◆魏楚元 任彦龙 李欣
高校网络安全治理体系构建研究
◆魏楚元 任彦龙 李欣
(北京建筑大学信息中心 北京 100044)
高校网络结构复杂、网络用户数规模大,一直是网络安全防范的主要阵地。本文全面分析了高校存在的网络安全问题和薄弱环节,创新提出高校网络安全治理体系,从安全策略规划、安全管理、技术体系、风险治理、运行运维和治理能力六个维度进行了阐述,最后给出了网络安全管理工作的主要措施。高校网络安全治理体系的构建,对解决高校网络安全问题提供了解决方案,为高校网络安全工作提供参考。
网络安全;等级保护;网络安全治理体系
近年来全国高校纷纷提出建设“智慧校园”的目标,在制定信息化发展规划时将网络安全管理作为一个重要的内容考虑进去,并且对照等保1.0标准进行了部分建设,在网络安全建设方面形成了一些思路和做法,网络安全管理水平较过去有较大幅度提升。但是应该清醒地认识到,高校网络安全工作还存在不少深层次的问题仍然得不到解决,与高校信息化建设发展节奏不匹配,重建设、轻安全的局面依然存在,高校网络安全管理工作不能形成一套治理体系来予以推进。网络安全和信息化工作必须两手抓,两手都要硬,网络安全工作要放在信息化建设中的首要位置加以考虑,重点建设,才能更好地促进高校信息化建设工作有序推进与良性发展。
高校网络安全工作存在的问题,既有管理体制机制方面的问题,也有政策制度执行不力的问题;既有管理队伍人才建设的问题,也有技术实力不够的问题;既有网络安全意识不强的问题,也有网络安全被动防御的问题。总体来讲,高校缺乏行之有效的网络安全治理体系,未能形成规范的网络安全管理流程,在网络安全管理与技术防范上形成合力。
高校普遍建设有校园网和若干信息系统,可以统称为网络平台。保障信息安全是网络平台运营者最基本的责任。高校网络安全管理关键在于压实主体责任,《网络安全法》将网络平台主体责任进行了详细的类型化,将数据安全的主体责任落实到包括政府、企业、组织和个人等多方层面。毫无疑问,网络平台是网络安全体系的核心和基本抓手,平台是所有用户的连接点,是所有网络服务的承担者,是数据信息的存储者,是用户权益的直接保护者。网络平台是保障网络数据安全的第一道防线,是网络安全的第一责任人。网络平台是网络安全体系的直接执行者和落实者,这也就构成了网络平台主体责任中的信息安全责任范畴。当前高校网络安全管理的现状是,学校普遍设置有网络安全和信息化领导小组,党委书记和校长任组长,网络安全和信息化领导小组办公室的工作职能基本上在信息办或信息中心,实际上学校的网络平台建设更多分散在各个职能部处、二级学院和直属单位。网络安全面临的现实问题是“各个二级单位都建设有网站、信息系统而普遍缺乏对网络安全的管理,普遍依托系统开发商进行维护”,“谁主管,谁负责;谁主办,谁负责”更多体现在“网络安全事故发生后的处置,而不是事前主动履行网络安全主体责任”。高校基本上依据上位文件和法规制定了《学校网络安全管理办法》等基本制度,但是这些规章制度没有从顶层进行系统性设计,对网络安全管理的责任、权利、义务、处罚等未形成系统性、操作性强的条款,规章制度不系统、不完善、针对性不强,在网络安全管理过程中很难依法依规执行。有的高校建设网站和信息系统多达数百个,涉及校内外多个业务部门和多个管理领导、维护人员,甚至有不少业务部门认为网络安全的责任就应该由信息办或信息中心承担,从这种现实情况也可以看出各个业务部门普遍缺乏对《网络安全法》的学习,也对网络安全主体责任认识不清晰、网络安全意识不强,在实际工作中往往成为网络安全工作的阻力而无法形成齐抓共管的工作合力。
因此,高校关于网络安全管理体系的一系列制度规范、工作队伍、资源保障、经费投入、督察机制、安全素养培育、技术防御体系等方面的工作,并未形成体系化的工作框架,难以落实网络安全主体责任,不能形成网络安全建设的管理的系统性任务清单,也就无法做实网络安全保障工作从而提升校园网络安全的管理服务能力。
