APP下载

管理视角下的高校网络信息安全工作实践

2018-02-09于广辉李先毅

中国教育信息化 2018年5期
关键词:信息安全信息化建设

张 巍,于广辉,李先毅

(大连理工大学 网络与信息化中心,辽宁 大连116024)

“没有信息化,就没有现代化;没有网络安全,就没有国家安全”,习近平总书记对信息化和网络安全工作的讲话充分说明了党中央国务院已经把推进信息化建设、加强网络信息安全工作摆在了国家战略的高度。2017年6月1日开始施行的《网络安全法》是我国第一部全面规范网络空间安全管理的基础性法律,明确了网络安全与信息化发展并重的原则,对网络安全工作的违法行为做出了明确的法律责任界定。在当前国内外网络信息安全形势日益严峻的基本态势下,高校也不是一片净土,高校的网络信息安全工作已成为高校信息化部门不得不面对且必须主动开展的一项常规工作。

一、高校网络信息安全的主要问题

高校网络信息安全主要面临四个方面的问题:一是网络基础设施的安全,包括网络设备安全、安全漏洞、非授权访问、拒绝服务攻击等;二是网站技术和内容安全,包括网站篡改、暗链、非法指向、恶意注册、内容安全等;三是数据安全,包括非法采集、非法窃取、非法使用、非法篡改、工作疏忽泄露数据等;四是个人网络信息安全,包括个人PC防护、补丁升级、弱密码访问、钓鱼邮件、勒索病毒、恶意网站等。

二、高校网络信息安全工作的困境

高校信息化部门承担着繁重的信息化建设任务,同时也认识到网络信息安全工作是与信息化建设相伴而生,同等重要的工作,各高校也都在采取各种措施加强网络信息安全建设与管理,强化网络运行安全,保障数据安全。

高校信息化部门在开展网络信息安全工作中也面对诸多困境:一是工作压力山大,包括工作自身压力、上级监管压力、法律责任压力等。各高校信息化部门在安全人员普遍不足的情况下,要承担大量的日常安全管理工作,特别是在重大活动、敏感时期、节假日、大规模病毒爆发期间,以及《网络安全法》施行后法律责任认定方面,使信息化部门承担的压力更显突出。二是责权利不对等,信息化部门与业务部门职能定位不清。信息化部门一般作为学校的服务保障部门,管理权力有限,话语权有限,人力有限,但对网络信息安全却要承担无限的责任。尽管网络信息安全实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,但真正发生网络信息安全事件时,业务部门往往以“不懂技术”、“没有专职人员”为由躲得远远,信息化部门还是要承担一定的责任。三是信息化部门承担的岗位角色混淆。网络信息安全管理模式、体制机制模糊导致信息化部门对自己在网络信息安全工作中到底该做什么不甚清晰,同时担任着保镖、消防员、警察、法官等多个角色,执行每个角色都比较尴尬。

三、对高校网络信息安全工作的认识

高校网络信息安全工作的最根本任务是通过管理手段和技术手段降低安全风险,也就是进行网络信息安全的风险管理和控制。对于网络信息安全工作,我们要高度重视技术保障、技术防范,同时也要清楚地认识到漏洞和安全威胁是永远客观存在的,没有一项技术能解决所有安全问题,没有一个厂商能解决所有问题,没有一个一劳永逸的安全解决方案。网络信息安全工作归根结底还要靠信息化部门自己解决,技术解决不了的问题通过管理解决,管理解决不了的问题通过技术解决。在当前高校已经普遍配备各类网络信息安全防护技术设备的背景下,通过加强管理来提高网络信息安全防范水平就显得更为重要。

四、网络信息安全管理工作实践

1.组织保障

网络信息安全工作必须自上而下有一套完整的组织架构和人员队伍,这样才能在规则制定、安全防范、问题处理等各环节切实加强网络信息安全工作。大连理工大学成立的“网络安全与信息化建设管理委员会”由党委书记和校长担任主任,分管信息化、舆情安全、政治保卫安全的三位校领导担任副主任。委员会下设“网络与信息安全工作组”,由宣传部、保卫部、网信中心的负责人共同担任组长,负责全校舆情、政治保卫、网络信息安全工作的总体规划、规则制定、工作检查、网络信息安全事件处理与追责等工作。同时,学校各二级单位设有“信息化负责人”和“信息化专干”,分别由各二级单位主要负责人和信息化具体工作人员担任,负责本单位信息化和网络安全建设工作。

