清华大学网络安全管理模式及防范体系

2015-12-12 11:13兰洁赵鑫
中国教育网络 2015年12期
关键词:全校清华大学信息系统

文/兰洁 赵鑫

清华大学网络安全管理模式及防范体系

文/兰洁 赵鑫

随着信息化技术的高速发展,网络的普及应用深刻地改变了高校的日常教学、科研和管理方式方法;同时,高校对网络与信息安全(以下简称“网络安全”)的依赖程度不断加深,对各类数据和信息资源的安全也变得越来越敏感。本文试图从高校网络安全现状入手,分析梳理清华大学网络安全管理模式,并对完善高校网络安全防范体系提出相关思考,以期对高校网络安全管理工作提供借鉴意义。

高校网络安全现状

网络安全形势

一方面,网络的高速发展和深度应用增大了安全风险。随着互联网和信息技术以前所未有的深度和广度改变着人们的工作、生活、交流和消费模式,网络安全带来的风险也在迅速增大。在美国大学信息化联盟EDUCAUSE公布的年度十大IT议题(Top 10 IT Issues)当中,与安全相关的议题自2007年以来频繁入选,充分说明网络与信息安全已经成为高校达成使命和维持各项职能正常运转的必需保障。

另一方面,网络安全面临的威胁增多。伴随着网络技术的快速发展,危害网络安全的技术手段、人员规模、侵扰对象和造成的后果也在不断升级。同时,针对网络安全的各类技术防护手段普遍具有滞后性。杀毒软件、防火墙、入侵检测技术、虚拟入侵诱骗技术等各类技术防范手段,需要针对网络攻击的最新特点,进行破解和实时更新,往往滞后于网络破坏行为。

高校网络安全管理现状

图1 清华大学网络安全工作组织体系

第一,管理依据长期缺位。尽管互联网进入中国已超过20年,但迄今为止,我国尚无关于网络安全的正式立法。在强调依法治国的今天,包括高校在内的各级各类组织和机构在加强网络安全管理领域,都面临着无法可依的窘迫。同时,大多数高校在制度建设方面也极其欠缺,无章可循,靠经验办事的状况普遍存在。

第二,管理队伍勉为其难。一是管理力量不强。目前,高校的网络安全管理队伍中专职人员很少,在大部分的兼职人员的日常工作中,网络安全工作的占比也很小,客观上造成工作措施难以落实的局面。二是管理专业性不够。受限于现有的管理体制和人事制度,高校也很难吸引或聘用高水平的网络安全技术人员。

第三,防范意识普遍薄弱。目前,高校师生在网络安全意识上普遍存在两个“滞后”:一是对网络安全重要性的认知滞后;二是学习掌握基本的网络安全防护能力滞后。由此,给网络安全管理部门造成极大的工作不便。

清华大学网络安全管理现状

作为信息化工作起步较早的国内高校,清华大学在教学、科研、管理等领域的信息化程度高、用户多、数据总量大,特别是在国内外的较高知名度使其容易成为网络攻击的目标。这些因素都使清华大学对信息安全有着更高的需求。

网络安全特点分析

1.汇聚效应明显。作为国内外著名高校,清华大学受到国内外的广泛关注,易成为网络攻击的目标,攻击的目的或是为了获取更大的轰动效应,或是为了获取更有价值的信息资料。例如:2013年,美国国家安全局(NSA)前雇员爱德华·斯诺登(Edward Snowden)爆料称美国黑客曾入侵清华大学主干网络。且不论斯诺登所述的网络破坏行为给清华的校园网络运行造成什么影响,单就这番言论带来的负面影响就持续甚久。此外,一些网友遇有涉及清华大学的热点事件或话题时,也往往用网络攻击作为宣泄个人情绪的手段。

