隨著信息化技術(shù)的高速發(fā)展,網(wǎng)絡(luò)的普及應(yīng)用深刻地改變了高校的日常教學(xué)、科研和管理方式方法;同時(shí),高校對網(wǎng)絡(luò)與信息安全(以下簡稱“網(wǎng)絡(luò)安全”)的依賴程度不斷加深,對各類數(shù)據(jù)和信息資源的安全也變得越來越敏感。本文試圖從高校網(wǎng)絡(luò)安全現(xiàn)狀入手,分析梳理清華大學(xué)網(wǎng)絡(luò)安全管理模式,并對完善高校網(wǎng)絡(luò)安全防范體系提出相關(guān)思考,以期對高校網(wǎng)絡(luò)安全管理工作提供借鑒意義。
高校網(wǎng)絡(luò)安全現(xiàn)狀
網(wǎng)絡(luò)安全形勢
一方面,網(wǎng)絡(luò)的高速發(fā)展和深度應(yīng)用增大了安全風(fēng)險(xiǎn)。隨著互聯(lián)網(wǎng)和信息技術(shù)以前所未有的深度和廣度改變著人們的工作、生活、交流和消費(fèi)模式,網(wǎng)絡(luò)安全帶來的風(fēng)險(xiǎn)也在迅速增大。在美國大學(xué)信息化聯(lián)盟EDUCAUSE公布的年度十大IT議題(Top10 IT Issues)當(dāng)中,與安全相關(guān)的議題自2007 年以來頻繁入選,充分說明網(wǎng)絡(luò)與信息安全已經(jīng)成為高校達(dá)成使命和維持各項(xiàng)職能正常運(yùn)轉(zhuǎn)的必需保障。
另一方面,網(wǎng)絡(luò)安全面臨的威脅增多。伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,危害網(wǎng)絡(luò)安全的技術(shù)手段、人員規(guī)模、侵?jǐn)_對象和造成的后果也在不斷升級(jí)。同時(shí),針對網(wǎng)絡(luò)安全的各類技術(shù)防護(hù)手段普遍具有滯后性。殺毒軟件、防火墻、入侵檢測技術(shù)、虛擬入侵誘騙技術(shù)等各類技術(shù)防范手段,需要針對網(wǎng)絡(luò)攻擊的最新特點(diǎn),進(jìn)行破解和實(shí)時(shí)更新,往往滯后于網(wǎng)絡(luò)破壞行為。
高校網(wǎng)絡(luò)安全管理現(xiàn)狀
第一,管理依據(jù)長期缺位。盡管互聯(lián)網(wǎng)進(jìn)入中國已超過20年,但迄今為止,我國尚無關(guān)于網(wǎng)絡(luò)安全的正式立法。在強(qiáng)調(diào)依法治國的今天,包括高校在內(nèi)的各級(jí)各類組織和機(jī)構(gòu)在加強(qiáng)網(wǎng)絡(luò)安全管理領(lǐng)域,都面臨著無法可依的窘迫。同時(shí),大多數(shù)高校在制度建設(shè)方面也極其欠缺,無章可循,靠經(jīng)驗(yàn)辦事的狀況普遍存在。
第二,管理隊(duì)伍勉為其難。一是管理力量不強(qiáng)。目前,高校的網(wǎng)絡(luò)安全管理隊(duì)伍中專職人員很少,在大部分的兼職人員的日常工作中,網(wǎng)絡(luò)安全工作的占比也很小,客觀上造成工作措施難以落實(shí)的局面。二是管理專業(yè)性不夠。受限于現(xiàn)有的管理體制和人事制度,高校也很難吸引或聘用高水平的網(wǎng)絡(luò)安全技術(shù)人員。
第三,防范意識(shí)普遍薄弱。目前,高校師生在網(wǎng)絡(luò)安全意識(shí)上普遍存在兩個(gè)“滯后”:一是對網(wǎng)絡(luò)安全重要性的認(rèn)知滯后;二是學(xué)習(xí)掌握基本的網(wǎng)絡(luò)安全防護(hù)能力滯后。由此,給網(wǎng)絡(luò)安全管理部門造成極大的工作不便。
清華大學(xué)網(wǎng)絡(luò)安全管理現(xiàn)狀
作為信息化工作起步較早的國內(nèi)高校,清華大學(xué)在教學(xué)、科研、管理等領(lǐng)域的信息化程度高、用戶多、數(shù)據(jù)總量大,特別是在國內(nèi)外的較高知名度使其容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。這些因素都使清華大學(xué)對信息安全有著更高的需求。
網(wǎng)絡(luò)安全特點(diǎn)分析
