近几年来,随着网络安全形势的日益严峻,高校信息化部门面临的压力越来越大。
保障校园网络安全是高校信息化部门极端重要的任务,网络安全是高校信息化建设发展的“底板”,一旦发生网络安全事件,可能会给学校带来很大的负面影响,严重影响信息化建设成效和信心。网络安全不仅仅是安全设备和技术的堆砌,必须要全面加强管理。
提高认识,将网络安全纳入
校园总体安全体系
做好网络安全工作,首先要提高认识和政治站位。习近平总书记指出:“没有网络安全,就没有国家安全”、“网络安全和信息化是一体之两翼,驱动之双轮”。学校在为网络安全工作定位时,也要提高站位,将网络安全上升到校园安全稳定的高度。
网络安全不仅仅是信息化部门的责任,要将网络安全纳入到学校意识形态安全、生产安全、综治稳定、应急管理等总体安全体系之中。要加强经费保障,确保网络安全经费不低于信息化总经费的5%。
华中科技大学党委书记和校长任学校网络安全和信息化领导小组组长,每年亲自出席领导小组会议,研究部署网络安全和信息化工作,并提出了“没有网络安全,就没有校园安全”的理念。网信办属于学校安全生产监督管理委员会成员单位,网络安全属于学校应急管理体系的组成部分。
规范管理,完善各类
网络安全管理制度和流程
做好网络安全工作,制度是重要保障。网络安全管理必须要有完善的制度体系,让网络安全责任划分、信息系统上线前的源代码审计与漏洞扫描、漏洞整改、等级保护、事件处置、应急管理、威胁监测等能够“有法可依”。
近几年,学校陆续出台了《华中科技大学网络与信息技术安全管理办法》《华中科技大学校园网建设管理办法》《华中科技大学信息系统建设和运维管理办法》《华中科技大学信息技术安全事件报告与处置流程》《华中科技大学信息技术安全漏洞整改流程》《华中科技大学网络安全事件应急预案》《网络安全威胁监测预警通报工作制度》等网络安全相关的制度和文件,健全的网络安全管理制度体系,为网络安全管理提供了依据,确保了各项要求的落实。
理清资产,始终做到
动态“家底清、底数明”
做好网络安全工作,摸清网络资产家底是基础。
在这方面,华中科技大学建立了严格的IP地址管理、域名管理、网站与信息系统上线与注销制度以及网络与信息系统年审制度,杜绝“僵尸域名”或“僵尸网站”,实现了网络资产的全生命周期管理。学校各单位通过网上办事大厅完成网络资产的备案、变更、注销及年审等流程,各单位网络与信息化联络员、网站与信息系统责任人和单位负责人可以在电脑上、手机上通过简单的几个操作就完成整个审批流程。对运行在学校数据中心和非数据中心的系统进行了分类和梳理,并施以不同的安全策略。
图1 网上办事大厅网站备案与域名申请流程
此外,学校还对网站和信息系统实施分开建设和管理,网站全部纳入网站群平台建设,群内现有网站440个;数据中心内共有信息系统169个。学校的校园网络、信息系统、网站群等基础信息化平台经分类后均按照新的等保要求进行定级、测评、整改和备案。通过备案与年审制度的结合,摸清家底,理顺了学校网络资产。(网上办事大厅上网站与信息系统备案与域名申请如图1所示,年审申请如图2所示)
图2 网站与信息系统年度审核流程
建立平台,提高
管理手段和管理效率
做好网络安全工作,有效的手段很有必要。为加强网络安全管理,学校建设了网络安全工作管理平台,网上办事大厅上的网站备案、变更及注销流程产生的信息直接同步到网络安全工作管理平台中,平台主要包括网站与信息系统、风险与整改、安全事件、安全检查和报平安等功能。
图3 风险整改流程示意
通过安全平台管理校园的网站和信息系统,可以完整地记录各网站和信息系统的漏洞通报及整改情况,形成了对网站漏洞的闭环管理。安全平台中的风险整改流程如图3所示。
建设队伍,提高
网信人员的安全观
做好网络安全工作,关键在于队伍。华中科技大学目前配备网络安全专职人员5人,其中网络安全管理人员1人,网络安全技术人员4人,全面开展网络安全技术防护和管理工作。同时,成立网络安全工作技术小组,所有网络与信息化相关技术人员均为小组成员,提倡“人人都是网络安全人员”的理念,所有成员都要接受网络安全技能培训、考核和任务调遣,所有成员都要参加CISP或ECSP培训和考试。
此外,通过网络安全宣传周开展知识讲座、在线答题、进宿舍进社区等网络安全宣传活动,提高全体师生的网络安全意识,2020年网络安全宣传周期间开展了“你来答题,我送网费”的网络安全知识竞赛活动,24小时内5899名师生参加了线上答题活动。
开展考核,落实二级单位
网络安全责任制
做好网络安全工作,核心是责任落实。为将网络安全工作落到实处,压实网络安全责任,2020年出台了华中科技大学二级单位落实网络安全责任制考核细则和评价办法,评价内容主要包括领导责任制建立、网络安全工作研究部署、网络安全通报机制建设、网络安全威胁监测预警、网络安全等级保护工作落实、关键信息基础设施保障、网络安全监督检查、重要时期网络安全保障、网络安全应急管理、信息化项目建设、信息化建设与服务、移动通信基站建设和网络安全宣传教育培训等13个方面,21项具体要求。
2020年底进行了第一次考核,通过考核,二级单位的网络安全责任意识明显增强,对网络安全工作更加重视,从而确保学校网络安全工作落到实处。
总之,网络安全工作必须长抓不懈,不断优化管理方式,改进管理手段,将网络安全列为网信工作中的重中之重,为学校建设高水平的智慧校园保驾护航。
文章来源 CERNET 中国教育网络