案例分享丨高校網絡安全體系規劃與實踐

*來源：中國教育網絡（ID：cernet）

近年來，隨著全球網際網路技術的快速發展，高校信息化程度達到了前所未有的水平，其影響已經滲透到教育教學、科研管理和校園工作生活的方方面面。在網際網路徹底顛覆師生工作生活方式的同時，網絡信息安全問題日益凸顯，逐漸成為制約高校信息化發展的掣肘。

網信辦作為學校網絡安全與信息化建設管理部門，保障網絡信息安全責無旁貸。本文以南開大學為例，結合學校信息化建設實際情況，以及在網絡安全管理工作中遇到的各種困難，從全局視角出發，對學校網絡安全體系進行整體規劃，並通過分步實施實踐，不斷提高網絡安全防護水平，取得了一定的成效。

信息化建設基本情況

1、現狀

在基礎設施建設方面，學校校園網出口鏈路共有4條，IPv4總帶寬18G，IPv6以10Gbps的鏈路接入了CERNET2；校園網累計用戶數量超過5萬；數據中心物理伺服器427臺，物理內存105T，存儲容量合計456T，虛擬機數量783臺。

在網站和信息系統建設方面，學校現有各類網站共計467個，其中253個輔助科研/教學/辦公的業務系統，214個院系部處的宣傳類主頁。在網絡安全測評方面，已備案測評5個等保三級信息系統，11個等保二級信息系統，1個關鍵基礎設施。

2、困難

自2012年網信辦負責學校網絡安全管理工作以來，陸陸續續遇到了很多困難和挑戰，主要包括：

1.基礎網絡資產自查不清。起初根本不清楚學校共有多少個網站和業務系統，是使用什麼技術製作的，用途是什麼，負責人和管理員是誰等。

2.網站和信息系統建設分散，有很多主機存放在各個院系部處自己的機房甚至辦公室，很多都沒有部署必要的安全防護。

3.技術管理人員短缺，技術水平參差不齊。學校各部門負責網絡安全管理的人員基本都是兼職管理，除此之外還有很多工作，對網絡安全管理工作大多是被動應對狀態。

4.部門網絡安全意識淡薄，對網絡安全管理配合度不高。網絡安全管理工作需要各部門積極配合，缺少共同努力根本無法達到好的效果。

5.黑客攻擊專業化水平越來越高，隱蔽性越來越強，目的性也越來越清晰，造成的危害越來越大。

網絡安全體系規劃

全球網絡安全形勢日益嚴峻，面對諸多困難，為做好網絡安全管理工作，南開大學結合自身信息化發展情況，著眼於網絡安全體系建設規劃，充分考慮未來發展，以全局視角，對學校網絡安全體系進行整體規劃設計，詳細情況如下。

1、整體架構

南開大學網站數量多，建設情況複雜，為解決上文提到的諸多困難，學校從組織人員、安全管理、技術保障三個方面出發，制定《南開大學網站建設與管理規定》，並以之作為學校網絡安全管理依據，在遵守《網絡安全法》要求，滿足等保測評和關鍵基礎設施測評的前提下：

