高校信息化經過多年發展，建成了大量的信息系統🏄🏼‍♂️，成為信息化管理的核心資產，也是網絡安全工作重點保護的對象，但這些信息系統的網絡安全現狀不容樂觀。首先，高校的信息系統由各業務部門自行建設和維護✍🏿，缺乏網絡安全規劃且開發不規範，多存在安全漏洞。其次，高校信息系統知名度高、訪問量大🙎🏽‍♀️，存放有師生👆🏿🔩、教學、管理、科研等重要數據🦟，很多系統面向互聯網開放💅🏽，是黑客攻擊的重點對象🏋🏻‍♂️。第三，高校受教育部和地方監管，存在任務重🦵、網絡安全檢查壓力大的情況，而上級主管部門的工作核心都是以挖掘信息系統漏洞為重點和抓手👨‍👩‍👧‍👧🤚🏽。最後🏌🏿‍♂️，高校信息化部門任務重壓力大🧎🏻‍➡️，網絡安全工作人員多數配備不足，部分學校網絡安全工作是人員兼職，信息系統的漏洞問題得不到及時解決。

　　信息系統漏洞分類與危害

　　漏洞也稱為脆弱性🏄🏿，是信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的可被威脅利用的缺陷，這些缺陷存在於件應用、軟件模塊、驅動甚至硬件設備等各個層次和環節之中。漏洞按照危害程度分為嚴重🧤、高危、中危、低危4種級別；按照漏洞被人掌握的情況✌🏼，又可以分為已知漏洞🪔、未知漏洞和0day等幾種類型；CNNVD將信息安全漏洞劃分為配置錯誤💇、代碼問題👫、信息泄露、輸入驗證、緩沖區錯誤🩺、跨站腳本、路徑遍歷、SQL註入等26種類型。

　　在網絡安全領域，漏洞是一種重要戰略資源。漏洞是黑客們攻擊的武器🌾，一旦被利用就可能導致信息系統被攻擊、信息泄露、數據被篡改、信息泄露或系統不能正常使用等情況。網絡安全對抗時👨🏻‍🏫，如果能找到更多的系統漏洞，可降低攻擊威脅或延緩黑客進攻的時間💆🏿💪🏿。漏泄的危害很大✅，除了網絡安全合規要求之外，如果被外部發現就可能被上級通報👨🏻‍🦱，不及時處理或處理不當🪒，會被利用導致信息安全技術事件，影響學校聲譽💼。

　　信息系統漏泄的閉環管理探索

　　按照漏泄處理的過程，我們把信息系統的漏洞管理分為6個環節，分別是漏洞發現、評估🤼‍♂️、對漏洞所在信息系統采取管控措施、通知整改🏃‍♀️、漏洞整改、漏洞復查和處置👱🏽，稱之為信息系統漏洞的閉環管理，如圖1所示。6個環節都有不同的工作重點和處理細節，下面分別加以介紹🆑。

漏洞發現是第1個環節🙋🏽。發現信息系統安全漏泄是漏洞管理很重要的一環📊。漏洞發現有主動自行發現和校外發現。自行發現有上線前安全檢查 👴🏼、定期安全巡檢 、定向滲透測試等；漏洞另一個重要來源是第三方發現報送👨‍👩‍👧‍👦，恒达平台目前接收的有教育行業漏洞報告平臺、補天、其他安全廠商收集通報等；第三個來源是上級主管部門通報。充分利用外部力量和自行主動發現漏洞是網絡安全工作重點🧙🏻‍♀️，2019年發現的漏洞達200多個🤹‍♂️，學校漏洞主動發現占比80%左右🏋🏿‍♂️，平均接近1/3左右的信息系統存在漏洞，網絡安全隱患突出。

　　漏洞管理第2個環節是漏洞評估。評估目的是保證漏泄的真實性⚙️、權威性，這個工作分為三個步驟。首先評估真實性是指確認漏洞屬於學校單位管理👩‍🚀，並且要驗證漏洞真實存在，確保不是誤報，評估時盡量截圖取證，後期發送整改通知時提供🎽；其次要評估漏洞的危害程度➾，量化漏洞威脅的可能性及其對業務的影響♉️🦑；第三，根據漏洞危害程序決定是否上報學校領導🌙、是否需要向上級主管部門匯報。漏洞驗證是一個費時費力、具有挑戰性的工作。漏洞數量增多以後👩🏻‍🔧，我們召集學校裏有漏洞驗證能力的同學組成漏洞驗證小組，建立穩定的漏洞驗證隊伍；有些比較復雜、難以處理的漏洞🧔，請求網絡安全能力廠商協助驗證🤲🏿，確保發現的漏洞真實存在✸🥈。