2.制度保障

推动网络信息安全工作必须制度先行。制度在规范工作内容、工作流程、明确责任等方面发挥着重要作用。大连理工大学近几年在加强网络信息安全工作方面陆续出台了 《网络信息技术安全管理办法》、《校内网站建设管理办法》、《信息化数据资源管理办法》、《信息化建设管理办法》等管理办法,从网络信息安全、数据安全、网站安全、信息化建设等方面做出明确规定和要求。

3.管理保障技术保障

加强网络信息安全管理是防范安全风险的有效手段。大连理工大学通过相关制度和管理措施明确了各项网络信息安全工作要求。

在网络基础设施和信息系统建设方面,学校由网信中心统一建设互联网出口,校内各单位及个人不得自行建设,不得私接外网出口;校内信息系统的建设必须依托于网信中心的数据中心,使用学校域名、IP地址;校内非数据中心IP不得提供互联网服务,特殊情况需审批,只能是用于科研需要且无法纳入数据中心的信息系统(不含网站);面向全校师生使用的校内信息系统必须实行统一身份认证,不允许出现多套用户认证体系;各信息化项目上线、验收前必须通过必要的信息安全检测;信息化项目建设应由专业的软硬件厂商按标准软件项目管理流程建设,不允许委托个人建设(特别不允许老师带学生建设);信息化项目合同模板中,明确要求承建厂商必须负责解决项目全生命周期内系统自身的安全问题;网络安全等级保护工作由网信中心组织协调,各单位具体负责;网信中心有权对网络安全事件进行处理,直至停止网络信息服务、追究责任等。

在网站建设方面,明确校内网站主要提供信息发布功能,各类应用系统应与网站分离;各类网站不得设置论坛、留言板等互动栏目;所有校内网站需统一管理,统一使用学校域名(避免非学校域名、非学校IP的“双非”网站出现);数据中心对非学校域名进行了技术处理,禁止发布非学校信息系统;校内网站必须依托学校网站群系统建设和管理,不得使用其他方式建设;校内网站如在技术和管理上有特殊需求,不能部署在学校网站群系统中,网站主管单位信息化负责人应签署《自建网站安全承诺书》,自行建设网站,承担网站的全部安全责任;校内网站全部登记注册,不再使用时需及时注销相关域名及服务,不得弃管网站等。

在数据安全管理方面,明确了数据共享的原则,即以全面共享为根本,不共享为例外,学校各单位可合法、合理、依规使用共享数据;全校性业务系统必须与公共数据平台对接,对接以接口方式为主要途径;公共数据平台可获取的数据,不得重复采集;加强数据管理和更新,严格数据管理授权,保留数据运维日志记录;数据资源共享分为普遍共享类、有条件共享类、不共享类三种类型(后两类应有明确的政策依据);各部门有权利根据履职需要提出信息化数据需求,同时也有义务提供共享数据;数据使用申请上,普遍共享类数据向网信中心申请,审批后提供;有条件共享类数据向网信中心申请,业务主管部门审批后确认是否提供;数据使用管理上按照“谁使用,谁负责”的原则,做好数据全过程管理,有疑问数据提交到数据产生部门校核修正;校内共享数据只能通过公共数据平台获得,不得在业务部门间以离线文件形式传递;个人隐私数据保护方面,所有数据采集须有明确用途,且师生个人应知情同意;使用数据资源应保护个人隐私,只能用于申请的授权用途;违反数据资源办法行为要追责等。

4.技术保障

技术防范也是保证网络信息安全的一项重要工作。管理工作无法解决的问题就要靠技术手段来解决,管理只有与技术有效融合、互相补充才能达到最好的安全防范效果。

大连理工大学一直采用 “最小化访问”、“零信任VPN服务”的原则来加强网络信息安全工作。校园网边界启用状态防火墙,默认只允许校内向校外单向访问,除数据中心和特殊审批的地址外均无法对校外提供服务;只对校内师生提供的服务,均不提供校外访问权限;校外访问校内资源只能通过VPN,大并发容量(2000个),集成下一代防火墙和攻击防护,只允许网页、电子邮件、即时通讯等应用;校内高风险端口访问隔离(445等);数据中心对校外开放特定端口(80、8080、443),数据中心对校内及数据中心之间关闭特定端口(3389、22、445、135、136、137、139);个别非数据中心服务及非标准端口开放服务需要经过审批,所有数据中心的应用需要经过安全评估后才允许上线(内部评测、外部评测);数据中心云平台进行统一的安全防护(WAF、无代理防病毒、虚拟补丁、包过滤防火墙、IPS);建立内部、外部运维审计制度,对校内校外运维工作都进行审计,内部关键业务逐步强制通过内部运维堡垒机运维管理,外部服务商必须通过外部运维堡垒机以口令+二次认证的方式登录使用;在重大事件、敏感时期等的应急响应技术部分外包给专业公司承担等。

