案例分享丨 树立Web应用安全六道防线

随着信息化建设的不断深入,高校在信息化发展过程中逐步形成了信息系统管理复杂、活跃用户群体大、网络环境具有极大开放性等特点,在日趋复杂和严峻的网络安全形势下,高校面临极大的安全威胁,成为网络安全事件频发的重灾区。Web应用作为校园网络服务的主要模式,其安全防护显得尤为重要。

广东轻工职业技术学院目前已形成了相对完善的智慧校园应用环境,但学校的网络安全还存在以下问题:

1.网络安全技术人力储备和经费投入保障不足,安全技术防护体系不够完善;

2.对信息系统安全等级保护工作认知不足,安全管理水平和师生意识有待提高;

3.网站和信息系统数量越来越多,技术差异性大、系统漏洞多,网络攻击频繁,面临着安全、隐私方面的威胁和合规要求问题。

如何消除安全隐患、降低安全风险、规避安全责任,构建可信、可查、可控的Web应用环境成为学校网络安全工作的关键。

广东轻工职业技术学院

针对严峻的安全形势,学校加强网络安全顶层规划和统筹管理,成立了网络安全与信息化战略领导小组,制订了相关管理制度,按照“谁主管、谁负责,谁使用、谁负责”的原则层层落实网络安全责任。

不断深化落实信息系统等级保护工作,完善网络安全防护、监测、通报、联动机制,对所有运行的信息系统进行定级,并完成16个二级信息系统的备案、测评和整改。

校园网络安全拓扑

每年定期对师生进行网络安全教育,重点加强安全技术防护保障(安全拓扑如上图所示),并购买了漏洞扫描、安全监测、应急演练与安全事件处理等相关的安全服务,初步形成了安全技术防护体系。其中,Web应用的安全技术保障主要从以下六个方面着手。

下一代防火墙

降低数据中心安全风险

在互联网出口和数据中心部署高性能下一代防火墙,同时应对来自校外和校内的应用层威胁。防火墙通过深入洞察网络流量中的用户、应用和内容,基于行为分析技术,帮助发现未知网络威胁,并能在攻击的全过程提供防护和检测,有效抵御APT、DDoS、变种恶意软件攻击,全面降低网络风险。

在出口防火墙开启病毒过滤、攻击防护、入侵防护等安全模块,同时根据最小开放原则,只开放必要的服务器及端口,以降低被攻击、被入侵的风险,提高校园网络的安全性。

随机查看一天的运行日志,出口防火墙成功拦截攻击高风险23个、中风险232个、低风险167个,其中高风险主要为Web攻击、网络钓鱼和木马;数据中心防火墙开启类似的安全策略,拦截来自内部的404个高风险攻击,主要为Web攻击及密码攻击。

WAF+SSL证书

提升Web应用安全

在数据中心防火墙后串接WAF设备,对Web应用层的注入攻击、cookies,以及网络欺骗攻击、XSS攻击、目录遍历、DDoS等主流攻击进行阻断。

WAF按照最小开放原则,仅开放网上服务大厅、网站群、网络学习平台、OA和邮件等已经通过备案的二级系统,并在不同时期采用不用的开放策略,在特殊防护期仅在白天开放,有评审要求的相关网站限期开放。

通过WAF防护有效抵御网络攻击、防止系统被篡改、入侵、数据泄露等安全事件的发生,切实提高了数据中心Web应用信息安全防护水平与管控能力。

为了提升Web应用访问安全性,学校引入了*.gdqy.edu.cn域名OV机构验证型证书,并首先在二级信息系统或必须开放校外访问的系统上进行部署。

OV SSL证书可证实用户身份,通过浏览器内置安全机制,可防止钓鱼欺诈仿冒,提高Web应用可信度。

安装SSL证书后,使用HTTPS加密协议访问网站,可激活客户端浏览器到网站服务器之间的SSL加密通道,实现高强度双向加密传输,防止传输数据被泄露或篡改。

VPN+堡垒机

提供内网资源安全访问通道

对于未对外开放的Web应用,通过VPN系统为身处校外的用户访问内网资源提供安全访问通道,降低直接将内部Web应用暴露在互联网上的风险。

VPN系统远程接入采用严谨的认证方式,高强度的加密模式,细致的权限分配和访问记录,为学校的内部业务系统提供PC端和移动端的安全接入,实现对业务系统访问过程的全面护航,保证业务系统畅通无阻的同时规避网络安全风险,提高远程访问内部业务系统的安全性。

