【經(jīng)驗(yàn)分享】哈爾濱工業(yè)大學(xué):校園網(wǎng)應(yīng)急處理流程應(yīng)責(zé)任明晰
哈爾濱工業(yè)大學(xué)建立了網(wǎng)絡(luò)安全“一把手”責(zé)任制,學(xué)校信息化建設(shè)領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一謀劃、統(tǒng)一部署全校網(wǎng)絡(luò)安全和信息化發(fā)展,統(tǒng)籌制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策,研究解決網(wǎng)絡(luò)安全和信息化重要問(wèn)題。領(lǐng)導(dǎo)小組組長(zhǎng)由學(xué)校書記和校長(zhǎng)擔(dān)任,主管校長(zhǎng)擔(dān)任領(lǐng)導(dǎo)小組副組長(zhǎng)。
哈工大完善了網(wǎng)絡(luò)安全工作體系,按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,各單位明確了網(wǎng)絡(luò)安全負(fù)責(zé)人和網(wǎng)絡(luò)安全員,確定了每個(gè)信息系統(tǒng)和網(wǎng)站的責(zé)任人和技術(shù)聯(lián)系人;
學(xué)校還制定了相關(guān)的管理制度和應(yīng)急預(yù)案,形成了網(wǎng)絡(luò)安全工作實(shí)施方案,開(kāi)展了網(wǎng)絡(luò)安全綜合治理行動(dòng),制定了網(wǎng)絡(luò)安全工作任務(wù)清單;成立了網(wǎng)絡(luò)安全工作組,提前預(yù)警,發(fā)現(xiàn)問(wèn)題立行立改,提高了網(wǎng)絡(luò)安全應(yīng)急處理能力。
應(yīng)急預(yù)案要點(diǎn)
高校應(yīng)建立健全網(wǎng)絡(luò)與信息安全事件應(yīng)急工作機(jī)制,提高應(yīng)對(duì)重要時(shí)期應(yīng)急響應(yīng)的能力。
在建立預(yù)案時(shí),應(yīng)綜合考慮如下問(wèn)題:
信息系統(tǒng)和網(wǎng)站服務(wù)閘口明晰
根據(jù)要求對(duì)信息系統(tǒng)和網(wǎng)站進(jìn)行訪問(wèn)限制,只有滿足要求的才能上線。各高校的網(wǎng)絡(luò)結(jié)構(gòu)不同,各信息系統(tǒng)和網(wǎng)站的訪問(wèn)限制要求不同,控制閘口位置也不同。因此信息系統(tǒng)和網(wǎng)站服務(wù)閘口位置必須明晰,操作流程必須規(guī)范,要能夠滿足高校管理需求。提前做好相關(guān)文檔、責(zé)任落實(shí)到人,做到心中有數(shù)。
確定初始白名單
促進(jìn)網(wǎng)站集約化管理,建議各部門網(wǎng)站信息系統(tǒng)部署在學(xué)校數(shù)據(jù)中心,集中力量實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化管理。
從制度上對(duì)校園開(kāi)放的服務(wù)嚴(yán)格管理的同時(shí),從技術(shù)上對(duì)校園網(wǎng)服務(wù)進(jìn)行監(jiān)控,對(duì)校園對(duì)外開(kāi)放的具體服務(wù)做到心中有數(shù)。
確定白名單管理模式,即只有滿足上線要求的信息系統(tǒng)和網(wǎng)站才能上線。白名單管理使得責(zé)任能夠真正落實(shí)到人,有隱患必須關(guān)閉、必須整改。
學(xué)校門戶網(wǎng)站、重要的信息系統(tǒng)和集約化管理站群一般建設(shè)力度大,安全管理嚴(yán)格。高校從這些信息系統(tǒng)和網(wǎng)站中按照上線要求選取初始白名單,為后續(xù)其他信息系統(tǒng)和網(wǎng)站進(jìn)入白名單提供對(duì)照和參考。
確定進(jìn)入白名單的流程和要求
進(jìn)入白名單的系統(tǒng),需要給校園網(wǎng)安全管理部門提供申請(qǐng)等相關(guān)材料,只有審核通過(guò)才能加入白名單。材料主要有:網(wǎng)絡(luò)安全承諾書,做到責(zé)任落實(shí)到人;信息系統(tǒng)安全技術(shù)保障方案;信息系統(tǒng)安全事件應(yīng)急處置預(yù)案;信息系統(tǒng)24小時(shí)值守方案及人員安排,落實(shí)安全值守制度;非“僵尸”信息系統(tǒng)佐證等。
設(shè)置專人負(fù)責(zé)檢查以上材料,形成具體執(zhí)行辦法,做到域名、IP、端口等全方位管理,按期完成,做好相關(guān)測(cè)試工作。
職責(zé)分工明確
網(wǎng)絡(luò)服務(wù)閘口和白名單管理模式明確后,具體工作需要明確,相關(guān)責(zé)任需要落實(shí)到人。要通知各單位在校園網(wǎng)安全管理部門審核通過(guò)前不得開(kāi)放網(wǎng)站,做好網(wǎng)站的ICP備案、信息安全等級(jí)保護(hù)定級(jí)等管理工作;校園網(wǎng)管理部門對(duì)學(xué)校DNS無(wú)ICP備案域進(jìn)行清理,對(duì)學(xué)校二級(jí)域名進(jìn)行清理,對(duì)DNS記錄中非校園網(wǎng)IP進(jìn)行清理;進(jìn)行校園網(wǎng)服務(wù)監(jiān)測(cè),對(duì)于無(wú)ICP備案網(wǎng)站進(jìn)行清理。
防護(hù)措施不夠完善的信息系統(tǒng)和網(wǎng)站,如果直接暴露于互聯(lián)網(wǎng)中,極易受到攻擊。針對(duì)此類網(wǎng)站,采取限制互聯(lián)網(wǎng)訪問(wèn)措施,督促盡快加固、及時(shí)恢復(fù)上線。
校外域名指向校內(nèi)IP,管理措施不到位,存在安全隱患,一旦有懲罰性措施,會(huì)牽連到同一IP的其他服務(wù)。這種情況應(yīng)通知各單位自查,如有存在校外域名,而且安全管理措施不到位的,不僅會(huì)導(dǎo)致學(xué)校IP地址被封掉,而且還會(huì)引發(fā)安全事故,會(huì)被問(wèn)責(zé),因此這些網(wǎng)站需要各單位立即從源頭上限制互聯(lián)網(wǎng)訪問(wèn)。
做好分級(jí)的應(yīng)急處理工作
校園網(wǎng)服務(wù)采用白名單管理模式,應(yīng)在校內(nèi)發(fā)布通告,讓廣大師生知悉;應(yīng)成立網(wǎng)絡(luò)信息安全保障工作組,加大值班和網(wǎng)上內(nèi)容和信息安全巡查力度,重大時(shí)期24小時(shí)值班,加強(qiáng)校園網(wǎng)運(yùn)行和內(nèi)容安全監(jiān)控,確保信息暢通,重大事項(xiàng)及時(shí)上報(bào);信息安全檢查和監(jiān)管檢測(cè)常態(tài)化,主動(dòng)發(fā)現(xiàn)漏洞,不留死角;沒(méi)有網(wǎng)絡(luò)防護(hù)措施的區(qū)域,嚴(yán)格整頓,先下線再治理,數(shù)據(jù)中心要加強(qiáng)防護(hù),關(guān)閉不必要的服務(wù);建立網(wǎng)站、信息系統(tǒng)登記備案制度,保證在線服務(wù)責(zé)任到人,管理到位;及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全類公共事件,及時(shí)應(yīng)對(duì),及時(shí)報(bào)告,避免擴(kuò)大事端。
做好突發(fā)情況下應(yīng)對(duì)危機(jī)的準(zhǔn)備
重大活動(dòng)時(shí)期應(yīng)急響應(yīng)能否及時(shí)到位,平時(shí)就必須下功夫。學(xué)校要有預(yù)警能力和經(jīng)驗(yàn),有重大時(shí)期應(yīng)急響應(yīng)的技術(shù)和管理儲(chǔ)備;要在平時(shí)的工作中,做好網(wǎng)站系統(tǒng)摸排,做到心中有數(shù);要明確服務(wù)開(kāi)關(guān)閘口,責(zé)任落實(shí)到人;只有這樣,在重大時(shí)期,決策只要一定,立即就可以實(shí)施。
另外,遵從“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則,在學(xué)校信息系統(tǒng)和網(wǎng)站的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行等階段確保安全,自覺(jué)地把網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)和網(wǎng)站建設(shè)和運(yùn)行的全過(guò)程。在信息系統(tǒng)和網(wǎng)站的規(guī)劃設(shè)計(jì)階段,應(yīng)形成安全方案,報(bào)網(wǎng)絡(luò)安全管理部門審核。
此外,學(xué)校要做好信息安全等級(jí)保護(hù),進(jìn)行ICP備案,尤其是對(duì)保密要求高的學(xué)校。
重視信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)管理辦法由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室聯(lián)合下發(fā)。通過(guò)規(guī)范信息安全等級(jí)保護(hù)管理,來(lái)提高信息安全保障能力和水平,以維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)。
高校要按照規(guī)范定級(jí)原則,根據(jù)其信息重要程度和敏感程度以及自身資源的客觀條件,按標(biāo)準(zhǔn)確定信息安全管理要求的相應(yīng)等級(jí),并在履行相應(yīng)的審批手續(xù)后,切實(shí)根據(jù)相應(yīng)等級(jí)的規(guī)范要求,制定相應(yīng)的安全策略,并認(rèn)真實(shí)施。
做好ICP備案
國(guó)家對(duì)經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度;對(duì)非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度。未取得許可或者未履行備案手續(xù)的,不得從事互聯(lián)網(wǎng)信息服務(wù)。高校作為非營(yíng)利性組織,提供的互聯(lián)網(wǎng)信息服務(wù)是非營(yíng)利性的,需要對(duì)這些服務(wù)進(jìn)行備案。
因?yàn)閷W(xué)術(shù)會(huì)議、國(guó)內(nèi)外交流等需要,學(xué)校往往在官方域名、官方網(wǎng)站之外,還產(chǎn)生其他域名和網(wǎng)站;學(xué)校一些師生個(gè)人申請(qǐng)了域名和網(wǎng)站,部署在校內(nèi)。這些都多少存在沒(méi)有嚴(yán)格執(zhí)行備案制度的情況?,F(xiàn)在互聯(lián)網(wǎng)信息服務(wù)備案制度執(zhí)行嚴(yán)格,沒(méi)有備案的,域名和IP都需要停止服務(wù)。學(xué)校存在一個(gè)IP部署多個(gè)網(wǎng)站域名的情況,一個(gè)IP服務(wù)停止,會(huì)造成大量服務(wù)停止。學(xué)校域名指向校外,管理措施不到位,也會(huì)導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題。
因此,學(xué)校需要做好網(wǎng)站域名ICP備案日常工作,對(duì)學(xué)校信息系統(tǒng)和網(wǎng)站加強(qiáng)管理,按照“先排查后清理”的原則進(jìn)行具體工作部署。
首先,加強(qiáng)學(xué)校DNS服務(wù)管理工作,對(duì)于校內(nèi)域名使用校外IP、校外域名使用校內(nèi)IP等特殊情況,做到有案可查,尤其要把校內(nèi)二級(jí)域名納入學(xué)校統(tǒng)一管理;其次,需要借助技術(shù)力量,對(duì)校園網(wǎng)服務(wù)進(jìn)行摸排,梳理校園網(wǎng)上運(yùn)行的信息系統(tǒng)和網(wǎng)站,真正做到心中有數(shù)。
此外,建立校內(nèi)外安全工作聯(lián)絡(luò)機(jī)制,平時(shí)就要加強(qiáng)校內(nèi)外安全聯(lián)動(dòng),進(jìn)行信息安全共享,主動(dòng)接受上級(jí)部門管理監(jiān)督,在重大活動(dòng)時(shí)期發(fā)揮集體智慧,為學(xué)校安全保駕護(hù)航。