陈军 山东大学信息化工作办公室副主任
高校的网络安全工作一直存在很多问题,原因通常主要有以下几点:
一是网站多由个人或小团队开发,技术薄弱、安全漏洞多,没有维护人员,处置不及时;
二是虚拟主机系统环境版本低,受部分网站无维护人员限制不能升级,操作系统多是Redhat9.0、AS2.1、AS3.0、CentOS4.X等;
三是校园网边界基本不做访问控制,校内上网设备使用公网IP,便于端到端攻击;
四是信息化人员不足,WAF部署后没精力持续优化策略,没有充分发挥其作用;
五是二级单位网站安全意识弱、学院机房自管网站几乎没有安全防护措施,主要表现在分管领导不重视、不抓网络安全、出现问题处理慢,网站管理员只负责发布新闻工作;
六是部分用户安全意识弱,弱密码严重,特别是一些信息系统的管理员,密码采用非常常见的热密码,很不安全;
七是自身安全问题重视不够;
八是安全管理力度弱,安全漏洞处置进度慢、时间长。
网络安全管理措施
山东大学针对以上问题,从顶层设计、组织体系、制度建设、基础措施等四个方面进行了相应的工作。
在顶层设计方面,学校发文成立涵盖政治安全、公共安全、消防安全、安全生产、网络信息安全、反恐防恐等职能的学校安全工作委员会,负责统筹学校(三地八校区)政治稳定工作和各类安全工作的组织、谋划、指导和监督实施。
学校安全实行总体规划、统筹协调、协同配合、分级负责的机制,坚持“党政同责、一岗双责、失职追责”,坚持“ 谁主管、谁负责,谁使用、谁负责,谁组织、谁负责”,逐级签订安全责任书。
在组织体系方面,学校成立了安全工作委员会,下设网络安全和信息化工作组,由信息化工作办公室负责牵头,协调各职能部门与各院系、中心所等单位开展网络安全工作,同时每个二级单位都下设有兼职网络安全员。
建立安全队伍,信息办人员都是安全员。在校内二级单位设置网络信息安全负责人,由职能部门、院、所、党、政一把手担任。根据各二级单位规模,设置网络安全员,具体负责执行日常管理、监控、工作落实等工作。同时建立安全工作群,成员有141名。
在制度建设方面,从学校层面制定了《关于加强和改进学校安全稳定工作的意见》,发布了网络安全管理办法,督促各学院建立自己的网站系统管理办法与应急响应预案。
在技术措施方面,首先,购买多家安全服务以解决人手不足问题。第二,将网站全部迁入网站群,关闭虚拟主机系统;采取宣传动员的做法,同时学校承担迁移费用;针对不愿意迁移的网站,采取重要时期有问题网站做访问控制,不允许校外访问,或者严重的实施断网,倒逼存在问题的网站进行迁移。如此,通过这两个措施,一是正向激励,一是反向督促,促进各单位积极向网站群迁移。第三,在校园网边界设置白名单,关闭端口,比如Web常用端口、远程桌面、SSH端口、常用数据库端口等。第四,师生从校外通过VPN访问校内资源。第五,投入人力持续优化WAF策略。
在漏洞处理方面,通过OA系统,处理流程追踪进展,还可以通过微信群直接通知相关领导与安全员。在重要时期保障前进行网络安全检查(漏扫、渗透测试),查出安全问题及时整改,并且重要时期还要进行应急预案的演练。加强弱密码治理,消除弱密码(重要信息系统提高密码强度,强制用户更改密码)。
做好备案工作。登记各单位信息系统(网站)基本信息,建立校内信息系统(网站)数据库;治理双非网站、僵尸网站;清理僵尸、失效主机名,通过整理清单、网上公示、判定无效后进行清理。
重要时期加强管理,如上合峰会期间强化管理,多轮扫描办公区IP,排查、处理未登记Web服务器,每天在校园网边界更新IP地址黑名单,每天调整WAF策略。在关键时间点临时封存风险IP、疑似攻击IP,临时限制问题信息系统校外访问。
