山東大學(xué)借等保東風(fēng) 助網(wǎng)安治理上新臺階

存在的問題與原因

山東大學(xué)的網(wǎng)絡(luò)安全工作一直存在很多問題，在2017年7月以前，被發(fā)現(xiàn)安全漏洞多，曾經(jīng)長期位列教育部漏洞排行榜榜首，原因主要有以下幾點(diǎn)：

一是網(wǎng)站多由個人或小團(tuán)隊(duì)開發(fā)，技術(shù)薄弱、安全漏洞多，沒有維護(hù)人員，處置不及時；

二是虛擬主機(jī)系統(tǒng)環(huán)境版本低，受部分網(wǎng)站無維護(hù)人員限制不能升級，操作系統(tǒng)多是Redhat9.0、AS2.1、AS3.0、CentOS4.X等；

三是校園網(wǎng)邊界基本不做訪問控制，校內(nèi)上網(wǎng)設(shè)備使用公網(wǎng)IP，便于端到端攻擊；

四是信息化人員不足，WAF部署后沒精力持續(xù)優(yōu)化策略，沒有充分發(fā)揮其作用；

五是二級單位網(wǎng)站安全意識弱、學(xué)院機(jī)房自管網(wǎng)站幾乎沒有安全防護(hù)措施，主要表現(xiàn)在分管領(lǐng)導(dǎo)不重視、不抓網(wǎng)絡(luò)安全、出現(xiàn)問題處理慢，網(wǎng)站管理員只負(fù)責(zé)發(fā)布新聞工作；

六是部分用戶安全意識弱，弱密碼嚴(yán)重，特別是一些信息系統(tǒng)的管理員，密碼采用非常常見的熱密碼，很不安全；

七是自身安全問題重視不夠；

八是安全管理力度弱，安全漏洞處置進(jìn)度慢、時間長。

網(wǎng)絡(luò)安全管理措施

針對以上問題，山東大學(xué)從頂層設(shè)計、組織體系、制度建設(shè)、基礎(chǔ)措施等四個方面進(jìn)行了相應(yīng)的工作。在頂層設(shè)計方面，學(xué)校發(fā)文成立涵蓋政治安全、公共安全、消防安全、安全生產(chǎn)、網(wǎng)絡(luò)信息安全、反恐防恐等職能的學(xué)校安全工作委員會，負(fù)責(zé)統(tǒng)籌學(xué)校（三地八校區(qū)）政治穩(wěn)定工作和各類安全工作的組織、謀劃、指導(dǎo)和監(jiān)督實(shí)施。

學(xué)校安全實(shí)行總體規(guī)劃、統(tǒng)籌協(xié)調(diào)、協(xié)同配合、分級負(fù)責(zé)的機(jī)制，堅持“黨政同責(zé)、一崗雙責(zé)、失職追責(zé)”，堅持“ 誰主管、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)，誰組織、誰負(fù)責(zé)”，逐級簽訂安全責(zé)任書。

在組織體系方面，學(xué)校成立了安全工作委員會，下設(shè)網(wǎng)絡(luò)安全和信息化工作組，由信息化工作辦公室負(fù)責(zé)牽頭，協(xié)調(diào)各職能部門與各院系、中心所等單位開展網(wǎng)絡(luò)安全工作，同時每個二級單位都下設(shè)有兼職網(wǎng)絡(luò)安全員。

建立安全隊(duì)伍，信息辦人員都是安全員。在校內(nèi)二級單位設(shè)置網(wǎng)絡(luò)信息安全負(fù)責(zé)人，由職能部門、院、所、黨、政一把手擔(dān)任。根據(jù)各二級單位規(guī)模，設(shè)置網(wǎng)絡(luò)安全員，具體負(fù)責(zé)執(zhí)行日常管理、監(jiān)控、工作落實(shí)等工作。同時建立安全工作群，成員有141名。

在制度建設(shè)方面，從學(xué)校層面制定了《關(guān)于加強(qiáng)和改進(jìn)學(xué)校安全穩(wěn)定工作的意見》，發(fā)布了網(wǎng)絡(luò)安全管理辦法，督促各學(xué)院建立自己的網(wǎng)站系統(tǒng)管理辦法與應(yīng)急響應(yīng)預(yù)案。

