高校具有一系列鮮明的特徵:自由民主的教師、朝氣蓬勃極具創新力的學生、高頻次的學術交流國際會議、數不勝數的雜誌期刊。這是高校的優勢,但從網絡安全角度來看也是高校突出的安全隱患和風險點。高校網站和信息系統是「小散亂」的重災區,網絡安全形勢非常嚴峻。
伴隨著國家網絡安全相關法律法規陸續出臺,上級部門對高校網絡安全監管提出明確的要求。高校亟待建立行之有效的網絡安全保障體系,全面提升網絡安全防護能力。
高校網絡安全形勢和問題
近年清華大學信息系統的新建和升級改造增幅非常明顯。總體看來,大體量、高增量已經成為高校信息化建設的一種常態。
高校的網絡安全重保工作,除了兩會、國慶等常規時間節點外,還有五四、招生、錄取、報到、校慶等特殊節點。清華大學近年網絡安全重保天數統計如圖1所示,2014年到2019年網絡安全重保天數增幅達到127.5%。
為落實網絡安全重保,全校曾同步執行網絡安全一級安保策略:在一級安保期間,校外訪問的應用不允許上線或升級、不允許進行應用運行環境的調整。
以2019年為例,網絡安全重保91天意味著全年1/4的時間不能進行信息系統更新或上線,勢必會嚴重影響學校信息化建設項目的進度,造成網絡安全需求嚴重妨礙信息化建設發展。針對這一問題,全校自2017年起調整網絡安全應對策略,將一級安保與網絡安全重保脫鉤,採取加強保障體系和提升防護能力建設等方式,使網絡安全工作主動為信息化發展「讓路」。
目前高校網絡安全管理存在兩大矛盾:
第一,國家和上級部門對網絡安全監管力度日益增長與高校信息化建設自身發展需求的矛盾;第二,現代大學信息化建設投入日益增長與高校網絡安全投入的矛盾,不僅是資金,也包括人力、資源和管理的投入。應對這兩大矛盾,高校信息化管理部門需儘快完成工作思路的轉變:
第一,工作重心從網絡安全應急處置到加強日常網絡安全建設的轉變;第二,工作方式從單純依賴採購部署安全設備到強化管理通過內涵式發展全方位打造防護體系的轉變。清華大學信息化安全保障體系
2018年,全校提出建立代號為「金鐘罩」的信息化安全保障體系。作為網絡安全的治理體系,「金鐘罩」旨在通過內涵式發展,全方位提升全校網絡安全防護能力。
信息化安全保障體系結構如圖2。
頂部是網絡安全頂層設計,包括網絡安全發展規劃和系列制度策略;兩側是提供的網絡安全服務,左側為網絡安全監測和響應的技術服務,右側為網絡安全宣傳和培訓的管理服務;底部是網絡安全保障的對象——信息化資產,為學校的備案數據;中部是網絡安全管理,以信息化管理手段運用為保障,以開展專項行動的方式來提升信息化資產防護能力。在「金鐘罩」這一信息化安全保障體系框架下,近年來全校做出很多探索和嘗試,推動十大網絡安全策略的實施。十大網絡安全策略分為五大管理類策略和五大技術類策略,參見圖3。
管理類包括:網安工作體系建立、網絡安全宣傳培訓、信息系統備案清查、全校電子身份年審、電子郵件安全治理;技術類包括:信息系統隱患排查、網安應急預案演練、信息系統強制備案、備案網站反向代理、全校域名一級解析。其中,技術類策略的實施必須以管理類策略實施為前提和保障。
1.網安工作體系建立
建立工作體系通常需要確定「人、財、物」三件事。
「人」就是落實責任,全校通過網絡安全系列文件頒布實施落實網絡安全責任,明確黨委書記和部門負責人為各單位網絡安全第一責任人,各單位指定一名網絡安全工作聯絡員,承擔本單位網絡安全日常管理和具體落實協調工作;明確信息辦為網絡安全工作的統籌協調部門、信息化技術中心為運維和技術支撐部門,兩部門分工協作。「財」就是落實經費,設立網絡安全專項經費,實現學校網絡安全工作小步快走、持續推進。「物」就是落實辦事環境,實現業務需求在線辦理,保證網絡安全備案和整改業務快速高效完成。2.網絡安全宣傳培訓
宣傳培訓目的是提升學校師生整體網絡安全意識和個人防護能力,通過宣傳培訓的方式統一思想、取得共識,為網絡安全技術策略的落實部署創造環境。在十大策略中,宣傳培訓是投入最小、效益最大的。對校領導要加強主動匯報、提升關注度;對二級單位主管領導要善於借用各種會議通報問題;對廣大師生要主動把宣傳培訓送上門。
