2017年,网络安全是教育信息化工作中当之无愧的热点。网络安全是一件永远在路上的工作,重要性不言而喻,面临的挑战也多种多样。因此,这一年关于网络安全工作的探讨不绝于耳,大家都在思考、交流、互相借鉴。围绕这一热点,我们在最近的几次会议中都做了较多探讨。
本期,我们整理了几次会议的相关专家报告,将这些内容整理成“网络安全三部曲”:第一,挑战。除了人才、机制等传统意义上的挑战外,信息化部门还面临着角色的定位困扰。第二,策略。面对挑战与困境,我们该做什么?该如何去做?这里,有几个观点值得分享:1.不能总是当疲于奔命的救火英雄;2.要营造一个网络安全共同体,更加联动,更加合作;3.需要对安全体系保障进行顶层设计。第三,应急。常规时期与重大活动时期的安全重点有所不同,方法也有所不同。常规时期与重大活动时期的网络安全保障工作二者之间应当建立一个互相促进的机制。
只有各方共同努力,同舟共济,互相合作,才有教育行业安全的美好未来。
重大活动时期的应急响应备受关注。南京理工大学的做法是建立白名单机制,厦门大学则在网站防护中实施了网站静态化机制。此外,引入专业的安全服务,进行更专业的防护已成为许多高校的选择,9月~10月,一些高校试用了高校网盾,我们也对此进行了跟踪。
应急篇 建立白名单,梳理资产等级
网络安全保障重在平时,管理体系建设、规章制度、应急预案、系统分级、等保都要靠平时建设,重大活动时期与平时的保障区别是根据网站和系统分级启用不同的机制而已,重大活动时期只开关键业务。
重大活动时期与常规时期的工作思路有所不同。我们把资产分为三级,一级校级平台,如主页、服务门户、统一身份认证、输出中心平台。在关键的时候,要保什么?保重点。所以我们要梳理“白名单”,在关键时期,在特殊时刻,优先保障的肯定是“白名单”范围里的主要业务。因此一定要把资产的等级梳理出来,不同时期需要启动不同的“白名单”机制,这样才能确保学校的网络安全。或者至少我们要做到,黑客攻击我们比攻击别人要难一点。
网站系统是重大活动时期的关键点,网站系统要定期检查,一定要成为一个常态化的工作,不能等到特殊紧急时期才去做。高危漏洞无论是出现在内部还是外部,一旦发现就要立刻将外网封掉,如果特别严重,出现在内网也需要封掉。
对于那些陈旧的,无人管理的网站和系统,要下线和回收。必须制定网络安全应急预案和处置流程,明确到哪一步该怎么做,形成制度网络安全工作才能进入常态化。
(作者系南京理工大学信息化处处长)