储,实现元数据/PCAP的高性能采集和预处理。通过系统内置的多个检测引擎进行交叉检测交叉验证,对流量中存在的网络威胁进行精确有效的定位。可有效解决当下教育行业网络流量分析问题;

图10 高级威胁检测系统攻击行为检测流程

在安全管理区部署态势感知与分析系统通过实时采集教育行业网络区域边界、网络通信和计算环境的安全告警和日志,可以实时分析学校的安全态势;通过网络安全健康指数计算方法,可以实时计算学校的网络安全健康指数,将学校的安全态势量化分析,通过将安全告警和网络拓扑中的设备资产相结合,可以实现学校整体的安全态势可视化,解决以下问题:
◎ 资产态势可视化问题
态势分析与安全运营管理平台可以自动识别出高风险的资产,通过资产存在的漏洞和关联的安全事件告警,可以计算出资产的风险评分,通过资产的合规检查,获得资产的安全配置不合规项,可以计算出资产的合规评分。另外,还有资产的可疑互联记录分析和资产的行为统计分析。可有效解决当下学校资产态势可视化的问题。

图11 资产态势感知大屏

◎ 脆弱性态势可视化问题
态势分析与安全运营管理平台可以自动识别出教育行业资产中高、中、低危漏洞的数量,漏洞级别的分布,漏洞类型的统计,漏洞的设备类型排名,漏洞的设备厂商排名,以及资产的漏洞数量排名。另外,还有资产配置核查中发现的弱点分析。可有效解决当下学校资产脆弱性态势可视化的问题。

图12 脆弱性感知大屏

◎ 安全事件态势可视化问题
态势分析与安全运营管理平台可以自动识别紧急、重要、一般的安全事件的变化趋势,获取安全事件的类型统计结果。通过对源IP的安全事件数量分析,可以迅速识别攻击的发起源头。通过对目的IP的安全事件数量分析,可以迅速识别攻击的受害者。通过对安全事件的发生数量统计分析,可以迅速识别当前网络里面的核心攻击事件。可有效解决当下教育行业安全事件态势可视化的问题。

图13 网络攻击态势感知大屏


05
方案价值

◎ 提升安全防护效果,筑牢安全防线

通过”一个中心 三重防护”的总体建设思路,该方案针对教育城域网构建安全通信网络防护、安全区域边界防护、安全计算环境防护多重防护机制,在整体上保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,提升教育城域网的整体安全防护能力和主动防御水平。

◎ 提升运维管理效率,联动闭环风险

方案落实网络安全管理工作要求,切实将日常安全工作做到位,能够帮助运维管理人员实现日常安全监测、安全巡检、安全事件分析、安全响应处置、定期进行漏洞检测、安全配置检查、安全风险评估,构建安全防护、安全监测、分析预警、响应处置的闭环体系,切实落实常态化安全运营管理工作。

◎ 杜绝不良信息传播,保障绿色上网方

案通过技术手段自动识别和过滤非法网站及信息,并严禁非法广告信息传播,杜绝不良信息隐患,保障师生绿色上网,为师生构建一个干净、整洁、和谐的教育教学网络平台环境。

◎ 满足政策法规要求,避免安全通报

方案以保障教育城域网的安全稳定运行为基本目标,重点落实网络安全防护举措,将安全运维管理工作与日常工作相结合,在满足上级监管单位政策法规要求的同时可提前发现安全风险并快速闭环处置,避免遭受上级单位的安全通报。


渠道合作咨询   田先生 15611262709
稿件合作   微信:shushu12121

威努特安全网络
提供安全、网络、云、计算一站式解决方案,服务于千行百业安全数字化转型。
 最新文章