随着信息技术的快速发展,网络已经成为人们生活中必不可缺的一部分,与此同时,网络安全也引起广泛的关注。《中华人民共和国网络安全法》的颁布实施,更是从根本上、从法律上确定了网络安全的重要性。

随着高校信息化的快速迭代,高校信息系统建设亦如火如荼,以网上办事大厅、一网通办、移动门户等为代表的新兴应用,为师生提供了许多便利。

同时,网络安全管理责权不清、责任不到位,人员网络安全意识淡薄、程序代码编写不规范、网络安全防护手段不健全等相关问题也逐渐暴露,如何实现网络安全与信息化一体之两翼协同发展,成为高校信息化发展面临的难题。

在北京大学医学部网络安全管理的起步阶段,也曾遇到诸多问题。

首先,信息化资产数据不清楚,学校内部的网站和业务系统多且杂,从系统的基本信息到具体维护操作,相当一部分系统管理者不掌握,网络管理部门也不清楚具体情况。

其次,管理人员网络安全意识淡薄,许多系统缺乏必要的安全防护措施,系统不更新补丁,管理密码简单,如用户名与密码一致等。

再者,开发人员水平参差不齐,开发系统代码不规范,缺乏必要的网络安全防护考虑,SQL注入、跨站脚本常有,应用安全漏洞百出。

最后,网上攻击工具也越发智能,黑客攻击专业化水平整体提升,安全信息公开越发频繁,攻击更易上手。

上述所有问题,被攻击的入口便是漏洞,有了漏洞,也就给黑客们提供了进门的钥匙,如何尽早发现漏洞、修复漏洞,是网络安全人员防范网络安全事件发生的必备能力。

漏洞也是缺陷,网络安全漏洞(以下简称“漏洞”)就是在计算机系统的硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而使攻击者能够在未授权的情况下访问或破坏系统。

《信息安全技术安全漏洞等级划分指南》按照危害程度将漏洞分为超危、高危、中危、低危4种级别;国家信息安全漏洞库将漏洞划分为配置错误、代码问题、信息泄露、缓冲区错误、跨站脚本、路径遍历、注入、后置链接、跨站请求伪造等26种类型。

这些漏洞大多数都是由于开发人员代码不规范,管理人员网络安全意识淡薄造成的,所以,漏洞的处置需要管理和技术相结合,相辅相成,缺一不可,制定一套行之有效的漏洞管理处置体系也就成为当务之急。

Gartner漏洞闭环管理框架

Gartner是一家信息技术研究和分析的企业,研究范围覆盖全部IT产业。由于网络安全风险已经成为世界安全的重要组成部分,Gartner着力于网络安全漏洞的管理研究,充分重视“在安全漏洞被利用之前发现和修复安全漏洞的关键过程”。

2019年10月,Gartner发布了漏洞闭环管理框架2.0,将漏洞管理所涉及的人员管理、处置流程和技术操作看作一个连续的闭环周期(如图1)。

图1 Gartner漏洞闭环管理框架框架包括五个阶段,分别是:评估、确定优先级、采取行动、重新评估和改进提高,前期工作为整个流程奠定了基础保障。该框架强调漏洞管理和安全防护是一项持续的过程。

互联网时代,黑客攻击无法百分百被拦截,系统漏洞也不可能立刻完全消失,需要转变固有的安全防护思维,即从“应急响应”到“持续响应”,前者认为攻击是偶发的,一次性的事故,而后者则认为攻击是不间断的,要承认系统时刻处在被攻击中,并在闭环的管理中不断优化、不断改进、不断完善。

在前期准备工作中,确定管理范围、定义用户角色和职责是整个工作的第一步,梳理现有的网络信息资产,明确资产的重要性、用途和范围,确定资产的负责人及其职责,明确资产的来龙去脉,确定系统架构,清楚其操作系统、组件版本、开放端口、业务风险、合规性以及与其他系统之间的关联等信息,清晰完整的资产台账是漏洞管理的基础。漏洞评估工具也是漏洞管理的重要部分,选择适用的工具将会事半功倍。

Gartner漏洞管理流程5个阶段的主要内容如下:

1. 评估 评估就是识别资产、发现漏洞并确定漏洞真实性,无论是自行扫描发现还是通过其他途径发现的漏洞,要先确定发现漏洞的资产是否在资产范围内,再去验证漏洞的真实性。

2. 确定优先级 漏洞扫描工具往往会发现很多漏洞信息,需要利用漏洞优先级排序和自动化的工作流程来简化工作。根据优先级去处理问题,能够提升漏洞修复效率。漏洞优先级应结合资产重要性、漏洞的网络曝光度和漏洞严重程度等信息来综合评定。

3. 采取行动 采取行动即修复漏洞的过程。对风险等级高的漏洞要优先修复,其中修复难度较高或者不便处理的漏洞,也可使用其他方法先降低漏洞的风险等级,对于需要快速处理的漏洞,降低其风险等级通常是第一道防线,例如限定内网提供服务,但降低风险等级不代表漏洞消失,后续仍需要修复。

4. 重新评估 即重新验证漏洞,确定其是否修复成功。对于使用其他方法降低风险等级的漏洞需重新评估。

5. 改进提高 即对以上流程的总结和回溯,整理在本次流程中出现的问题并给出解决方法,避免下次出现相同的问题,形成更完善的漏洞处置流程。 管理者应定期统计分析漏洞处置的相关数据,掌握修复时长、修复率、扫描频率等情况,对策略进行优化,不断提高漏洞处置能力。

基于全生命周期管理的网络安全漏洞处置体系

为了防止漏洞被利用并演变为安全事件,提高学校网络安全防护能力,北京大学医学部参考Gartner闭环漏洞管理框架,结合学校实际情况,形成了一套基于全生命周期管理的网络安全漏洞处置体系。

简而言之就是:摸清家底,识别资产、明确责任,定义角色、风险评估,确定层级、处置先行,管理到位、循环检测、自我改进、深化提高、确保安全。

医学部网络安全漏洞处置体系本质上也是一个闭环管理,具体包括如下五个环节:

图2 医学部网络安全漏洞处置体系

1. 备案和资产确认

2017年6月,北京大学发布了关于加强网站与信息系统备案信息登记的通知,通过建立网络信息备案系统,掌握现有网站和信息系统资产,收集必要的资产信息,如:IP地址、操作系统、组件、开放端口、责任人、管理人等重要信息。

校园网出口严格执行白名单机制,备案系统登记通过,才能申请开通校外访问的权限,确保外网服务权限严格管控,避免漏网之鱼。

网络信息备案系统还收集了单位负责人和系统负责人的相关信息,明确了安全主体,责任到人。除此之外,备案执行年审机制,每年由系统负责人、主管部门对其负责的网站和业务系统进行自查,通过年审的,方可保持其服务的权限。

2. 漏洞评估

该项工作是漏洞管理的重要一步,漏洞评估包括发现漏洞、判别漏洞和确定优先级三方面。

北京大学医学部发现漏洞的途径分为内部自查和外部反馈两种。

内部自查包括新系统上线前安全扫描和在线系统定期的安全扫描。

为确保安全扫描的有效性,医学部选择了两种不同的漏洞评估工具对系统进行安全扫描,一种是扫描网站域名,另一种是扫描服务器IP地址。

域名扫描通过渗透的方式去发现应用层面的漏洞,针对性强。IP地址扫描能检测系统和应用版本、补丁情况、数据库版本等系统级漏洞,具备资产发现能力。

外部反馈则是接收校外漏洞检测平台的信息,目前北京大学医学部接收的网络安全信息来源包括教育行业漏洞报告平台、补天、北大本部等。

判别漏洞,首先要确定漏洞的真实性,以及漏洞是否属于备案资产。

对于内部自查的系统可以确定其在资产范围内,而外部反馈则需先确定是否学校资产,再去验证漏洞的准确性,验证成功的漏洞要截图留证形成报告,以便通知相关系统负责人。

漏洞优先级需要根据漏洞等级和其所在资产的重要性两方面来判定。

影响范围广或者用户量大的系统优先处理,例如学校主页、邮件系统、教务系统和全校服务平台等,危害程度高的漏洞必须优先处理,例如命令或代码执行、跨站脚本攻击、SQL注入等。

