本文原创:中国科学技术大学 张焕杰
修改时间:2018.06.12
高校信息系统需要支持学校种类繁多的业务,因此普遍存在大量的等保一级业务系统。 这些系统是网络安全工作中最难处理的部分。
这些一级业务系统数量众多,单个系统功能简单,多由校内业务部门分散建设。系统常 由不同的软件公司开发,采用的技术手段迥异。学校的系统管理员技术水平参差不齐,往往 需要依赖软件公司公司进行运维,运维流程不严谨。由于软件公司的技术人员变动快,文档 缺失,交接随意。
这些系统一方面运维力量不足,容易存在大量的安全隐患,另一方面部分系统存放有涉 及个人隐私的信息,存在隐私泄漏不可控的危险。因此这些数量庞大的等保一级信息系统的 存在,对高校的网络安全管理工作是极大的挑战。
从系统架构上看,这些系统由于功能简单,数据量不大,普遍运行在一台虚拟机内,虚 拟机充当了数据库 + 应用服务的功能,虚拟机内存放了数据库、程序、数据文件、日志文 件等四部分信息内容。在进行备份时,为了简化备份工作,往往对整个虚拟机做完整备份, 备份的有效信息少,效率低。
由于这类数量多,安全管理部门没有足够人力深入到业务系统的管理,缺乏有效的管理 手段,安全管理部门长期把这类系统当作“黑盒子”处理,采取责任转移的方法,由系统的业 务使用部门承担安全责任。业务使用部门很少有合格的系统管理员能承担起真正的系统安全 管理工作。最终的后果就是这些系统带着极大的安全隐患运行,给学校的网络安全管理工作 带来了极大的不确定性。
即使学校意识到这个隐患,试图通过服务外包的模式交由其他专业公司运维,也缺乏有 效的手段对运维过程进行控制,即使有运维也无法避免这些安全隐患。
为了有效管理这类等保一级应用系统,我们提出如下管理模式:
根据各业务系统数据库软件版本、功能需求、数据量大小,由学校信息化管理部门统一 规划、建设和运维若干数据库服务器,向各个业务系统提供一致的数据库服务。这些数据库 服务器由学校信息化管理部门集中管理,各业务系统仅仅使用即可。数据库服务器的日常管 理,特别是备份、安全管理等专业性要求较强的工作由信息化管理部门集中进行。这样一来 可以确保数据的安全性,避免业务系统被入侵或其他原因损坏后数据丢失的风险。集中建设 的数据服务器前可以增加数据库防火墙等设备,集中审计应用访问数据库的行为,极大增强 数据库的安全性。
所谓程序代码,指的是服务器上业务系统软件不常变化的软件系统类文件,包含可执行 程序、部分脚本化语言源代码、html、css、js 等静态文件。这些文件一般不发生变化,除 非业务软件更新升级才会有变化。在系统运行期间,这些文件发生了变化,如文件被修改, 增加或删除了文件,一般是系统被入侵引起的。
将程序代码文件纳入版本化管理,可以有效跟踪这些文件的变化过程,特别能在第一时 间得到被入侵后遭到修改的信息,对于提高系统安全性有极大好处。
具体办法是建立校内集中的版本服务器,如使用gitlab-ce。并要求各等保一级系统的
程序代码集中放置到版本服务器。此外,在业务系统中设置定时任务定时执行,检查相关目
录中是否有代码文件的变化,一旦有变化,通知系统管理员和安全管理员关注处理。如果是
正常的变更,将变更提交到版本库;如果是非正常变更,要查找是被入侵还是其他原因引起
的,针对性进行处理。
将程序代码文件版本化管理,可以有效记录程序变更历史,及时发现入侵事件。
业务系统中还存放有大量频繁变化的数据文件,最常见的是上传的附件文件。这些文件 相比程序代码变更比较频繁,随着系统的运行越来越多。大部分附件文件,是一些文档、图 片。这些文件,通过备份或复制机制,保存到稳妥的其他服务器集中存放。
[https://github.com/bg6cq/hbackup] 是一个正在开发的数据文件集中备份程序。它 使用文件的md5sum和长度识别相同的文件,相同的文件仅仅保存1份。
安全管理员定期对这些文件进行扫描审核,如果发现有程序或脚本文件,则要追踪文件 的来源,查看是否对系统运行有安全隐患。
将数据文件集中备份与审核,可以有效做好备份工作,并及时得到系统是否有安全威胁 的信息。
业务系统的运行日志,含www日志、应用日志,通常都存放在业务系统虚拟机中。一旦 虚拟机遭到入侵,入侵者往往会删除日志文件以便隐藏行踪。因此需要将日志直接远程记录 到独立的日志服务器或者定时转储到专用的日志服务器。
[https://github.com/bg6cq/translog] 是一个正在开发的日志文件转储程序。 它允许服务器通过认证后,已仅写的方式把日志文件上传到日志服务器。
转储的日志除了可以独立分析获取入侵信息外,还可以将多个系统的日志联合进行关联 分析,获取对学校的安全威胁。
对信息系统采取以上措施后,系统处于一个闭环运行模式:
数据库运维 ---> 程序代码提交 ---> 程序代码变更审核 ---> 数据文件备份 --->
<---- 日志分析 <---- 日志转储 <---- 数据文件审核 <---
在这样的闭环运行下,数据库、程序代码、数据文件、日志信息采取不同的方式针对性 处理,确保每个部分运行过程都做到可控,从而确保整个系统的可控安全运行。
欢迎 加入我们整理资料