文/李保华
郑州升达经贸管理学院信息化处处长
摘要:随着学校智慧校园建设的发展,在互联网安全形势日益严峻的趋势下,校园网络安全也凸显出越来越多的问题。郑州升达经贸管理学院始终高度重视校园网络安全治理体系建设,作为一所民办本科高校,充分发挥民办高校的体制优势,在快速推进信息化建设的同时,稳步开展网络安全管理和防护工作。通过近几年的努力,本着技术和管理相辅相成的建设理念,围绕“依托技术优势、规范管理制度、健全保障体系”的建设思路,打造了具有升达特色的相对完善的网络安全治理体系,为学校信息化建设提供了坚强有力的安全保障。
关键字:民办高校;网络安全;治理体
一、前言
近年来,随着网络安全形势的日益严峻,保障校园网络安全成为每所高校信息化部门常抓不懈的重点工作。高校校园网用户活跃密集,入网终端类型丰富、上网习惯差异性大,应用服务需求多等特点,使得高校校园网的安全管理更为复杂和困难。郑州升达经贸管理学院始终坚持在信息化建设的同时,同步开展网络安全的管理和防护。几年来,本着技术和管理相辅相成的建设理念,围绕“依托技术优势、规范管理制度、健全保障体系”的建设思路,全方面保障校园教学、科研和管理信息化应用安全稳定运行。
学校高度重视网络安全,定期召开专题会议研究制定学校网络安全建设与发展工作计划和方案等,将网络安全工作列入校园安全稳定工作体系。每年安排网络安全建设专项预算经费(仅2021年一年网络信息安全项目经费投入就达到134万元),从顶层设计和机构建设、基本制度和配套措施、漏洞扫描和通报整改、系统建设和安全管理、攻防演练和应急处置、宣传教育和舆论引导六个维度出发,逐步建立起一套具有升达特色,相对完整的校园网络安全治理体系。
图1 郑州升达经贸管理学院校园网络安全治理体系
二、主要成效
1.落实安全主体责任、全面排查网络资产。
通过对网络资产的摸底排查,进行资产的有序管理,处置已停用系统,对发生变更的、未认领的、新增的系统实行正确的行政归属管理,明确“谁主管谁负责、谁使用谁负责、谁运维谁负责”和“属地管理、逐级负责”的工作原则,彻底消除了安全孤岛。
2.升级网络安全设备、转变安全防御模式。
陆续投资500余万元,大力开展网络安全防护设施建设,部署了由防火墙、Web应用防火墙、IPS入侵防御系统、态势感知系统、网络资产安全治理平台、数据库审计系统、日志审计系统、IP管理系统、VPN系统、堡垒机、漏洞扫描系统、灾备系统等网络安全系统及设备组成的网络安全运维中心,实行上网认证、上网审计、日志审计、信息系统备案等精细化管理,实现由被动防御向主动防御、由分散防御向协同防御的转变,通过事前预判、事中监控和事后追溯,保障整个校园网络安全可靠。
图2 态势感知平台
3.动态监测全网、快速应急响应。
随着学校网络安全管理架构的调整和网络安全设备的部署及对相应安全策略的优化,学校网络整体安全防护水平大幅提升,能够实现第一时间发现校园网内的恶意行为。
我校近年来通过各类网络安全管理系统封堵恶意IP、恶意域名等共计14253个,处理校内网络蠕虫、木马病毒、勒索病毒、挖矿行为等问题IP共135个,扫面处理各类高危及以上漏洞291个,按时完成河南省教育系统安全检测平台和网监部门通报的35起存在网络安全风险事件的整改工作。
统筹安排完成网站群系统、办公系统、教学管理平台、财务与一卡通平台、智慧校园综合平台等9个系统平台等保测评和备案工作,截至目前未发生一起网络信息安全事故。
三、经验做法
1.顶层设计和机构建设。
为贯彻落实《全省教育系统落实党委网络安全责任制实施办法》,在学校党政领导下,郑州升达经贸管理学院网络安全和信息化领导小组于2019年9月30日成立,成为学校网络安全和信息化工作的最高决策机构,统筹协调学校网络安全和信息化各项工作;
在成立领导小组的基础上,学校调整成立信息化处,归口管理学校网络安全、信息化建设、网络舆情应急协调等工作,负责学校相关业务的政策制定、规划实施、协调推进、监督检查和效益评估。
信息化处的职能覆盖了网络技术安全、网络内容安全,有利于网络安全和信息化的协调发展,有效发挥了维护校园稳定和促进学校发展的综合职能。
2.专业技术人员队伍保障。
在专业技术人员配备方面,目前共有7名专业工程师共同参与网络安全工作的统筹协调,各院部共配有26名专兼职系统管理员和38名网络安全联络员,负责学校的网络技术安全和网络安全等级保护实施等工作。
为持续提升网络安全管理人员的管理和技术能力,学校每年会面向系统管理员和网络安全联络员做针对性的专业培训。
对于大型项目,在招标文件的售后服务条款中要求提供1-2名网络安全认证或者相应IT类培训认证培训名额,确保项目实施完成后学校有足够的运维和安全保障能力。