漏洞分级可让漏洞管理更加清晰有效,在漏洞处理时也更有侧重点,提高修复漏洞的效率。

3. 漏洞处置

网信中心在第一时间限定系统校内访问,并根据备案信息通过邮件通知负责人。

邮件内容会告知漏洞数量和危害等级,并告知已中断校外服务,附件中会添加《网站信息系统安全整改通知书》扫描件以及漏洞报告,并辅以电话通知,整改通知书有相关的网络安全法的条款和网信中心公章,以督促负责人增强网络安全意识。 系统管理员根据漏洞报告进行整改,对于修复时间长或者修复不彻底的系统,网信中心会给予一定的技术支持,帮助其尽快修复。

4. 漏洞修复和确认

系统管理员反馈漏洞修复成功后,网信中心将再次检测确认,并对该系统进行全面扫描,确定反馈的漏洞都已修复并没有新漏洞,经确认后,系统管理员需提交纸质版的整改回函和漏洞修复技术报告存档,整改回函需要二级单位领导签字并盖章,以督促单位领导和管理员重视网络安全,增强网络安全意识,强化网络安全责任感,提交后,该系统的校外访问权限方可恢复。

5. 改进提高

网信中心定期复盘漏洞管理的流程,改进遇到的问题,根据实际情况修改安全策略,调整漏洞评估工具的扫描频率等,对于网络上遭受攻击频繁、曝光度高的服务端口提前封禁,对于公开漏洞或者软件安全更新的补丁及时通知负责人,对于频繁出现漏洞的系统会增加对其漏扫的次数。

制定网络安全应急预案,在重保时期,除特定必要网站系统外,其他网站系统均限制在校内访问,业务部门有特殊需求,需党政一把手签署《医学部信息系统网络安全承诺书》,经检测无中高危漏洞后,方可在应急期间对外提供服务,承诺书明确重保时期的要求,为强化各单位对网络安全的重视程度,承诺书条款还明确:一旦发现中高危漏洞,承诺书自动失效,必须重新签署。

同时,为加强网络安全宣传,督促各单位领导引起重视,网信中心每月统计当月漏洞情况,发布安全月报,年初发布网络安全数据年报。

实践效果和总结

近年来,通过不断完善基于全生命周期管理的网络安全漏洞处置体系,北京大学医学部网络安全工作开展较为顺利,在各部门的配合和支持下,医学部网络安全事件处置得当,整体风险呈逐年降低趋势,业务部门人员的网络安全风险意识也得到了明显提升,漏洞处置流程进一步规范,漏洞管理能力逐渐加强,网络安全风险逐年递减,高危漏洞整体呈下降趋势。

通过近两年的漏洞数量和类型的统计数据,命令/代码执行等高风险漏洞数得到有效遏制,漏洞处置体系发挥了作用;技术层面的高危风险整体被遏制的同时,信息泄露类、安全特性类等风险,属于管理层面的漏洞不降反升,以往被忽视的管理层漏洞更被白帽子们重点眷顾,因此,进一步加强宣传和管理,强化管理人员的网络安全意识,是降低此类风险漏洞的必要手段。

表1医学部近2年网络安全漏洞数量和类型统计

全面加强网络安全检查,摸清家底,认清风险,找出漏洞,群策群力,监督整改是网络安全工作的基本手段,网络安全风险日新月异,被动防御只会越发滞后,安全事件将无法避免,转变思路,从被动防御转变成主动发现、主动防御,主动处置正在成为高校网络安全工作的新方向。

北京大学医学部也进行了一些尝试,通过建立网络安全态势感知系统,采集各类型日志,建立分析模型,对学校网络安全风险情况进行预测,进而实现提前预警。

网络安全无小事,风险防患于未然,安全事件无法预知,但风险却可以降低,风险越早发现,越早处理,安全事件也就越难以出现。

同时,一定要加强网络安全的宣传工作,网络安全不仅仅是网信部门的工作,更是全体师生的事情,系统建设者、管理者更要高度重视。

增强师生的网络安全意识,做好漏洞的事前、事中、事后的全生命周期处置管理,将显著提高学校网络安全管理水平,降低网络安全风险,进而防止网络安全事件的产生。

作者:赵雪捷(北京大学医学部网络安全与信息化技术中心)