2.用户数量多、管理难度大。目前,清华大学共有19个学院,55个系;校园网用户群体包括1万余名教职工,3.5万名在校学生以及4万余名职工家属,再加上短期交换学生、培训学员等人群,共计近10万人的用户规模。所有这些用户分散在不同单位不同楼宇中,各单位网络安全管理队伍的规模和水平也参差不齐,使得日常管理难度较大。

网络安全管理体系

从2010年以来,清华大学针对网络安全管理工作头绪多、范围广、总量大的实际特点,围绕校园网、信息系统和个人终端三个方面,逐步建立了由组织体系、制度体系和技术体系组成的网络安全管理体系,基本涵盖了网络安全工作的主要方面。

1.组织体系

明确了网络安全的领导决策机构、管理部门、运营单位、使用单位和技术支撑部门的管理职责分工,将安全责任分解落实到具体的责任人,初步建立了网络安全工作组织体系。

在宏观决策层面,由学校信息化领导小组负责全校网络安全工作的宏观决策和整体部署。

在具体组织层面,由信息化工作办公室负责协调落实全校网络安全工作。

在具体执行层面,一方面,将原有的网络中心、计算中心和电教中心合并,成立信息化技术中心,为全校网络安全管理提供统一的技术支撑。另一方面,在学校各院系、各部门设置了网络安全工作主管和联系人,具体负责本单位网站和信息系统的安全管理工作,将安全责任逐级落实。

以此,构建了以信息化领导小组为核心,以信息化工作办公室为主导,以信息化技术中心为支撑,以各院系、部门具体责任人为抓手的网络安全管理体系,确保全校信息安全管理工作方向明确、协调有力、技术可靠、责任清晰。

2.制度体系

在制度保障方面,2011年9月,《清华大学关于加强网络与信息系统安全工作的指导意见》发布施行。作为当前清华大学在网络安全领域的最高级别指导文件,这份文件系统阐述了网络安全管理工作的重要性、指导思想、基本原则,制定了“确保学校网络与信息系统的安全稳定运行,支撑学校教学、科研和管理工作可持续发展”的工作目标以及相应的工作措施。随后,围绕着加强网络安全工作的各类规范文件

纷纷制定和修订完善,共包括队伍建设类、责任体制类、管理制度类、预案与应急响应类、技术类、工作记录类等六大类。

在机制保障方面,常态化的网络安全运行机制是保障网络安全工作体系正常运转、落实网络安全管理规范实施,发挥安全技术措施效用的有效和必要方法。目前,清华大学已初步完成网络安全常态化运行机制建设,包括信息系统登记备案机制、网络信息安全例行检查机制、信息系统安全准入机制、安全漏洞跟踪管理机制、网络信息安全分级运行机制、安全事件响应与通报机制等,有力保障了全校网络安全工作的有序开展。

3.技术体系

经过多年的探索和实践,清华大学在网络安全技术体系建设方面已有初步积累。2014年,在对网络安全的风险、需求进行进一步的细致梳理后,形成了网络安全技术体系规划,将全校信息化环境划分为校园网、信息系统、用户终端三个安全区域,针对不同区域建设防护、检测、响应三层技术措施,以提升各安全域的安全防控能力、安全监测能力和安全响应能力。

网络安全管理工作成效

1.日常网络安全防范能力有所提升。

得益于网络安全体系的不断建设和完善,清华大学网络信息系统总体安全性、网络安全漏洞响应能力、网络安全事件预警处置能力都得到了较大的提升。据统计,2014年,全校各级各类网站和信息系统存在SQL注入漏洞的比例和存在跨站漏洞的比例均比2010年下降了十个百分点;自2010年以来,网络安全事件数量也呈现连年下降态势。严密的组织架构和周密的工作机制使得近几年来爆发的重大网络安全风险(比如2014年OpenSSL爆出的心脏出血漏洞)未对全校信息化环境造成实质性威胁,确保了校园网络和信息系统的安全稳定运行。