在技術(shù)措施方面，首先，購買多家安全服務(wù)以解決人手不足問題。第二，將網(wǎng)站全部遷入網(wǎng)站群，關(guān)閉虛擬主機(jī)系統(tǒng)；采取宣傳動員的做法，同時學(xué)校承擔(dān)遷移費(fèi)用；針對不愿意遷移的網(wǎng)站，采取重要時期有問題網(wǎng)站做訪問控制，不允許校外訪問，或者嚴(yán)重的實(shí)施斷網(wǎng)，倒逼存在問題的網(wǎng)站進(jìn)行遷移。如此，通過這兩個措施，一是正向激勵，一是反向督促，促進(jìn)各單位積極向網(wǎng)站群遷移。第三，在校園網(wǎng)邊界設(shè)置白名單，關(guān)閉端口，比如Web常用端口、遠(yuǎn)程桌面、SSH端口、常用數(shù)據(jù)庫端口等。第四，師生從校外通過VPN訪問校內(nèi)資源。第五，投入人力持續(xù)優(yōu)化WAF策略。

在漏洞處理方面，通過OA系統(tǒng)，處理流程追蹤進(jìn)展，還可以通過微信群直接通知相關(guān)領(lǐng)導(dǎo)與安全員。在重要時期保障前進(jìn)行網(wǎng)絡(luò)安全檢查（漏掃、滲透測試），查出安全問題及時整改，并且重要時期還要進(jìn)行應(yīng)急預(yù)案的演練。加強(qiáng)弱密碼治理，消除弱密碼（重要信息系統(tǒng)提高密碼強(qiáng)度，強(qiáng)制用戶更改密碼）。

做好備案工作。登記各單位信息系統(tǒng)（網(wǎng)站）基本信息，建立校內(nèi)信息系統(tǒng)（網(wǎng)站）數(shù)據(jù)庫；治理雙非網(wǎng)站、僵尸網(wǎng)站；清理僵尸、失效主機(jī)名，通過整理清單、網(wǎng)上公示、判定無效后進(jìn)行清理。

圖1 教育部、公安部安全管理流程

重要時期加強(qiáng)管理，如上合峰會期間強(qiáng)化管理，多輪掃描辦公區(qū)IP，排查、處理未登記Web服務(wù)器，每天在校園網(wǎng)邊界更新IP地址黑名單，每天調(diào)整WAF策略。在關(guān)鍵時間點(diǎn)臨時封存風(fēng)險IP、疑似攻擊IP，臨時限制問題信息系統(tǒng)校外訪問。

加強(qiáng)校園網(wǎng)敏感信息清理。購買CA證書，重要信息系統(tǒng)，比如校園卡系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)啟用HTTPS； 落實(shí)6個月日志存留（應(yīng)用級、系統(tǒng)級），購置微軟軟件提供學(xué)生使用，提高正版化率，減少個人電腦肉機(jī)數(shù)量。同時加強(qiáng)兄弟學(xué)校之間協(xié)同協(xié)作。

在采取以上措施后，學(xué)校取得了一定成績，但在實(shí)施過程中也遇到一些難點(diǎn)，表現(xiàn)在工作不受重視、二級單位支持度低、網(wǎng)絡(luò)安全管理工作推進(jìn)較慢。我們的方向是加強(qiáng)工作力度，但加強(qiáng)工作力度不可避免要得罪人，導(dǎo)致有些工作就此擱置。基于此問題，我們采取借助三個“東風(fēng)”的方式有效化解了以上問題。

在2017年8～9月，對于網(wǎng)絡(luò)安全漏洞各單位不重視、處理慢、時間長，也不重視信息辦的漏洞處置要求等問題，借助“東風(fēng)”一：教育部在“十九大”期間發(fā)布網(wǎng)絡(luò)安全保障通知，要求除主要網(wǎng)站外，其他網(wǎng)站都不允許校外訪問，發(fā)現(xiàn)問題問責(zé)。學(xué)校采取三大措施：經(jīng)檢查確定沒問題的網(wǎng)站/信息系統(tǒng)允許校外訪問；有問題網(wǎng)站限制校外訪問或斷網(wǎng)；有問題信息系統(tǒng)8小時外限制校外訪問。通過“十九大”期間持續(xù)近一個月的安全保障，提高了部分單位領(lǐng)導(dǎo)抓網(wǎng)絡(luò)安全的意識。

