收回所有关停网站的域名解析和IP地址,未在校内备案的网站不再支持其ICP注册(需要向工信部申请完成),这样就保证了所有在册网站都是健康、活跃并有负责人的。
高校网站众多,当前大家都在讨论如何使用技术手段进行防护,但是到目前为止极少有高校清楚自己有多少个网站,有多少台服务器,更别提能够物尽其用和安全维护到位了,因此有必要探讨如何摸清家底。
高校网站的常见问题
在清理网站前,中国人民大学网站建设没有一个统一的规范要求,经年积累形成了开办随意、运维不规范、技术和策略层面管理不到位的局面,这些因素使得我校一直无法完成整体上的安全策略和防护。下面这些情况基本上绝大多数高校都存在:
1.网站域名使用不清
中国人民大学目前刚刚完成网站摸底工作。由于历史遗留问题,在清理前,注册域名706个,其中可以联系到人员的198个,找不到人的208个;可以Ping通的域名406个(说明还活跃),不同的域名300个(可能是僵尸网站);在域名管理中有备案的197个,未备案的509个。这种情况下,通过域名对网站进行安全监测比较困难。
2.网站服务器应用
不明各个院系部处中心的服务器存放位置不清晰,有的在校内托管机房,有的使用虚拟服务器,有的使用校外公有云,有的干脆运行在办公室。另外,我们曾发现一个学院为了做信息安全实验向社会开放钓鱼网站,有一些负面影响。
3.安全应急不及时
隐藏的网站众多,一旦被黑客攻击,找不到所有者或维护人,只能借助网络部门查找相应网络,影响应急前期的响应时间,后期整改时往往发现开发人是学生且已经毕业,导致无从下手。
4.网站类型无法分清
网站开办的随意性大,个人做的网站以学校的名义面向社会,影响不好。同时存在大量的不再使用却未注销的“死”网站,还发现了一些已经被黑客入侵的僵尸网站。
厘清校属网站的方法
学校是个特殊的环境,一方面管理和技术的实施不能影响正常的教学科研,另一方面,学院部处相对于具有教辅职能的信息技术中心是强势部门,不可蛮干。因此,厘清全校的网站需要采取行之有效的方法策略,实施路线如图1所述。
1.建立网站审核机制
首先,建立网站的审核流程和流程中的处理角色,整个流程通过数字校园完成,中国人民大学是通过“微人大”的服务功能在网上完成填报和审核,填报的申请表包括:申请人信息(姓名、职工号、联系方式等)、单位性质、网站名称、网站用途、域名和IP、接入和托管、服务器存放位置、ICP和等级保护备案号、24小时畅通紧急联络电话、论坛有无等字段。我校通过“微人大”填报后自动进入流转,首先需要本部门主管(比如学院院长)批示,后自动流转由学校办公室、宣传部和信息技术中心分别审核。此外,信息技术中心要有专人答疑和处理。
2.发文和再发文
考虑到信息技术中心的教学支持辅助角色,应联合学校办公室和具有网站审核义务的党宣部门联合发文,这样效果更好。联合发文中应要求3个月内备案并给出未备案网站的处理方式,联合发文后网络安全人员应主动联系并敦促院系网站备案,3个月到期后,未备案网站不能马上关闭处理,要有1年的缓冲期。间隔1年后,信息技术中心再发文强调,给出1个月的截止时间点,到期强制关闭。表1是中国人民大学发文和实际效果情况。
3.未备案网站
关停此时关停的未备案网站会影响到学院活动,但是不会有不利的反馈,只要是正常的系统,各部门都会积极备案,僵尸网站就清理出来了,收回所有关停网站的域名解析和IP地址,未在校内备案的网站不再支持其ICP注册(需要向工信部申请完成),这样就保证了所有在册网站都是健康、活跃并有负责人的,我校清查前后状况见表2,从表中可看出下一步的工作要点,以此为基础进行等级保护备案和针对350个网站的Web漏洞扫描服务购置。
4.安全管理员队伍
每个网站都有联系人和负责人,我们建立了网站台账,联系人兼任安全管理员,由此形成了安全管理员队伍,这样就有了上通下达的沟通渠道,一般性的通知和安全预警可以高效地以邮件群发形式发送,不走公文流程;每个网站的管理员也可以直接和学校联系,处理效率高。这样,全校在网络安全方面已经形成了整体,体现在:
(1)最近的几次安全事故处理迅速有效。
(2)事故的发生次数明显减少,从春节后到4月底未收到教育部漏洞通报。
建立学校网站管理的长效机制
早期中国人民大学各部门网站的作废和变更没有登记,长期积累下来导致无法管理,比如原负责人早已调走因此有问题联系不上的事情经常发生。此次厘清校内网站后,还要完善管理制度,明确两点:
1.新建网站的审批备案制度:只要是校属网站就要走网上流程审批,考虑到信息安全和应急处理,网站原则上应采用学校主域名的子域名,服务器放置校内。
2.维护人员的责任,并对网站的变更和域名IP的回收作出规定。
目前中国人民大学已经摸清了家底,关闭了僵尸网站,下一步以此为基础开展。
(作者单位为中国人民大学信息技术中心)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。