高校信息系统安全等级保护建设实践

2019-05-22宋志

镇江高专学报 2019年2期

宋志

(福建信息职业技术学院教育技术与信息中心，福建福州 350003)

随着信息化水平的不断提升，网络安全愈发重要。CNCERT/CC(国家互联网应急响应中心)统计显示，2017年我国境内被篡改、入侵的网站超过24 000家。各级监管机构越来越重视教育行业的信息安全，教育部、公安部陆续出台了监管政策[1-2]。高校应在信息系统定级备案工作的基础上，对照国家相关标准、规范，进行信息系统安全等级测评、信息系统安全风险评估等，进而加固和完善信息系统，提高保护能力。

1 高校信息系统安全现状

目前高校信息系统主要特点：1) 信息系统数量多，定级备案工作量大，内部管理成本高。2) 校内信息系统和终端用户数量多，信息安全资金预算紧张。3) 针对学生上网行为、言论的管控难度大，舆情监控力度不足，一旦发生群体网络事件无法迅速定位和反追踪。4) 门户网站对网页防篡改要求较高，一旦被黑客篡改，发布不良信息，会造成恶劣的社会影响。部门信息系统面临学生成绩、学籍等信息数据的篡改风险[3]。

2 建设目标

以现有基础设施为基础，建设并完成满足等级保护制度要求的信息系统，确保学校信息化建设符合相关要求。1) 建立安全管理组织机构。成立信息安全工作组，拟定信息系统安全等级保护实施方案，制定岗位职责，明确安全责任人。2) 建立安全技术防护机制。3) 建立健全信息系统安全管理制度，建立操作规程和执行记录文档。4) 制定信息系统不中断的应急预案。5) 定期组织安全知识培训。

实施时，参考《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函〔2014〕74号)、《教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)、《信息安全技术信息系统安全保护等级定级指南》(GB/T 22240—2008)[4]、《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)[5]等文件。

3 建设实施

3.1 项目启动

2016年12月，福建信息职业技术学院召开专题会议，部署信息安全等级保护工作[4-5]。学校网络信息安全工作领导小组负责统筹，信息中心负责具体实施，系(部)、部门配合信息中心保质保量按时完成任务。

3.2 资产调研

系(部)、部门全面梳理已建设、使用的信息系统，信息中心统一汇总梳理，根据系统特点，有选择性地进行等级保护定级。

3.3 定级备案

学校综合考虑业务信息、系统服务类型，受到破坏时可能受到侵害的客体及受侵害的程度，结合《教育行政部门及高等院校信息系统安全等级保护定级指南》的要求，将网站群、教务学工平台、继续教育网站定为二级信息系统[6]。按照公安机关要求，信息中心配合网络安全办公室完成相关系统的保护定级工作，按照信息系统安全等级保护定级备案要求提供备案所需的材料，办理备案手续。

3.4 差距分析

如图1所示，聘请福建网络与信息通报中心技术支撑单位安全服务团队，根据输入情况，对照66个控制点、175个控制项[7]，从技术要求与管理要求出发，对信息系统及网络环境安全进行评估，开展管理用户访谈、漏洞扫描和渗透测试工作，生成《差距分析报告》[8]。

图1 差距分析

3.5 建设整改

3.5.1 网络环境整改

学校网络逻辑上划分为9个区域，即边界防护域、核心交换域、服务器群(3个)、安全运维域、首山校区终端接入域、杜园校区终端接入域、龙腰校区终端接入域，如图2所示。

在核心交换域部署1台华三(H3C S10508-V)高端交换机，带有万兆光口，实现业务数据的高性能转发。为保护信息安全，互联网出口边界防护区部署1台深信服负载均衡，具有链路的负载分担与地址转换功能，对应用系统的访问请求与访问流量进行智能分流；部署1台天融信网络入侵检测设备，具备防入侵攻击与抗DDoS功能；部署1台天融信防病毒网关，具有恶意代码检测和过滤功能；部署1台天融信上网行为管理设备，针对校园的终端接入进行行为管控及带宽细粒化分配，合理分配带宽资源，保障重要业务的带宽使用。

服务器群由华为虚拟化平台，多台应用服务器、数据库服务器构成，具有信息系统访问功能。部署天融信WEB应用防火墙，并开启相应WEB防御策略，保障服务器应用安全。部署1套网页防篡改系统，系统为软件形态，包括监控端、发布端、管理端，监控端安装在被防护网站系统上，发布端和管理端安装在独立的服务器上，监控端对网站目前进行网页的实时篡改监控，除了由发布端发起的对网站文件的修改，其余任何途径的修改都是非法的，都将被监控端阻拦。在服务器群(华为虚拟化平台)部署亚信安全服务器深度安全防护系统，具有针对虚拟机的东西向流量进行细粒化的防火墙访问控制、IPS防护、反病毒防护功能，平台支持集中管理、策略下发、日志收集等功能，支持云计算分布式部署。

