河南理工大学:围绕信息系统资产,做好网络安全保障
来源:河南理工大学 作者:刘本仓 发表于:2021.09.17 993浏览
文/刘本仓 河南理工大学信息化建设与管理中心副主任
网络安全是信息化的底线,也是贯穿信息化建设全程的总体要求,网络安全问题已上升到国家安全层面。高校作为人才培养基地,其校园网是网络安全的重要阵地。河南理工大学各级领导高度重视网络安全工作,为深入贯彻落实习总书记重要讲话精神和《网络安全法》相关要求,成立了党委网络安全和信息化领导小组。领导小组下设办公室(网信办),实行双主任制,负责贯彻和落实领导小组的决策,统筹全校网络安全和信息化工作。信息化建设与管理中心(信管中心)作为网信办牵头单位之一,承担学校网络安全和信息化工作的日常管理和技术保障工作,2019年成立了网络安全科,专职管理网络安全工作。
河南理工大学网络安全防护体系建设起步较晚,2012年开始建设校园网边界防火墙,随后Web应用防火墙、数据中心防火墙、VPN、日志审计、运维堡垒机、漏洞扫描、IPS等安全设备逐渐完备,网络安全防护体系正为智慧校园的安全运行提供强力保障。
一、以信息系统清单为抓手
在网络安全管理工作中,学校逐渐形成以信息资产为中心的工作思路,围绕信息资产制定防护策略。2020年学校以网络安全等保测评为契机,开展了信息系统全面清查,把各单位申报材料与平时的运维资料结合,形成了详细的信息系统清单——服务器和虚拟机数量400余台,网站85个,平台及应用系统140个,信息资产标签包含系统名称、访问地址、操作系统、数据库、中间件、端口、开发商、管理员等信息。掌握的信息越详细,就越能做到精确化管理,有网络安全风险时可以最快、最小范围通知到责任人。
信息资产库的更新使用系统上线登记和主动扫描相结合的方式。用主动的扫描和被动的镜像流量分析来发现遗漏的资产信息,尽量补全信息系统要素。业务单位填报的信息难免会存在漏填、错填,如中间件及版本、后台访问地址等,造成信息系统要素登记不完整。通过持续的发现补充,可以在后期安全检测和防护中尽量不遗漏任何重要信息。目前,在防火墙和IPS管控下开放的端口有400多个,访问区域分互联网、互联网指定范围、校内、校内指定范围等多种来源区域。
二、以日常运维和监测固安全
提升日常运维策略。日常的运维水平决定了网络安全防护水平。由于校内各二级单位的系统管理员均是兼职,且网络系统管理能力和水平有限,部分委托厂商运维的系统也没有得到及时检查和维护,这些都需要有专业指导和及时督促。基于此,信管中心开展了系统上线检测和定期检测,及时反馈网络风险。
同时引入专业化安全技术服务团队,定期对学校信息系统进行安全评估。人工渗透测试是自动化工具取代不了的,针对部分系统我们做了渗透测试,进一步发现扫描工具扫描不到的风险,如教务系统未授权访问、Web弱密码、VPN帐号密码泄露、撞库等。不惧怕漏洞多,及时做好网络风险预防和网络突发事件处理,有效协助各二级单位进行安全加固工作,防止漏洞、风险转化为事件。
加强网站监测管理。信管中心利用开源软件制作了网站变动监测系统,集中显示网站的代码级变更,在网络安全值班等关键时期可以快速掌握所有网站的内容更改情况。同时,根据《河南理工大学二级网站管理规范(修订)》等制度,要求各单位将自行托管在校外的网站迁回校内,重新登记备案,纳入学校的统一安全防护体系,目前陆续迁回的网站和系统有10个,并已全部纳入等保测评范围。
三、以规范的流程促整改
信息系统的登记备案和网络安全整改通报均可通过线上方式进行。将信息系统登记备案与安全检测整合到一个线上审批流程:业务单位提交申请——获取堡垒机运维账号——等待安全检测结果——线上反馈整改结果,直至无中高危的安全漏洞——分配备案号,完成备案流程——开放端口,正式上线运行。
信息系统漏洞整改也采用线上流程审批的方式,来自上级单位的通报和自主发现的风险隐患都通过流程下发。信管中心网络安全科发起漏洞整改流程,上传检测报告,包含漏洞详情及漏洞整改建议,暂停该系统的校外访问;被通报单位的领导和管理员同时接收,业务单位管理员收到流程通知后进行漏洞整改并提交漏洞整改报告,经业务单位领导审核后,提交信管中心重新检测,直至整改完成。线上通报流程与其他业务流程同一平台,既有权威性,又可实现信息的快速传达,第一时间传达给责任单位领导可起到督促作用,提供的检测报告可防止一些开发厂商的推脱抵赖。
近两年,学校收到不少漏洞通报,通过校内通报机制和管控措施,基本都可以在规定时间内完成整改。
四、以考核评估引导信息化健康发展
2020年学校首次开展了处级单位信息化建设与管理工作年度考核。参考《河南省高校信息化发展水平评估指标体系》,并加入运行效果评价指标,学校制定了《河南理工大学信息化建设与管理考核办法(试行)》,共5个方面32项考核内容。其中网络安全为重要的方面,独立于《河南理工大学二级党委(党总支)网络安全责任制考核评价办法》的考核,分别进行,分别计分。考核后对6个学院、8个处级单位扣除部分网络安全分值,其中3个学院加重扣分,考核总分计入学校年度考核分值。
学校在网络安全管理工作中还存在专业技术力量薄弱、安全设备不全面、信息系统细节掌握有疏漏、缺少有效的网络安全管理系统、对二级单位的支撑不到位等有待于提高的环节,需要持续加强。网络安全工作没有模板,适合本单位实际情况才是最佳选择。我们将深挖信息资产,摸清家底,针对性加强有效防护措施,筑牢安全防线,防患于未然,努力构建全方位多层次的立体化网络安全防御体系。