文/董永苹 谢大纲
校园网应急处理流程应责任明晰
文/董永苹 谢大纲
哈工大完善了网络安全工作体系,按照 “谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位明确了网络安全负责人和网络安全员,确定了每个信息系统和网站的责任人和技术联系人。
哈尔滨工业大学建立了网络安全“一把手”责任制,学校信息化建设领导小组负责统一领导、统一谋划、统一部署全校网络安全和信息化发展,统筹制定网络安全和信息化发展战略、宏观规划和重大政策,研究解决网络安全和信息化重要问题。领导小组组长由学校书记和校长担任,主管校长担任领导小组副组长。
哈工大完善了网络安全工作体系,按照 “谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位明确了网络安全负责人和网络安全员,确定了每个信息系统和网站的责任人和技术联系人;学校还制定了相关的管理制度和应急预案,形成了网络安全工作实施方案,开展了网络安全综合治理行动,制定了网络安全工作任务清单;成立了网络安全工作组,提前预警,发现问题立行立改,提高了网络安全应急处理能力。
高校应建立健全网络与信息安全事件应急工作机制,提高应对重要时期应急响应的能力。在建立预案时,应综合考虑如下问题:
信息系统和网站服务闸口明晰
根据要求对信息系统和网站进行访问限制,只有满足要求的才能上线。各高校的网络结构不同,各信息系统和网站的访问限制要求不同,控制闸口位置也不同。因此信息系统和网站服务闸口位置必须明晰,操作流程必须规范,要能够满足高校管理需求。提前做好相关文档、责任落实到人,做到心中有数。
确定初始白名单
促进网站集约化管理,建议各部门网站信息系统部署在学校数据中心,集中力量实现网络安全一体化管理。
从制度上对校园开放的服务严格管理的同时,从技术上对校园网服务进行监控,对校园对外开放的具体服务做到心中有数。
确定白名单管理模式,即只有满足上线要求的信息系统和网站才能上线。白名单管理使得责任能够真正落实到人,有隐患必须关闭、必须整改。
学校门户网站、重要的信息系统和集约化管理站群一般建设力度大,安全管理严格。高校从这些信息系统和网站中按照上线要求选取初始白名单,为后续其他信息系统和网站进入白名单提供对照和参考。
确定进入白名单的流程和要求
进入白名单的系统,需要给校园网安全管理部门提供申请等相关材料,只有审核通过才能加入白名单。材料主要有:网络安全承诺书,做到责任落实到人;信息系统安全技术保障方案;信息系统安全事件应急处置预案;信息系统24小时值守方案及人员安排,落实安全值守制度;非“僵尸”信息系统佐证等。
设置专人负责检查以上材料,形成具体执行办法,做到域名、IP、端口等全方位管理,按期完成,做好相关测试工作。
职责分工明确
网络服务闸口和白名单管理模式明确后,具体工作需要明确,相关责任需要落实到人。要通知各单位在校园网安全管理部门审核通过前不得开放网站,做好网站的ICP备案、信息安全等级保护定级等管理工作;校园网管理部门对学校DNS无ICP备案域进行清理,对学校二级域名进行清理,对DNS记录中非校园网IP进行清理;进行校园网服务监测,对于无ICP备案网站进行清理。
防护措施不够完善的信息系统和网站,如果直接暴露于互联网中,极易受到攻击。针对此类网站,采取限制互联网访问措施,督促尽快加固、及时恢复上线。
校外域名指向校内IP,管理措施不到位,存在安全隐患,一旦有惩罚性措施,会牵连到同一IP的其他服务。这种情况应通知各单位自查,如有存在校外域名,而且安全管理措施不到位的,不仅会导致学校IP地址被封掉,而且还会引发安全事故,会被问责,因此这些网站需要各单位立即从源头上限制互联网访问。
做好分级的应急处理工作
校园网服务采用白名单管理模式,应在校内发布通告,让广大师生知悉;应成立网络信息安全保障工作组,加大值班和网上内容和信息安全巡查力度,重大时期24小时值班,加强校园网运行和内容安全监控,确保信息畅通,重大事项及时上报;信息安全检查和监管检测常态化,主动发现漏洞,不留死角;没有网络防护措施的区域,严格整顿,先下线再治理,数据中心要加强防护,关闭不必要的服务;建立网站、信息系统登记备案制度,保证在线服务责任到人,管理到位;及时发现网络与信息安全类公共事件,及时应对,及时报告,避免扩大事端。
做好突发情况下应对危机的准备
重大活动时期应急响应能否及时到位,平时就必须下功夫。学校要有预警能力和经验,有重大时期应急响应的技术和管理储备;要在平时的工作中,做好网站系统摸排,做到心中有数;要明确服务开关闸口,责任落实到人;只有这样,在重大时期,决策只要一定,立即就可以实施。
另外,遵从“同步规划、同步建设、同步运行”原则,在学校信息系统和网站的规划、设计、实施、运行等阶段确保安全,自觉地把网络安全贯穿于信息系统和网站建设和运行的全过程。在信息系统和网站的规划设计阶段,应形成安全方案,报网络安全管理部门审核。
此外,学校要做好信息安全等级保护,进行ICP备案,尤其是对保密要求高的学校。
信息安全等级保护管理办法由公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发。通过规范信息安全等级保护管理,来提高信息安全保障能力和水平,以维护国家安全、社会稳定和公共利益,保障和促进信息化建设。
高校要按照规范定级原则,根据其信息重要程度和敏感程度以及自身资源的客观条件,按标准确定信息安全管理要求的相应等级,并在履行相应的审批手续后,切实根据相应等级的规范要求,制定相应的安全策略,并认真实施。
国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的,不得从事互联网信息服务。高校作为非营利性组织,提供的互联网信息服务是非营利性的,需要对这些服务进行备案。
因为学术会议、国内外交流等需要,学校往往在官方域名、官方网站之外,还产生其他域名和网站;学校一些师生个人申请了域名和网站,部署在校内。这些都多少存在没有严格执行备案制度的情况。现在互联网信息服务备案制度执行严格,没有备案的,域名和IP都需要停止服务。学校存在一个IP部署多个网站域名的情况,一个IP服务停止,会造成大量服务停止。学校域名指向校外,管理措施不到位,也会导致网络安全问题。
因此,学校需要做好网站域名ICP备案日常工作,对学校信息系统和网站加强管理,按照“先排查后清理”的原则进行具体工作部署。
首先,加强学校DNS服务管理工作,对于校内域名使用校外IP、校外域名使用校内IP等特殊情况,做到有案可查,尤其要把校内二级域名纳入学校统一管理;
其次,需要借助技术力量,对校园网服务进行摸排,梳理校园网上运行的信息系统和网站,真正做到心中有数。
此外,建立校内外安全工作联络机制,平时就要加强校内外安全联动,进行信息安全共享,主动接受上级部门管理监督,在重大活动时期发挥集体智慧,为学校安全保驾护航。
(责编:王左利)
为哈尔滨工业大学网络与信息中心)