目前已将教务管理、科研管理、财务管理、人力资源、项目化平台、智慧党建等校内大部分系统加入VPN系统资源,并分多种角色授权提供校外访问。

同时,为了方便运维人员访问主机系统,数据中心搭建了堡垒机,校外技术人员可以访问授权的主机,进行相应信息系统安装、调试和系统升级等操作,并全程记录操作过程,降低了远程运维的安全风险。

云安全防护系统

加强Web服务器安全管理

学校数据中心服务器通过虚拟化技术搭建私有云环境,按需为Web应用提供弹性资源调度,通过云安全防护对这些虚拟化主机、云桌面、服务器虚拟机进行统一安装防护和管理,如下图所示。

数据中心云安全架构

主要实现虚拟机的病毒和安全策略的管控,提供无代理的病毒查杀,IDS/IPS、网络应用程序保护、应用程序控管、完整性监控及防火墙保护,透明化地加强安全策略。

对数据中心虚拟化平台提供无代理的安全防护措施,只需要部署一个轻量级组件在服务器及被保护的虚拟机器上,就能有效协助执行数据中心内部的安全策略,包括Windows及Linux系统防病毒、网络应用程序保护、应用程序管控等。

其中防病毒效果最为显著,虚拟机无需安装任何杀毒软件就能对病毒、间谍软件、木马等威胁进行查杀,虚拟机上并发的全盘扫描、病毒库更新,也不会对虚拟服务器产生大量的资源消耗。

网站群系统

实现网站的统一建设与管理

搭建网站群系统,将二级学院和职能部门网站进行逐步迁移,各类专题网站也强制要求建立在网站群上。

同时,对早期开发的全部独立精品课程网站进行统一的安全整改,迁移到学校网络学习平台上,各类评审网站也要求建立在网站群或网络学习平台上。

学校每年定期对各类网站进行清查和备案,重新签订网络安全责任书,对长期不更新、不维护的网站关闭访问,对网站的开办和下线全生命周期流程通过OA进行规范管理。

经过5年的持续整改,基本清除了孤立小网站和双非、僵尸网站,极大提高了网站的安全性。

数据备份与恢复系统

保护Web应用数据

数据是高校的核心资产,数据备份与恢复系统的建设和完善,有利于保障数据的安全使用、运行和维护,是确保信息系统高效、可靠、连续稳定运行的重要保证,是信息系统安全等级保护的要求,也是保障网络信息安全的最后一道防线。

学校建立了统一的数据备份与恢复系统,对运行在两校区数据中心的重要信息系统进行分级备份,通过备份策略,在规定的时间点自动进行备份,不仅对各类数据库进行备份,也对文件和系统进行备份,备份系统同时挂载了两校区的存储,从而实现数据的异地灾备。

数据库采用每日增量备份、每周全量备份、备份数据保存2个月的备份策略,文件和系统则根据具体恢复要求定义个性化的备份策略。网络信息安全员每天通过备份控制中心实时监控备份策略执行情况、备份进度、备份空间情况等,系统同时设置主动提醒功能将异常备份日志发送给相关人员。

网络安全不仅是技术问题,更是管理问题,等级保护不仅是合规问题,更是合法问题。绝对的安全并不存在,网络安全工作永远在路上。通过网络信息安全的规划和持续建设,学校Web应用安全技术保障能力大大提高,并形成了网络安全事件应急联动机制。

下一步学校将继续以信息系统等级保护工作为抓手,不断提升信息资产管理水平和网络安全防护能力,构建具有防护措施、实时监测、态势感知、响应和恢复能力的立体动态安全防护体系。

作者:袁先珍、刘泽华、董兆殷(广东轻工职业技术学院信息化建设中心)

(0)

相关推荐

  • 春节等节假日期间,如何做好DDOS防护等网络安全保障措施

    每逢重大节假日,都是黑客们进行攻击的活跃时刻,DDOS防护也面临挑战.各种DDoS攻击.数据泄露甚至是恶意软件或僵尸网络攻击,每年都会在这节假日期间频繁爆发,企业经常因为这些在节假日期间发动的攻击而蒙 ...

  • 勒索病毒全球肆虐,为什么有些企业很容易“中招”?