1.匯聚效應(yīng)明顯。作為國內(nèi)外著名高校,清華大學(xué)受到國內(nèi)外的廣泛關(guān)注,易成為網(wǎng)絡(luò)攻擊的目標(biāo),攻擊的目的或是為了獲取更大的轟動(dòng)效應(yīng),或是為了獲取更有價(jià)值的信息資料。例如:2013年,美國國家安全局(NSA)前雇員愛德華·斯諾登(Edward Snowden)爆料稱美國黑客曾入侵清華大學(xué)主干網(wǎng)絡(luò)。且不論斯諾登所述的網(wǎng)絡(luò)破壞行為給清華的校園網(wǎng)絡(luò)運(yùn)行造成什么影響,單就這番言論帶來的負(fù)面影響就持續(xù)甚久。此外,一些網(wǎng)友遇有涉及清華大學(xué)的熱點(diǎn)事件或話題時(shí),也往往用網(wǎng)絡(luò)攻擊作為宣泄個(gè)人情緒的手段。
2.用戶數(shù)量多、管理難度大。目前,清華大學(xué)共有19個(gè)學(xué)院,55個(gè)系;校園網(wǎng)用戶群體包括1萬余名教職工,3.5萬名在校學(xué)生以及4萬余名職工家屬,再加上短期交換學(xué)生、培訓(xùn)學(xué)員等人群,共計(jì)近10萬人的用戶規(guī)模。所有這些用戶分散在不同單位不同樓宇中,各單位網(wǎng)絡(luò)安全管理隊(duì)伍的規(guī)模和水平也參差不齊,使得日常管理難度較大。
網(wǎng)絡(luò)安全管理體系
從2010年以來,清華大學(xué)針對網(wǎng)絡(luò)安全管理工作頭緒多、范圍廣、總量大的實(shí)際特點(diǎn),圍繞校園網(wǎng)、信息系統(tǒng)和個(gè)人終端三個(gè)方面,逐步建立了由組織體系、制度體系和技術(shù)體系組成的網(wǎng)絡(luò)安全管理體系,基本涵蓋了網(wǎng)絡(luò)安全工作的主要方面。
1.組織體系
明確了網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)決策機(jī)構(gòu)、管理部門、運(yùn)營單位、使用單位和技術(shù)支撐部門的管理職責(zé)分工,將安全責(zé)任分解落實(shí)到具體的責(zé)任人,初步建立了網(wǎng)絡(luò)安全工作組織體系。
在宏觀決策層面,由學(xué)校信息化領(lǐng)導(dǎo)小組負(fù)責(zé)全校網(wǎng)絡(luò)安全工作的宏觀決策和整體部署。
在具體組織層面,由信息化工作辦公室負(fù)責(zé)協(xié)調(diào)落實(shí)全校網(wǎng)絡(luò)安全工作。
在具體執(zhí)行層面,一方面,將原有的網(wǎng)絡(luò)中心、計(jì)算中心和電教中心合并,成立信息化技術(shù)中心,為全校網(wǎng)絡(luò)安全管理提供統(tǒng)一的技術(shù)支撐。另一方面,在學(xué)校各院系、各部門設(shè)置了網(wǎng)絡(luò)安全工作主管和聯(lián)系人,具體負(fù)責(zé)本單位網(wǎng)站和信息系統(tǒng)的安全管理工作,將安全責(zé)任逐級(jí)落實(shí)。
以此,構(gòu)建了以信息化領(lǐng)導(dǎo)小組為核心,以信息化工作辦公室為主導(dǎo),以信息化技術(shù)中心為支撐,以各院系、部門具體責(zé)任人為抓手的網(wǎng)絡(luò)安全管理體系,確保全校信息安全管理工作方向明確、協(xié)調(diào)有力、技術(shù)可靠、責(zé)任清晰。
2.制度體系
在制度保障方面,2011年9月,《清華大學(xué)關(guān)于加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全工作的指導(dǎo)意見》發(fā)布施行。作為當(dāng)前清華大學(xué)在網(wǎng)絡(luò)安全領(lǐng)域的最高級(jí)別指導(dǎo)文件,這份文件系統(tǒng)闡述了網(wǎng)絡(luò)安全管理工作的重要性、指導(dǎo)思想、基本原則,制定了“確保學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行,支撐學(xué)校教學(xué)、科研和管理工作可持續(xù)發(fā)展”的工作目標(biāo)以及相應(yīng)的工作措施。隨后,圍繞著加強(qiáng)網(wǎng)絡(luò)安全工作的各類規(guī)范文件紛紛制定和修訂完善,共包括隊(duì)伍建設(shè)類、責(zé)任體制類、管理制度類、預(yù)案與應(yīng)急響應(yīng)類、技術(shù)類、工作記錄類等六大類。
在機(jī)制保障方面,常態(tài)化的網(wǎng)絡(luò)安全運(yùn)行機(jī)制是保障網(wǎng)絡(luò)安全工作體系正常運(yùn)轉(zhuǎn)、落實(shí)網(wǎng)絡(luò)安全管理規(guī)范實(shí)施,發(fā)揮安全技術(shù)措施效用的有效和必要方法。目前,清華大學(xué)已初步完成網(wǎng)絡(luò)安全常態(tài)化運(yùn)行機(jī)制建設(shè),包括信息系統(tǒng)登記備案機(jī)制、網(wǎng)絡(luò)信息安全例行檢查機(jī)制、信息系統(tǒng)安全準(zhǔn)入機(jī)制、安全漏洞跟蹤管理機(jī)制、網(wǎng)絡(luò)信息安全分級(jí)運(yùn)行機(jī)制、安全事件響應(yīng)與通報(bào)機(jī)制等,有力保障了全校網(wǎng)絡(luò)安全工作的有序開展。
3.技術(shù)體系
經(jīng)過多年的探索和實(shí)踐,清華大學(xué)在網(wǎng)絡(luò)安全技術(shù)體系建設(shè)方面已有初步積累。2014年,在對網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)、需求進(jìn)行進(jìn)一步的細(xì)致梳理后,形成了網(wǎng)絡(luò)安全技術(shù)體系規(guī)劃,將全校信息化環(huán)境劃分為校園網(wǎng)、信息系統(tǒng)、用戶終端三個(gè)安全區(qū)域,針對不同區(qū)域建設(shè)防護(hù)、檢測、響應(yīng)三層技術(shù)措施,以提升各安全域的安全防控能力、安全監(jiān)測能力和安全響應(yīng)能力。
網(wǎng)絡(luò)安全管理工作成效
1.日常網(wǎng)絡(luò)安全防范能力有所提升。
得益于網(wǎng)絡(luò)安全體系的不斷建設(shè)和完善,清華大學(xué)網(wǎng)絡(luò)信息系統(tǒng)總體安全性、網(wǎng)絡(luò)安全漏洞響應(yīng)能力、網(wǎng)絡(luò)安全事件預(yù)警處置能力都得到了較大的提升。據(jù)統(tǒng)計(jì),2014年,全校各級(jí)各類網(wǎng)站和信息系統(tǒng)存在SQL注入漏洞的比例和存在跨站漏洞的比例均比2010年下降了十個(gè)百分點(diǎn);自2010年以來,網(wǎng)絡(luò)安全事件數(shù)量也呈現(xiàn)連年下降態(tài)勢。嚴(yán)密的組織架構(gòu)和周密的工作機(jī)制使得近幾年來爆發(fā)的重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(比如2014年OpenSSL爆出的心臟出血漏洞)未對全校信息化環(huán)境造成實(shí)質(zhì)性威脅,確保了校園網(wǎng)絡(luò)和信息系統(tǒng)的安全穩(wěn)定運(yùn)行。
2.確保了重大活動(dòng)期間網(wǎng)絡(luò)安全的萬無一失。隨著網(wǎng)絡(luò)安全威脅的日益突出,各級(jí)部門對重大活動(dòng)期間的網(wǎng)絡(luò)安全保障的重視程度也越來越高。對此,每逢重大活動(dòng)前,清華都從管理、技術(shù)、隊(duì)伍三個(gè)方面對網(wǎng)絡(luò)安全工作進(jìn)行提前部署。例如,在今年抗戰(zhàn)勝利70周年紀(jì)念活動(dòng)之前,清華大學(xué)從五月份開始對全校登記備案的網(wǎng)站信息系統(tǒng)、核心服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行全面的安全檢查,掃描總量上萬次,整改安全隱患上千個(gè),對未整改的服務(wù)器和信息系統(tǒng)均采取了限制校內(nèi)訪問或暫停訪問的技術(shù)措施。從2015年8月起,全校網(wǎng)絡(luò)安全管理啟動(dòng)“超常”的一級(jí)防控預(yù)案,嚴(yán)格執(zhí)行一級(jí)預(yù)案安全保障的各項(xiàng)要求,做好校園網(wǎng)與信息系統(tǒng)的安全檢查、監(jiān)控和24小時(shí)值守,堅(jiān)持每日“零報(bào)告”制度,有條不紊地開展各項(xiàng)工作,保障了這一重大活動(dòng)期間校園網(wǎng)絡(luò)環(huán)境的穩(wěn)定有序。
思考與建議
在前不久召開的第二次全國教育信息化工作電視電話會(huì)議上,中共中央政治局委員、國務(wù)院副總理劉延?xùn)|同志在講話中強(qiáng)調(diào),“十三五”期間,要大力推進(jìn)信息技術(shù)與教育教學(xué)、創(chuàng)新創(chuàng)業(yè)的融合發(fā)展。在這樣的大背景下,加強(qiáng)和做好網(wǎng)絡(luò)安全工作可謂是越來越重要。高校信息化建設(shè)面臨的網(wǎng)絡(luò)安全問題將進(jìn)一步復(fù)雜化,已經(jīng)建立起來的網(wǎng)絡(luò)安全體系并不能一勞永逸解決所有的問題,高校必須根據(jù)實(shí)際情況,不斷研究總結(jié),探索出適合自身發(fā)展的網(wǎng)絡(luò)安全管理模式。對此,筆者就今后的工作提出以下幾個(gè)方面思考和建議:
第一,應(yīng)探索建立校級(jí)網(wǎng)絡(luò)安全服務(wù)平臺(tái)。
建立面向全校師生和單位的網(wǎng)絡(luò)安全服務(wù)平臺(tái),公布24小時(shí)服務(wù)電話,統(tǒng)一接收出現(xiàn)的網(wǎng)絡(luò)安全威脅和事件的情況,提供線上咨詢和線下處理的網(wǎng)絡(luò)安全服務(wù),定期或不定期地根據(jù)網(wǎng)絡(luò)安全形勢為個(gè)人用戶終端或單位系統(tǒng)采取安全措施,加強(qiáng)安全防護(hù),并有針對性地圍繞重要人員、重要部門、重要系統(tǒng)提供系統(tǒng)安全監(jiān)測和問題解決方案,提升高校整體的網(wǎng)絡(luò)安全保障能力。
第二,應(yīng)探索建立強(qiáng)有力的網(wǎng)絡(luò)安全保障隊(duì)伍。
網(wǎng)絡(luò)安全管理,三分靠技術(shù),七分靠管理,管理工作最重要的要靠人,可以根據(jù)不同的網(wǎng)絡(luò)安全需要,建立相應(yīng)的保障隊(duì)伍。例如,可按社會(huì)化運(yùn)作模式聘請專業(yè)的網(wǎng)絡(luò)安全人才滿足較高層次的安全需要,還可利用學(xué)校理工科的學(xué)科優(yōu)勢,通過勤工助學(xué)等方式建立一支學(xué)生網(wǎng)絡(luò)安全保障隊(duì)伍。
第三,應(yīng)探索采用新方式、新方法強(qiáng)化用戶網(wǎng)絡(luò)安全意識(shí)。
相對于傳統(tǒng)意義上的安全概念,網(wǎng)絡(luò)安全的受重視程度還遠(yuǎn)遠(yuǎn)不夠。高??衫酶鞣N渠道,加強(qiáng)對網(wǎng)絡(luò)安全重要性的宣傳力度,不斷增強(qiáng)師生用戶的網(wǎng)絡(luò)安全觀念。例如,可將網(wǎng)絡(luò)安全課程列入大一新生入學(xué)的必修課,可利用MOOC等新的教學(xué)方式來傳授網(wǎng)絡(luò)安全理念和防范手段等,還可定期舉辦網(wǎng)絡(luò)安全講座等等。
第四,應(yīng)探索建立聯(lián)合預(yù)警機(jī)制。
今年十月底,美國大學(xué)信息化聯(lián)盟(EDUCAUSE)在對2016年度十大IT議題進(jìn)行前瞻時(shí),就明確將信息安全(Information security)列為首選。而面對層出不窮的網(wǎng)絡(luò)安全威脅,無論是個(gè)人用戶,還是高校,個(gè)體的力量總是薄弱的,只有加強(qiáng)聯(lián)合與協(xié)作,才能更好地應(yīng)對。期望能夠在上級(jí)教育部門協(xié)調(diào)下,聯(lián)合國家有關(guān)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)構(gòu)、各高校及各大網(wǎng)絡(luò)安全技術(shù)公司,針對高校系統(tǒng)建立實(shí)時(shí)預(yù)警機(jī)制,遇有明確指向高校的網(wǎng)絡(luò)攻擊,或發(fā)現(xiàn)易在高校爆發(fā)傳播的惡意軟件、病毒時(shí),第一時(shí)間通報(bào)高校并提供針對性、專業(yè)性的技術(shù)指導(dǎo),形成合力,共同應(yīng)對。