“沒有網(wǎng)絡(luò)安全就沒有國家安全?!标兾魇墙逃笫?,教育網(wǎng)站和系統(tǒng)有6800余個。做好全省教育系統(tǒng)網(wǎng)絡(luò)安全工作,是培養(yǎng)合格建設(shè)者和可靠接班人、落實立德樹人根本任務(wù)的必然要求。陜西省委教育工委、省教育廳高度重視網(wǎng)絡(luò)安全工作,建立黨委(黨組)“一把手”負(fù)總責(zé)的動態(tài)通報機制、量化考核機制和防范預(yù)警機制,依托西北工業(yè)大學(xué)成立網(wǎng)絡(luò)安全研究應(yīng)用中心,建成教育網(wǎng)絡(luò)安全監(jiān)控預(yù)警平臺,實時監(jiān)測全省教育業(yè)務(wù)系統(tǒng)(網(wǎng)站),開展教育系統(tǒng)網(wǎng)絡(luò)安全攻防實戰(zhàn)演練,舉辦網(wǎng)絡(luò)安全宣傳周和專題培訓(xùn)班,不斷提升全省教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)意識和應(yīng)急處置水平。各級教育行政部門和各級各類學(xué)校高度重視,統(tǒng)籌力量,集聚智慧,共同構(gòu)建網(wǎng)絡(luò)安全預(yù)警、監(jiān)測、防護(hù)、處置的良性生態(tài)體系,涌現(xiàn)出一批優(yōu)秀案例。

西安交通大學(xué)從實際出發(fā),將《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)中安全技術(shù)應(yīng)遵循的“同步規(guī)劃、同步建設(shè)、同步使用”的“三同步”原則與信息系統(tǒng)建設(shè)工作深度融合,通過網(wǎng)絡(luò)安全制度、安全責(zé)任體系和網(wǎng)絡(luò)安全技術(shù)監(jiān)測和防護(hù)相結(jié)合的方式,形成了一套針對信息系統(tǒng)全生命周期的管理的方法,有效提升了信息系統(tǒng)總體安全防護(hù)水平。

一是建立健全管理細(xì)則,明確系統(tǒng)立項安全規(guī)劃。制定了《信息系統(tǒng)安全管理辦法》《信息系統(tǒng)基線安全設(shè)計要求》《數(shù)據(jù)安全管理規(guī)范》等一系列制度和技術(shù)文件。其中《信息系統(tǒng)安全管理辦法》明確提出要以“三同步”原則建立規(guī)范的信息系統(tǒng)全生命周期管理機制;《信息系統(tǒng)基線安全設(shè)計要求》為系統(tǒng)安全建設(shè)制定了包含5個大類、89個小項的WEB應(yīng)用基本安全基線要求;《數(shù)據(jù)安全管理規(guī)范》為信息系統(tǒng)數(shù)據(jù)獲取、使用、傳輸、共享、存儲等過程制定了詳細(xì)安全的管理規(guī)定。明確信息系統(tǒng)業(yè)務(wù)單位和開發(fā)單位的安全責(zé)任,確保安全“同步規(guī)劃”及“同步建設(shè)”的有效落實。

二是構(gòu)建網(wǎng)絡(luò)安全“三步檢”,確保信息系統(tǒng)安全上線。為確保系統(tǒng)設(shè)計符合安全技術(shù)要求,建設(shè)時遵循了學(xué)校安全管理規(guī)定,西安交通大學(xué)建立了基線自查、漏洞掃描到滲透測試的網(wǎng)絡(luò)安全“三步檢”。其中基線自查有利于提升安全管理最短板;漏洞掃描則是用于排除低級錯誤造成的安全隱患;而滲透測試則是網(wǎng)絡(luò)安全工作人員以黑客視角,模擬真實攻擊方法,對系統(tǒng)進(jìn)行攻擊測試。嚴(yán)格完成上述“三步檢”是信息系統(tǒng)安全運行的核心要求。以2022年為例,25個系統(tǒng)完成安全滲透測試并上線運行。其中18個系統(tǒng)存在高危及以上安全漏洞;共測出安全漏洞144個,其中高危漏洞55個,中危漏洞42個,低危漏洞47個。最常見的是信息泄露和各類越權(quán)漏洞,涉及10個系統(tǒng)。

三是建立“兩個”機制,破解日常安全監(jiān)測難題。網(wǎng)絡(luò)安全的動態(tài)特性決定了信息系統(tǒng)運營過程的安全管理不能放松,為了解決日常監(jiān)測的難題,西安交通大學(xué)建立了“漏洞眾測”和“安全演練”兩個機制,筑牢校園安全防線。學(xué)校建立由安全管理人員、安全廠商和具有網(wǎng)絡(luò)安全專業(yè)背景的師生組成專業(yè)的“攻防團隊”,日常性地對信息系統(tǒng)進(jìn)行“漏洞眾測”,周期性地開展“安全演練”。在該過程中如發(fā)現(xiàn)安全漏洞,可利用學(xué)校的網(wǎng)絡(luò)安全漏洞管理平臺進(jìn)行通報和處置。眾測活動從2020年底開始,截至目前共自主發(fā)現(xiàn)通報漏洞110個。

四是引入系統(tǒng)退出機制,避免出現(xiàn)“僵尸”系統(tǒng)。系統(tǒng)退出環(huán)節(jié)分為主動退出和被動退出。無論哪種退出方式,業(yè)務(wù)單位對應(yīng)的安全責(zé)任也隨之終結(jié)。從信息系統(tǒng)出生、上線、使用到退出,四個階段層層推進(jìn),有效落實了《網(wǎng)絡(luò)安全法》對“三同步”原則的安全要求,全面提升校園信息系統(tǒng)的安全質(zhì)量。強化安全工作前移,降低后期安全運維壓力,確保了信息系統(tǒng)不“帶病上崗”,不“帶病運行”,為做好校園網(wǎng)絡(luò)安全保障起到了關(guān)鍵的作用。隨著學(xué)校信息系統(tǒng)生命周期管理的制度和架構(gòu)設(shè)計越來越完善,管理手段越來越精細(xì),效果也逐步體現(xiàn)。針對信息系統(tǒng)漏洞的“人民戰(zhàn)爭”,有效破解日常安全監(jiān)測難題。從教育部教育漏洞監(jiān)測平臺的數(shù)據(jù)看,西安交通大學(xué)監(jiān)測到的風(fēng)險全國排名從2019年的第9位下降至2022年的第36位,由此可以看出學(xué)校信息系統(tǒng)的網(wǎng)絡(luò)整體安全防護(hù)能力大幅提升。學(xué)校還構(gòu)建校企合作的“攻防團隊”,一方面最大程度地為學(xué)校爭取到網(wǎng)絡(luò)安全公司的優(yōu)質(zhì)資源,另一方面也為學(xué)校網(wǎng)絡(luò)安全人才培養(yǎng)提供了實戰(zhàn)平臺,是對高校人才培養(yǎng)的探索和補充。參與過此項工作的學(xué)生也取得了一系列成績,2021年參加中國大學(xué)生信息安全競賽CTF比賽中晉級決賽,2022年在西部賽區(qū)191支戰(zhàn)隊中取得第10名的成績。網(wǎng)絡(luò)安全管理團隊參加2021年陜西省安全技能大賽,在決賽中取得三等獎。

西北工業(yè)大學(xué)從管理、技術(shù)、人員、實戰(zhàn)四個方面建立立體化的網(wǎng)絡(luò)安全防護(hù)體系,將網(wǎng)絡(luò)安全建設(shè)與管理化“被動防護(hù)”為“主動防御”,日均抵御110萬次網(wǎng)絡(luò)攻擊,2021年全年完成10680次信息系統(tǒng)測試,印發(fā)信息安全文件81份,安全威脅最快在12分鐘內(nèi)處理完畢。

一是統(tǒng)籌“管理”,做到“定職責(zé)、抓落實”。加強組織領(lǐng)導(dǎo),建立專項工作領(lǐng)導(dǎo)小組統(tǒng)籌負(fù)責(zé)全校的網(wǎng)絡(luò)與信息系統(tǒng)安全管理,上下聯(lián)動一盤棋。完善制度建設(shè),構(gòu)建長效機制,制定了《西北工業(yè)大學(xué)網(wǎng)絡(luò)與信息系統(tǒng)安全管理辦法》,全面落實網(wǎng)絡(luò)安全工作責(zé)任制。堅持日常巡查和監(jiān)測預(yù)警,嚴(yán)格督查整改。

二是夯實“技術(shù)”,做到“看得見、防得住”。強化網(wǎng)絡(luò)安全態(tài)勢感知,通過自建開發(fā)結(jié)合多套網(wǎng)絡(luò)安全設(shè)備將資產(chǎn)現(xiàn)狀、威脅情報、防御效果、處置能力“可視化”,對所有信息系統(tǒng)的安全狀況進(jìn)行全生命周期管理,所有過程留痕化記錄,讓安全數(shù)據(jù)看得見。加強技術(shù)防護(hù),采用三層防御的布局結(jié)構(gòu)分級抵御各類攻擊,分別為云防護(hù)、校園網(wǎng)出口以及數(shù)據(jù)中心核心出口,建立了包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防病毒軟件等一系列技術(shù)防護(hù)手段。嚴(yán)格按照國家要求開展信息系統(tǒng)等級測評,建立信息系統(tǒng)白名單,實施年審制度。

三是注重“人員”,做到“強意識、建隊伍”。關(guān)注管理者、教師和學(xué)生等三類重點人員,提升整體安全意識。建設(shè)專業(yè)隊伍,提升關(guān)鍵能力,由專業(yè)技能較強的信息化處技術(shù)團隊和兼職技術(shù)團隊共同保障網(wǎng)絡(luò)安全。將校園網(wǎng)絡(luò)安全環(huán)境逐步打造成實戰(zhàn)靶場,組織有專業(yè)特長的學(xué)生參加網(wǎng)絡(luò)安全工作,拓展技術(shù)隊伍。加強宣傳,提升全員網(wǎng)絡(luò)安全素養(yǎng)。

四是強化“實戰(zhàn)”,做到“實網(wǎng)戰(zhàn)、主動戰(zhàn)”。在網(wǎng)絡(luò)安全建設(shè)和防護(hù)中均以實網(wǎng)環(huán)境為根本,主動發(fā)現(xiàn)和消除實網(wǎng)上存在的安全隱患。建立主動防御的工作機制,主動探測攻擊來源持續(xù)實時阻斷。開展攻防對抗,建設(shè)隊伍提升能力。學(xué)校網(wǎng)絡(luò)安全建設(shè)成效顯著,五年來獲得網(wǎng)絡(luò)安全類獎項共計32次,先后在陜西省教育廳、中國高等教育學(xué)會信息化分會、高校CIO論壇等多個重要會議介紹網(wǎng)絡(luò)安全建設(shè)經(jīng)驗,受到廣大同行的關(guān)注。今后,學(xué)校將持續(xù)加強網(wǎng)絡(luò)安全建設(shè),以實戰(zhàn)為根本,不斷完善網(wǎng)絡(luò)安全體系、培養(yǎng)網(wǎng)絡(luò)安全尖端人才。

隨著教育信息化的快速推進(jìn),教育信息系統(tǒng)面臨的網(wǎng)絡(luò)安全形勢也日趨嚴(yán)峻,做好教育系統(tǒng)網(wǎng)絡(luò)安全工作愈加重要。陜西省委教育工委、省教育廳高度重視網(wǎng)絡(luò)安全工作,從組織機制、平臺建設(shè)、實戰(zhàn)演練、宣傳培訓(xùn)等方面構(gòu)建陜西教育系統(tǒng)網(wǎng)絡(luò)安全預(yù)警、檢測、防護(hù)、處置“四位一體”的管理體系。在此,建議相關(guān)單位根據(jù)自身情況和業(yè)務(wù)特點,制定有針對性的網(wǎng)絡(luò)安全防護(hù)體系化機制,推動陜西省教育系統(tǒng)網(wǎng)絡(luò)安全工作更上新臺階。

作者單位:陜西省教育廳

責(zé)任編輯:張言