学校在信息化建设过程中,应该将网络安全防御体系作为一个重要的抓手来促进建设。当前高校面临的局面是网络安全工作“头痛医头、脚痛医脚”,网络平台管理者并不清楚学校网络平台的拓扑架构、网络安全架构,尽管部署了部分防火墙、入侵检测系统、入侵防御系统等网络安全设备,但是对设备运行的情况及存在的网络安全隐患了解并不深入,更谈不上形成灵敏的网络安全态势感知。长期以来高校网络安全工作处于被动的局面,即上级单位监测出什么漏洞就补什么漏洞,存在什么问题就整改什么问题。究其原因,一是在于学校对网络安全防御体系的不了解,领导提出“网络安全的底线是不发生网络安全事故”,而信息中心对这一目标的完成是“力不从心”;二是在于学校网络安全尚未形成明确的工作思路,也没有建立学校网络安全治理的战略和总体安全策略。在网络安全防御体系建设方面,显然缺乏清晰的思路,导致学校网络安全工作缺乏章法,无法对学校网络安全工作的愿景、目标、策略、范围、技术路线和支撑体系形成一套完整的工作体系并且付诸实践。
随着信息技术的广泛应用,网络已经成为高校师生群体工作、生活、学习不可或缺的工具,网络越来越成为师生交流的新空间,每日的活动已经完全离不开网络。信息技术和网络的快速发展应用在极大促进经济社会发展的同时,也带来各种新的网络安全问题。为进一步普及网络安全知识,营造安全、健康、文明的网络环境,切实维护国家网络安全,全面提升广大师生的网络安全意识和安全防护技能,近年来学校依托国家网络安全宣传周等活动,大力开展网络安全宣传活动,大幅度提升了师生网络安全意识。实际上,很多师生对网络安全防范普遍不足,大部分处于被动地位,尤其是大量APP应用的推广,师生普遍安装了种类繁多、五花八门的APP应用,但对其实际安全风险并不知情。从某种程度上看,网络安全知识普及和安全意识教育却严重滞后于网络的快速发展。缺乏安全防护意识,网络诈骗信息、不明网络链接、电子邮件恶意链接、不设或简单设置口令密码等,常常导致用户信息泄露滥用、病毒木马大面积传播、不良和违法信息蔓延、网络攻击和网络诈骗、涉及师生信息的数据私下传播或泄露等网络安全事件时有发生,严重侵害师生的信息安全和财产安全。
高校网络安全很大程度上面临人员短缺的问题。高校基本上建立网络安全三级工作体制:网络安全和信息化领导小组、信息化办公室(信息中心)、信息系统管理单位(信息系统管理员),实际上技术人员分布在信息化办公室(信息中心),技术人员中从事网络安全研究的凤毛麟角,接受过CISP培训的专业技术人员比例也很少。就目前网络安全面临的形势而言,网络安全技术队伍远远不够,难以胜任或满足学校网络安全工作开展的需要。
针对高校网络安全面临的形势和存在的问题,本文探索建立一套高校网络安全治理体系,旨在为高校网络安全工作提供一个参考性的建设框架。
网络安全治理可以定义为:所有为提高网络安全防护水平而制定的政策、规范、标准以及展开的业务、技术和管理活动都属于网络安全治理范畴。网络安全治理的目的就是通过有效的网络安全管理手段,进行主动网络安全防御,以提升网络安全防护水平进而提升网络安全的能力。高校网络基础设施结构复杂,用户群体量大,网络安全风险源繁多,网络安全管理能力相对较弱。必须从学校实际情况出发,从总体安全策略、制度规范、防御体系、技术队伍、教育培训、应急演练等各层面入手,建立“党委(党组)领导、信息中心主导、各方履行主体责任、主动监测和防御”的网络安全治理体系。网络安全治理体系的建设是一项系统工作。制定高校网络安全治理体系必须结合《网络安全法》、网络安全等级保护2.0标准和上位文件,综合研究制定适合于高校实际情况的网络安全治理体系。
本文设计提出高校网络安全治理体系的主要内容,从安全策略规划、安全管理、技术体系、风险治理、运行运维和治理能力六个维度进行展开,如表1所示。
表1 网络安全治理体系
(1)安全策略规划。高校网络安全工作一定要进行系统性的规划,制定相应的安全策略。安全策略是指在一个特定的环境里,为保证提供一定安全级别的安全保护所必须遵守的规则。先进的网络安全技术是网络安全的根本保证,严格的安全管理是确保安全策略落实的基础,严格的法律、法规是网络安全保障的坚强后盾。随着应用环境的不同、实施客体的不同、指定阶段的不同,所使用的安全策略都将有所不同。网络安全策略按适用对象可分为:网络规划安全策略、管理员策略、网络用户安全策略和安全架构策略等;从技术防范层面上又可分为物理安全策略,访问控制策略,防火墙控制策略、信息加密策略和网络安全管理策略。高校在制定网络安全策略规划时,必须细化这几种具体的策略,尤其是制定安全架构策略至关重要。
(2)安全管理。网络安全管理是指通过有效的安全管理手段保护所管理信息资产系统包括网络平台的硬件、软件及其系统中的数据,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。俗话说,“三分技术、七分管理”,凸显网络安全管理的重要性。既然提到管理,有效的方式是建章立制,建立完善的安全管理领导组织机构,根据单位业务情况并结合安全管理实际建立安全管理制度、操作流程规范、记录表单的安全管理文件体系,并按照安全管理体系要求严格执行。首先必须要盘点清楚所管辖范围内的信息资产,信息资产的管理包括关键信息基础设施、校园网、一卡通系统、所有的信息系统以及物联网设备等等,信息资产台账建立是明确在网内网外、不同的网络之间运行的情况以及安全防护措施。对所有信息资产必须要参照信息系统等级保护2.0标准进行定级、备案、整改和测评,确保按照等级保护标准进行安全建设和管理。在安全管理环节中,要十分注重技术队伍建设,组织安全培训,组织机房、系统、网络、应用和安全管理人员负责信息系统的日常管理工作,加强对业务人员和安全管理人员的安全意识和技能的培训。安全管理是一项系统性的工作,是网络安全治理的深化、执行,加强网络安全过程性管理,只有严格的管理措施,只有按照规范标准进行安全管理,才能减少或者不发生网络安全事故。
(3)技术体系。技术体系是网络安全工作关键所在,技术水平决定着网络安全水平。网络安全技术体系首先要规划设计好网络安全架构,以某个单位的网络出口为边界,区分好外网、内网、数据中心区域、用户终端区域等不同的安全策略、安全架构设计,基于安全架构设计一套主动防御体系,通过可信计算、安全控制等技术手段,增强网络安全防御上的主动性。在技术体系环节,重点要做好四个方面的安全:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。物理和环境安全机制包括设施位置的设计和布局、环境组件、应急响应的敏捷性、培训、访问控制、入侵检测以及电力和火灾防范等诸多方面;网络和通信安全进一步强调了对网络整体的安全保护,具体包括“网络架构”、“通信传输”、“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“通信传输”、“安全审计”和“集中管控”,对通信线路和关键网络设备硬件必须达到冗余要求;设备和计算安全要求提升节点设备(网络设备、安全设备、服务器和终端等)自身的安全保护能力。通常通过安装支撑性系统软件(操作系统、数据库系统和防护类软件等)并启用相关安全配置来实现。应用安全是保障应用程序使用过程和结果的安全;数据安全是保障数据的可用性、完整性和保密性,再经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。设计行之有效的技术防御体系,包括防火墙、入侵检测/入侵防御系统等设备采用,从技术上保障各个维度的安全,是网络安全治理工作的关键所在。
(4)风险治理。网络安全治理的目标是要将网络安全的被动转化为主动,必须要加强事前管理,其中最重要的是事前风险监测与评估,提前发现漏洞,提前升级完善安全措施,才能极大程度上降低安全风险。因此,网络安全治理要高度重视风险监测评估,这个环节要作为网络安全管理过程中的重要工作,在治理过程中予以高度重视。对所有信息资产纳入风险监测评估范畴。风险监测评估重点要做好信息资产的常态化安全监测和应急演练两个方面的工作。安全监测要从漏洞扫描、渗透测试、风险评估到态势感知,对学校所有信息资产进行常态化的运行监测,分析漏洞,升级完善补丁措施,加强安全防范措施。定期开展安全事件应急处置演练,提高突发事件的应急处置能力。
(5)运行运维。运行和运维期间是网络管理的主要生命周期。从网络平台和信息系统建设之初,要做好建设安全方案设计;信息系统在上线运行前要做好严格的安全测试,按照等级保护2.0标准做好定级、备案、整改和测评工作,确保信息系统经过严格的安全测试后交付上线运行;在运维期间,要做好物理环境管理、介质、电力等各方面的管理,系统灾备、数据备份与恢复机制设计及操作;提升运维期间应对安全事件处置的能力。
(6)治理能力。治理能力决定网络安全工作取得的成效,治理能力是网络安全策略能否顺利实施、网络安全管理制度能否执行、安全目标能否达到的关键要素。网络安全治理能力是检验网络安全措施是否得力的直接反映。治理能力包括安全管理是否完成、年度计划与重点任务及项目完成情况如何、安全问题整改是否完成、安全管理措施是否严格执行、风险隐患处置是否迅速及时、安全责任制落实是否得力等等。
网络安全工作从管理到治理,关键在“治理能力”的建设。网络安全管理是网络安全策略、规划、技术、实施的一组业务职能,包括网络安全策略制定、网络安全工作计划、政策、方案、项目、技术和方法,从而保障网络安全。网络安全从“管”到“治”,本文认为网络安全治理是网络安全管理的一部分,更强调网络安全治理作为网络安全管理中的一个核心职能,是对网络安全管理行使权力和控制的活动集合(规划、计划、技术、实施),指导网络安全管理职能如何执行,在高层次上执行网络安全管理制度。“治”更强调网络安全工作的全局性、主动性与执行力,重点在于破解网络安全管理中的难题,促进网络安全工作规范有序。
完善网络安全规划的重点在于完善高校的网络安全策略,必须结合实际情况与形势的变化,完善网络安全管理策略。制定健全的网络安全管理策略可以有效降低网络安全风险。高校面向互联网开放和面向校园网开放的网络平台和信息系统多达数百个,以校园网边界作为内网与外网分割的界面,在边界上制定合适的安全管理策略极为重要,只有制定了网络安全管理策略,网络安全管理人员才有可能去控制、减小、降低以及避免一些非法的网络行为,尽可能把不安全的因素降到最低;对于师生用户而言,适应学校网络安全管理策略,也有利于网络安全管理政策的实施。高校的网络安全工作要抓细抓实,不是简单的部署网络安全设备,一劳永逸,而是要根据网络安全攻击形势的变化和学校网络安全运行情况,适时调整或加强网络安全管理策略,以期与当前网络运行状态相适应。举例来说,很多高校在校园网出口部署网络防火墙、入侵防御系统、入侵监测系统、防毒墙等一系列网络安全设备,各种设备的运行情况、防护措施、有效性以及整体上与安全策略匹配;还有校园网内数据中心防火墙、DMZ区管理等,系统性根据网络安全策略设计网络安全架构,加强技术主动防御体系的建设,从技术上防范网络安全。在实施网络安全策略过程中,要加强对网络安全设备运行情况的研究与分析,特别是网络安全日志分析,对于中高危漏洞监测修复、攻击日志分析,及时调整网络安全策略,才能更好地应对网络安全攻击。在制定安全策略后,将网络安全工作作为一项系统性工程,做好全域顶层设计,把主要条块工作及工作任务梳理清楚,制定好每年的年度计划予以推进落实,做好重点任务实施推进与重点安全项目的管理,筹措经费等保障措施到位,使得安全策略规划能够得以实施。
完善并逐步建立规范的网络安全体系是加强网络安全管理工作的需要,使高校网络安全管理能够形成行之有效的管理体系。做到安全法规明晰、安全建设有据可依、等级保护有标准指导、人员主体责任明晰,向高效化、科学化管理模式迈进,进一步提升网络安全问题应对能力。落实学校网络安全主体责任、完善网络安全监督管理体制机制,强化网络安全综合治理格局,健全网络安全工作体系。按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,落实网络安全主体责任,厘清界面,强化考核,严格责任追究,确保网络安全责任全覆盖;落实网络安全保护责任,设立专门网络安全管理及监督机制,设置相应岗位,加快各级网络安全专业人员配备,重点部门建立首席网络安全员制度。