在网站安全技术防范方面,所有网站必须在网站群平台搭建,统一生成静态页面发布,严格限制动态组件的使用,并开启防篡改功能;在服务器配置上,开发、管理、发布三套独立服务器分开,开发、管理服务器严格限制访问;发布服务器仅开80端口;网站群实行集群部署,保证负载能力和可扩展性;集群分区管理(学校主页、新闻网、二级单位网站);严格区分网站开发人员、网站管理人员权限,开发人员有开发平台权限,临时账号(非统一身份认证),网站管理员有管理平台权限(统一身份认证);网站开发、修改原则上都在开发服务器上进行,完成后由平台管理员导入管理服务器并发布,网站管理人员在管理服务器进行日常管理。

5.平台保障

为解决学校信息化无序和重复建设,避免低质量建设导致的安全隐患和问题,学校有必要建设一些信息化公共平台,统一进行安全管理,满足学校各单位、师生的信息化应用需求。

建设私有云平台,将分散的资源集中管理和部署,集中进行云平台的安全防护。学校不允许各部门购买应用级服务器,规定学校所有(不含科研)信息化应用必须部署在学校云平台中。大连理工大学在私有云平台建设中,将广义的基础设施(包括网络、存储、服务器、虚拟化平台、备份等)统一整合管理,统一进行安全管理[1],集中打包对内外部提供云主机服务,给用户完全的控制权限。用户通过云管理平台,可以自助申请,选择CPU核数、内存、存储以及操作系统后,平台自动为用户配置生成虚拟云主机。

建设网站群集群平台,将学校所有网站集中部署并进行分类管理。目前学校所有二级单位、学部、学院、研究所、实验室等网站已经全部部署到网站群集群中,有效地降低了网站安全风险和开发、部署及管理成本,同时也打通了信息共享渠道,为智慧校园信息整合打下基础。

建设教师个人主页平台,将全校教师的科研、教学、招生和学生等信息在平台中集中展示,平台的安全由网信中心统一管理。目前学校2000余名教师已经开通了教师个人主页,有效地避免了传统的由教师个人建设主页的技术门槛和管理成本,避免了教师个人主页建设的安全风险。

建设会议网平台,为学校各单位组织举办的国际国内各类会议提供一站式网站建设服务。该平台实现了会议中英文网站建设、会议信息发布、会议人员注册管理、网上论文投稿评审、住宿预订安排、会议缴费等功能。

建设调查问卷平台,用于学校各类问卷调查、数据收集、线上报名、投票评比等用途。平台具有在线调查问卷的创建、设计、预览以及结果分析等功能。

建设校内活动网平台,用于学校举办的各类报告会、学术讲座、论坛、各类活动的线上审批和网站集中发布,并可实现按活动类型、精品活动内容、按月、周、日查询等功能。

五、高校网络信息安全的未来方向

随着网络安全事件的不断爆发,全民网络安全意识和个人隐私保护意识的提升,高校网络信息安全工作未来将面临更大的挑战和压力。高校应充分认识到信息化建设和网络信息安全建设是一体之两翼,驱动之双轮,信息化建设水平越高,面临的风险和责任也越大,必须对网络信息安全工作给予更多的投入和更高的重视,将网络信息安全工作贯穿于信息化建设、信息化运维的全过程。同时,信息化已经进入数据时代,当前许多高校正在进行数据共享、公共数据平台建设,掌握大量数据的同时也集中了风险,数据安全、数据使用、决策支持、隐私保护等等问题已经触及了法律和伦理地带,需要高校信息化工作者带着对数据安全的敬畏认真思考,使数据在合法合规的前提下发挥更大的作用。

参考文献:

[1]于广辉,高山.大连理工大学重新定义校园云服务[J].中国教育网络,2015(10):22-23.

猜你喜欢

信息安全信息化建设
月“睹”教育信息化
月“睹”教育信息化
幼儿教育信息化策略初探
基于三级等级保护的CBTC信号系统信息安全方案设计
自贸区建设再出发
基于IUV的4G承载网的模拟建设
计算机网络信息安全及防护策略
《人大建设》伴我成长
高校信息安全防护
保障房建设更快了