构建系统性网络安全防护体系的十大措施
为了构建系统性网络安全防护体系,我们提出通过采取十大措施推动该项工作,具体措施为:转观念、立规矩、变可视、建防护、定策略、做检查、促整改、找帮手、推等保、报预警。
一是转观念。这是一个非常重要而且过程漫长的工作,主要包括变被动为主动、推动两个意识转变和划清安全工作边界。变被动为主动是一种工作意识的转变,从不得不根据信息技术的发展被迫地进行防护到主动开展防控,积极开展安全检查和防护;在两个意识转变中,其一是网络与信息系统与硬件产品一样,它是有生命周期的,需要随着需求和技术的不断发展而更新,必要的时候甚至要根据安全的要求进行必要的更新换代。其二是网络与信息系统和汽车产品一样,需要运维并经常地进行系统维护,进行必要的备份、漏洞修复、软件升级等,这样才能保障信息系统能长期安全有效的运行;划清安全工作的边界就是杜绝推诿扯皮。一般来说信息部门就像学校的保卫队,保护的是学校的大门,要做好外围的防护。各个单位相当于围墙之内的各家各户,他们有自己的户型、结构和私有的钥匙,所以只有各单位才能做好内部防护。为了落实各单位履行安全管理职责,需要给他们配套相应的经费,促使管理员监管信息系统建设单位或者专业的安全运维公司进行防护,从而将自己的责任逐级落实下去。
二是立规矩。无规矩不成方圆,必须有一套能落实主体责任的文件,才能有效的落实安全责任。为了规范和明确信息化建设中各单位的工作范围和职责,学校必须建立一套与网络与信息安全管理制度,并通过这些制度对安全管理工作和职责进行划分。制度应明确网络与信息系统安全必须要贯穿学校的信息化建设始终,做到同步规划,同步建设和同步运行,应确定信息管理部门和各二级单位之间的具体职责以及必须开展的工作等。
三是变可视。为了引起各级领导和各单位对安全工作的重视,将安全工作可视化,让安全量化并走进每个人的生活,是一件非常重要的事情。如果网络与信息安全总是处于一种摸不到、看不着的状态,是很难真正将安全工作落实到位的,因为只有怕了才能真正动起来。为了实现可视化,学校可以引入安全监测设备,并利用这些设备产生的数据制作学校信息化安全简报,以量化的数据和图文并茂的形式将学校网络安全的状况、网络漏洞的危害和防范知识展现给各位领导和师生。通过这些数字可以让他们了解到真实的现状,并充分意识到面临的风险和责任。
四是建防护。学校要从技术方面入手做好整个校园环境的基础信息安全防护,这里主要包括建立全校网络防火墙、堡垒机、上网行为管理、抗DDoS 攻击、数据库审计、远程管理审计、云防护、网站及信息系统监控平台、漏扫设备、网络防病毒软件等公共平台设施,确保有防护、有数据、有痕迹,为网络与信息安全工作提供必须的、完备的环境和条件保障。
五是定策略。确定防范策略是一个重要的环节,需要结合学校自身实际进行考量。其中最重要的策略之一就是推行白名单制度。因学校很多网络与信息服务属于科研或内部工作性质,通过白名单制度将这些内部系统限制在内网中使用,而仅仅将有限的公共服务对外网开放,可以在很大程度上减少风险和防护的工作量,增加安全系数。在历次的重要时期安全工作中,白名单制度起到了重要的作用。
六是做检查。在完善了外围防护的基础上,学校要建立安全检查机制,监督和帮助各单位管好、防好各自所负责的信息系统安全。学校主要是利用专业的漏洞检测设备工具,采用每月定期检测和平时检测相结合的安全检测机制,对所有的网站及应用系统进行安全检查。当检查完成后,生成该信息系统的专项检查报告,并提出相应的具体解决方案,以便系统管理员能够指导专业运维人员很快地处理各种安全威胁。另外,还应该不定期地引入渗透等措施开展安全检查。通过这些常态工作,可以有效地及时发现问题并加以处理。
七是促整改。只做检查不落实整改结果就不能形成安全工作闭环,就无法保证安全防护的效果,因此必须采取强有力的措施促使责任单位进行整改。学校需要根据正式出台的信息化制度严格落实相应的管理和监督职责,可以对出现高危问题的网站及信息系统进行先关停再整改的措施,同时通过“信安字”文件形式下发整改通知,要求各单位针对发现的问题进行整改,整改合格后方可恢复上线。
八是找帮手。单靠管理是不够的,还需要专业的技术支持。为了克服人员少和人员能力不足的状况,需要扩展渠道、找帮手,引入专业的技术人员支持,共同做好学校的安全防护。一方面,学校通过与安全公司进行合作,购买安全服务,引进一批专业的技术支持。另一方面,充分利用有能力的学生做安全方面的测试、攻击、渗透等工作,让他们能为学校的安全贡献出自己的力量。同时,也可以给学生出具工作证明,对他们的白帽子工作给予肯定。
九是推等保。等保工作是一个严密的信息化防护工作,真正落实到位以后会极大提升学校的网络与信息安全水平。学校需要落实《网络安全法》要求,对所有设施做好等保评测并取得通过资质。同时,也要将等保要求落实到今后新建系统的合同里,要求后续所有新建系统在上线之前必须完成等级备案及等保评测。
十是报预警。一味地防不是办法,也需要变被动为主动。学校需要和专业的安全公司开展合作,建设软件预警平台,对各种新发生的安全事件实施及时的全校预警,也需要充分开展大数据应用,对有风险的行为做预警,及时阻断各种网络安全风险,为师生提供增值的信息化服务。
通过以上十项举措,可以让学校初步构建系统性的网络安全防护体系,为学校信息化工作提供网络与信息安全保障。但由于信息技术在不断发展和突破,所以安全问题永远在路上,我们也需要不断地探索和完善工作办法,努力为学校的发展保驾护航。