高校具有一系列鲜明的特征:自由民主的教师、朝气蓬勃极具创新力的学生、高频次的学术交流国际会议、数不胜数的杂志期刊。这是高校的优势,但从网络安全角度来看也是高校突出的安全隐患和风险点。高校网站和信息系统是“小散乱”的重灾区,网络安全形势非常严峻。

伴随着国家网络安全相关法律法规陆续出台,上级部门对高校网络安全监管提出明确的要求。高校亟待建立行之有效的网络安全保障体系,全面提升网络安全防护能力。

高校网络安全形势和问题

近年清华大学信息系统的新建和升级改造增幅非常明显。总体看来,大体量、高增量已经成为高校信息化建设的一种常态。

高校的网络安全重保工作,除了两会、国庆等常规时间节点外,还有五四、招生、录取、报到、校庆等特殊节点。清华大学近年网络安全重保天数统计如图1所示,2014年到2019年网络安全重保天数增幅达到127.5%。

图1 近年网络安全重保天数

为落实网络安全重保,全校曾同步执行网络安全一级安保策略:在一级安保期间,校外访问的应用不允许上线或升级、不允许进行应用运行环境的调整。

以2019年为例,网络安全重保91天意味着全年1/4的时间不能进行信息系统更新或上线,势必会严重影响学校信息化建设项目的进度,造成网络安全需求严重妨碍信息化建设发展。针对这一问题,全校自2017年起调整网络安全应对策略,将一级安保与网络安全重保脱钩,采取加强保障体系和提升防护能力建设等方式,使网络安全工作主动为信息化发展“让路”。

目前高校网络安全管理存在两大矛盾:

  • 第一,国家和上级部门对网络安全监管力度日益增长与高校信息化建设自身发展需求的矛盾;

  • 第二,现代大学信息化建设投入日益增长与高校网络安全投入的矛盾,不仅是资金,也包括人力、资源和管理的投入。

应对这两大矛盾,高校信息化管理部门需尽快完成工作思路的转变:

  • 第一,工作重心从网络安全应急处置到加强日常网络安全建设的转变;

  • 第二,工作方式从单纯依赖采购部署安全设备到强化管理通过内涵式发展全方位打造防护体系的转变。

清华大学信息化安全保障体系

2018年,全校提出建立代号为“金钟罩”的信息化安全保障体系。作为网络安全的治理体系,“金钟罩”旨在通过内涵式发展,全方位提升全校网络安全防护能力。

信息化安全保障体系结构如图2。

图2 信息化安全保障体系结构

  • 顶部是网络安全顶层设计,包括网络安全发展规划和系列制度策略;

  • 两侧是提供的网络安全服务,左侧为网络安全监测和响应的技术服务,右侧为网络安全宣传和培训的管理服务;

  • 底部是网络安全保障的对象——信息化资产,为学校的备案数据;

  • 中部是网络安全管理,以信息化管理手段运用为保障,以开展专项行动的方式来提升信息化资产防护能力。

在“金钟罩”这一信息化安全保障体系框架下,近年来全校做出很多探索和尝试,推动十大网络安全策略的实施。十大网络安全策略分为五大管理类策略和五大技术类策略,参见图3。

图3 信息化安全保障体系十大网络安全策略

  • 管理类包括:网安工作体系建立、网络安全宣传培训、信息系统备案清查、全校电子身份年审、电子邮件安全治理;

  • 技术类包括:信息系统隐患排查、网安应急预案演练、信息系统强制备案、备案网站反向代理、全校域名一级解析。

其中,技术类策略的实施必须以管理类策略实施为前提和保障。

1.网安工作体系建立

建立工作体系通常需要确定“人、财、物”三件事。

  • “人”就是落实责任,全校通过网络安全系列文件颁布实施落实网络安全责任,明确党委书记和部门负责人为各单位网络安全第一责任人,各单位指定一名网络安全工作联络员,承担本单位网络安全日常管理和具体落实协调工作;明确信息办为网络安全工作的统筹协调部门、信息化技术中心为运维和技术支撑部门,两部门分工协作。

  • “财”就是落实经费,设立网络安全专项经费,实现学校网络安全工作小步快走、持续推进。

  • “物”就是落实办事环境,实现业务需求在线办理,保证网络安全备案和整改业务快速高效完成。

2.网络安全宣传培训

宣传培训目的是提升学校师生整体网络安全意识和个人防护能力,通过宣传培训的方式统一思想、取得共识,为网络安全技术策略的落实部署创造环境。在十大策略中,宣传培训是投入最小、效益最大的。对校领导要加强主动汇报、提升关注度;对二级单位主管领导要善于借用各种会议通报问题;对广大师生要主动把宣传培训送上门。