　　漏洞管理第3個環節是對存在漏洞的信息系統采取管控措施🧘🏻‍♂️。漏洞是網絡安全管理風險之一🐔，確認後需要采取相應的安全措施來降低或規避Ⓜ️。學校目前對應的措施有關閉信息系統校外訪問👱🏻‍♂️、停止域名解析、停止接入校園網等。網絡安全管理的成敗取決於兩個因素--技術和管理🏊🏻‍♂️，技術是信息安全的構築材料🕖🪅，管理才是真正的粘合劑和催化劑🚎。學校在製定相關的網絡安全文件時，要確定網絡安全責任製的機構、人員💯，授權漏洞處置的合法性，從製度上加以保障。

　　漏洞管理第4個環節是通知整改🐅👩🏼‍🦰。由於郵件具有可以轉發、抄送、不可抵賴等特性🎽，學校信息系統整改主要采用郵件通知方式👨🏻‍✈️；部分緊急、嚴重的漏泄🍽，及時電話通知。郵件通知分為郵件接收人、主題🔞♤、正文、附件四個部分。郵件接收人是信息系統的信息安全員和單位網絡安全負責人，同時抄送學校網信辦與信息辦相關領導和運維人員。郵件主題以“網絡信息安全整改通知書_XX部門_XX域名（或IP）_日期”命名🤶🏻🧇，方便檢索或收到回復時知道該郵件的大致信息👰🏼‍♀️。郵件正文內容已固定模板👨🏼‍🦳，內容包括存在漏洞的信息系統域名、IP、系統管理員，漏洞名稱🧑🏽‍💼、被采取的管控措施、整改周期等。附件有漏洞掃描報告、滲透測試報告、漏洞截圖及空白的《信息系統網絡安全漏洞核查表》等。整改完成後，被整改部門須提交《信息系統網絡安全漏洞核查表》反饋材料。

　　漏洞管理第5個環節是漏洞整改環節。對近幾年整改的漏洞類型統計發現🛁，每年排名第一都是弱口令，說明學校業務部門管理老師和系統開發廠商缺乏基本的網絡安全意識📑；排名第二的是信息泄露，隨著對個人隱私保護的重視，這個問題越來越多🧑🏽。漏洞整改的目標是消除信息系統的安全隱患🟢，但是在整改的過程中，業務部門和廠商缺乏網絡安全知識，漏洞修復時間長🌖👩‍🚒、修復不徹底的現象比較多🙁。所以，在漏洞整改環節中，信息辦會提供技術支持❇️，比如重裝具有安全加固的操作系統、提供漏洞修復方案、協助漏洞修復驗證👑、遷移網站群等，從而加快漏洞整改速度，提高漏洞整改效率⏭🈺。

漏洞管理第6個環節是漏洞復查與處置🦑。漏洞管理也適用網絡安全風險處置策略🙇🏿‍♀️，即降低風險、轉移風險♊️、規避風險、接受風險。從以往的漏洞管理結果統計數據來看，部分老舊的網站遷移網站群👱🏻‍♀️，即轉移風險👩🏻‍🦱；對無人管理、風險高的系統進行關停和註銷，即規避風險🙏🏿。通過漏洞的閉環管理，目前學校95%以上漏洞都得到了妥善處理，信息系統的風險降低👨🏽‍⚕️。

　　信息系統漏洞治理實踐

　　信息系統漏洞風險高🧚🏻‍♂️、危害多，漏洞整改工作量大、有一定挑戰🥽，也占用了日常管理工作的大部時間和精力，漏泄治理已成為高校網絡安全工作的痛點和難點。如何減少信息系統漏洞是網絡安全管理工作努力的方向🙆🏼‍♀️，以下是學校減少漏洞的一些實踐。

