*來(lái)源：中國(guó)教育網(wǎng)絡(luò)（cernet），作者：林偉棟、秦道祥

高校信息化經(jīng)過(guò)多年發(fā)展，建成了大量的信息系統(tǒng)，成為信息化管理的核心資產(chǎn)，也是網(wǎng)絡(luò)安全工作重點(diǎn)保護(hù)的對(duì)象，但這些信息系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀不容樂(lè)觀。

首先，高校的信息系統(tǒng)由各業(yè)務(wù)部門自行建設(shè)和維護(hù)，缺乏網(wǎng)絡(luò)安全規(guī)劃且開發(fā)不規(guī)范，多存在安全漏洞。

其次，高校信息系統(tǒng)知名度高、訪問(wèn)量大，存放有師生、教學(xué)、管理、科研等重要數(shù)據(jù)，很多系統(tǒng)面向互聯(lián)網(wǎng)開放，是黑客攻擊的重點(diǎn)對(duì)象。

第三，高校受教育部和地方監(jiān)管，存在任務(wù)重、網(wǎng)絡(luò)安全檢查壓力大的情況，而上級(jí)主管部門的工作核心都是以挖掘信息系統(tǒng)漏洞為重點(diǎn)和抓手。

最后，高校信息化部門任務(wù)重壓力大，網(wǎng)絡(luò)安全工作人員多數(shù)配備不足，部分學(xué)校網(wǎng)絡(luò)安全工作是人員兼職，信息系統(tǒng)的漏洞問(wèn)題得不到及時(shí)解決。

信息系統(tǒng)漏洞分類與危害

漏洞也稱為脆弱性，是信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的可被威脅利用的缺陷，這些缺陷存在于件應(yīng)用、軟件模塊、驅(qū)動(dòng)甚至硬件設(shè)備等各個(gè)層次和環(huán)節(jié)之中。

漏洞按照危害程度分為嚴(yán)重、高危、中危、低危4種級(jí)別；按照漏洞被人掌握的情況，又可以分為已知漏洞、未知漏洞和0day等幾種類型；CNNVD將信息安全漏洞劃分為配置錯(cuò)誤、代碼問(wèn)題、信息泄露、輸入驗(yàn)證、緩沖區(qū)錯(cuò)誤、跨站腳本、路徑遍歷、SQL注入等26種類型。

在網(wǎng)絡(luò)安全領(lǐng)域，漏洞是一種重要戰(zhàn)略資源。漏洞是黑客們攻擊的武器，一旦被利用就可能導(dǎo)致信息系統(tǒng)被攻擊、信息泄露、數(shù)據(jù)被篡改、信息泄露或系統(tǒng)不能正常使用等情況。網(wǎng)絡(luò)安全對(duì)抗時(shí)，如果能找到更多的系統(tǒng)漏洞，可降低攻擊威脅或延緩黑客進(jìn)攻的時(shí)間。

漏泄的危害很大，除了網(wǎng)絡(luò)安全合規(guī)要求之外，如果被外部發(fā)現(xiàn)就可能被上級(jí)通報(bào)，不及時(shí)處理或處理不當(dāng)，會(huì)被利用導(dǎo)致信息安全技術(shù)事件，影響學(xué)校聲譽(yù)。

信息系統(tǒng)漏泄的閉環(huán)管理探索

按照漏泄處理的過(guò)程，我們把信息系統(tǒng)的漏洞管理分為6個(gè)環(huán)節(jié)，分別是漏洞發(fā)現(xiàn)、評(píng)估、對(duì)漏洞所在信息系統(tǒng)采取管控措施、通知整改、漏洞整改、漏洞復(fù)查和處置，稱之為信息系統(tǒng)漏洞的閉環(huán)管理，如圖1所示。

圖1  信息系統(tǒng)漏洞處理環(huán)節(jié)

6個(gè)環(huán)節(jié)都有不同的工作重點(diǎn)和處理細(xì)節(jié)，下面分別加以介紹。

01漏洞發(fā)現(xiàn)

發(fā)現(xiàn)信息系統(tǒng)安全漏泄是漏洞管理很重要的一環(huán)。漏洞發(fā)現(xiàn)有主動(dòng)自行發(fā)現(xiàn)和校外發(fā)現(xiàn)。自行發(fā)現(xiàn)有上線前安全檢查 、定期安全巡檢 、定向滲透測(cè)試等；漏洞另一個(gè)重要來(lái)源是第三方發(fā)現(xiàn)報(bào)送，同濟(jì)大學(xué)目前接收的有教育行業(yè)漏洞報(bào)告平臺(tái)、補(bǔ)天、其他安全廠商收集通報(bào)等；第三個(gè)來(lái)源是上級(jí)主管部門通報(bào)。

