应用实践 | 新时代高等学校网络安全综合治理体系构建

MBAChina
2022-05-28 浏览量: 1575

一、背景

近年来,随着云计算、移动互联网、大数据、物联网、人工智能等新一代数字技术的飞速发展和广泛应用,深刻影响着教育现代化进程,推动高等教育从数字校园迈入智慧校园时代。《网络安全法》、《数据安全法》、《个人信息保护法》相继实施,为网络空间综合治理提供了法律依据,高校对网络安全重视程度也越来越高,落实网络安全等级保护制度,不断加大投入力度,持续开展网络安全深度治理工作,初步形成了高校网络安全工作新模式。然而,在颗粒度越来越细,精细化管理程度越来越高的发展背景下,网络安全问题依然突出,信息系统被攻击、网站被非法篡改、隐私信息被泄露、师生被网络诈骗等安全事件频繁发生,造成极其恶劣的社会影响,甚至财产损失。如何深入践行新时代网络安全观,有效应对各种网络安全威胁,仍然是各高校需要认真研究的一项重大课题。总体而言,高校网络安全工作存在以下问题:

1、管理机制不畅。管理制度缺失或没有及时修订,时效性差;高校信息资产数量庞大、种类繁多,变化频繁,资产管理能力差;责权不明,责任边界不清晰;网络安全与信息化工作统筹协调能力差等。

2、联动防御能力差。安全产品之间缺乏统一管理和有效整合,以业务为核心的安全运营能力差,防护策略动态设置和回收联动性差;设备功能有效利用率低,安全绩效差。重设备、轻服务,应急处置的手段单一,机动性差。

3、“数据孤岛”趋增。以人脸识别系统、安防监控等为代表的物联网智能应用场景越来越多,终端数量多,分布广泛,存在非法(重复)采集,弱密码,隐私数据泄露风险,呈新“数据孤岛”趋势,数据安全风险趋增。

4、数据安全隐患大。高校作为高层次人才培养与科学研究的重要基地,在智慧校园建设过程中聚集、加工、存储、流通的数据量巨大,安全隐患大。

5、安全素养参差不齐。高校用户规模大,师生网络安全素养和技能参差不齐,安全意识淡薄,防护意识和防护能力差,被攻击、被获取隐私数据,被诈骗的案例时有发生。

6、安全保障力度不够。网络安全人才队伍不足,专业技能差;“重建设轻运维”现象依然存在;经费投入持续性差,网络安全与信息化应用建设的融合度差等。

二、成效

新时代的安全管理必须从静态防御思维转变为在动态中寻求攻防平衡,要主动有效识别风险,具备可覆盖所有物联网资产的全面实时安全监测,并可动态分析、发现安全威胁,及时处置相关安全风险的能力。郑州轻工业大学从实际出发,以国家网络安全政策法规、上级网络安全工作要求为指导,统领网络安全与信息化建设工作深入融合,以人和信息资产作为管理对象,研究制定网络安全制度规范和顶层设计,通过网络安全管理制度、安全责任体系和网络安全技术防护能力相结合的方式,建立立体应急响应防控体系,有效应对各种网络安全威胁,保障师生个人信息安全和各项业务的安全稳定运行。具体做法如下:

▲学校网络信息安全监控中心

(一)加强领导,健全网络安全制度体系和责任体系

1、机构建设。成立以校党委书记、校长为组长,其他校领导为副组长,学校各职能部门、二级单位负责人为成员的网络安全和信息化领导小组,办公室设在宣传部,由宣传部和信息化管理中心共同承担具体工作,统筹网络安全和信息化建设工作,做到分工明确,信息化管理中心负责技术和信息化建设相关工作。设立CIO首席信息官和网络安全与信息化工作专家委员会,实行信息化业务归口管理。

2、制度建设。按照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规以及上级有关政策文件要求,修订《郑州轻工业大学网络信息安全管理规定(修订)》《郑州轻工业大学信息化项目归口采购管理办法(修订)》,进一步明确了组织机构职责分工和权责,从规划建设、到上线运维,全流程落实“四个同步”安全管理规范,推动学校建立集规划、建设、防御、监测、处置全流程于一体,覆盖校内各二级单位、各类人员、各类信息系统的网络安全保障制度和责任体系。