3.基本制度和配套措施。
学校制定并印发了《郑州升达经贸管理学院网络安全责任制实施办法》、《郑州升达经贸管理学院网络安全管理办法》、《郑州升达经贸管理学院信息技术安全事件报告与处置流程》、《郑州升达经贸管理学院网络安全事件应急处置预案》等,确保学校网络安全各项工作有规可依、有职可守、有责可究、有急可救,网络安全制度的保障作用落在了实处。
4.漏洞扫描和通报整改。
为进一步规范网络安全风险整改工作,信息化处制定了详细的漏洞扫描任务清单,并根据预警信息发布、处置协调与信息反馈等事项制定了标准的漏洞通报整改流程,发布日常风险预警通知,协调整改各种漏洞,协同处置上级通报的网络安全风险事件。
5.系统建设和安全管理。
学校坚持规范各单位在信息系统立项、建设、上线、运维等环节的安全管理。信息化处牵头组织学校信息化项目建设论证和网络安全管理工作,全程参与学校所有网络安全和信息化项目的招标及验收工作。以信息系统资产生命周期为核心,设定严格的准入、监控、防护、准出流程,与学校出口防火墙、安全漏扫设备、反向代理设备关联,并以此为抓手,对网络资产进行快速技术处置与流程处置,大幅提高工作效率。
6.攻防演练和应急处置。
为全面排查学校各单位网站和信息系统网络安全风险,统筹做好风险整改工作,信息化处研究论证后,定期启动学校攻防演练,在安全可控的前提下,模拟黑客的攻击方法对学校的信息系统进行非破坏性的攻击性测试,并对攻防演练进行总结,查缺补漏。
网络安全应急管理工作在学校整体的应急预案框架内。信息化处具体负责网络安全类事件应急预案的建设和组织实施,依据网络安全规章制度,依托网络安全工作队伍,明确工作机制,统筹进行网络安全事件的综合协调处置和信息报送。
7.宣传教育和舆论引导。
为加强网络信息化工作宣传,在微信公众号“我i升达”上进行网络信息化政策宣传、网络信息化工作部署、网络安全知识科普。以近两年国家网络安全宣传周为例,学校通过制作专题网站、推送群发短信、发放宣传手册和定制口罩、有奖竞猜等方式对网络安全进行多维度宣传,助力师生树立正确的网络安全观。
8.等保测评和备案与信息化项目同步开展。
针对新建项目,在项目立项和预算安排时统筹考虑将该项目的等保测评和备案作为一项重要内容列入项目清单,项目结项时必须完成该项目等保测评和备案方可予以验收,力争做到项目上线即合规。
四、提升优化的思路措施
1.加强安全事件的监测预警,将被动防御转为主动防御。
面对当前日益复杂和越来越频繁的网络攻击态势,传统的被动处理方式,已经无法满足我们当前的安全管理需要。安全关口和防御阵地的前移需要依托于对安全态势的掌握,以各类大数据平台为基础,对多元的、异构的海量数据,利用关联分析、机器学习、威胁情报等技术,持续监测网络安全态势,提前预警,提前处理,实现从被动防御到主动防御的进阶转变。
2.立足网络资产治理,实行安全分级管理。
在整个安全治理建设实施过程中,资产治理环节应作为一项重要任务开展,做好资产信息的登记备案。根据资产信息开展安全漏洞的发现和处理等工作,同时按照资产重要程度,实行分级管理,采取不同强度的技术防护措施和管理模式实施保护,避免出现有的网络安全保护强度不足,导致出现严重的安全风险,同时也防止个别网络资产的过度保护,导致投资浪费和影响信息系统的合理利用。
3.持续推进安全运营平台建设,打造系统化的安全综合治理体系。
经过多年的安全建设,按照上级要求,根据学校网络信息化发展规划,学校采购和健全了各类安全设备和管理工具,完成了基础的信息安全体系建设。
同时安全设备的递增也在推进着安全运营工作体系的迭代升级,逐步提升安全运营能力。
针对安全运营工作存在业务边界不清晰,安全运营流程不完整,安全告警无法及时有效处理等问题,有的放矢,结合安全现状,提炼安全运营工作内容,规范运营流程,明确相关职责。
培养一批具备安全运营能力的专业人员与采购社会上专业公司的安全运维服务相结合,建设具有学校特色的安全运营平台,打造系统化的安全综合治理体系,实现可持续安全运营的目标。
END
本文刊载于《河南教育信息化》,转载请注明来源和作者。投稿邮箱:editor@ha.edu.cn。在《河南教育信息化》发表的文章,可参评我省教育信息化优秀成果奖(详情请查看《河南省教育厅办公室关于开展2022年度河南省教育信息化优秀成果奖申报工作的通知》)。
声 明
本微信转载文章出于非商业性的教育和科研目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请立即联系我们,我们会予以更改或删除相关文章,保证您的权利。