全校網絡安全宣傳培訓採取長期和短期相結合的方式,既有組織開設信息化素養選修課程、推進網絡安全系列網上課程、推送公眾號小知識等長期活動,又有利用新生入校、全民國家安全教育日、國家網絡安全宣傳周等特殊節點,組織開展報告、賽事、巡展等短期活動。
3.信息系統備案清查
信息系統備案清查就是資產治理,摸清信息化資產的家底是認清網絡安全風險的前提,是建設和打造信息化安全保障體系最基礎的工作。
全校每年定期開展信息系統備案清查,該項工作使得學校信息系統備案資產清晰準確,許多未知資產通過清查納入管理視野;通過清查減少大量殭屍網站,註銷下線資產有效降低學校網絡安全風險點;清查時同步採集資產信息,為網絡安全事件的事前預防、事中發現、事後處置提供有效的數據支持。
4.全校電子身份年審
電子身份年審是加強學校統一身份認證平臺的用戶管理,檢查弱口令,清理殭屍用戶,設置統一身份認證防範暴力破解策略。全校從2017年開始,組織開展全校電子身份年審工作,每年近5萬師生修改個人密碼。該項工作本身要求並不複雜,但其安全效益非常明顯。
5.電子郵件安全治理
電子郵件安全治理的目的是要進一步提高電子郵件的安全性,包括升級校級郵件系統和處置二級單位郵件系統。全校從2018年開始,為19家二級單位量身定製郵件治理專項工作方案,採用棄用原郵件系統遷移到學校、完善安全協議租用校外服務等方式,落實安全責任、用戶分流、實名制、日誌等網絡安全管理需求。
6.信息系統隱患排查
信息系統隱患排查目的是及時發現信息資產面臨的風險,未雨綢繆提前應對處置風險點,避免出現安全事件。全校的信息系統安全隱患排查主要有兩個途徑,一是校外安全通報,包括來自教育部、北京市、行業平臺等有關部門通報;二是校內安全檢測,每年春秋兩季由學校主動發起對全校備案系統的網絡安全檢測。
兩種途徑發現的安全隱患通過《網絡安全整改通知書》的形式由辦公自動化系統(OA)下發到二級單位落實整改。根據漏洞嚴重性分為高、中、低危,對應的整改期限分別為5、10、15天,逾期將採取限制校內訪問或者下線處置。為切實提高網絡安全整改實效,全校將二級單位整改情況納入該單位年終績效考評。
7.網安應急預案演練
編制學校網絡安全應急預案並組織演練,目的是通過檢查,促進並提升網絡安全團隊應對和處置突發事件的能力。全校每年定期組織應急演練,通過針對網站被惡意篡改、校園網遭到拒絕服務攻擊等場景的演練,不斷完善和優化學校網絡安全應急響應機制。
8.信息系統強制備案
信息系統強制備案是在信息系統備案清查基礎上,在校園網出口實施白名單管理機制。從2019年9月起,全校在校園網內實施信息系統強制備案管理,凡未按要求完成備案的信息系統將被限制為校內訪問。
該項工作極大提升了校園網入口安全,為順利完成70周年國慶重要安全保障工作奠定了堅實的基礎。該項工作技術實現較為容易,得以有效實施的前提是備案清查要全、補辦審批要快。
9.備案網站反向代理
對備案網站實施反向代理,目的是建立集中的網站訪問控制點,實現對網站集中管控和安全防護,原始伺服器不需要直接面對用戶,可大大降低安全風險。反向代理系統有Web應用防火牆功能,能阻斷Web攻擊,部署採取負載均衡,可靠性更強。
2019年,全校為對外提供Web服務的系統和網站統一實施反向代理,進一步加強對網站的安全防護、檢測和響應,依託安全運行數據,提供安全事件分析挖掘和追蹤服務。
10.全校域名一級解析
DNS作為一種以UDP為主的服務協議,攻擊者很容易偽造受害者源IP造成DNS放大攻擊, 造成網絡癱瘓。2019年,全校完成二級單位自建DNS伺服器清理,實現全校域名一級解析,從源頭上杜絕DNS放大攻擊。
網絡安全工作千頭萬緒,高校面臨的網絡安全形勢非常嚴峻,高校信息化管理部門需要有更多的責任和擔當。所謂「技管並重、管理先行」,只有不斷加強完善管理工作,才能為技術的落地穿針引線、鋪路搭橋,為技術的實施部署創造更好的環境。
高校要致力於向內發力,通過內涵式發展,在有限的資金和人力的條件下,激發內生動力,解決信息化發展中的問題,建設和打造高校信息化安全保障體系,全面提升網絡安全防護能力。
作者:劉沐 劉芳 戈金鐘 賈欣妍(清華大學信息化工作辦公室)
來源:《中國教育網絡》雜誌7月刊