您的位置:首页 > 参评方案展示 > 网络安全

中国人民大学:摸排校园网站 清理安全隐患

  收回所有关停网站的域名解析和IP地址,未在校内备案的网站不再支持其ICP注册(需要向工信部申请完成),这样就保证了所有在册网站都是健康、活跃并有负责人的。

  高校网站众多,当前大家都在讨论如何使用技术手段进行防护,但是到目前为止极少有高校清楚自己有多少个网站,有多少台服务器,更别提能够物尽其用和安全维护到位了,因此有必要探讨如何摸清家底。

  高校网站的常见问题

  在清理网站前,中国人民大学网站建设没有一个统一的规范要求,经年积累形成了开办随意、运维不规范、技术和策略层面管理不到位的局面,这些因素使得我校一直无法完成整体上的安全策略和防护。下面这些情况基本上绝大多数高校都存在:

  1.网站域名使用不清

  中国人民大学目前刚刚完成网站摸底工作。由于历史遗留问题,在清理前,注册域名706个,其中可以联系到人员的198个,找不到人的208个;可以Ping通的域名406个(说明还活跃),不同的域名300个(可能是僵尸网站);在域名管理中有备案的197个,未备案的509个。这种情况下,通过域名对网站进行安全监测比较困难。

  2.网站服务器应用

  不明各个院系部处中心的服务器存放位置不清晰,有的在校内托管机房,有的使用虚拟服务器,有的使用校外公有云,有的干脆运行在办公室。另外,我们曾发现一个学院为了做信息安全实验向社会开放钓鱼网站,有一些负面影响。

  3.安全应急不及时

  隐藏的网站众多,一旦被黑客攻击,找不到所有者或维护人,只能借助网络部门查找相应网络,影响应急前期的响应时间,后期整改时往往发现开发人是学生且已经毕业,导致无从下手。

  4.网站类型无法分清

  网站开办的随意性大,个人做的网站以学校的名义面向社会,影响不好。同时存在大量的不再使用却未注销的“死”网站,还发现了一些已经被黑客入侵的僵尸网站。

  厘清校属网站的方法

  学校是个特殊的环境,一方面管理和技术的实施不能影响正常的教学科研,另一方面,学院部处相对于具有教辅职能的信息技术中心是强势部门,不可蛮干。因此,厘清全校的网站需要采取行之有效的方法策略,实施路线如图1所述。

  1.建立网站审核机制

  首先,建立网站的审核流程和流程中的处理角色,整个流程通过数字校园完成,中国人民大学是通过“微人大”的服务功能在网上完成填报和审核,填报的申请表包括:申请人信息(姓名、职工号、联系方式等)、单位性质、网站名称、网站用途、域名和IP、接入和托管、服务器存放位置、ICP和等级保护备案号、24小时畅通紧急联络电话、论坛有无等字段。我校通过“微人大”填报后自动进入流转,首先需要本部门主管(比如学院院长)批示,后自动流转由学校办公室、宣传部和信息技术中心分别审核。此外,信息技术中心要有专人答疑和处理。

  2.发文和再发文

  考虑到信息技术中心的教学支持辅助角色,应联合学校办公室和具有网站审核义务的党宣部门联合发文,这样效果更好。联合发文中应要求3个月内备案并给出未备案网站的处理方式,联合发文后网络安全人员应主动联系并敦促院系网站备案,3个月到期后,未备案网站不能马上关闭处理,要有1年的缓冲期。间隔1年后,信息技术中心再发文强调,给出1个月的截止时间点,到期强制关闭。表1是中国人民大学发文和实际效果情况。

  3.未备案网站

  关停此时关停的未备案网站会影响到学院活动,但是不会有不利的反馈,只要是正常的系统,各部门都会积极备案,僵尸网站就清理出来了,收回所有关停网站的域名解析和IP地址,未在校内备案的网站不再支持其ICP注册(需要向工信部申请完成),这样就保证了所有在册网站都是健康、活跃并有负责人的,我校清查前后状况见表2,从表中可看出下一步的工作要点,以此为基础进行等级保护备案和针对350个网站的Web漏洞扫描服务购置。

  4.安全管理员队伍

  每个网站都有联系人和负责人,我们建立了网站台账,联系人兼任安全管理员,由此形成了安全管理员队伍,这样就有了上通下达的沟通渠道,一般性的通知和安全预警可以高效地以邮件群发形式发送,不走公文流程;每个网站的管理员也可以直接和学校联系,处理效率高。这样,全校在网络安全方面已经形成了整体,体现在:

  (1)最近的几次安全事故处理迅速有效。

  (2)事故的发生次数明显减少,从春节后到4月底未收到教育部漏洞通报。

  建立学校网站管理的长效机制

  早期中国人民大学各部门网站的作废和变更没有登记,长期积累下来导致无法管理,比如原负责人早已调走因此有问题联系不上的事情经常发生。此次厘清校内网站后,还要完善管理制度,明确两点:

  1.新建网站的审批备案制度:只要是校属网站就要走网上流程审批,考虑到信息安全和应急处理,网站原则上应采用学校主域名的子域名,服务器放置校内。

  2.维护人员的责任,并对网站的变更和域名IP的回收作出规定。

  目前中国人民大学已经摸清了家底,关闭了僵尸网站,下一步以此为基础开展。

  (作者单位为中国人民大学信息技术中心)

来源:中国教育网络作者:梁艺军
《中国教育网络》
杂志微信公众号
高校信息化应用
微信公众号
高校网络安全
微信公众号
var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "//hm.baidu.com/hm.js?b841bd73360946ada23db9fa82c9c6ae"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })();