【大家谈】华南理工大学:网络安全与信息化同行 | 网络安全
华南理工大学在信息化过程中,形成了小部分集中大部分分散的局面。面对复杂的信息化建设局面,学校在积极推进校园信息化的同时着重网络安全并行建设,采取一系列措施进行网络安全建设的管理和引导,依托信息系统安全等级保护工作,规范学校网络安全管理,是广东省最早开展信息安全等级保护工作的一批高校。
信息安全写入学校“十三五”规划
校园宽带网络接入和多媒体教学环境不断更新升级,云计算、虚拟化、大数据、无线网络等技术也在近几年完成建设并不断扩容,校级应用一卡通系统、统一认证已推广到全校覆盖,信息化工作在全校各部门得到推进。
信息化过程中,网络安全工作的重要性逐渐凸显,获得学校的重视。学校改革与发展“十三五”规划明确“着力统筹推进信息化建设,完善网络和信息安全体系,建设弹性可控的网络空间”。
“十三五”期间校园信息化的建设以安全为前提,信息化建设与安全同步推进,在进行信息化基础设施、数据平台、应用系统建设的同时,建立健全网络安全保障体系,提高网络安全保护能力,做好安全等级保护。
构建多层次管理体系
为了加强网络安全管理,推进信息化建设,组织协调学校网络安全和信息化发展与管理方面的重大事项,统筹部署学校安全和信息化工作,华南理工大学2014年成立了“学校信息化工作领导小组”,2015年改为“学校网络安全和信息化领导小组”。小组以书记、校长作为组长,以副书记、副校长作为副组长,以信息网络工程研究中心(信息化办公室)作为牵头单位,各学院部处负责人作为小组成员。图1为华南理工大学安全组织体系。
信息网络工程研究中心(信息化办公室)统筹全校网络安全管理,下面设立信息化安全及应急响应小组,负责校园网安全、信息系统安全、基础设施及设备巡查、审计与密码管理、信息系统安全等级保护工作和应急响应。校内各学院部处落实网络安全负责人制,签订安全责任书。
由信息化办公室牵头,每年定期召开全校网络安全大会,解读国家网络安全政策、校园网络安全报告。在网络安全宣传方面,通过校园门户网站、微博、微信公众号等多媒体开展校园网络安全宣传,发布最新安全预警及应对措施。
做好信息安全等级保护工作
信息安全等级保护工作安全要求分为两大类:技术和管理。如图2所示。
“技术”的要求分为五项:物理层、网络层、主机层、应用层、数据和备份恢复层;
“管理”的要求分为五项:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
信息化办公室是学校网络安全归口管理单位,根据学校管理特点将等保工作要求分解为三个横向维度和一个纵向维度,三个横向维度是“基础网络与平台安全”、“数据共享与交换安全”、“信息系统安全”,一个纵向维度是“运维管理安全”。
以这四个维度为校园师生营造安全的网络空间环境。“基础网络与平台安全”覆盖物理层、网络层、主机层及数据容灾备份;“信息系统安全”覆盖应用层和系统建设管理;“运维管理安全”覆盖人员安全管理、系统运维管理。这四个维度均建立管理制度将工作规范化。
基础网络与平台安全
在基础网络上,根据使用功能划分网络区域,采取防火墙和应用防护措施;全面禁止校外对校内用户的端口访问,服务器开放端口采取最少开放原则;实施上网认证,部署校园统一无线覆盖。在数据中心,面向全校建设运行云、公共云、科研云,建设异地容灾备份中心,为应用建设单位提供符合安全要求的操作系统配置指导和系统镜像。建设网站群系统,为校内单位提供建站平台,由专业技术人员负责网站后台管理。
通过网络区域划分和严格限制开放的IP和端口,避免不必要的端口暴露,降低漏洞风险。通过提供云服务,降低数据中心托管及校园内的小服务器数量,为应用建设单位提供统一的基础安全管理,降低服务器安全隐患。网站群建设4年来已承载200个网站,清理了大量校内小网站。
数据共享与交换安全
信息化建设过程中,学校各部门将所负责的业务电子化、流程化,建设了各类业务信息系统。不同业务系统之间没有数据交互接口、数据标准不一致,形成一个个数据孤岛。