部署1台深信服SSLVPN，运维人员无法直接远程访问服务器，SSLVPN拨号成功后，通过VPN访问堡垒机上的特定用户的授权资源，方能访问特定的服务器资源。

安全运维域部署1套日志审计系统，系统为软件形态，部署在安全运维域的服务器上，主要采用被动采集(SYSLOG，SNMPTRAP)的方式对网络设备、服务器、应用系统、各类安全产品所产生的日志数据进行统一采集、存储，对记录的日志数据进行统一分析与展示，并能够生成审计报表，对特定事件提供指定方式的实时告警处理，防患于未然；为管理员提供直观的日志查询、分析、展示界面；长期保存日志数据以便需要时追溯取证。部署1套数据库审计系统，系统为硬件形态，采用旁路模式部署，通过交换机镜像的方式获取网络流量，记录分析流量中与数据库相关的操作行为。部署1套网络审计系统，以旁路方式部署，用于记录内部与外部用户对网站群或其他应用系统发起的访问。部署1台堡垒机，提供运维人员的4A审计。部署1套ASEC威胁预警系统，提供APT攻击侦测与告警。

图2 福建信息职业技术学院网络结构图

3.5.2 安全策略加固整改

1) 主机层面安全加固策略[9]。从账号管理、密码策略、漏洞管理、系统服务、安全配置等所涉及的13个加固项目对主机进行安全加固。如账号管理的“检查SNMP是否修改默认通讯字符串”加固项目，检查SNMP是否开启，若未开启，则符合要求；chkconfig-list snmpd显示snmpd服务是否启动，所有运行级别下均为关闭，则符合要求；若SNMP开启，修改cat /etc/snmp/snmpd.conf文件，修改SNMP通讯字符串，不允许使用默认值。

2) 网络层面安全加固策略。从账号管理、口令策略、服务管理、设备访问控制、日志配置等所涉及的17个加固项目对网络层面进行安全加固。如在安全配置的“用户认证方式”加固项目上，启用本地或AAA认证，查看登录认证方式，如本地账户口令、认证服务器等。

3) 内网安全加固策略。从内网与互联网接口互访控制要求、内网与办公网互访控制要求、内网高风险端口控制要求、内网安全冗余性配置要求、内网日志安全审计要求等所涉及的6个加固项目对内网进行安全加固。如在“内网高风险端口控制要求”加固项目上，检查135—139，445可被病毒、木马利用的端口安全控制情况。应在内网边界配置严禁上述服务端口的开放。

4) 数据库安全加固策略。从账号管理、口令管理、补丁漏洞管理、安全配置、访问控制、日志审计等所涉及的14个加固项目对数据库进行安全加固。如在“记录操作日志”加固项目上，采用数据库审计系统记录用户操作，包括但不限于以下内容：账号创建、删除、权限修改、口令修改，读取和修改数据库配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录包含用户账号、操作时间、操作内容、操作结果等。

3.5.3 安全管理体系整改

在学校原有信息安全组织机构的基础上，重点完善和明确安全岗位职责[10]。按信息系统安全职能划分为信息安全工作小组组长、安全管理员、内容管理员、网络管理员、系统管理员和安全审计员。按照岗位职责，梳理类似“负责主机系统和应用系统的安全策略配置、日志分析、日常操作工作”等具体条款32条。

3.5.4 建设成果

通过差距分析查找系统的安全漏洞和安全隐患，规范信息系统的运维流程，建立事前预警、事中防护和事后处置机制，实现信息系统安全的可控、可管，提高整体防护水平。积累业务系统基本情况调查表、重要信息系统渗透测试安全报告、基线检查报告、定级系统的定级备案材料、定级系统差距分析报告、安全加固建议、安全规划建议、安全管理体系文档、安全测评文档、信息系统测评情况告知书、整改应答文件、项目过程文档。

3.6 测评阶段

福建省网络与信息安全测评中心[11](以下简称“测评中心”)现场测评，并发出整改通知，学校按要求整改，提供整改应答文件。随后，测评中心出具测评报告。以教务学工系统的测评结论为例。测评中心测评依据是系统定级结果，测评范围包括技术要求和管理要求，结果显示，部分评测不符合等级保护基本要求，但整体系统不存在较大的安全隐患。综合分析后认为，教务学工平台物理安全、网络安全、主机安全(OS)、主机安全(DB)、应用安全、数据安全、备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理基本符合信息系统安全等级保护第二级的要求。