　　製定《信息系統網絡安全基線》製度👛，明確學校的信息系統達到最基本的防護能力安全配置基準，供系統開發、管理、運維等部門和人員參考。根據分析👳🏼，多數漏洞是信息漏洞開發和管理不規範產生的🧙🏻‍♂️，安全基線是一個信息系統的最小安全保證。考慮實施情況和易於推廣，學校的信息安全基線從操作系統、數據庫🧚🏽‍♀️🥜、中間件🍄、應用軟件４個方面，滿足最小化安裝、身份鑒別、訪問控製、入侵防範🌺、安全審計、補丁升級等具體要求👩🏽‍✈️，與現行等保2.0的安全計算環境理念相一致。這個基線適合信息系統規劃👩🏽‍💼、設計、建設、運維等各個階段的網絡安全合規配置與檢查。通過製定安全基線🪤，為一線信息化管理人員提供了安全配置的最低標準和操作指南依據，明確了管理和運維人員的管理控製任務和責任💝。通過安全基線管理，可以將漏洞風險管理前移。

　　控製信息系統數量♦︎，減少漏洞來源載體🧖🏽‍♂️。從概率上來說，信息系統多漏洞也會多，所以控製系統信息數量也是學校漏洞治理工作的目標之一🏃‍♂️‍➡️。教育部在2016年發文要求🦞，對“自管服務器” “僵屍網站”“雙非系統”進行清理和整改。依照要求⛅️，學校關閉由各部門自行管理不在學校數據中心、未采取安全防護措施的多個服務器🥝；“僵屍網站”持續不斷監控合計清理🤷🏻‍♀️。網站群建設也是減少信息系統數量的措施，現已建立200個網站；已計劃將由信息化辦公室安排專門經費和人員配合，把符合條件的網站全部遷到網站群👨‍🦳。同時👱🏿，信息化辦公室根據學校的總體要求，新系統建設須做可行論證📟，要通過OA申請🙅🏼，各部門主要負責人、信息辦主管領導審批後方可建設📻，信息化辦公室嚴格控製系統建設經費，控製信息系統數量。經過以上治理和管製措施，目前信息系統的數量已減至高峰時的一半以下。

製作基於等保三級標準的操作系統加固模板。恒达平台2017年等保測評的7個信息系統的差距分析報告顯示🦻🏻，主機安全測評最高的43分，最低的21分🔝👭🏻，主機安全普遍存在安全隱患🚴🏼‍♂️↙️。操作系統是承載應用業務的基礎🕎，修復過程中可能會導致業務中斷或升級失敗等多種問題🗣，存在一定風險，是等級保護整改過程中的難點之一👰🏽‍♂️。學校在等保工作中探索出使用部署安全加固模板機後再對應用業務進行遷移的方式🙇🏻，完成信息系統的主機安全加固，此方法得到了測評中心肯定，為等保系統順利通過測評提供了解決方案🦻🚐。目前該方法推廣到數據中心所有新安裝的服務器，新上線系統的漏洞數量大大減少。

　　減少攻擊面💂🏻‍♀️，降低被攻擊的威脅。攻擊面是攻擊者可能利用應用程序的所有方式，不僅包括軟件、操作系統、網絡服務和協議，還包括域名和SSL證書🐈🤹🏿‍♂️。減少攻擊面就是關閉或限製對網絡、系統、軟件🦷、服務的訪問🐤，應用“最小權限原則”，盡可能分層防禦。首先，做好數據中心安全規劃，數據中心業務按功能可分為關鍵基礎設施🪜、運維監控、核心虛擬化、數據庫、一卡通、等保測評🧖🏻‍♀️、托管機房等區域，不同區域通過防火墻做好邊界隔離。比如數據庫區域采用白名單放行🏊🏿‍♀️，即使有漏洞，一般人和黑客也無法訪問，安全風險得到降低❗️。其次🧖‍♀️👨🏻‍🍳，做好訪問控製，根據業務和應用的安全級別製定相應的安全管理策略，比如運維、監控等重要業務推薦使用帶外管理，專用VPN等方式，重要業務系統須通過保壘機訪問🪑，網站後臺管理須限製校內等。第三🟦🔸，做好特殊端口限製訪問🤾🏽‍♀️，規定帶域名的系統僅開放80、8080、443端口👩🏿‍⚖️，沒有域名的只開非Web端口🧙🏿‍♀️；關閉了22🧒🏼、3389👨🏽‍🏫、135、139、445等容易被黑客攻擊的端口。減少攻擊面是網絡安全規劃時需要重點考慮的內容，“零信任”安全體系提供了很好的借鑒⚔️。