通過網絡安全管理平臺實現對學校網站和業務系統的登記備案等信息管理；

通過網絡安全運維平臺實現安全檢測、風險識別、響應處置、業務恢復、攻擊預警、對抗反制，將網絡安全管理工作落實做細，從而對校園網實施全面防護，確保網絡安全。

圖1為南開大學網絡安全體系框架示意圖。

2、組織機構及人員組成

南開大學網絡安全和信息化領導小組是學校網絡安全的最高領導機構，主要職責是：

學習貫徹落實中央和教育部、天津市委網絡安全和信息化領導小組的重要戰略、決策、規劃、部署和要求，統籌協調、組織領導學校網絡安全和信息化工作；

研究制定學校網絡安全和信息化發展規劃；

組織協調學校網絡意識形態安全和網絡陣地建設及管理，並對相關工作落實情況進行監督檢查；

研究解決涉及網絡安全和信息化建設的重大問題。

南開大學

南開大學網絡安全和信息化領導小組辦公室是南開大學網絡安全和信息化領導小組的常設辦事機構，辦公室設在黨委宣傳部，負責處理領導小組日常工作，黨委網信辦協同開展工作。

宣傳部主要負責組織協調開展涉及學校網絡陣地管理、網絡思政教育、網絡文化建設等重大問題研究，推進校園網絡文化建設，加強網際網路思想政治工作載體建設，積極探索加強校園網絡文化建設的體制機制，創新開展網絡文化宣傳平臺陣地建設，協調組織開展校園優秀網絡產品的創作和傳播。

網信辦主要負責協調起草學校網絡安全和信息化建設總體規劃、方案和管理制度，協調推動學校信息化建設項目的實施；協調推進學校網絡安全保障體系建設，協調推進各學院、單位和部門網絡安全保障和信息化工作；協調推進學校網絡運行安全，加強學校網絡相關設備設施建設、確保網絡環境和接入服務安全、網站和信息系統的穩定運行；加強學校網絡數據、用戶信息的安全防護等。

網信辦網絡安全科具體負責網絡安全管理工作，各部門有分管網絡信息安全工作的領導和信息聯絡員，由以上人員組建了一支專兼職的南開網絡安全和信息化工作隊伍，目前規模已經超過200人。除此之外，還有負責具體技術工作的第三方運維公司人員。

在相互協作方面，網信辦接收上級對學校網絡安全工作的各項要求和安全風險通報，並將通知要求和風險通報轉發各相關部門信息聯絡員，各部門協調技術運維具體處置並將結果反饋給網信辦，網信辦再上報主管部門。

3、網絡安全管理

網絡安全管理是網絡安全體系的核心部分，體現在學校網絡安全運營的各個環節，主要由閉環管理、差異管理、最小化開放原則組成。

1.閉環管理。閉環管理指的是對被管理對象的閉環管理，我們以網站和信息系統的全生命周期作為一個閉環進行管理。從網站建設之初的安全準入評估到日常的安全運維，再到網站的歸檔退出。

安全準入是指在建設網站時要進行登記註冊，記錄必要的信息，如網站名稱、域名、所屬部門、用途、技術架構、負責人及聯繫方式、聯絡人及聯繫方式。網站建設完成後，在正式上線前要接受安全評估，在達到合規標準後才可以上線。

日常檢查是指學校對登記入網的網站都會進行定期或不定期的安全評估，安全評估符合標準的網站保持狀態不變，出現安全問題的網站要進行封禁修復，直到修復完成安全符合標準後方可解除封禁。

年審退出是指學校每年都會對網站和業務系統進行年度審查，審查內容包括網站基本信息是否更新，網站安全是否合規。對於正常的網站，更新基本信息後即可完成。對於不再使用，且無人管理的網站，便可對其進行歸檔退出處理，從而避免產生「殭屍網站」。

2.差異管理。差異管理是應對複雜網絡環境的最有效的管理方式。學校主要有三種差異化管理方式，分別針對網絡邊界、業務分類分級、一區一策。

網絡邊界策略管理。將學校網絡劃分為三個區域，分別是數據中心內部網絡、校園網、網際網路。三個區域形成兩個邊界，安全防護級別由高到低，邊界策略區別設置。

業務分類分級管理。根據用途將網站和業務系統劃分為用做宣傳的宣傳類網站和輔助科研/教學/辦公的業務系統。宣傳類網站內容展示的是完全可以公開的信息，業務系統處理的內容較多是不可公開的信息。

為最大限度確保網站安全和用戶的便捷性，我們使用網站群平臺承載宣傳類網站，面向網際網路開放；一般將業務系統默認限制在校內訪問，用戶在校外可通過VPN訪問，這樣既可滿足師生用戶的科研辦公需求，也可最大限度避免系統受到安全威脅。

