淺析高校信息安全防護(hù)

曾君 懷化學(xué)院

“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”，隨著高校信息化建設(shè)程度的深入，網(wǎng)絡(luò)及信息安全問(wèn)題日益嚴(yán)峻，層出不窮的安全事故，讓高校信息部門(mén)疲于防護(hù)，等保制度的建立，給高校安全防護(hù)工作指明了方向，等保2.0 制度的出臺(tái)，將信息安全工作提高到了新的高度。那么，對(duì)于我們高校信息管理部門(mén)，怎么去做好安全防護(hù)工作，需要從以下方面著手。

一、建立健全安全防護(hù)管理制度

1、建立完善的安全管理制度

沒(méi)有規(guī)矩就沒(méi)有方圓，信息安全工作最終是落實(shí)到相關(guān)人員在實(shí)施，因此，建立完善的安全管理制度，是信息安全工作的基礎(chǔ)。在安全管理制度的建設(shè)中，我們需要建立和完善安全管理制度體系，健全信息安全管理機(jī)構(gòu)，明確職能部門(mén)、各級(jí)管理人員和全體信息管理人員的安全防護(hù)職責(zé)；建立安全防護(hù)管理長(zhǎng)效機(jī)制，確保信息系統(tǒng)及數(shù)據(jù)的安全；建立信息數(shù)據(jù)的保密機(jī)制，確保重要信息不被人為的泄露。

2、加強(qiáng)安全責(zé)任教育

安全防護(hù)意識(shí)淡薄，是目前出現(xiàn)信息安全事件、信息泄露的一個(gè)重要環(huán)節(jié)，如網(wǎng)站管理員的意識(shí)淡薄，將含有敏感信息的內(nèi)容發(fā)布到網(wǎng)路；通過(guò)QQ 等公共平臺(tái)傳輸敏感數(shù)據(jù)等，都是造成信息泄露的重災(zāi)區(qū)。因此加強(qiáng)全校師生的信息安全教育，提高全校師生的安全防范意識(shí)，能有效的提高信息安全防護(hù)等級(jí)。在安全責(zé)任教育中，我們需要完善安全教育培訓(xùn)制度，制定安全培訓(xùn)計(jì)劃，建立培訓(xùn)檔案，分類別、分層次開(kāi)展法律法規(guī)、安全管理規(guī)章制度、安全技術(shù)、操作規(guī)程、事故案例、應(yīng)急管理和遵章守紀(jì)等教育培訓(xùn)活動(dòng)。

二、劃分區(qū)域，分級(jí)防護(hù)

在信息系統(tǒng)的建設(shè)中，合理的劃分區(qū)域，分級(jí)防護(hù)，能有效的提高防護(hù)能力。根據(jù)信息系統(tǒng)的使用不同，可以將信息系統(tǒng)劃分為對(duì)外服務(wù)區(qū)、對(duì)內(nèi)服務(wù)區(qū)及運(yùn)維管理區(qū)等區(qū)域，針對(duì)不同的區(qū)域建立不同的防護(hù)機(jī)制。

1、對(duì)外服務(wù)區(qū)

此區(qū)域的信息系統(tǒng)為對(duì)校外即互聯(lián)網(wǎng)提供服務(wù)，此區(qū)域一般運(yùn)行的系統(tǒng)多為學(xué)校對(duì)外的服務(wù)，如網(wǎng)站，區(qū)域內(nèi)的信息系統(tǒng)面臨的安全入侵風(fēng)險(xiǎn)最大，因此需要做到最嚴(yán)的防護(hù)，此區(qū)域部署防火墻，只開(kāi)發(fā)必要的服務(wù)端口，利用WAF、入侵防御、入侵檢測(cè)等安全設(shè)備做到最嚴(yán)的安全防護(hù)。

2、對(duì)內(nèi)服務(wù)區(qū)

此區(qū)域的信息系統(tǒng)為內(nèi)部服務(wù)系統(tǒng)，只對(duì)校內(nèi)提供服務(wù)，服務(wù)對(duì)象為校內(nèi)師生，相對(duì)對(duì)外服務(wù)區(qū)，安全風(fēng)險(xiǎn)相對(duì)小很多，一般出現(xiàn)的安全事件主要來(lái)自學(xué)生的實(shí)驗(yàn)測(cè)試，可以采用防火墻設(shè)備只開(kāi)發(fā)必要的業(yè)務(wù)端口，有條件的可以上其它的安全設(shè)備。