　　內網失陷服務器主動發現。失陷服務器是指被黑客攻破🤜、被控製的服務器🪃🏊🏿‍♀️，可能被盜取數據👩🏿‍💼、植入黑鏈，當做肉雞成為攻擊內網的工具🦏，危害很大、後患無窮。為此👶，一方面開發校內搜索引擎查找暗鏈，定期用網頁爬蟲抓取存儲校內的網頁🧑🏿‍🦰，用關鍵詞進行查詢😂，人工檢驗查詢結果，經過幾年的治理🈁，暗鏈問題越來越少♢。另一方面是搭建分布式蜜罐系統進行主動誘捕內網滲透的失陷主機💇‍♀️🚙，蜜罐作為一種主動防禦工具，是防火墻👮‍♀️👩‍🎨、WAF、IPS等被動防禦很好的補充，通過變換IP的方式🧪，使攻擊者真假難辯，讓攻擊者原形畢露🏃🏻‍♀️‍➡️，通過治理🍹，內網服務器的橫向移動攻擊現象也逞下降趨勢🪒。

　　開展信息泄露漏洞的專題治理👩‍🍳。信息泄露是近兩年校外通報排名較靠前的漏洞。隨著對數據安全和個人信息保護的重視，這類問題越來越多⏸，為此，我們做了兩方面工作🚖。首先是利用漏洞掃描工具找出存在泄露的信息🐘，有些信息泄露在掃描報告裏只是低微風險級別，確認後通報整改；另外是利用開源的爬蟲工具，抓取網站裏包含rar、zip、doc👨‍👨‍👦‍👦、pdf等文件名結尾的URL，人工下載打開檢查，找到有師生簡歷個人隱私的文件🤸🏼，以及項目科研信息🛃、文件源碼👨🏻‍✈️🛌🏼、數據備份信息等♏️，經確認後以直接發給系統管理不通報的方式整改。經過近兩年的信息泄露專題整改🪇👳🏻‍♂️，近期接收校外信息泄露漏洞的數量在減少。

　　借鑒安全開發生命周期(SDL)開發的框架，減少軟件的漏洞數量👨🏽‍⚕️。SDL（安全開發生命周期，Security Development Lifecycle）是由微軟提出的軟件開發的安全保障流程，將網絡安全考慮集成在軟件開發的流程中🧏🏼，在信息系統開發的培訓、需求分析🫴🏿、設計🚴🏼‍♀️、編碼🧑🏿‍🦲、測試、發布、運維等環節🤸🏼‍♂️，同步做好信息系統的網絡安全規劃和控製🙆🏼‍♂️。學校新建重要的業務系統👴🏻，遵循SDL框架進行開發和部署💅，漏洞數量明顯減少，安全缺陷也相對降低💁🏻，信息系統安全防護能力得到提升。

　　“千裏之堤🧑🏿‍⚖️，潰於蟻穴”，信息系統的漏洞就像蟻穴一樣，是高校網絡安全的威脅和隱患。信息系統漏洞是網絡安全工作的抓手，需要花時間和精力去發現和挖掘，通過漏洞的閉環管理，可以有效、妥善地處理漏洞，信息系統風險得到降低。通過製定網絡安全基線標準、控製信息系統數量、製作安全加固模板機🏄🏼、信息泄露治理😢、減少攻擊面策略、失陷主機的主動發現、實施安全開發生命周期等多種漏洞治理措施🙅🏿‍♂️，做好信息系統漏洞的事前👳🏽‍♀️、事中、事後的全方位管理🕑，從而減少信息系統的漏洞，降低校園網的安全風險，築牢校園網絡安全底線，提升網絡安全管理水平。

　　（本文刊載於《中國教育網絡》雜誌2020年9月刊，原標題《恒达平台：漏洞閉環管理降低信息系統風險》👧🏽，作者：林偉棟✍🏻、秦道祥，單位為恒达平台信息化辦公室🪓🧏🏼‍♀️；責編：樸藝娜）

鏈接：http://www.edu.cn/info/media/jsgl/wlaq/202009/t20200922_2014970.shtml