中原工学院网络信息安全体系建设
中原工学院
一、建设背景
随着高校信息化建设的逐步深入,学校信息系统日渐庞大。从安全性上分析,学校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,网络信息安全成为业务应用发展需要关注的核心和重点。
习近平总书记指出“没有网络安全就没有国家安全,没有信息化就没有现代化”。近年来,随着网络安全法的实施,国家发改委、教育部、河南省教育厅为推动教育行业快速发展,也密集出台相关政策文件,对高校的网络安全工作提出了更高的要求。让校园网在一套整体防护体系的防护之下正常运行,是校园信息化基础设施建设的首要目标。
中原工学院有线、无线一张网总出口流量达到32.8G,校园网络规模庞大,需要学校的网络信息安全体系更加完善,从而提高应对和防护能力。为此,中原工学院结合学校网络环境、安全基础与网络安全需求,以“体系化、实战化、常态化”为建设新理念,构建以大数据管理平台为安全中心的学校信息安全新体系,结合业内安全发展新趋势新技术,安全编排与协同响应,形成了主动式、立体、多重纵深的下一代安全防御体系,实现安全预防、防御、监测、响应、处置的闭环流程。各网络安全设备之间各司其职,“团队协同”作战,最大化发挥各设备安全能力,形成全校网络安全一盘棋。
二、建设思路
中原工学院网络信息安全体系建设遵循“统一规划、统筹建设、统一标准”整体思路,逐步推进全网“安全合规、安全审计、安全态势(监测)、安全运营、数据安全”五大关键能力的集中化建设。
(一)建设原则
采用分期投入、同步建设的方式,逐步完善各项功能和数据采集覆盖范围,并结合学校实际业务特点和需求,确定网络信息安全体系建设的基本原则。
1.整体规划,分步实施原则
将安全体系作为一个整体,从共性出发,对总体结构、功能设置、安全保障和实施步骤等实行统筹规划、分步实施。既要形成相对独立的业务系统,又要满足有效数据传输和信息交流与共享,同时便于管理维护和今后的应用升级。
2.依法规范,保证质量原则
网络信息安全体系建设在满足《中华人民共和国网络安全法》、等级保护2.0标准、教育行业相关安全规范要求等法律法规的基础上开展方案设计和实施推进,保证整个建设过程遵循相关法律法规,满足国家及教育行业政策要求。
3.开放性和标准化原则
在设计时,要求提供开放性好、标准化程度高的技术方案;系统的各种接口满足开放和标准化原则,首先采用国家标准和国际标准,其次采用广为认可的行业标准。
4.可扩展和前瞻性原则
所有功能模块不但要满足当前需要,还应在扩充模块后满足可预见将来需求;保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
5.可靠性与容错性原则
设计上要充分考虑其大量硬件设备、软件系统和数据信息资源的实时服务特点,要保证网络、系统的安全,保证系统运行的可靠。
(二)方案设计
1.方案设计目标
建成与信息化发展相配套的统一、综合、高效的信息安全保障体系;加强政策手段和管理制度建设,提升数据安全意识和数据资源安全保障,全面落实国家信息安全等级保护制度,积极开展安全检查和风险评估工作;提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力,打造一支各方面综合能力达标的网络与信息安全支持团队,有力支撑整个校园网的网络与信息安全工作。
(1)管理流程
形成一套综合多种网络安全管理机制的流程。以安全体系技术平台为依托,将日常网络安全运维、安全预警应对操作、安全事件应急处置、重大活动安全保障等工作具体化为平台上的流程化操作。
(2)基础安全技术与管理体系
从物理和环境安全、网络和通信安全、设备和计算安全、应用与数据安全几个维度完成体系化安全技术设计。同时完善网络安全的管理组织保障体系与管理制度。主要从组织建设、岗位设置、人才储备、宣传培训、重要信息数据的监管方面着手,结合完善的安全管理制度,积极推进网络安全责任落实制度,建立网络安全组织协同机制,通过明确分工、协同配合、强化执行、确保网络安全要求的落地,共同推进安全能力建设。在技术和管理体系建设层面全面满足国家安全合规要求。
(3)纵深防御安全体系
按照“一个中心三重防护”的设计理念,针对全网边界、内部网络、终端服务器、对外门户网站,建立全网安全主动防御、持续监测系统,形成大纵深、立体化、可追溯的网络安全纵深防御体系。充分利用已有网络安全设备,引入人工智能、大数据分析、云计算等先进成熟技术,形成全面完整的防控预警态势。从可视可控的安全设计原则出发,全面提高网络安全风险评估、风险排查,以及网络安全事件溯源能力。