一區一策，區域施策。大多數網站和業務系統都部署在學校數據中心，有安全防護設備的保護，但還有小部分網站和業務系統分別在各自部門，缺乏安全防護。對這部分網站的訪問，我們採用引流的方式，先將流量引導到數據中心，經過安全設備防護後再到目標網站，從而降低安全威脅，確保目標網站安全。

最小化開放原則。最小化原則是指從用戶的基本需求出發，在最小範圍內滿足用戶對網站的管理和使用需求。

白名單。採用最嚴格的訪問控制策略，默認關閉外網對所有校內IP的訪問，只有經過註冊，審核通過，安全檢查合規的地址方可進入白名單，對外提供相關服務。

開放範圍控制。有兩層含義，一方面指在管控IP位址的前提下進一步管控IP所開放埠的範圍，只開放需要用到的埠；另一方面指對IP位址開放對象的管控，只開放給需要開放的最小範圍。

VPN。對於存儲大量內部信息的業務系統，默認只允許校內訪問，師生用戶從校外訪問可以通過VPN進行訪問，這樣可以在不影響用戶使用的前提下最大限度保障業務系統數據安全。

統一身份認證。南開大學統一身份認證平臺支持授權管理，管理員可以通過認證平臺對用戶、用戶組能否訪問目標系統進行權限控制，只允許授權用戶訪問目標系統。

南開大學統一身份認證權限配置應用

4、網絡安全技術保障

目前，在網絡環境中科學合理地部署安全防護設備仍是最直接有效的網絡安全防護手段。圖2是南開大學網絡安全技術防護體系示意圖。

圖2 南開大學網絡安全技術防護體系

1.技術防護體系。根據安全事件發生的時間前後，可以將安全防護技術做一下分類，分別是事前技術防範、事中技術防護、事後技術恢復溯源。

事前技術防範。一方面科學合理地部署安全防護設備，並下發相應的安全防護策略，做好安全防護準備；另一方面進行主動安全評估，定期不定期地對網站進行安全檢測，發現安全漏洞後及時修復。

事中技術防護。一方面使用WAF、IPS、動態應用防護等安全設備對攻擊進行實時防護；另一方面應變響應，根據攻擊方發起的攻擊方式隨時調整安全防護策略以達到最好的防護效果。

事後技術恢復溯源。一方面使用備份第一時間將被攻擊網站業務恢復，儘量減少服務中斷時間；另一方面通過日誌或安全審計設備查找具體漏洞和攻擊者來源，及時做出相應保護措施。

2.關鍵技術保障。面對黑客日益專業和層出不窮的攻擊手段，僅憑几臺安全防護設備簡單堆疊已經很難確保目標主機的安全。為進一步提升安全防護水平，提高黑客入侵的門檻，我們採用了如下關鍵技術保障措施。

異構特徵庫。傳統的安全防護設備（如IPS、WAF）和安全評估設備都是基於特徵庫進行安全威脅檢測的，主要優點是技術成熟。其安全防護能力主要依賴於特徵庫。

因此，對關鍵安全設備進行異構部署，可增加特徵庫種類、特徵值數量，減小更新特徵庫間隔，保證其時效性，從而提高威脅檢測能力和安全防護水平。

行為動態安全檢測。傳統基於特徵庫的安全防護設備對APT等高級安全威脅防護能力較弱，專業的黑客還是很容易繞過特徵庫進行攻擊。

為解決這一問題，我們引入基於流量基線學習和模型訓練的安全防護設備，可發現Web滲透控制，工具植入等黑客攻擊行為，以及蠕蟲傳播、資產外聯、DGA域名通信等異常資產行為，用於彌補傳統安防設備的不足。

威脅情報。網絡威脅情報是記載網絡上現有的或者曾經存在的安全威脅的一種信息。利用網絡威脅情報，可以幫助我們快速判斷網絡威脅，實現網絡安全態勢感知，並（預先）做出對網絡威脅的主動防護。

