南京理工大学:以应用视角实施系统安全策略 | 网络安全

当前,信息技术发展突飞猛进,网络与信息安全问题也日益突出,可以说网络信息安全是信息化建设与发展的重要保障,需要我们与信息化建设同规划、同部署、同检查。为此,结合南京理工大学实际情况,学校从管理入手,构建全校网络与信息安全工作体系,制订相关安全管理规章制度;优化校园网安全技术防护体系,完善数据安全策略,制订安全应急预案,建立安全应急机制,切实加大安全相关工作力度,保障学校信息化工作的健康发展。

  

网络信息安全管理体系

南京理工大学高度重视网络信息安全工作,为此建立和完善了三级安全责任体系,如图1所示:以书记、校长为双组长的网络安全与信息化工作领导小组为领导与决策层,下设分管信息化工作校领导任组长的网络安全与信息化协调组;信息化建设与管理处负责统筹全校的网络信息安全管理与建设工作;学校各二级部门严格落实网络与信息安全责任制,主要责任人为安全第一责任人,并明确网络信息安全分管领导,设立网络信息管理员,统筹管理本单位的网络信息安全工作,责任到人、突出重点、自主防护、保障安全。

图1 南京理工大学网络信息安全管理体系

与此同时,我们制订了一系列的安全相关管理规定作为配套措施。根据《中华人民共和国网络安全法》,遵循“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,我们制订了《南京理工大学网络信息安全管理办法(暂行)》并颁发执行。该办法包含组织架构、系统安全、数据安全、内容安全、队伍建设、经费保障及应急响应等方面内容,全面规范了学校网络信息安全工作,确保了安全工作的有序开展。

同时,为加强数据资产的统一管理和质量管控,建立有效的数据共享、管理与保障体系,有效发挥数据在教学、科研和管理中的重要作用,我们制订了《南京理工大学数据资产管理办法(暂行)》。通过对信息系统数据的采集、录入、运维、存储、归档、应用等过程,以及数据标准、接口标准、数据安全策略和实施数据审核的管理,达到统一数据语言、保障数据准确、防止非法篡改和伪造、建立数据备份和恢复机制、预防信息泄漏、提供优质高效数据服务的目的。  

信息系统安全策略

学校建有信息系统安全监控系统,实现主动关注、实时监控、提前告警、预先管控。该监控系统采用主动预警架构,关注操作系统及其以上部分,侧重应用视角。主动预警层面,可实现7×24小时的可用性监测,精准定位故障原因;同时,基于采集配置信息(如应用的开发框架、运行环境等)的安全监测,可快速、精确定位受影响应用,如图2所示。

图2 系统安全主动预警架构

系统安全防护是基于应用可用性视角来设计的,如图3所示。其特点有:1.应用视角建立应用运行所需要操作系统、数据库、API等必要IT资产或服务之间的关联;2.基于已建立的关联+预警模型将监测所采集的数据进行关联分析,实现故障的提前预警与精准定位;3.通过对日志进行实时监测,可以真正做到事件提前预警,事件原因的精准定位。

图3 基于应用可用性视角监控

目前,系统层面的监测涉及到的数据包括:1.配置信息:操作系统版本、操作系统开放的端口、操作系统运行的组件、应用的开发框架等;2.资源消耗:CPU利用率、内存利用率、归档大小、磁盘利用率、连接数、线程数据等:3.运行日志:oraclealert日志、weblogic/websphere/tomcat运行日志、操作系统运行日志等。

同时,我们整合相关资源和力量,结合实际情况,建立了学校的安全监测与预警机制,如图4所示。科学的安全监测与预警机制有以下三个要求:具有安全监控工具;第一时间获取外部的安全信息;清晰的校内应用的配置信息,如使用的jdk版本、用的什么框架、应用的操作系统版本等。

图4 安全监测与预警机制架构

网络安全技术架构

经过多年的建设,南京理工大学的网络安全防护也在不断进行优化,目前已形成一套系统的网络安全防护技术体系,其中数据中心区域的安全防护是重中之重。数据中心区域包含主数据平台、信息门户、虚拟化平台、一卡通、图书馆、教务处、财务处等多个不同类别的应用系统,原来都在一个安全域内,容易互相干扰,安全隐患较大。为此,我们将数据中心安全域进行了优化,按功能将不同类别的应用系统细分为若干子安全域,如图5所示。

图5 数据中心安全域细分表

各安全域之间在功能上相对独立,在IP地址规划上分开,这个方便设置安全控制策略,可最大限度减少互相之间的干扰,有效减少了安全隐患。同时,也规划了一些虚地址段提供数据中心使用,主要用于数据中心内部数据交互(例如数据库服务器等),能够有效避免受到外部攻击,保障系统安全和数据安全。

在安全域优化细分的基础上,我们对数据中心原有的安全技术架构进行了优化,建立了全新的数据中心安全防护技术体系,如图6所示。

图6 数据中心安全技术防护体系架构

新的数据中心安全架构将各子安全域都保护起来,做到了安全防护的全面优化:

1.在智慧理工应用、虚拟化平台等重要子安全域,配以防火墙、IDP、WAF等全套安全防护设备,以确保这些重要应用系统的安全;

2.对于一些安全级别要求不高的子安全域,考虑到性价比等因素,目前仅部署防火墙进行安全防护;

3.设置一个流量清洗区,对于应用系统中某些需要额外进行安全防护的,可以通过策略路由或代理等方式,将相关流量引流到流量清洗区,由其安全设备进行安全防护;

4.另设有一个安全管理区,用于放置安全漏洞扫描、VPN、堡垒机、应用交付等安全设备,支撑对全局的安全管理或应用;

5.各安全域根据应用需求分别设置多种安全策略,如端口策略、ACL策略、漏扫策略、认证策略等。  

网络安全管理与应急

在网络安全管理上,经过长期积累,我们在实践中逐步总结出了一套安全管理工作模式。我们利用漏扫设备,定期对全校的网站及业务系统进行安全漏洞扫描,生成安全态势分析报告,发现问题的,则下发相关单位并要求限期整改(进行补丁升级及安全加固等),达不到整改要求的,则要求限期关停;一旦发生网络安全事件,则立即启动网络安全事件应急响应流程,确保第一时间处理问题,把损失或影响降到最低。

网络安全事件的应急响应流程,如图7所示。

图7 网络安全事件应急响应流程

1.信息化处接到安全事件的通报后,通过沟通协调,结合技术手段,获取事件截图等相关证据;

2.信息化处核实事件类别,发起处理流程;

3.若事件为紧急事件,信息化处第一时间向分管信息化工作的校领导汇报,同时通报责任单位相关情况及事件证据,并关闭相关网站或信息系统的访问权限,以降低不良影响。若事件为普通事件,则此环节略过;

4.信息化处指导分析事件原因,并提供整改建议;

5.责任单位对网站或信息系统进行安全修复,并提交整改报告;

6.信息化处对修复后的网站或信息系统进行安全复查,复查通过后恢复其访问权限。

网络信息安全只有起点,没有终点。在安全问题上我们一是要高度重视,二是加强管理和宣传,增强安全意识,完善安全规范,贯彻安全操作规程;三是加强技术防护;四是加强安全人才队伍建设,发挥学校网络安全相关的教师和学生力量;五是加强与外部安全公司合作,增强学校的防护力量和水平,最终构建完整的学校安全防护体系。

作者:涂庆华 李华 峰束 乾倩 高静

(0)

相关推荐