(4)常态化安全运营体系
通过建立安全运营中心,从暴露面监测、边界防御、威胁狩猎、应急响应、安全开发和运营管理五个核心攻防对抗域开展常态化、体系化、实战化安全运营管理,落实安全运营机制,打造集态势感知、通报预警、信息共享、指挥协调于一体的运营服务体系,有效落实“三化六防”新举措,持续度量和迭代优化应对威胁的安全防御能力及攻防实战能力,构建动态、主动、纵深、精准、整体联动、联防联控的综合安全防御能力,进一步夯实安全底座,持续构建网络安全防线。
2.架构设计
态势感知平台总体架构设计遵照“分层解耦、异构兼容”的原则,分为数据采集层、安全能力层和安全应用层三个层次,各层级以及模块之间的功能设计具有相对的独立性,从而使得整个系统具有较高的扩展性。数据采集层作为全链路平台的基础能力层,为安全组建层提供基础安全能力和数据来源。安全能力层包含安全数据治理和安全能力编排,安全数据治理实现数据的采集处理、挖掘分析和提供统一的数据服务,构建数据驱动业务体系。安全能力编排将安全数据中台能力服务化,形成安全服务目录,实现安全资源的灵活调度。安全应用层通过建设满足行业主管的各类业务应用,打造监督管理与运营中心,实现对云、网络、终端、数据、应用、边界的全方位防护。
3.安全数据流转设计
态势感知平台统一管理各类安全告警数据,进行统一存储和统一分析,同时提供对外数据访问接口与数据分析接口,整体设计架构如图一所示,学校安全体系建设规划如图二所示。
图一 安全数据流转整体设计架构
图二 安全体系建设规划图
三、建设成效
(一)信息安全综合管理
建设知识库系统、资产管理系统、实时监测系统、威胁感知系统、情报管理系统、追踪溯源系统、协同联动系统、应急处置系统、考核评价系统对接等核心业务功能,并预留与安全防护设备的联动接口。
(二)覆盖全网的安全数据采集
实现应用安全监测数据、资产脆弱性数据、流量检测数据、日志数据、等保管理数据融合接入;后续可逐步实现包括服务器终端防护数据、外部安全事件及情报及第三方威胁情报数据在内的多源数据采集。安全数据采集如图三所示。
图三 安全数据采集图
(三)安全处置联动
释放安全工作人员海量处置告警压力,精准针对发现的中高级威胁攻击事件,下发对应的安全响应处置策略和任务,协同各安全产品(如WAF、流控、防火墙等)对于威胁事件进行终止、隔离、取证等安全手段,快速终止威胁的持续。安全处置联动如图四所示。
图四 安全处置联动图
(四)安全威胁要素分析和异常行为快速发现
为安全管理员、安全决策人员提供简单、实用、高效的安全数据分析。异常行为快速发现如图五所示。
图五 安全处置联动图
(五)集中提供统一安全服务、实施统一安全监管
按照标准化流程和程序,指挥调度安全防护力量,协调安全防护软硬件资源,针对网络攻击、非法行为、异常访问等情况进行针对性调整和控制,动态降低安全风险隐患,持续提升整体防护能力。
四、建设经验
(一)组织领导、协同推动
在党委的统一领导下,学校成立网络安全管理领导小组,加强网络安全管理工作的统一领导。建立与落实网络和信息安全工作责任制,学校党委每年至少召开一次专题会议研究部署网络安全工作,分管校领导每季度召集一次会议听取网络和信息安全工作汇报,部署检查具体工作。完善网络安全制度体系,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,形成部门主要负责人负总责,分管领导负主责,分工明确,责任到人,层层抓落实的网络安全管理体系,确保工作边界清晰、运行顺畅,实现全校网络安全管理提质增效。
(二)动态调整、协调各方
在动态调整层面加强安全服务能力,构建基础安全能力底座,支撑安全态势监测分析,实现智能安全运营,为全网安全保驾护航,确保在学校数据中心形成安全技术内控的“闭环”;另一方面,加强公安、网信等监管部门沟通,通过外部力量防范网络攻击,增强网络安全应急响应与处置能力;同时,积极吸纳安全可控、技术领先的国内优秀安全服务企业,共同参与校园网安全体系建设。
(三)安全可视、辅助决策
建立以大数据安全平台为核心的全网安全防护体系,平台引用人工智能、深度学习、关联分析等先进技术,实现安全能力可视化,构建学校本地统一安全运营中心;具备大屏可视化功能,从宏观维度展示学校目前网络安全状态,解决传统安全体系不可视、看不懂等问题,实现网络安全看得见、看得清、看得懂;同时通过微观安全信息展示,提供安全威胁自动/手动联动体系、资产管理、业务风险、攻击链可视等细化功能,为安全事件识别、处置提供数据支撑。通过宏观、微观安全可视化功能,极大减少了学校管理人员分析安全设备工作内容,可以投入更多的精力到学校其他信息化安全工作中。