3、责任体系。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立分级式网络安全责任体系,完善制度建设,组建队伍,推动网络安全日常工作。集中研究部署网络安全工作、定期召开网络安全工作会议。签订校级和校内《网络安全承诺书》,重点人员、用户部门、系统开发商等签订多安全责任书、数据保密协议,统筹好各用户部门的信息化建设与网络安全工作。对管理人员或操作人员执行的日常管理操作建立操作规程,形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

(二)统筹规划,建设校园泛在网络服务基础设施

1、基础设施统一建设。根据学校两地三区的业务发展需求,统筹做好泛在接入网络建设规划,建设了视频监控、财务、一卡通等跨校区传输专网。出台学校《运营商业务管理制度》,实现信息化管理中心对运营商在校内开展的信息化合作等业务的归口统一管理。建设了统一的一张有线和无线网络,规范了运营商校园互联网接入服务,实现网络接入形式上统一,业务办理统一,用户服务统一,互联网出口统一,安全管控策略统一。

2、泛在接入统一管理。加强安全接入管理能力,加强物联网终端的接入管理,规划建设基于SDN的应用场景式泛在接入网络,按需设置多个虚拟物联专网,实现各个业务逻辑专网的终端主动识别、接入认证、数据传输加密、日志管理、链路监测、安全访问策略等方面的安全管理。建设DHCPv6系统,实现IPv6的各接入楼宇、接入场景的有序管理。面向全校师生搭建基于零信任架构的多途径VPN内网资源专用访问通道,以aTrust平台为核心组件,实现校内多场景的统一接入访问,提升师生访问校内资源体验。

3、计算资源统一管理。建设统一的私有云计算资源平台,按照网络安全责任制,统一对所有信息化系统和教学科研应用分配计算资源,提供基础设施平台服务,建设数据中心多条冗余链路发布策略。资源实行分级分层管理,应用系统实行分级发布、分级防护、分级备份。数据中心统一配置安全策略、统一监控运维、统一应急响应。

4、应用服务统一管理。信息系统按照学校《信息系统集成标准规范》,与公共应用集成门户、数据平台、统一身份认证平台以及其他信息系统进行对接,实现数据分类归集,分级保护、应用集成。网站和信息系统实行备案管理制度,统一使用学校edu域名、IP地址,非数据中心IP不得提供互联网服务,严格执行各系统上线的安全检测规范。

(三)多方协同,提高安全技术防护与应急响应能力

1、物理安全。加强数据中心环境建设,从物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对物理环境进行规范管理;规范线缆标识,建设了精密空调、UPS供电、防静电、防雷、防水浸、防火等环境状态的全监控与自动报警系统;建设两校区异地容灾备份系统。

2、边界防护。校园网出口统一边界安全防护,动态设置黑名单管理策略,除数据中心和特殊审批的地址外均无法对校外提供服务;对用户区和数据中心进行网络层安全防护,加强出口防火墙等安全防护设备的差异化配置动态管理能力。

3、数据中心。强化数据中心内部防护能力,根据访问需要控制路由可达路径,及时清理过期访问策略,实现网络通信可信可控。升级对外发布业务的应用防护能力,通过Bot防护、攻防情报、机器学习、智能语义引擎WISE等实现Web攻击的漏斗化高效检测和智能化安全防护。根据信息系统定级情况,建立分级计算资源保障,分级发布,分级安全管控,分级访问控制策略。主机统一安装EDR终端防护软件,实现东西、南北向微隔离访问控制策略、系统补丁更新、禁止非法外联等安全管控措施,与下一代防火墙AF和安全感知系统SIP联动,形成动态安全防护机制。