3、運(yùn)維管理區(qū)

此區(qū)域內(nèi)運(yùn)行的業(yè)務(wù)系統(tǒng)為校內(nèi)信息管理系統(tǒng)及網(wǎng)絡(luò)的管理平臺(tái)，使用用戶為特定的管理人員，因此可以采用限制訪問(wèn)IP的防護(hù)方式，最大程度的保證安全。

三、建立合理的防護(hù)策略

當(dāng)前形勢(shì)下，校內(nèi)信息系統(tǒng)大部分為WEB 應(yīng)用系統(tǒng)，針對(duì)信息系統(tǒng)攻擊的主要手段有WEB 注入、框架漏洞、系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)本身漏洞、業(yè)務(wù)系統(tǒng)間的入侵等方式。因此，我們可以根據(jù)不同的入侵手段，建立相應(yīng)的防護(hù)策略，最大程度的保證信息系統(tǒng)的安全。

1、WEB 注入防護(hù)

針對(duì)WEB 注入入侵，目前最普遍的做法就是部署WAF 防護(hù)墻，利用安全廠商給定的規(guī)則來(lái)防護(hù)，這樣的做法，有效果，但不是最佳的方式。我們其實(shí)可以分析WEB 業(yè)務(wù)系統(tǒng)的URL，利用WAF等安全設(shè)備，自定義URL 規(guī)則。就拿網(wǎng)站群系統(tǒng)來(lái)說(shuō)，其訪問(wèn)一般分為三級(jí)，即首頁(yè)、列表頁(yè)、閱讀頁(yè)，其URL 是具有規(guī)律的，如列表頁(yè)，一般是頁(yè)面程序后帶欄目ID 及頁(yè)號(hào)兩個(gè)參數(shù)，如URL 為list.php？cid=1&p=1，我們就可以在WAF 設(shè)備中建立屬于該網(wǎng)站群的一個(gè)URL 規(guī)則list.php？cid=g0gggggg&p=g0gggggg，限定合法的URL，其它形式的URL 均阻止訪問(wèn)，即可最大程度的阻止WEB 注入入侵。當(dāng)然，如果能從信息系統(tǒng)程序本身去完善安全機(jī)制，這是最徹底的做法。

2、框架、系統(tǒng)漏洞防護(hù)

操作系統(tǒng)、信息系統(tǒng)框架，這些都會(huì)有漏洞，對(duì)于操作系統(tǒng)的漏洞，毫無(wú)疑問(wèn)，最佳的做法就是及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁。信息系統(tǒng)框架的漏洞，則是需要及時(shí)關(guān)注其官方網(wǎng)站，隨著掌握其漏洞及修補(bǔ)方法，采用最合理的方法來(lái)修復(fù)漏洞，如Nginx 曾經(jīng)出現(xiàn)的文件解析漏洞，通過(guò)官網(wǎng)的相關(guān)漏洞文檔，可以采用修改配置文件或者升級(jí)Nginx 版本的方式來(lái)修復(fù)，具體采用哪種方式，根據(jù)業(yè)務(wù)系統(tǒng)的情況來(lái)決定。

3、業(yè)務(wù)系統(tǒng)間的防護(hù)

高校的業(yè)務(wù)系統(tǒng)眾多，服務(wù)器也多，同一區(qū)域內(nèi)含有眾多的業(yè)務(wù)系統(tǒng)及服務(wù)器，服務(wù)器間一般沒(méi)有安全防護(hù)設(shè)備。在安全防護(hù)建設(shè)中，我們做的最多的是防止非法用戶入侵到業(yè)務(wù)系統(tǒng)及服務(wù)器中，但是凡事都有萬(wàn)一，一旦入侵到了某一臺(tái)服務(wù)器，將此服務(wù)器變成肉雞，那么此區(qū)域內(nèi)的其它服務(wù)器及業(yè)務(wù)系統(tǒng)就變成了透明，毫無(wú)安全可言。