全校网络安全宣传培训采取长期和短期相结合的方式,既有组织开设信息化素养选修课程、推进网络安全系列网上课程、推送公众号小知识等长期活动,又有利用新生入校、全民国家安全教育日、国家网络安全宣传周等特殊节点,组织开展报告、赛事、巡展等短期活动。

3.信息系统备案清查

信息系统备案清查就是资产治理,摸清信息化资产的家底是认清网络安全风险的前提,是建设和打造信息化安全保障体系最基础的工作。

全校每年定期开展信息系统备案清查,该项工作使得学校信息系统备案资产清晰准确,许多未知资产通过清查纳入管理视野;通过清查减少大量僵尸网站,注销下线资产有效降低学校网络安全风险点;清查时同步采集资产信息,为网络安全事件的事前预防、事中发现、事后处置提供有效的数据支持。

4.全校电子身份年审

电子身份年审是加强学校统一身份认证平台的用户管理,检查弱口令,清理僵尸用户,设置统一身份认证防范暴力破解策略。全校从2017年开始,组织开展全校电子身份年审工作,每年近5万师生修改个人密码。该项工作本身要求并不复杂,但其安全效益非常明显。

5.电子邮件安全治理

电子邮件安全治理的目的是要进一步提高电子邮件的安全性,包括升级校级邮件系统和处置二级单位邮件系统。全校从2018年开始,为19家二级单位量身定制邮件治理专项工作方案,采用弃用原邮件系统迁移到学校、完善安全协议租用校外服务等方式,落实安全责任、用户分流、实名制、日志等网络安全管理需求。

6.信息系统隐患排查

信息系统隐患排查目的是及时发现信息资产面临的风险,未雨绸缪提前应对处置风险点,避免出现安全事件。全校的信息系统安全隐患排查主要有两个途径,一是校外安全通报,包括来自教育部、北京市、行业平台等有关部门通报;二是校内安全检测,每年春秋两季由学校主动发起对全校备案系统的网络安全检测。

两种途径发现的安全隐患通过《网络安全整改通知书》的形式由办公自动化系统(OA)下发到二级单位落实整改。根据漏洞严重性分为高、中、低危,对应的整改期限分别为5、10、15天,逾期将采取限制校内访问或者下线处置。为切实提高网络安全整改实效,全校将二级单位整改情况纳入该单位年终绩效考评。

7.网安应急预案演练

编制学校网络安全应急预案并组织演练,目的是通过检查,促进并提升网络安全团队应对和处置突发事件的能力。全校每年定期组织应急演练,通过针对网站被恶意篡改、校园网遭到拒绝服务攻击等场景的演练,不断完善和优化学校网络安全应急响应机制。

8.信息系统强制备案

信息系统强制备案是在信息系统备案清查基础上,在校园网出口实施白名单管理机制。从2019年9月起,全校在校园网内实施信息系统强制备案管理,凡未按要求完成备案的信息系统将被限制为校内访问。

该项工作极大提升了校园网入口安全,为顺利完成70周年国庆重要安全保障工作奠定了坚实的基础。该项工作技术实现较为容易,得以有效实施的前提是备案清查要全、补办审批要快。

9.备案网站反向代理

对备案网站实施反向代理,目的是建立集中的网站访问控制点,实现对网站集中管控和安全防护,原始服务器不需要直接面对用户,可大大降低安全风险。反向代理系统有Web应用防火墙功能,能阻断Web攻击,部署采取负载均衡,可靠性更强。

2019年,全校为对外提供Web服务的系统和网站统一实施反向代理,进一步加强对网站的安全防护、检测和响应,依托安全运行数据,提供安全事件分析挖掘和追踪服务。

10.全校域名一级解析

DNS作为一种以UDP为主的服务协议,攻击者很容易伪造受害者源IP造成DNS放大攻击, 造成网络瘫痪。2019年,全校完成二级单位自建DNS服务器清理,实现全校域名一级解析,从源头上杜绝DNS放大攻击。

网络安全工作千头万绪,高校面临的网络安全形势非常严峻,高校信息化管理部门需要有更多的责任和担当。所谓“技管并重、管理先行”,只有不断加强完善管理工作,才能为技术的落地穿针引线、铺路搭桥,为技术的实施部署创造更好的环境。

高校要致力于向内发力,通过内涵式发展,在有限的资金和人力的条件下,激发内生动力,解决信息化发展中的问题,建设和打造高校信息化安全保障体系,全面提升网络安全防护能力。

作者:刘沐 刘芳 戈金钟 贾欣妍(清华大学信息化工作办公室)

来源:《中国教育网络》杂志7月刊

声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。