校園網(wǎng)應急處理流程應責任明晰

文/董永蘋 謝大綱

校園網(wǎng)應急處理流程應責任明晰

文/董永蘋 謝大綱

哈工大完善了網(wǎng)絡安全工作體系，按照 “誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，各單位明確了網(wǎng)絡安全負責人和網(wǎng)絡安全員，確定了每個信息系統(tǒng)和網(wǎng)站的責任人和技術(shù)聯(lián)系人。

哈爾濱工業(yè)大學建立了網(wǎng)絡安全“一把手”責任制，學校信息化建設領導小組負責統(tǒng)一領導、統(tǒng)一謀劃、統(tǒng)一部署全校網(wǎng)絡安全和信息化發(fā)展，統(tǒng)籌制定網(wǎng)絡安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，研究解決網(wǎng)絡安全和信息化重要問題。領導小組組長由學校書記和校長擔任，主管校長擔任領導小組副組長。

哈工大完善了網(wǎng)絡安全工作體系，按照 “誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，各單位明確了網(wǎng)絡安全負責人和網(wǎng)絡安全員，確定了每個信息系統(tǒng)和網(wǎng)站的責任人和技術(shù)聯(lián)系人；學校還制定了相關(guān)的管理制度和應急預案，形成了網(wǎng)絡安全工作實施方案，開展了網(wǎng)絡安全綜合治理行動，制定了網(wǎng)絡安全工作任務清單；成立了網(wǎng)絡安全工作組，提前預警，發(fā)現(xiàn)問題立行立改，提高了網(wǎng)絡安全應急處理能力。

應急預案要點

高校應建立健全網(wǎng)絡與信息安全事件應急工作機制，提高應對重要時期應急響應的能力。在建立預案時，應綜合考慮如下問題：

信息系統(tǒng)和網(wǎng)站服務閘口明晰

根據(jù)要求對信息系統(tǒng)和網(wǎng)站進行訪問限制，只有滿足要求的才能上線。各高校的網(wǎng)絡結(jié)構(gòu)不同，各信息系統(tǒng)和網(wǎng)站的訪問限制要求不同，控制閘口位置也不同。因此信息系統(tǒng)和網(wǎng)站服務閘口位置必須明晰，操作流程必須規(guī)范，要能夠滿足高校管理需求。提前做好相關(guān)文檔、責任落實到人，做到心中有數(shù)。

確定初始白名單

促進網(wǎng)站集約化管理，建議各部門網(wǎng)站信息系統(tǒng)部署在學校數(shù)據(jù)中心，集中力量實現(xiàn)網(wǎng)絡安全一體化管理。

從制度上對校園開放的服務嚴格管理的同時，從技術(shù)上對校園網(wǎng)服務進行監(jiān)控，對校園對外開放的具體服務做到心中有數(shù)。

確定白名單管理模式，即只有滿足上線要求的信息系統(tǒng)和網(wǎng)站才能上線。白名單管理使得責任能夠真正落實到人，有隱患必須關(guān)閉、必須整改。

學校門戶網(wǎng)站、重要的信息系統(tǒng)和集約化管理站群一般建設力度大，安全管理嚴格。高校從這些信息系統(tǒng)和網(wǎng)站中按照上線要求選取初始白名單，為后續(xù)其他信息系統(tǒng)和網(wǎng)站進入白名單提供對照和參考。

確定進入白名單的流程和要求

進入白名單的系統(tǒng)，需要給校園網(wǎng)安全管理部門提供申請等相關(guān)材料，只有審核通過才能加入白名單。材料主要有：網(wǎng)絡安全承諾書，做到責任落實到人；信息系統(tǒng)安全技術(shù)保障方案；信息系統(tǒng)安全事件應急處置預案；信息系統(tǒng)24小時值守方案及人員安排，落實安全值守制度；非“僵尸”信息系統(tǒng)佐證等。

設置專人負責檢查以上材料，形成具體執(zhí)行辦法，做到域名、IP、端口等全方位管理，按期完成，做好相關(guān)測試工作。

職責分工明確

網(wǎng)絡服務閘口和白名單管理模式明確后，具體工作需要明確，相關(guān)責任需要落實到人。要通知各單位在校園網(wǎng)安全管理部門審核通過前不得開放網(wǎng)站，做好網(wǎng)站的ICP備案、信息安全等級保護定級等管理工作；校園網(wǎng)管理部門對學校DNS無ICP備案域進行清理，對學校二級域名進行清理，對DNS記錄中非校園網(wǎng)IP進行清理；進行校園網(wǎng)服務監(jiān)測，對于無ICP備案網(wǎng)站進行清理。

防護措施不夠完善的信息系統(tǒng)和網(wǎng)站，如果直接暴露于互聯(lián)網(wǎng)中，極易受到攻擊。針對此類網(wǎng)站，采取限制互聯(lián)網(wǎng)訪問措施，督促盡快加固、及時恢復上線。

