当前,信息技术发展突飞猛进,网络与信息安全问题也日益突出,可以说网络信息安全是信息化建设与发展的重要保障,需要我们与信息化建设同规划、同部署、同检查。为此,结合南京理工大学实际情况,学校从管理入手,构建全校网络与信息安全工作体系,制订相关安全管理规章制度;优化校园网安全技术防护体系,完善数据安全策略,制订安全应急预案,建立安全应急机制,切实加大安全相关工作力度,保障学校信息化工作的健康发展。
网络信息安全管理体系
南京理工大学高度重视网络信息安全工作,为此建立和完善了三级安全责任体系,如图1所示:以书记、校长为双组长的网络安全与信息化工作领导小组为领导与决策层,下设分管信息化工作校领导任组长的网络安全与信息化协调组;信息化建设与管理处负责统筹全校的网络信息安全管理与建设工作;学校各二级部门严格落实网络与信息安全责任制,主要责任人为安全第一责任人,并明确网络信息安全分管领导,设立网络信息管理员,统筹管理本单位的网络信息安全工作,责任到人、突出重点、自主防护、保障安全。
图1 南京理工大学网络信息安全管理体系
与此同时,我们制订了一系列的安全相关管理规定作为配套措施。根据《中华人民共和国网络安全法》,遵循“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,我们制订了《南京理工大学网络信息安全管理办法(暂行)》并颁发执行。该办法包含组织架构、系统安全、数据安全、内容安全、队伍建设、经费保障及应急响应等方面内容,全面规范了学校网络信息安全工作,确保了安全工作的有序开展。
同时,为加强数据资产的统一管理和质量管控,建立有效的数据共享、管理与保障体系,有效发挥数据在教学、科研和管理中的重要作用,我们制订了《南京理工大学数据资产管理办法(暂行)》。通过对信息系统数据的采集、录入、运维、存储、归档、应用等过程,以及数据标准、接口标准、数据安全策略和实施数据审核的管理,达到统一数据语言、保障数据准确、防止非法篡改和伪造、建立数据备份和恢复机制、预防信息泄漏、提供优质高效数据服务的目的。
信息系统安全策略
学校建有信息系统安全监控系统,实现主动关注、实时监控、提前告警、预先管控。该监控系统采用主动预警架构,关注操作系统及其以上部分,侧重应用视角。主动预警层面,可实现7×24小时的可用性监测,精准定位故障原因;同时,基于采集配置信息(如应用的开发框架、运行环境等)的安全监测,可快速、精确定位受影响应用,如图2所示。
图2 系统安全主动预警架构
系统安全防护是基于应用可用性视角来设计的,如图3所示。其特点有:1.应用视角建立应用运行所需要操作系统、数据库、API等必要IT资产或服务之间的关联;2.基于已建立的关联+预警模型将监测所采集的数据进行关联分析,实现故障的提前预警与精准定位;3.通过对日志进行实时监测,可以真正做到事件提前预警,事件原因的精准定位。
图3 基于应用可用性视角监控
目前,系统层面的监测涉及到的数据包括:1.配置信息:操作系统版本、操作系统开放的端口、操作系统运行的组件、应用的开发框架等;2.资源消耗:CPU利用率、内存利用率、归档大小、磁盘利用率、连接数、线程数据等:3.运行日志:oraclealert日志、weblogic/websphere/tomcat运行日志、操作系统运行日志等。
同时,我们整合相关资源和力量,结合实际情况,建立了学校的安全监测与预警机制,如图4所示。科学的安全监测与预警机制有以下三个要求:具有安全监控工具;第一时间获取外部的安全信息;清晰的校内应用的配置信息,如使用的jdk版本、用的什么框架、应用的操作系统版本等。
图4 安全监测与预警机制架构
网络安全技术架构
经过多年的建设,南京理工大学的网络安全防护也在不断进行优化,目前已形成一套系统的网络安全防护技术体系,其中数据中心区域的安全防护是重中之重。数据中心区域包含主数据平台、信息门户、虚拟化平台、一卡通、图书馆、教务处、财务处等多个不同类别的应用系统,原来都在一个安全域内,容易互相干扰,安全隐患较大。为此,我们将数据中心安全域进行了优化,按功能将不同类别的应用系统细分为若干子安全域,如图5所示。
图5 数据中心安全域细分表
各安全域之间在功能上相对独立,在IP地址规划上分开,这个方便设置安全控制策略,可最大限度减少互相之间的干扰,有效减少了安全隐患。同时,也规划了一些虚地址段提供数据中心使用,主要用于数据中心内部数据交互(例如数据库服务器等),能够有效避免受到外部攻击,保障系统安全和数据安全。
在安全域优化细分的基础上,我们对数据中心原有的安全技术架构进行了优化,建立了全新的数据中心安全防护技术体系,如图6所示。
图6 数据中心安全技术防护体系架构
新的数据中心安全架构将各子安全域都保护起来,做到了安全防护的全面优化:
1.在智慧理工应用、虚拟化平台等重要子安全域,配以防火墙、IDP、WAF等全套安全防护设备,以确保这些重要应用系统的安全;
2.对于一些安全级别要求不高的子安全域,考虑到性价比等因素,目前仅部署防火墙进行安全防护;
3.设置一个流量清洗区,对于应用系统中某些需要额外进行安全防护的,可以通过策略路由或代理等方式,将相关流量引流到流量清洗区,由其安全设备进行安全防护;
4.另设有一个安全管理区,用于放置安全漏洞扫描、VPN、堡垒机、应用交付等安全设备,支撑对全局的安全管理或应用;
5.各安全域根据应用需求分别设置多种安全策略,如端口策略、ACL策略、漏扫策略、认证策略等。
网络安全管理与应急
在网络安全管理上,经过长期积累,我们在实践中逐步总结出了一套安全管理工作模式。我们利用漏扫设备,定期对全校的网站及业务系统进行安全漏洞扫描,生成安全态势分析报告,发现问题的,则下发相关单位并要求限期整改(进行补丁升级及安全加固等),达不到整改要求的,则要求限期关停;一旦发生网络安全事件,则立即启动网络安全事件应急响应流程,确保第一时间处理问题,把损失或影响降到最低。
网络安全事件的应急响应流程,如图7所示。
图7 网络安全事件应急响应流程
1.信息化处接到安全事件的通报后,通过沟通协调,结合技术手段,获取事件截图等相关证据;
2.信息化处核实事件类别,发起处理流程;
3.若事件为紧急事件,信息化处第一时间向分管信息化工作的校领导汇报,同时通报责任单位相关情况及事件证据,并关闭相关网站或信息系统的访问权限,以降低不良影响。若事件为普通事件,则此环节略过;
4.信息化处指导分析事件原因,并提供整改建议;
5.责任单位对网站或信息系统进行安全修复,并提交整改报告;
6.信息化处对修复后的网站或信息系统进行安全复查,复查通过后恢复其访问权限。
网络信息安全只有起点,没有终点。在安全问题上我们一是要高度重视,二是加强管理和宣传,增强安全意识,完善安全规范,贯彻安全操作规程;三是加强技术防护;四是加强安全人才队伍建设,发挥学校网络安全相关的教师和学生力量;五是加强与外部安全公司合作,增强学校的防护力量和水平,最终构建完整的学校安全防护体系。
第三十四届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:content
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