在2018年兩會保障期間，部分單位仍然存在安全意識薄弱、處理不及時的問題。在這種情況下，借助第二個“東風(fēng)”，公安部門在青島上合峰會期間要求網(wǎng)絡(luò)安全保障不出問題，同時學(xué)校安全風(fēng)險管控力度加大，成立安全工作委員會、簽訂安全責(zé)任書，問責(zé)力度加大，領(lǐng)導(dǎo)責(zé)任意識增強(qiáng)。我們采取了20年來山大最嚴(yán)格的網(wǎng)絡(luò)安全管理措施，多輪全方位安全檢查，立查立改。收到成效是二級單位領(lǐng)導(dǎo)安全意識普遍提高；各二級單位認(rèn)識到信息辦安全治理動真格是新常態(tài)，安全管理工作開始順暢。

但好景不長，2018年6月，學(xué)校進(jìn)行中層領(lǐng)導(dǎo)輪崗調(diào)整，新提拔一批年輕干部，學(xué)院辦公室主任全部進(jìn)行更換，部分新任網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)安全意識弱，單位安全管理放松、問題處理不受重視、不及時問題抬頭。于是借助第三個“東風(fēng)”：教育部網(wǎng)絡(luò)安全現(xiàn)場檢查，安全檢查反饋結(jié)果后要立即整改。我們采取了三輪漏洞自查及處理，督促二級單位建立網(wǎng)絡(luò)安全管理制度并落實(shí)責(zé)任人的措施。經(jīng)過整改，新任領(lǐng)導(dǎo)加強(qiáng)了網(wǎng)絡(luò)安全意識，問題處理及時，網(wǎng)絡(luò)安全管理開始重新順暢。總結(jié)分析，通過三個“東風(fēng)”采取強(qiáng)力措施是工作成功的關(guān)鍵因素。網(wǎng)絡(luò)安全等級保護(hù)將會是一個持久東風(fēng)，各高校可以借助等級保護(hù)東風(fēng)加強(qiáng)網(wǎng)絡(luò)安全的管理工作。

工作中的認(rèn)識

一是對教育部、公安部安全管理的認(rèn)識。在日常工作中面對教育部和公安部兩個部門的檢查，為了能減少工作量同時提高效率，我們對這兩部分的情況做了梳理，如圖1所示。我們認(rèn)識到，等保是核心工作，做好等保安全管理事半功倍。二是對《網(wǎng)絡(luò)安全法》和等級保護(hù)的認(rèn)識。通過對國家網(wǎng)絡(luò)安全法和等保制度的深入學(xué)習(xí)，認(rèn)識到不做等保后果很嚴(yán)重。三是變被動為主動，積極主動推進(jìn)等保工作。

今后山東大學(xué)網(wǎng)絡(luò)安全的主要工作也將會在推進(jìn)等保工作方面開展。繼續(xù)推進(jìn)向網(wǎng)站群遷移，特別是二級單位機(jī)房自管網(wǎng)站。同時多部門協(xié)同，發(fā)揮職能部門的作用，重點(diǎn)突破教學(xué)、科研實(shí)驗(yàn)室網(wǎng)絡(luò)與信息安全。

每年的常態(tài)化工作，包含每年兩次網(wǎng)絡(luò)安全大檢查，重要時期保障前開展網(wǎng)絡(luò)安全檢查，每年一次登記、更新信息系統(tǒng)（網(wǎng)站）信息數(shù)據(jù)庫，清除雙非、僵尸網(wǎng)站。學(xué)校今后還將進(jìn)一步加強(qiáng)弱密碼治理（信息系統(tǒng)側(cè)異常登錄處理）； 加強(qiáng)運(yùn)維審計管理；擴(kuò)大HTTPS覆蓋率；加強(qiáng)生物識別信息管理以及IPv6環(huán)境下網(wǎng)絡(luò)安全管理等。