4、资产管理。按照“谁主管,谁负责;谁运营,谁负责;谁接入,谁负责”的原则,通过主动探测的方式对目标网段进行探测,发现开放的业务系统或开放的端口,通过分析网络流量,对备案资产进行确认,以信息资产备案信息为基础,对域名、透明IP、双非网站进行清理。建立信息资产的全生命周期安全评价机制,对于安全问题频出,用户粘性不高的应用系统建立下线退出机制。通过安全态势感知系统的信息资产管理和脆弱性风险评估,全面感知信息资产中漏洞、配置、弱密码、Web明文传输等风险,实现风险资产可视化、资产责任人明确化。

5、应用防护。以零信任架构为理念,建设IOA终端安全管理平台,实现可信终端、可信身份、可信应用与CAS身份认证系统鉴权无缝对接,保障用户在任意网络环境中安全、稳定、高效地访问学校资源及数据。消减特权账号,实现APP与门户系统的二维码授权、人脸识别、手机短信等多因子认证。深入可信密码应用,加强可信应用改造,实现学校密码服务平台与其他信息系统的标准化集成,利用在线签名签章技术,实现OA办公系统的无纸化审批,可信数字档案,可信电子成绩单等电子凭据,财务系统网上审批等业务的全程网上办理。

6、数据安全。制定《郑州轻工业大学信息化数据管理办法(试行)》,落实数据安全主体责任,明确数据安全归口管理职责。规范数据安全业务管理流程,加强数据安全技术防护措施。依据数据属性,对数据进行分类分级保护,根据数据安全影响程度,将数据从高到低分为最高级别数据(涉密级)、重要敏感数据(一级)、内部办公常用数据(二级)、可公开数据(三级)等不同安全级别。规范数据生命周期管理,明确数据收集“最小够用”,不得超过职能收集数据,优先通过共享获取数据,新采集数据要审核原则。明确数据存储传输“最短周期”原则,超过期限应归档或销毁。明确数据使用处理“最小必要”原则,明确数据录入、查看、修改和删除等权限,实行数据安全管理者、处理者、安全审计者三分立。明确数据开放共享“用而不存”原则,鼓励通过接口共享数据。构建“数据、业务、主体”的数据流动业务视图,在操作规程中嵌入数据审计,隐私识别与加密、数据脱敏等安全技术,对采集、传输、存储、使用、共享、交换、销毁 退役等全生命周期各环节的数据安全进行规范,提升数据防入侵、防泄漏、防滥用、防窃取能力。

7、安全运维。做好安全基线管理能力,核查信息系统上线相关技术文档(系统部署方案、安全检测报告等),利用自有安全检测工具对已部署的信息系统进行系统检查、软件检查、漏洞扫描、等安全上线检测,按系统的服务范围进行分级发布上线。开展包括网站、应用系统备案、漏洞扫描、基线检查、渗透测试、风险评估等在内的安全评估工作,对端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行检查、监控。通过堡垒机,对第三方运维人员进行实名制认证和运维日志审计。围绕数据安全态势感知统筹数据安全运营能力。

8、监测预警。搭建安全态势感知平台,部署流量探针,汇集安全设备日志,加强业务检测预警能力,汇集教育行业漏洞报告平台和教育部教育行业信息技术工作管理平台的多途径预警信息,发布日常风险预警通知。通过安全感知系统的通报预警能力,实现安全事件处置工单流程化、通报预警精简化,做到安全事件事事有人管、事事有人应。通过采购第三方服务,加强对网站应用系统的网络安全监测,排查和识别学校网络安全相关的各类隐患,结合学校实际情况进行整改和清除隐患。建设蜜罐系统,通过联动本地蜜罐和云蜜罐模拟真实Web服务,通过对攻击者流量进行深度行为分析,获取攻击方的指纹信息、工具、手法、攻击轨迹等,汇总形成攻击者画像,并准确定位攻击者真实身份,实现全面取证与精准溯源,并结合防火墙联动实时封堵攻击源,缩短应急响应时间,并将捕获的未知威胁等数据应用于防火墙,提高本地防火墙的攻击检测能力,实现业务流、数据流的安全监测与预警。