    随着<数据安全法>的正式出台,让更多人.更多企业对于数据安全防御的意识得以进一步的重视. 然而,数据安全已经不是某一个地区.某一个国家的重要事情,而是一个全球性的话题.特别是勒索病毒全球肆 ...

  • 有备无患,夯实安全——校园安全等级保护2.0解决方案

    随着<网络安全法>的颁布,网络空间已经成为继"海.陆.空.天"之后的第5个国家主权领域.同时网络安全法确定了国家实行"网络安全等级保护制度"以保障国 ...

  • 某企业运营(集团)有限公司信息化建设规划方案

    目录1.     单位信息化建设现状分析1.1      网络性能风险1.2      管理功能风险1.3      网络安全风险1.4      数据安全风险1.5      访问身份识别风险1.6 ...

  • 防火墙新国标

    2020年11月1日,由国家市场监督管理总局联合国家标准化管理委员会共同制定的<信息安全技术防火墙安全技术要求和测试评价方法>(以下简称防火墙新国标)正式实施. 新版防火墙国家标准创新性地 ...

  • 北京交通大学网络安全方针和策略

    第一章  总则 第一条  为贯彻国家总体安全观,落实国家对网络安全的相关规定和要求,指导和规范北京交通大学信息系统建设.使用.维护和管理,提高信息系统的技术保障能力,防范和控制系统故障和风险,确保学校 ...

  • 案例分享丨线上一站式填报平台

    近年来,随着云计算.大数据.人工智能等新一代信息技术的不断成熟,高校信息化飞速发展,各类信息系统已然成为高校管理工作中不可或缺的支撑平台. 与此同时,数据价值得到充分认识,数据治理的作用也日益凸显.因 ...

  • 案例分享丨数字认证技术应用实践

    基于数字认证技术的可信电子单证服务提升了高校教务等管理部门的办事效率和治理水平,也为企业等用人单位.国内外高校提供了更加快捷.安全的服务. 目前在学生服务中,大多数高校以线下窗口.自助打印机等形式提供 ...

  • 案例分享丨疫情大数据平台的设计

    南航疫情大数据平台采用敏捷开发模型.协同开发模式,在微服务架构的支持下,多项开发工作并行开展.通过正确的技术选型.合理的模块划分,最大程度发挥微服务优势. 2020年初新冠肺炎(COVID-19)疫情 ...

  • 设计案例分享丨美式风格:诠释奢华的美感,太招人眼球啦

    ▲平面图 ▲平面布置图 ▲客厅 ▲沙发墙 ▲茶几 ▲茶几 ▲懒人沙发椅 ▲客厅 ▲横厅 ▲主卧室 ▲客厅 ▲餐厅 ▲地台窗 ▲餐椅 ▲厨房 ▲浴室柜 ▲黄色懒人沙发椅 [图源网络,侵权联删]

  • 案例分享丨因公出国管理流程再造

    教育部决定自2020年1月1日起授予包括北京交通大学在内的多所高校一定的外事审批权,学校可自行审批除党委书记和校长以外的本校人员因公临时出国和邀请外国相应人员来华事项. 教育部要求授权高校制定新的规章 ...

  • 案例分享丨电子签章如何推进高校“一网通办”?

    签名盖章是办事流程必不可少的环节,也是确保流程审批合规性和权威性的主要手段. 线下办事,一般采用纸质文档走审批流程,各流程节点需要相关人员进行手工签名或盖章. 当办事"无纸化"线上 ...

  • 案例分享丨一站式智能教学平台设计思路

    人工智能带领人类走向智能社会,其所带来的社会变革必然推动教育领域的根本转变,促使教育模式向智能化.精准化的方向发展.美国斯坦福大学人工智能研究中心N.J.尼尔逊教授定义人工智能为"关于知识的 ...

  • 案例分享丨在线考试系统规划与实践

    2020年春季学期,注定是一个多年后依然让教师们刻骨铭心的学期,新冠疫情对这一时段的教学产生了巨大影响. 广东工业大学积极响应教育部提出的"停课不停学"的要求,利用自建的蕴瑜课堂等 ...

  • 案例分享丨基于校园无线网的实时人员感知

    校园内人员感知是智慧校园的基础服务.如果在校园内能够做到精确.实时的人员流动和聚集感知,就可以为校内用户提供高质量.定制化的应用,同时也可以更高效地管理校园,防控可能存在的安全风险.特别是在新冠疫情期 ...