基於攻擊模型的風險定位。網絡攻擊通常有多個階段，攻擊者逐階段地獲得了更多特權、信息和資源，以在目標系統內更深入地滲透。

對網絡攻擊進行防禦需要首先對攻擊進行適當的建模。使用攻擊模型可以識別攻擊的當前狀態及推斷其可能的未來狀態。基於攻擊模型我們可以對發生的安全風險進行準確的定位，輔助我們快速找到風險，處理安全威脅。圖3是網絡攻擊模型風險定位示意圖。

圖3 網絡攻擊模型風險定位示意管理平臺實踐

工欲善其事，必先利其器。要把網絡安全管理工作做好，離不開管理與技術相結合的安全平臺的支撐。學校基於「資產精準定位，威脅及時發現，平臺快速聯動，處置結果驗證」的核心思路，建立主動安全管理體系，將技術平臺與管理制度融合，打造成體系的校園網絡安全綜合管理平臺，包括安全管理平臺和安全運維平臺。

1、安全管理平臺

南開大學信息系統安全管理平臺對全校網絡資產進行備案，以信息系統資產生命周期為核心，設定嚴格的準入、監控、防護、準出流程，與學校出口防火牆、安全漏掃設備、反向代理設備關聯，並以此為抓手，用自動化方式實現對網絡資產的快速技術處置與流程處置，大幅提高管理員的工作效率。圖4是南開大學信息系統安全管理平臺截圖。

圖4 南開大學信息系統安全管理平臺

2、安全運維平臺

圖5為南開大學網絡安全威脅發現與運營管理平臺截圖。該平臺是基於學校IT基礎數據，通過構建安全分析模型，對網絡安全情況進行分析、發現和感知預測的平臺。

圖5 南開大學網絡安全威脅發現與運營管理平臺系統截圖

它綜合採集網絡流量數據及安全設備、網絡服務日誌數據，並將不同來源、格式、特性的數據集中存儲；然後基於機器學習模型與算法服務，把系統當前和過去遇到的安全威脅進行關聯回溯和大數據分析，感知基礎網絡安全與信息系統安全，生成網絡安全預警，並將安全威脅以攻擊模型風險定位的方式呈現給管理員，給網絡安全管理員提供了極大便利。

圖6是網絡安全威脅發現與運營管理平臺攻擊模型風險定位截圖，紅圈內的數字表示當前攻擊階段的安全事件數。

圖6 南開大學網絡安全威脅發現與運營管理平臺攻擊模型風險定位系統截圖

隨著學校網絡安全管理架構的調整和網絡安全設備的部署及對相應安全策略的優化，學校網絡整體安全防護水平大幅提升。

從「十三五」期間學校網絡安全的統計數據來看，漏洞類型有比較明顯的變化，傳統OSWAP TOP 10漏洞（如SQL注入、跨站腳本攻擊、遠程命令執行等）逐漸減少，與安全意識相關的漏洞（如弱密碼、信息洩露等）已成為當前被爆漏洞的主要類型。

這個現象表明學校網絡安全技術防護方面已取得一定成效，也暴露出師生個人用戶網絡安全意識方面還有欠缺。網絡安全工作任重道遠，一個學校的整體網絡安全水平與每個網絡活動參與者息息相關，「網絡安全為人民，網絡安全靠人民」。未來，我們將進一步加強網絡安全宣傳、加強對全校師生的網絡安全教育培訓，提升學校網絡安全的整體水平。

作者：劉振昌、張四海、曲申、楊陽、謝媛（南開大學黨委網絡安全和信息化辦公室）

本文轉載自微信公眾號「中國教育網絡」。文章為作者獨立觀點，不代表芥末堆立場，轉載請聯繫原作者。

1、本文是

芥末堆網

轉載文章，原文：

中國教育網絡；

2、芥末堆不接受通過公關費、車馬費等任何形式發布失實文章，只呈現有價值的內容給讀者；

3、如果你也從事教育，並希望被芥末堆報導，請您

填寫信息

告訴我們。

來源： 中國教育網絡

推廣： 芥末堆商務合作：010-5726 9867