加强校园网敏感信息清理。购买CA证书,重要信息系统,比如校园卡系统、OA系统、邮件系统启用HTTPS;落实6个月日志存留(应用级、系统级),购置微软软件提供学生使用,提高正版化率,减少个人电脑肉机数量。同时加强兄弟学校之间协同协作。
在采取以上措施后,学校取得了一定成绩,但在实施过程中也遇到一些难点,表现在工作不受重视、二级单位支持度低、网络安全管理工作推进较慢。我们的方向是加强工作力度,但加强工作力度不可避免要得罪人,导致有些工作就此搁置。基于此问题,我们采取借助三个“东风”的方式有效化解了以上问题。
在2017年8~9月,对于网络安全漏洞各单位不重视、处理慢、时间长,也不重视信息办的漏洞处置要求等问题,借助“东风”一:教育部在“十九大”期间发布网络安全保障通知,要求除主要网站外,其他网站都不允许校外访问,发现问题问责。学校采取三大措施:经检查确定没问题的网站/信息系统允许校外访问;有问题网站限制校外访问或断网;有问题信息系统8小时外限制校外访问。通过“十九大”期间持续近一个月的安全保障,提高了部分单位领导抓网络安全的意识。
在2018年两会保障期间,部分单位仍然存在安全意识薄弱、处理不及时的问题。在这种情况下,借助第二个“东风”,公安部门在青岛上合峰会期间要求网络安全保障不出问题,同时学校安全风险管控力度加大,成立安全工作委员会、签订安全责任书,问责力度加大,领导责任意识增强。我们采取了20年来山大最严格的网络安全管理措施,多轮全方位安全检查,立查立改。收到成效是二级单位领导安全意识普遍提高;各二级单位认识到信息办安全治理动真格是新常态,安全管理工作开始顺畅。
但好景不长,2018年6月,学校进行中层领导轮岗调整,新提拔一批年轻干部,学院办公室主任全部进行更换,部分新任网络安全分管领导安全意识弱,单位安全管理放松、问题处理不受重视、不及时问题抬头。于是借助第三个“东风”:教育部网络安全现场检查,安全检查反馈结果后要立即整改。
学校采取了三轮漏洞自查及处理,督促二级单位建立网络安全管理制度并落实责任人的措施。经过整改,新任领导加强了网络安全意识,问题处理及时,网络安全管理开始重新顺畅。总结分析,通过三个“东风”采取强力措施是工作成功的关键因素。网络安全等级保护将会是一个持久东风,各高校可以借助等级保护东风加强网络安全的管理工作。
工作中的认识
一是对教育部、公安部安全管理的认识。在日常工作中面对教育部和公安部两个部门的检查,为了能减少工作量同时提高效率,山东大学对这两部分的情况做了梳理,如图1所示。学校认识到,等保是核心工作,做好等保安全管理事半功倍。二是对《网络安全法》和等级保护的认识。通过对国家网络安全法和等保制度的深入学习,认识到不做等保后果很严重。三是变被动为主动,积极主动推进等保工作。
图1 教育部、公安部安全管理流程
今后山东大学网络安全的主要工作也将会在推进等保工作方面开展。继续推进向网站群迁移,特别是二级单位机房自管网站。同时多部门协同,发挥职能部门的作用,重点突破教学、科研实验室网络与信息安全。
每年的常态化工作,包含每年两次网络安全大检查,重要时期保障前开展网络安全检查,每年一次登记、更新信息系统(网站)信息数据库,清除双非、僵尸网站。学校今后还将进一步加强弱密码治理(信息系统侧异常登录处理);加强运维审计管理;扩大HTTPS覆盖率;加强生物识别信息管理以及IPv6环境下网络安全管理等。
(本文根据山东大学信息化工作办公室副主任陈军会议报告整理。原文刊载于《中国教育网络》杂志2019年2-3月合刊)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。