充分利用外部力量和自行主動(dòng)發(fā)現(xiàn)漏洞是網(wǎng)絡(luò)安全工作重點(diǎn)，2019年發(fā)現(xiàn)的漏洞達(dá)200多個(gè)，學(xué)校漏洞主動(dòng)發(fā)現(xiàn)占比80%左右，平均接近1/3左右的信息系統(tǒng)存在漏洞，網(wǎng)絡(luò)安全隱患突出。

02漏洞評(píng)估

評(píng)估目的是保證漏泄的真實(shí)性、權(quán)威性，這個(gè)工作分為三個(gè)步驟。

首先評(píng)估真實(shí)性是指確認(rèn)漏洞屬于學(xué)校單位管理，并且要驗(yàn)證漏洞真實(shí)存在，確保不是誤報(bào)，評(píng)估時(shí)盡量截圖取證，后期發(fā)送整改通知時(shí)提供；

其次要評(píng)估漏洞的危害程度，量化漏洞威脅的可能性及其對(duì)業(yè)務(wù)的影響；

第三，根據(jù)漏洞危害程序決定是否上報(bào)學(xué)校領(lǐng)導(dǎo)、是否需要向上級(jí)主管部門匯報(bào)。

漏洞驗(yàn)證是一個(gè)費(fèi)時(shí)費(fèi)力、具有挑戰(zhàn)性的工作。漏洞數(shù)量增多以后，我們召集學(xué)校里有漏洞驗(yàn)證能力的同學(xué)組成漏洞驗(yàn)證小組，建立穩(wěn)定的漏洞驗(yàn)證隊(duì)伍；有些比較復(fù)雜、難以處理的漏洞，請(qǐng)求網(wǎng)絡(luò)安全能力廠商協(xié)助驗(yàn)證，確保發(fā)現(xiàn)的漏洞真實(shí)存在。

03管控措施

漏洞是網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)之一，確認(rèn)后需要采取相應(yīng)的安全措施來(lái)降低或規(guī)避。學(xué)校目前對(duì)應(yīng)的措施有關(guān)閉信息系統(tǒng)校外訪問(wèn)、停止域名解析、停止接入校園網(wǎng)等。

網(wǎng)絡(luò)安全管理的成敗取決于兩個(gè)因素——技術(shù)和管理，技術(shù)是信息安全的構(gòu)筑材料，管理才是真正的粘合劑和催化劑。學(xué)校在制定相關(guān)的網(wǎng)絡(luò)安全文件時(shí)，要確定網(wǎng)絡(luò)安全責(zé)任制的機(jī)構(gòu)、人員，授權(quán)漏洞處置的合法性，從制度上加以保障。

04通知整改

由于郵件具有可以轉(zhuǎn)發(fā)、抄送、不可抵賴等特性，學(xué)校信息系統(tǒng)整改主要采用郵件通知方式；部分緊急、嚴(yán)重的漏泄，及時(shí)電話通知。

郵件通知分為郵件接收人、主題、正文、附件四個(gè)部分。

郵件接收人是信息系統(tǒng)的信息安全員和單位網(wǎng)絡(luò)安全負(fù)責(zé)人，同時(shí)抄送學(xué)校網(wǎng)信辦與信息辦相關(guān)領(lǐng)導(dǎo)和運(yùn)維人員。

郵件主題以“網(wǎng)絡(luò)信息安全整改通知書_XX部門_XX域名（或IP）_日期”命名，方便檢索或收到回復(fù)時(shí)知道該郵件的大致信息。

郵件正文內(nèi)容已固定模板，內(nèi)容包括存在漏洞的信息系統(tǒng)域名、IP、系統(tǒng)管理員，漏洞名稱、被采取的管控措施、整改周期等。

附件有漏洞掃描報(bào)告、滲透測(cè)試報(bào)告、漏洞截圖及空白的《信息系統(tǒng)網(wǎng)絡(luò)安全漏洞核查表》等。

整改完成后，被整改部門須提交《信息系統(tǒng)網(wǎng)絡(luò)安全漏洞核查表》反饋材料。

05漏洞整改

對(duì)近幾年整改的漏洞類型統(tǒng)計(jì)發(fā)現(xiàn)，每年排名第一都是弱口令，說(shuō)明學(xué)校業(yè)務(wù)部門管理老師和系統(tǒng)開發(fā)廠商缺乏基本的網(wǎng)絡(luò)安全意識(shí)；排名第二的是信息泄露，隨著對(duì)個(gè)人隱私保護(hù)的重視，這個(gè)問(wèn)題越來(lái)越多。