9、应急处置。依据《网络与安全应急预案》和《网络安全事件处置流程》,协调整改各类漏洞,协同处置上级(主管部门、网信、网安)通报的网络安全风险事件。在重保前期准备阶段,依据业务系统保障级别、对全网进行隐患排查和安全加固,建立纵深防御体系,安排网络安全专业技术人员和采购第三方服务,实施24小时值班读网制度,确保紧急事件发生时能及时发现,第一时间应急响应,及时高效完成应急处置工作。

(四)积极开展网络安全宣传教育和培训等安全素养提升工作

1、培育校园网络文化。定期召开全校网络安全工作会议,提高领导干部的网络安全意识;联合相关学院开展国家安全宣传周和网络文化节等活动,开展网络安全知识讲座、政策宣传、参观体验、防诈骗报告(防诈骗App推广)、安全知识竞赛等线上和线下相结合、理论与实践相结合的教育体验活动,普及网络安全知识,提升网络安全意识,提高网络安全技能。

2、加强业务管理能力。组织业务人员接受网络安全专业培训,提高技术人员业务水平,注重人防与技防结合;参加技术交流,学习全国兄弟院校的先进工作经验;组织人员参加网络安全攻防竞赛,提升网络安全业务管理人员的攻防实战能力。

三、经验

1、统筹规划管理。以制度建设和体制机制创新,理顺网络安全与信息化建设工作关系,健全制度管理规范,深化业务协作创新,牢筑业务安全底线,强化网络安全意识在信息化建设中的全流程管理,以安全促发展,以发展保安全。

2、树立法治理念。以《网络安全法》等法律为准绳,认真落实《网络安全责任制落实考核评价办法》,组织与各二级单位签订网络安全责任书,全面加强信息资产管理,强化安全业务管理能力。

3、强化供给能力。加强网络安全主动防御体系建设,提高数据中心精细化管理能力。以攻防演练、渗透测试等形式为抓手,细化信息系统安全防护策略,加强安全态势感知与预警监控,完善网络安全防御与应急处置体系。全面加强可信应用体系改造,为学校事业发展提供有力信息化支撑。

四、展望

1、持续提高泛在智能感知能力。提高多校区终端场景化分类接入管理能力和安全管理水平。深入推进IPv6应用,加强全域数据建模与感知能力,构建数字孪生的“一网通管”安全管理能力。

2、深入推进应用可信体系建设。继续探索零信任架构的安全可信应用体系建设,基于数据视图、身份视图动态构建访问策略,加强应用系统的全链路改造,消减特权账号,推广多因子身份认证授权机制。完善信息治理体系,强化数据驱动的业务协作,全面提高“一网通办”安全支撑能力。

3、全面加强数据驱动协作水平。完善数据治理标准化保障措施,构建数据地图,全面提高数据的识别能力,防护能力,安全管理能力,建设决策、管理、执行、监督的数据协同、应用融合与数据安全运营的标准规范体系,提高数据治理标准化能力,全面提高 “一网通享”安全服务能力。

4、完善实战攻防应急响应体系。深入构建网络安全事件动态感知、预警监测、溯源取证、协同分析与应急处置机制,提高人防,物防,技防,联防水平,建立动态化,生态化的新时代网络安全工作新体系。

5、培育安全创新研究能力生态。将网络安全与人才培养、科学研究,产教融合相结合,以内生安全驱动网络安全与信息化业务的保障能力。

编辑:凌墨

(本文转载自 ,如有侵权请电话联系13810995524)

* 文章为作者独立观点,不代表MBAChina立场。采编部邮箱:news@mbachina.com,欢迎交流与合作。

收藏
订阅

备考交流

免费领取价值5000元MBA备考学习包(含近8年真题) 购买管理类联考MBA/MPAcc/MEM/MPA大纲配套新教材

扫码关注我们

  • 获取报考资讯
  • 了解院校活动
  • 学习备考干货
  • 研究上岸攻略

    活动日历

    2022年度
    • 01月
    • 02月
    • 03月
    • 04月
    • 05月
    • 06月
    • 07月
    • 08月
    • 09月
    • 10月
    • 11月
    • 12月
    本月暂无活动,敬请期待~