编者按:
最近,教育部印发了关于《教育行业网络安全综合治理行动方案》的通知,提出四项工作内容。第一,治理网站乱象,强化主体责任;第二,堵塞安全漏洞,增强防护能力;第三,补齐等保短板,履行安全保护义务;第四,规范安全管理,提升治理水平。其中,治理网站乱象,强化主体责任是最基础的工作。治理乱象,需先摸清家底,对所有的网站做到备案,进一步地做到对网站的全生命周期管理。本期我们将就如何摸清网站家底,做好备案工作提供一些方案。
姜开达
上海交通大学网络信息中心信息安全主管,高级工程师,0ops安全战队领队,硕士生导师。
网站安全是高校网络安全中最基础的工作。高校网站和企业、政府部门的网站并不一样,自由开放的背后埋藏着诸多安全隐患。各院系等二级单位、实验室、甚至教师个人都会出于各种需求纷纷建设网站。大量网站应用上线后就疏于日常管理,各类安全漏洞频发。我们在网络攻防中讲究“知己知彼,百战不殆”,实际情况来看,大多数高校连自己有多少网站也不清楚。最基础的摸底工作没做到,后面的安全管理就无从谈起。所以,开展网站普查是最基础的网站安全管理工作。
如同需要定期人口普查,高校也要对自己有多少网站进行全面动态的掌握,在此基础上推进备案管理体系,明确每一个网站的责任主体,做到网站和责任人准确关联。
对网站进行摸底普查,其中的难点是如何把数以百计的网站逐一梳理出来,这项工作需要耗费很多精力,但是值得投入。上海交通大学2005年开始进行校园网站备案工作,接受域名申请的同时就安排对网站做一次基础安全检测,安全管理从第一天抓起。分配网站备案号要求明确具体管理人员信息,责任到人。《上海交通大学校园网站安全与管理办法》主要有几条原则:1.坚持“谁主管谁负责”、“谁运维谁服务”、“谁使用谁负责”的管理原则;2.落实管理体系,管理机构和管理职责;3.规范网站建立、发布、变更与关闭的审批流程;4.明确内容建设与管理的要求,包括信息保护的要求;5.严格网站备案、漏洞管理和安全事件的应急处置,制定网络建设管理的奖惩制度。
对网站的管理应当贯穿其全生命周期。理想的做法应当有一个平台,在网站上线的第一刻起就开始对它进行持续跟踪,一直到网站的下线,各类定期安全体检必不可少。重点网站要重点防护,高频次进行网站的安全扫描和日常监测,通过不断的扫描,主动发现安全隐患并整改,来提升网站的整体安全性,这些工作要常态化,不能寄希望于突击检查来解决问题。
对高校来说,如果采购的教务系统、财务系统等通用应用信息系统的安全性得不到保障,学校就会非常被动而没有好的办法。近期教育部正在对教育行业通用应用软件进行摸底调查,就是考虑将来组织对主流教育软件厂商针对性的安全评测,从源头上尽量降低安全风险。(责编:王左利)
高校网站安全五大隐患
1 网站建设和管理不统一
高校内部网站数量众多,建设方和管理方往往不一致,安全管理责任边界不清。
2 网站日常安全维护缺失
高校网站重功能实现、轻日常安全维护,一些已公布的安全漏洞长期得不到修复。
3 对网站安全不重视
如果被入侵和篡改网页造成的损失不明显,往往得不到足够重视。
4 网站数据保护意识差
系统弱口令、数据泄露随处可见。
5 管理团队安全能力有限
安全配置不当,安全应急响应不及时。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。