漏洞整改的目標(biāo)是消除信息系統(tǒng)的安全隱患，但是在整改的過(guò)程中，業(yè)務(wù)部門和廠商缺乏網(wǎng)絡(luò)安全知識(shí)，漏洞修復(fù)時(shí)間長(zhǎng)、修復(fù)不徹底的現(xiàn)象比較多。所以，在漏洞整改環(huán)節(jié)中，信息辦會(huì)提供技術(shù)支持，比如重裝具有安全加固的操作系統(tǒng)、提供漏洞修復(fù)方案、協(xié)助漏洞修復(fù)驗(yàn)證、遷移網(wǎng)站群等，從而加快漏洞整改速度，提高漏洞整改效率。

2019年漏洞類型統(tǒng)計(jì)，如圖2所示。

圖2  漏洞類型統(tǒng)計(jì)

06復(fù)查與處置

漏洞管理也適用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置策略，即降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。從以往的漏洞管理結(jié)果統(tǒng)計(jì)數(shù)據(jù)來(lái)看，部分老舊的網(wǎng)站遷移網(wǎng)站群，即轉(zhuǎn)移風(fēng)險(xiǎn)；對(duì)無(wú)人管理、風(fēng)險(xiǎn)高的系統(tǒng)進(jìn)行關(guān)停和注銷，即規(guī)避風(fēng)險(xiǎn)。通過(guò)漏洞的閉環(huán)管理，目前學(xué)校95%以上漏洞都得到了妥善處理，信息系統(tǒng)的風(fēng)險(xiǎn)降低。

信息系統(tǒng)漏洞治理實(shí)踐

信息系統(tǒng)漏洞風(fēng)險(xiǎn)高、危害多，漏洞整改工作量大、有一定挑戰(zhàn)，也占用了日常管理工作的大部時(shí)間和精力，漏泄治理已成為高校網(wǎng)絡(luò)安全工作的痛點(diǎn)和難點(diǎn)。如何減少信息系統(tǒng)漏洞是網(wǎng)絡(luò)安全管理工作努力的方向，以下是學(xué)校減少漏洞的一些實(shí)踐。

• 制定《信息系統(tǒng)網(wǎng)絡(luò)安全基線》制度

明確學(xué)校的信息系統(tǒng)達(dá)到最基本的防護(hù)能力安全配置基準(zhǔn)，供系統(tǒng)開發(fā)、管理、運(yùn)維等部門和人員參考。根據(jù)分析，多數(shù)漏洞是信息漏洞開發(fā)和管理不規(guī)范產(chǎn)生的，安全基線是一個(gè)信息系統(tǒng)的最小安全保證。

考慮實(shí)施情況和易于推廣，學(xué)校的信息安全基線從操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件４個(gè)方面，滿足最小化安裝、身份鑒別、訪問(wèn)控制、入侵防范、安全審計(jì)、補(bǔ)丁升級(jí)等具體要求，與現(xiàn)行等保2.0的安全計(jì)算環(huán)境理念相一致。

這個(gè)基線適合信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維等各個(gè)階段的網(wǎng)絡(luò)安全合規(guī)配置與檢查。通過(guò)制定安全基線，為一線信息化管理人員提供了安全配置的最低標(biāo)準(zhǔn)和操作指南依據(jù)，明確了管理和運(yùn)維人員的管理控制任務(wù)和責(zé)任。通過(guò)安全基線管理，可以將漏洞風(fēng)險(xiǎn)管理前移。

• 控制信息系統(tǒng)數(shù)量，減少漏洞來(lái)源載體

從概率上來(lái)說(shuō)，信息系統(tǒng)多漏洞也會(huì)多，所以控制系統(tǒng)信息數(shù)量也是學(xué)校漏洞治理工作的目標(biāo)之一。教育部在2016年發(fā)文要求，對(duì)“自管服務(wù)器” “僵尸網(wǎng)站”“雙非系統(tǒng)”進(jìn)行清理和整改。依照要求，學(xué)校關(guān)閉由各部門自行管理不在學(xué)校數(shù)據(jù)中心、未采取安全防護(hù)措施的多個(gè)服務(wù)器；“僵尸網(wǎng)站”持續(xù)不斷監(jiān)控合計(jì)清理。

同濟(jì)大學(xué)

