高校信息化经过多年发展,建成了大量的信息系统,成为信息化管理的核心资产,也是网络安全工作重点保护的对象,但这些信息系统的网络安全现状不容乐观。
首先,高校的信息系统由各业务部门自行建设和维护,缺乏网络安全规划且开发不规范,多存在安全漏洞。
其次,高校信息系统知名度高、访问量大,存放有师生、教学、管理、科研等重要数据,很多系统面向互联网开放,是黑客攻击的重点对象。
第三,高校受教育部和地方监管,存在任务重、网络安全检查压力大的情况,而上级主管部门的工作核心都是以挖掘信息系统漏洞为重点和抓手。
最后,高校信息化部门任务重压力大,网络安全工作人员多数配备不足,部分学校网络安全工作是人员兼职,信息系统的漏洞问题得不到及时解决。
信息系统漏洞分类与危害
漏洞也称为脆弱性,是信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的可被威胁利用的缺陷,这些缺陷存在于件应用、软件模块、驱动甚至硬件设备等各个层次和环节之中。
漏洞按照危害程度分为严重、高危、中危、低危4种级别;按照漏洞被人掌握的情况,又可以分为已知漏洞、未知漏洞和0day等几种类型;CNNVD将信息安全漏洞划分为配置错误、代码问题、信息泄露、输入验证、缓冲区错误、跨站脚本、路径遍历、SQL注入等26种类型。
漏泄的危害很大,除了网络安全合规要求之外,如果被外部发现就可能被上级通报,不及时处理或处理不当,会被利用导致信息安全技术事件,影响学校声誉。
信息系统漏泄的闭环管理探索
按照漏泄处理的过程,我们把信息系统的漏洞管理分为6个环节,分别是漏洞发现、评估、对漏洞所在信息系统采取管控措施、通知整改、漏洞整改、漏洞复查和处置,称之为信息系统漏洞的闭环管理,如图1所示。
图1信息系统漏洞处理环节
6个环节都有不同的工作重点和处理细节,下面分别加以介绍。
01漏洞发现
充分利用外部力量和自行主动发现漏洞是网络安全工作重点,2019年发现的漏洞达200多个,学校漏洞主动发现占比80%左右,平均接近1/3左右的信息系统存在漏洞,网络安全隐患突出。
02漏洞评估
评估目的是保证漏泄的真实性、权威性,这个工作分为三个步骤。
首先评估真实性是指确认漏洞属于学校单位管理,并且要验证漏洞真实存在,确保不是误报,评估时尽量截图取证,后期发送整改通知时提供;
其次要评估漏洞的危害程度,量化漏洞威胁的可能性及其对业务的影响;
第三,根据漏洞危害程序决定是否上报学校领导、是否需要向上级主管部门汇报。
漏洞验证是一个费时费力、具有挑战性的工作。漏洞数量增多以后,我们召集学校里有漏洞验证能力的同学组成漏洞验证小组,建立稳定的漏洞验证队伍;有些比较复杂、难以处理的漏洞,请求网络安全能力厂商协助验证,确保发现的漏洞真实存在。
03管控措施
漏洞是网络安全管理风险之一,确认后需要采取相应的安全措施来降低或规避。学校目前对应的措施有关闭信息系统校外访问、停止域名解析、停止接入校园网等。
04通知整改
邮件通知分为邮件接收人、主题、正文、附件四个部分。
邮件主题以“网络信息安全整改通知书_XX部门_XX域名(或IP)_日期”命名,方便检索或收到回复时知道该邮件的大致信息。
邮件正文内容已固定模板,内容包括存在漏洞的信息系统域名、IP、系统管理员,漏洞名称、被采取的管控措施、整改周期等。
附件有漏洞扫描报告、渗透测试报告、漏洞截图及空白的《信息系统网络安全漏洞核查表》等。
整改完成后,被整改部门须提交《信息系统网络安全漏洞核查表》反馈材料。
05漏洞整改
对近几年整改的漏洞类型统计发现,每年排名第一都是弱口令,说明学校业务部门管理老师和系统开发厂商缺乏基本的网络安全意识;排名第二的是信息泄露,随着对个人隐私保护的重视,这个问题越来越多。
2019年漏洞类型统计,如图2所示。
图2漏洞类型统计
06复查与处置
漏洞管理也适用网络安全风险处置策略,即降低风险、转移风险、规避风险、接受风险。从以往的漏洞管理结果统计数据来看,部分老旧的网站迁移网站群,即转移风险;对无人管理、风险高的系统进行关停和注销,即规避风险。通过漏洞的闭环管理,目前学校95%以上漏洞都得到了妥善处理,信息系统的风险降低。
信息系统漏洞治理实践
制定《信息系统网络安全基线》制度
明确学校的信息系统达到最基本的防护能力安全配置基准,供系统开发、管理、运维等部门和人员参考。根据分析,多数漏洞是信息漏洞开发和管理不规范产生的,安全基线是一个信息系统的最小安全保证。
考虑实施情况和易于推广,学校的信息安全基线从操作系统、数据库、中间件、应用软件4个方面,满足最小化安装、身份鉴别、访问控制、入侵防范、安全审计、补丁升级等具体要求,与现行等保2.0的安全计算环境理念相一致。
这个基线适合信息系统规划、设计、建设、运维等各个阶段的网络安全合规配置与检查。通过制定安全基线,为一线信息化管理人员提供了安全配置的最低标准和操作指南依据,明确了管理和运维人员的管理控制任务和责任。通过安全基线管理,可以将漏洞风险管理前移。