加强网络安全管理与风险治理是网络安全管理中的重中之重,需要转变网络安全治理视角,把风险生成逻辑作为出发点,积极探索学校网络安全风险,努力将风险扼杀在“摇篮”中。加强网络安全管理需要明确管理人员的岗位职责,对安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出具体规定;网络设备的软件升级由管理人员及时更新,在更新前需对重要文件保存备份;按照有关制度定期由管理人员进行系统漏洞扫描,并采取措施及时修补;对设备的配置实现最小服务配置,配置文件定期进行离线备份;与外部系统的所有连接需得到授权和批准,采取技术手段控制和禁止非授权设备的接入,监控违规外联的相关行为。网络安全风险治理的目标是要将网络安全的被动转化为主动,从事后补救转为事前预判,需要强调要增强忧患意识,做到居安思危,培养问题意识和风险防范意识,加强各部门之间数据共享和交流,加强网络安全风险全流程监控。利用现有的技术手段,对学校内、外网络进行不同层次的监管,仔细排查和评测学校网络架构中存在的风险,实时提前升级完善安全措施,降低安全风险。
高校网络安全技术体系,需要落实安全技术相关控制要求,实现物理、网络、主机、应用和数据的所有安全控制项,通常采用安全产品加以实现,辅助安全服务以增强安全控制能力。建立满足等级保护要求的安全技术基础环境,构筑相对完善的物理、网络、主机、应用和数据的安全防护措施,建立完善的安全管理体系,尤其是形成可落地网络安全事件应急预案和安全运维策略体系;具备访问控制、入侵防范、恶意代码防范、安全审计、数据行为审计、身份鉴别、安全集中管理等安全能力,通过安全设备的能力去逐一进行实现;通过部署大数据分析平台,集中采集网络、主机和业务系统的各项日志,为智慧校园夯实数据基础,提升日志审计能力;采购更为全面的安全保障服务,能够在遇到网络攻击时积极响应,对事件进行及时有效处置,管控安全事件的影响范围和程度。
加强网络综合治理能力,筑牢高校网络安全“防火墙”,可以为高校提供可靠的网络安全保障和有力的信息化服务支撑。治理能力建设的关键点在于严格落实网络安全管理制度。学校要形成抓网络安全工作的环境和氛围,也要具备敢于通报网络安全责任制落实不力的决心。每年应该专门制定网络安全工作专项计划,分年度、季度、月份和周实施,重点推进每月/季度网络安全漏扫与监测常态化工作,及时发现各个网络平台存在的安全隐患,以专项通知单的方式下达各个负责单位进行严格落实,加强安全工作的监督和校内执法力度,对不符合安全规范的信息系统要切实停止网络服务,只有把网络安全工作任务落到实处,治理能力才会凸显出应有的效果。
面对日益复杂的网络空间安全挑战,如何保障网络信息安全,如何提高安全意识,是高校信息化发展中迫切需要关注和解决的重要问题。合理构建高校网络安全治理体系,加强学校信息化领导力建设,提升干部教师学生的网络安全素养和安全技能,是实现校园网络安全的重要保障和前提。高校的网络信息安全需要树立主动防御、动态防御、深度防御和综合治理的理念,做好安全规划和安全标准等基础建设,构建全方位多层次的立体化网络安全防御体系,才能有效保障校园网络及信息系统的安全。本文从高校网络安全问题入手,探索建立一套高校网络安全治理体系,加强网络综合治理能力,为高校提供可靠的网络安全保障和有力的信息化服务支撑。
[1]邵云龙.等保2.0对高校网络安全提出新要求[J].中国教育网络,2019,(7):50-51.
[2]何占博,王颖,刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019,38(3):9-14+19.
[3]陈广勇,祝国邦,范春玲.《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)标准解读信息网络安全[J]. 2019,19(7):1-8.
[4]陶源,黄涛,张墨涵,黎水林.网络安全态势感知关键技术研究及发展趋势分析[J].信息网络安全,2018,18(8):79-85.
[5]龚汉明. 高校网络安全问题与应对研究[J].北京教育(高教版), 2019(2):8-12.