师生需要在不同的业务系统上进行重复登记信息,这会产生数据不一致问题。不同业务系统间采用传统的数据交互,人工进行导出再导入,这增加了敏感信息大量泄漏的风险。
为了打通数据孤岛,学校在实施了统一认证平台、信息门户系统等数字化校园基础平台建设的基础上,颁布了《华南理工大学业务信息标准》,建设了数据交换和共享平台,实现机构、人事、科研、教学等基础数据的共享推送,加强业务系统之间的数据交换和共享,消除数字孤岛,减少部门间传统的交互方式造成的数据泄露和数据不一致,保证了数据的安全性和准确性。
为了进一步推动学校数据的共享和使用,为全校师生提供大数据智慧校园服务,启动大数据智慧校园分析平台项目。
项目基于学校已有的数字化校园建设成果和现有的信息系统业务数据,为各业务系统提供数据集成、数据共享服务,提供数据质量监控管理服务,为广大师生、业务部门提供数据查询统计、报表输出等数据服务,基于大数据技术为决策部门和人员提供大数据分析服务。
信息系统安全
长期以来,学校业务信息系统开发注重功能实现,系统安全没有受到足够的重视。为规范信息系统建设,加强信息系统安全管理,建立信息化与网络安全同步机制,根据信息系统安全等级保护要求,结合学校实际制定《华南理工大学软件和信息服务项目建设管理办法》,由信息化办公室负责学校信息化项目的建设、管理工作。
《管理办法》贯穿系统整个生命周期,对系统立项、建设、验收、使用四个阶段均提出了相应的安全要求。
在立项阶段,建设单位确保信息化项目符合有关信息系统安全等级保护规定,包括与该安全等级相对应的安全管理与技术设施要求,并编列相应的安全经费。建设单位须在合同签订前,完成等保专家评审,报主管部门审批后,到省公安厅办理等保备案手续。系统建设完成后,建设单位要完成功能测试、压力测试,并出具最终的系统功能测试报告、安全评估报告等文档,才能进入初验和试运行环节。建设单位须在系统上线试运行一年内完成等保终验备案;对于一年之内没有完成等保终验备案的项目,学校有权终止其运行。使用阶段定期开展漏洞扫描,一旦发现漏洞要求整改。运维管理安全
前面提到的三个横向维度安全,都依赖运维管理安全的支撑。
为了实现运维管理安全,针对运维部门采取了一系列的措施:修订规范运维流程、建立运维VPN通道、禁止共享管理账号、完善运维日志管理,确保运维通道稳定畅通,降低运维漏洞风险,提高事件可追溯性;与运维人员签订管理账号授权书和安全责任书,厘清运维管理人员权限范围,加强安全责任意识;与第三方开发、代维公司签订保密协议,强调保密责任;分清开发与运维界线,开发人员在开发测试环境中进行开发和测试,项目完成后部署到运行机,运行机移交数据中心运维人员管理,避免运行系统受到第三方开发人员控制,也避免了运行数据被第三方开发人员泄露;定期组织网络、信息系统应急演练,发现管理、技术、人员漏洞,及时修补漏洞及完善应急响应策略、流程。
多渠道感知校园安全态势
信息技术是快速变化和发展的,每天都有安全防护技术被攻克,有新的安全漏洞被发现。维护校园网络安全,需要采取可持续的不断的跟进措施。经过长时间的经验积累和技术完善,华南理工大学总结出“多渠道感知校园安全态势,多途径监督安全整改”的方法。
多渠道感知校园安全态势就是在校园网出口配置网络安全监测平台,通过实时监测发现攻击流量和存在漏洞的链接,定期开展服务器和Web应用漏洞扫描,关注教育行业漏洞报告平台,接收教育部下发的漏洞通知。
通过以上渠道发现漏洞,首先根据漏洞的威胁程度封禁服务端口或直接关停服务器;
第二步,通过邮件和正式的纸质函件通知系统负责单位的网络安全负责人,漏洞威胁程度高的甚至抄送系统负责单位的分管校领导;
第三步,督促负责单位完成系统整改,以漏洞扫描验证整改成效;第四步,验证完成漏洞整改后才予重新开放服务端口。
通过以上一系列措施,基本实现校园网络安全可管可控。
(作者单位为华南理工大学信息网络工程研究中心)
【回顾】网络安全应急响应
本文刊载于《中国教育网络》杂志2017年8月刊