网络空间绝大部分程序和数据与Web相关。随着用户对客户端易用性的需求,大部分信息系统采用B/S结构,通过Web站点面向用户提供服务。Web成为黑客关注的热点。黑客通过攻击Web,实现篡改网页内容,窃取重要信息、植入恶意代码等破坏行为。一旦发生Web安全事件,将对其主体的利益和声誉带来巨大损失。2016年全球勒索软件大范围爆发,为全球企业、组织机构和个人用户都带来了严重影响。
华南师范大学是“211工程”大学,广东省人民政府和教育部共建高校,广东省重点建设的高水平大学,在网络思政工作上进行了大量创新探索,建立一个充分调动各方力量的网络安全体系显得尤为重要。
组织保障
结构是功能的具体承载。华南师大从完善组织架构入手,构建网络安全权责体系,见表1。2015年成立华南师大网络与信息安全工作领导小组及办公室,并在《华南师大信息系统安全管理办法》中明确要求校内各单位主动融入学校信息系统安全的整体防护体系,师生全员参与信息系统安全工作,明确校内信息系统及各类网站实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”原则,从而从决策、统筹、执行、监督、反馈、使用等层次构建网络安全权责体系。
事前预防
华南师大历来要求各级各类信息系统及网站实行登记备案制度,2014年在《信息系统安全管理办法》中重申这一制度,并在学校办公平台设置“信息系统、网站备案”申请流程,由党办校办负责审核,明确每一个网站的主办(主管)单位、责任人、技术管理员、开发语言、域名、开放端口等信息,明确新建设的校级信息系统必须通过第三方安全评测和专家论证后方可上线运行,二级单位网站必须通过网络中心安全检测后方可上线运行。网络中心在网络出入口增加WAF安全防护设备,实行白名单制度,如图1所示,不允许校外访问未备案的校内域名与网站。
同时,要求新建网站尽量使用学校网站群系统,减少网站安全漏洞,提升网站安全防护能力。存量网站经过梳理也逐步迁入网站群。网站群建设由学校提供专项经费。信息安全事件处理流程如图2所示。
事中管控
华南师大通过定期自检或委托第三方安全评测机构对校内信息系统或网站安全性进行扫描检测,如发现安全隐患较为严重的信息系统或网站,即形成督办事件,通过学校办公平台第一时间通知其主管单位网络安全第一责任人,向其提供安全检测报告并限期整改。在规定时间内不能达到整改要求的,网络中心可暂时关停该信息系统或网站。
事后处置
对于突发安全事件,华南师大制定应急处置方案,第一时间采取措施控制事态,并及时报告。
广播式紧急通报,利用基于华南师大微信企业号的IT维修小程序,设置网络险情报送通道。各二级单位用户或者值班人员发现网络险情后,可及时通过此通道报告情况并附上相关截图。维修小程序实行抢单制。安全技术团队可立即收到险情报告,采取相应措施。紧急关停功能,华南师大软件研发团队自主开发一键断网系统,如图3所示,通过微信企业号和独立APP入口,实现以单一域名为粒度的网站关停措施,实现管理人员第一时间对网络安全事件的有效控制。
团队建设
建立外部安全扫描团队。华南师大每年采购网络安全服务公司的扫描与应急响应服务,安全服务公司定期对学校网站进行扫描,提供安全报告,如图4所示。
建立内部安全攻防团队。华南师大组织了以计算机专业学生为主体的网络安全攻防团队,团队成员参与学校信息系统(网站)日常安全扫描与紧急响应、参加国内各类安全比赛、组织校内的安全比赛等。团队目前已取得多个奖项,包括2015年广东省首届“强网杯”高校组第二名;2016年第五届“蓝盾杯”一等奖,“安恒杯”安全运维赛华南赛区二等奖;2017年广东省首届“红帽杯”大赛季军。
建立软件研发与运维团队。华南师大强调从源头杜绝网络安全事件,即从系统级(操作系统更新、补丁更新等)或者代码级(修改源码)解决问题,学校从2014年成立了软件开发中心,自主开发了网站群系统,完成100多个校内网站的迁移工作,构建学校整体网络安全防护体系。此外,软件开发中心成立三年来,已开发智慧校园统一身份认证系统、门户网站系统、微信企业号系统、数据交换中心、统一消息管理与推送系统、在线学习管理系统、一键断网系统、IT运维工单系统、机房环境监控系统等,已取得8个软件著作权。
(作者单位为华南师范大学网络与信息安全工作领导小组办公室)