校外域名指向校內(nèi)IP，管理措施不到位，存在安全隱患，一旦有懲罰性措施，會牽連到同一IP的其他服務。這種情況應通知各單位自查，如有存在校外域名，而且安全管理措施不到位的，不僅會導致學校IP地址被封掉，而且還會引發(fā)安全事故，會被問責，因此這些網(wǎng)站需要各單位立即從源頭上限制互聯(lián)網(wǎng)訪問。

做好分級的應急處理工作

校園網(wǎng)服務采用白名單管理模式，應在校內(nèi)發(fā)布通告，讓廣大師生知悉；應成立網(wǎng)絡信息安全保障工作組，加大值班和網(wǎng)上內(nèi)容和信息安全巡查力度，重大時期24小時值班，加強校園網(wǎng)運行和內(nèi)容安全監(jiān)控，確保信息暢通，重大事項及時上報；信息安全檢查和監(jiān)管檢測常態(tài)化，主動發(fā)現(xiàn)漏洞，不留死角；沒有網(wǎng)絡防護措施的區(qū)域，嚴格整頓，先下線再治理，數(shù)據(jù)中心要加強防護，關(guān)閉不必要的服務；建立網(wǎng)站、信息系統(tǒng)登記備案制度，保證在線服務責任到人，管理到位；及時發(fā)現(xiàn)網(wǎng)絡與信息安全類公共事件，及時應對，及時報告，避免擴大事端。

做好突發(fā)情況下應對危機的準備

重大活動時期應急響應能否及時到位，平時就必須下功夫。學校要有預警能力和經(jīng)驗，有重大時期應急響應的技術(shù)和管理儲備；要在平時的工作中，做好網(wǎng)站系統(tǒng)摸排，做到心中有數(shù)；要明確服務開關(guān)閘口，責任落實到人；只有這樣，在重大時期，決策只要一定，立即就可以實施。

另外，遵從“同步規(guī)劃、同步建設、同步運行”原則，在學校信息系統(tǒng)和網(wǎng)站的規(guī)劃、設計、實施、運行等階段確保安全，自覺地把網(wǎng)絡安全貫穿于信息系統(tǒng)和網(wǎng)站建設和運行的全過程。在信息系統(tǒng)和網(wǎng)站的規(guī)劃設計階段，應形成安全方案，報網(wǎng)絡安全管理部門審核。

此外，學校要做好信息安全等級保護，進行ICP備案，尤其是對保密要求高的學校。

重視信息安全等級保護

信息安全等級保護管理辦法由公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室聯(lián)合下發(fā)。通過規(guī)范信息安全等級保護管理，來提高信息安全保障能力和水平，以維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設。

高校要按照規(guī)范定級原則，根據(jù)其信息重要程度和敏感程度以及自身資源的客觀條件，按標準確定信息安全管理要求的相應等級，并在履行相應的審批手續(xù)后，切實根據(jù)相應等級的規(guī)范要求，制定相應的安全策略，并認真實施。

做好ICP備案

國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務實行備案制度。未取得許可或者未履行備案手續(xù)的，不得從事互聯(lián)網(wǎng)信息服務。高校作為非營利性組織，提供的互聯(lián)網(wǎng)信息服務是非營利性的，需要對這些服務進行備案。

因為學術(shù)會議、國內(nèi)外交流等需要，學校往往在官方域名、官方網(wǎng)站之外，還產(chǎn)生其他域名和網(wǎng)站；學校一些師生個人申請了域名和網(wǎng)站，部署在校內(nèi)。這些都多少存在沒有嚴格執(zhí)行備案制度的情況?，F(xiàn)在互聯(lián)網(wǎng)信息服務備案制度執(zhí)行嚴格，沒有備案的，域名和IP都需要停止服務。學校存在一個IP部署多個網(wǎng)站域名的情況，一個IP服務停止，會造成大量服務停止。學校域名指向校外，管理措施不到位，也會導致網(wǎng)絡安全問題。

因此，學校需要做好網(wǎng)站域名ICP備案日常工作，對學校信息系統(tǒng)和網(wǎng)站加強管理，按照“先排查后清理”的原則進行具體工作部署。

首先，加強學校DNS服務管理工作，對于校內(nèi)域名使用校外IP、校外域名使用校內(nèi)IP等特殊情況，做到有案可查，尤其要把校內(nèi)二級域名納入學校統(tǒng)一管理；

其次，需要借助技術(shù)力量，對校園網(wǎng)服務進行摸排，梳理校園網(wǎng)上運行的信息系統(tǒng)和網(wǎng)站，真正做到心中有數(shù)。

此外，建立校內(nèi)外安全工作聯(lián)絡機制，平時就要加強校內(nèi)外安全聯(lián)動，進行信息安全共享，主動接受上級部門管理監(jiān)督，在重大活動時期發(fā)揮集體智慧，為學校安全保駕護航。

（責編：王左利）

為哈爾濱工業(yè)大學網(wǎng)絡與信息中心）