網(wǎng)站群建設(shè)也是減少信息系統(tǒng)數(shù)量的措施，現(xiàn)已建立200個(gè)網(wǎng)站；已計(jì)劃將由信息化辦公室安排專門經(jīng)費(fèi)和人員配合，把符合條件的網(wǎng)站全部遷到網(wǎng)站群。同時(shí)，信息化辦公室根據(jù)學(xué)校的總體要求，新系統(tǒng)建設(shè)須做可行論證，要通過(guò)OA申請(qǐng)，各部門主要負(fù)責(zé)人、信息辦主管領(lǐng)導(dǎo)審批后方可建設(shè)，信息化辦公室嚴(yán)格控制系統(tǒng)建設(shè)經(jīng)費(fèi)，控制信息系統(tǒng)數(shù)量。經(jīng)過(guò)以上治理和管制措施，目前信息系統(tǒng)的數(shù)量已減至高峰時(shí)的一半以下。

• 制作基于等保三級(jí)標(biāo)準(zhǔn)的操作系統(tǒng)加固模板

同濟(jì)大學(xué)2017年等保測(cè)評(píng)的7個(gè)信息系統(tǒng)的差距分析報(bào)告顯示，主機(jī)安全測(cè)評(píng)最高的43分，最低的21分，主機(jī)安全普遍存在安全隱患。操作系統(tǒng)是承載應(yīng)用業(yè)務(wù)的基礎(chǔ)，修復(fù)過(guò)程中可能會(huì)導(dǎo)致業(yè)務(wù)中斷或升級(jí)失敗等多種問(wèn)題，存在一定風(fēng)險(xiǎn)，是等級(jí)保護(hù)整改過(guò)程中的難點(diǎn)之一。

學(xué)校在等保工作中探索出使用部署安全加固模板機(jī)后再對(duì)應(yīng)用業(yè)務(wù)進(jìn)行遷移的方式，完成信息系統(tǒng)的主機(jī)安全加固，此方法得到了測(cè)評(píng)中心肯定，為等保系統(tǒng)順利通過(guò)測(cè)評(píng)提供了解決方案。目前該方法推廣到數(shù)據(jù)中心所有新安裝的服務(wù)器，新上線系統(tǒng)的漏洞數(shù)量大大減少。

• 減少攻擊面，降低被攻擊的威脅

攻擊面是攻擊者可能利用應(yīng)用程序的所有方式，不僅包括軟件、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和協(xié)議，還包括域名和SSL證書。減少攻擊面就是關(guān)閉或限制對(duì)網(wǎng)絡(luò)、系統(tǒng)、軟件、服務(wù)的訪問(wèn)，應(yīng)用“最小權(quán)限原則”，盡可能分層防御。

首先，做好數(shù)據(jù)中心安全規(guī)劃，數(shù)據(jù)中心業(yè)務(wù)按功能可分為關(guān)鍵基礎(chǔ)設(shè)施、運(yùn)維監(jiān)控、核心虛擬化、數(shù)據(jù)庫(kù)、一卡通、等保測(cè)評(píng)、托管機(jī)房等區(qū)域，不同區(qū)域通過(guò)防火墻做好邊界隔離。比如數(shù)據(jù)庫(kù)區(qū)域采用白名單放行，即使有漏洞，一般人和黑客也無(wú)法訪問(wèn)，安全風(fēng)險(xiǎn)得到降低。

其次，做好訪問(wèn)控制，根據(jù)業(yè)務(wù)和應(yīng)用的安全級(jí)別制定相應(yīng)的安全管理策略，比如運(yùn)維、監(jiān)控等重要業(yè)務(wù)推薦使用帶外管理，專用VPN等方式，重要業(yè)務(wù)系統(tǒng)須通過(guò)保壘機(jī)訪問(wèn)，網(wǎng)站后臺(tái)管理須限制校內(nèi)等。

第三，做好特殊端口限制訪問(wèn)，規(guī)定帶域名的系統(tǒng)僅開放80、8080、443端口，沒(méi)有域名的只開非Web端口；關(guān)閉了22、3389、135、139、445等容易被黑客攻擊的端口。

減少攻擊面是網(wǎng)絡(luò)安全規(guī)劃時(shí)需要重點(diǎn)考慮的內(nèi)容，“零信任”安全體系提供了很好的借鑒。

• 內(nèi)網(wǎng)失陷服務(wù)器主動(dòng)發(fā)現(xiàn)

失陷服務(wù)器是指被黑客攻破、被控制的服務(wù)器，可能被盜取數(shù)據(jù)、植入黑鏈，當(dāng)做肉雞成為攻擊內(nèi)網(wǎng)的工具，危害很大、后患無(wú)窮。