2.确保了重大活动期间网络安全的万无一失。随着网络安全威胁的日益突出,各级部门对重大活动期间的网络安全保障的重视程度也越来越高。对此,每逢重大活动前,清华都从管理、技术、队伍三个方面对网络安全工作进行提前部署。例如,在今年抗战胜利70周年纪念活动之前,清华大学从五月份开始对全校登记备案的网站信息系统、核心服务器和网络设备进行全面的安全检查,扫描总量上万次,整改安全隐患上千个,对未整改的服务器和信息系统均采取了限制校内访问或暂停访问的技术措施。从2015年8月起,全校网络安全管理启动“超常”的一级防控预案,严格执行一级预案安全保障的各项要求,做好校园网与信息系统的安全检查、监控和24小时值守,坚持每日“零报告”制度,有条不紊地开展各项工作,保障了这一重大活动期间校园网络环境的稳定有序。

思考与建议

在前不久召开的第二次全国教育信息化工作电视电话会议上,中共中央政治局委员、国务院副总理刘延东同志在讲话中强调,“十三五”期间,要大力推进信息技术与教育教学、创新创业的融合发展。在这样的大背景下,加强和做好网络安全工作可谓是越来越重要。高校信息化建设面临的网络安全问题将进一步复杂化,已经建立起来的网络安全体系并不能一劳永逸解决所有的问题,高校必须根据实际情况,不断研究总结,探索出适合自身发展的网络安全管理模式。对此,笔者就今后的工作提出以下几个方面思考和建议:

第一,应探索建立校级网络安全服务平台。

建立面向全校师生和单位的网络安全服务平台,公布24小时服务电话,统一接收出现的网络安全威胁和事件的情况,提供线上咨询和线下处理的网络安全服务,定期或不定期地根据网络安全形势为个人用户终端或单位系统采取安全措施,加强安全防护,并有针对性地围绕重要人员、重要部门、重要系统提供系统安全监测和问题解决方案,提升高校整体的网络安全保障能力。

第二,应探索建立强有力的网络安全保障队伍。

网络安全管理,三分靠技术,七分靠管理,管理工作最重要的要靠人,可以根据不同的网络安全需要,建立相应的保障队伍。例如,可按社会化运作模式聘请专业的网络安全人才满足较高层次的安全需要,还可利用学校理工科的学科优势,通过勤工助学等方式建立一支学生网络安全保障队伍。

第三,应探索采用新方式、新方法强化用户网络安全意识。

相对于传统意义上的安全概念,网络安全的受重视程度还远远不够。高校可利用各种渠道,加强对网络安全重要性的宣传力度,不断增强师生用户的网络安全观念。例如,可将网络安全课程列入大一新生入学的必修课,可利用MOOC等新的教学方式来传授网络安全理念和防范手段等,还可定期举办网络安全讲座等等。

第四,应探索建立联合预警机制。

今年十月底,美国大学信息化联盟(EDUCAUSE)在对2016年度十大IT议题进行前瞻时,就明确将信息安全(Information security)列为首选。而面对层出不穷的网络安全威胁,无论是个人用户,还是高校,个体的力量总是薄弱的,只有加强联合与协作,才能更好地应对。期望能够在上级教育部门协调下,联合国家有关网络安全应急响应机构、各高校及各大网络安全技术公司,针对高校系统建立实时预警机制,遇有明确指向高校的网络攻击,或发现易在高校爆发传播的恶意软件、病毒时,第一时间通报高校并提供针对性、专业性的技术指导,形成合力,共同应对。

(作者单位为清华大学信息化工作办公室 )

猜你喜欢
全校清华大学信息系统
清华大学:“如盐在水”开展课程思政
企业信息系统安全防护
合伙教育,家校共育——在考试后全校家长会上的广播讲话
我的清华大学自主招生经历
基于区块链的通航维护信息系统研究
开会
信息系统审计中计算机审计的应用
趴 下
周仕达(山西文科状元):从全校200名上升到全省第一
基于ADC法的指挥信息系统效能评估