但是，我們可以看到，服務(wù)器間，絕大部門(mén)情況下是不需要互相訪問(wèn)的，因此，針對(duì)業(yè)務(wù)系統(tǒng)間的防護(hù)，我們可以采用訪問(wèn)隔離的方式，即在服務(wù)器交換機(jī)中做相關(guān)配置，進(jìn)行端口隔離，禁止服務(wù)器間訪問(wèn)；對(duì)于某些一定需要互訪的服務(wù)器，采用引流的方式，將數(shù)據(jù)流引入安全設(shè)備，最大程度的保證業(yè)務(wù)系統(tǒng)間的安全。

四、敏感數(shù)據(jù)，分級(jí)防護(hù)

敏感信息的防護(hù)，是高校數(shù)據(jù)安全防護(hù)中重點(diǎn)防護(hù)對(duì)象。對(duì)高校而言，敏感信息，除了公民的個(gè)人信息外，還有如公文、檔案等信息，對(duì)于敏感信息防護(hù)，可以從以下幾方面入手：

1、限定訪問(wèn)區(qū)域，校內(nèi)業(yè)務(wù)系統(tǒng)不開(kāi)放互聯(lián)網(wǎng)訪問(wèn)，僅限校內(nèi)訪問(wèn)，通過(guò)限制訪問(wèn)范圍，最大程度的保障敏感信息的安全。

2、通過(guò)VPN 訪問(wèn)，對(duì)于一些必須要在校外訪問(wèn)的業(yè)務(wù)系統(tǒng)，由于訪問(wèn)用戶為既定群體，可以采用VPN 的方式，建立安全隧道來(lái)訪問(wèn)信息。

3、通過(guò)安全設(shè)備，限定敏感信息，可以通過(guò)在安全設(shè)備上建立策略，來(lái)限定敏感信息的流向，如對(duì)來(lái)自互聯(lián)網(wǎng)的訪問(wèn)，對(duì)敏感信息進(jìn)行過(guò)濾，讓其只能訪問(wèn)普通信息，即保障了業(yè)務(wù)系統(tǒng)的正常訪問(wèn)，又保障了敏感信息數(shù)據(jù)安全。

五、改善部署模式，提高安全機(jī)制

對(duì)于WEB應(yīng)用系統(tǒng)來(lái)說(shuō)，最安全的辦法，就是采用靜態(tài)HTML了。在高校，不法分子攻擊入侵最多的是網(wǎng)站，因此，對(duì)于網(wǎng)站，完全可以通過(guò)改善其部署模式來(lái)提高安全機(jī)制。建立發(fā)布服務(wù)與管理服務(wù)相分離的部署模式，在發(fā)布服務(wù)器上，只有靜態(tài)HTML 頁(yè)面，用戶訪問(wèn)的永遠(yuǎn)是靜態(tài)HTML 頁(yè)面；而發(fā)布服務(wù)器則在內(nèi)網(wǎng)，通過(guò)安全設(shè)備隔離，大大的提高網(wǎng)站系統(tǒng)的安全。對(duì)于不具備分離部署條件的業(yè)務(wù)系統(tǒng)則可以采用反向代理方式進(jìn)行部署，在反向代理設(shè)備上，映射的是業(yè)務(wù)系統(tǒng)的靜態(tài)HTML 頁(yè)面，業(yè)務(wù)系統(tǒng)本身則運(yùn)行于內(nèi)網(wǎng)，使得用戶無(wú)法直接訪問(wèn)業(yè)務(wù)系統(tǒng)，有效的提高了業(yè)務(wù)系統(tǒng)的安全性。

六、總結(jié)

信息安全防護(hù)任重而道遠(yuǎn)，我們要做的就是最大程度的建立安全防護(hù)機(jī)制、保障信息安全。通過(guò)制度建立、等級(jí)保護(hù)、技術(shù)保障等多方面來(lái)建立安全防護(hù)機(jī)制，有效的保護(hù)信息安全，當(dāng)然，提高信息部門(mén)自身素養(yǎng)及技術(shù)能力，也是一個(gè)重要的組成部分。本文從安全制度建設(shè)、信息系統(tǒng)業(yè)務(wù)安全、數(shù)據(jù)安全等方面，從制度及技術(shù)模式進(jìn)行思考，為當(dāng)前高校信息安全防護(hù)提供知識(shí)參考依據(jù)。