為此，一方面開發(fā)校內(nèi)搜索引擎查找暗鏈，定期用網(wǎng)頁(yè)爬蟲抓取存儲(chǔ)校內(nèi)的網(wǎng)頁(yè)，用關(guān)鍵詞進(jìn)行查詢，人工檢驗(yàn)查詢結(jié)果，經(jīng)過(guò)幾年的治理，暗鏈問(wèn)題越來(lái)越少。

另一方面是搭建分布式蜜罐系統(tǒng)進(jìn)行主動(dòng)誘捕內(nèi)網(wǎng)滲透的失陷主機(jī)，蜜罐作為一種主動(dòng)防御工具，是防火墻、WAF、IPS等被動(dòng)防御很好的補(bǔ)充，通過(guò)變換IP的方式，使攻擊者真假難辯，讓攻擊者原形畢露，通過(guò)治理，內(nèi)網(wǎng)服務(wù)器的橫向移動(dòng)攻擊現(xiàn)象也逞下降趨勢(shì)。

• 開展信息泄露漏洞的專題治理

信息泄露是近兩年校外通報(bào)排名較靠前的漏洞。隨著對(duì)數(shù)據(jù)安全和個(gè)人信息保護(hù)的重視，這類問(wèn)題越來(lái)越多，為此，我們做了兩方面工作。

首先是利用漏洞掃描工具找出存在泄露的信息，有些信息泄露在掃描報(bào)告里只是低微風(fēng)險(xiǎn)級(jí)別，確認(rèn)后通報(bào)整改；

另外是利用開源的爬蟲工具，抓取網(wǎng)站里包含rar、zip、doc、pdf等文件名結(jié)尾的URL，人工下載打開檢查，找到有師生簡(jiǎn)歷個(gè)人隱私的文件，以及項(xiàng)目科研信息、文件源碼、數(shù)據(jù)備份信息等，經(jīng)確認(rèn)后以直接發(fā)給系統(tǒng)管理不通報(bào)的方式整改。

經(jīng)過(guò)近兩年的信息泄露專題整改，近期接收校外信息泄露漏洞的數(shù)量在減少。

• 借鑒安全開發(fā)生命周期(SDL)開發(fā)的框架，減少軟件的漏洞數(shù)量

SDL（安全開發(fā)生命周期，Security Development Lifecycle）是由微軟提出的軟件開發(fā)的安全保障流程，將網(wǎng)絡(luò)安全考慮集成在軟件開發(fā)的流程中，在信息系統(tǒng)開發(fā)的培訓(xùn)、需求分析、設(shè)計(jì)、編碼、測(cè)試、發(fā)布、運(yùn)維等環(huán)節(jié)，同步做好信息系統(tǒng)的網(wǎng)絡(luò)安全規(guī)劃和控制。

學(xué)校新建重要的業(yè)務(wù)系統(tǒng)，遵循SDL框架進(jìn)行開發(fā)和部署，漏洞數(shù)量明顯減少，安全缺陷也相對(duì)降低，信息系統(tǒng)安全防護(hù)能力得到提升。

“千里之堤，潰于蟻穴”，信息系統(tǒng)的漏洞就像蟻穴一樣，是高校網(wǎng)絡(luò)安全的威脅和隱患。信息系統(tǒng)漏洞是網(wǎng)絡(luò)安全工作的抓手，需要花時(shí)間和精力去發(fā)現(xiàn)和挖掘，通過(guò)漏洞的閉環(huán)管理，可以有效、妥善地處理漏洞，信息系統(tǒng)風(fēng)險(xiǎn)得到降低。

通過(guò)制定網(wǎng)絡(luò)安全基線標(biāo)準(zhǔn)、控制信息系統(tǒng)數(shù)量、制作安全加固模板機(jī)、信息泄露治理、減少攻擊面策略、失陷主機(jī)的主動(dòng)發(fā)現(xiàn)、實(shí)施安全開發(fā)生命周期等多種漏洞治理措施，做好信息系統(tǒng)漏洞的事前、事中、事后的全方位管理，從而減少信息系統(tǒng)的漏洞，降低校園網(wǎng)的安全風(fēng)險(xiǎn)，筑牢校園網(wǎng)絡(luò)安全底線，提升網(wǎng)絡(luò)安全管理水平。

本文轉(zhuǎn)載自微信公眾號(hào)“ 中國(guó)教育網(wǎng)絡(luò)”，刊于《中國(guó)教育網(wǎng)絡(luò)》雜志（9月刊）。文章為作者獨(dú)立觀點(diǎn)，不代表芥末堆立場(chǎng)，轉(zhuǎn)載請(qǐng)聯(lián)系原作者。