从概率上来说,信息系统多漏洞也会多,所以控制系统信息数量也是学校漏洞治理工作的目标之一。教育部在2016年发文要求,对“自管服务器”“僵尸网站”“双非系统”进行清理和整改。依照要求,学校关闭由各部门自行管理不在学校数据中心、未采取安全防护措施的多个服务器;“僵尸网站”持续不断监控合计清理。
同济大学
网站群建设也是减少信息系统数量的措施,现已建立200个网站;已计划将由信息化办公室安排专门经费和人员配合,把符合条件的网站全部迁到网站群。同时,信息化办公室根据学校的总体要求,新系统建设须做可行论证,要通过OA申请,各部门主要负责人、信息办主管领导审批后方可建设,信息化办公室严格控制系统建设经费,控制信息系统数量。经过以上治理和管制措施,目前信息系统的数量已减至高峰时的一半以下。
制作基于等保三级标准的操作系统加固模板
同济大学2017年等保测评的7个信息系统的差距分析报告显示,主机安全测评最高的43分,最低的21分,主机安全普遍存在安全隐患。操作系统是承载应用业务的基础,修复过程中可能会导致业务中断或升级失败等多种问题,存在一定风险,是等级保护整改过程中的难点之一。
学校在等保工作中探索出使用部署安全加固模板机后再对应用业务进行迁移的方式,完成信息系统的主机安全加固,此方法得到了测评中心肯定,为等保系统顺利通过测评提供了解决方案。目前该方法推广到数据中心所有新安装的服务器,新上线系统的漏洞数量大大减少。
减少攻击面,降低被攻击的威胁
攻击面是攻击者可能利用应用程序的所有方式,不仅包括软件、操作系统、网络服务和协议,还包括域名和SSL证书。减少攻击面就是关闭或限制对网络、系统、软件、服务的访问,应用“最小权限原则”,尽可能分层防御。
首先,做好数据中心安全规划,数据中心业务按功能可分为关键基础设施、运维监控、核心虚拟化、数据库、一卡通、等保测评、托管机房等区域,不同区域通过防火墙做好边界隔离。比如数据库区域采用白名单放行,即使有漏洞,一般人和黑客也无法访问,安全风险得到降低。
其次,做好访问控制,根据业务和应用的安全级别制定相应的安全管理策略,比如运维、监控等重要业务推荐使用带外管理,专用VPN等方式,重要业务系统须通过堡垒机访问,网站后台管理须限制校内等。
第三,做好特殊端口限制访问,规定带域名的系统仅开放80、8080、443端口,没有域名的只开非Web端口;关闭了22、3389、135、139、445等容易被黑客攻击的端口。
减少攻击面是网络安全规划时需要重点考虑的内容,“零信任”安全体系提供了很好的借鉴。
内网失陷服务器主动发现
失陷服务器是指被黑客攻破、被控制的服务器,可能被盗取数据、植入黑链,当做肉鸡成为攻击内网的工具,危害很大、后患无穷。
为此,一方面开发校内搜索引擎查找暗链,定期用网页爬虫抓取存储校内的网页,用关键词进行查询,人工检验查询结果,经过几年的治理,暗链问题越来越少。
另一方面是搭建分布式蜜罐系统进行主动诱捕内网渗透的失陷主机,蜜罐作为一种主动防御工具,是防火墙、WAF、IPS等被动防御很好的补充,通过变换IP的方式,使攻击者真假难辨,让攻击者原形毕露,通过治理,内网服务器的横向移动攻击现象也逞下降趋势。
开展信息泄露漏洞的专题治理
信息泄露是近两年校外通报排名较靠前的漏洞。随着对数据安全和个人信息保护的重视,这类问题越来越多,为此,我们做了两方面工作。
首先是利用漏洞扫描工具找出存在泄露的信息,有些信息泄露在扫描报告里只是低微风险级别,确认后通报整改;
另外是利用开源的爬虫工具,抓取网站里包含rar、zip、doc、pdf等文件名结尾的URL,人工下载打开检查,找到有师生简历个人隐私的文件,以及项目科研信息、文件源码、数据备份信息等,经确认后以直接发给系统管理不通报的方式整改。
经过近两年的信息泄露专题整改,近期接收校外信息泄露漏洞的数量在减少。
借鉴安全开发生命周期(SDL)开发的框架,减少软件的漏洞数量
SDL(安全开发生命周期,SecurityDevelopmentLifecycle)是由微软提出的软件开发的安全保障流程,将网络安全考虑集成在软件开发的流程中,在信息系统开发的培训、需求分析、设计、编码、测试、发布、运维等环节,同步做好信息系统的网络安全规划和控制。
学校新建重要的业务系统,遵循SDL框架进行开发和部署,漏洞数量明显减少,安全缺陷也相对降低,信息系统安全防护能力得到提升。
通过制定网络安全基线标准、控制信息系统数量、制作安全加固模板机、信息泄露治理、减少攻击面策略、失陷主机的主动发现、实施安全开发生命周期等多种漏洞治理措施,做好信息系统漏洞的事前、事中、事后的全方位管理,从而减少信息系统的漏洞,降低校园网的安全风险,筑牢校园网络安全底线,提升网络安全管理水平。