工作动态

    如何做好高校网络安全工作

    ——2022年教育系统网络安全专题研讨班(第四期)心得

    发布人: 日期:2022年10月27日 15:23 点击数: 来源:彭善琼

    高等学校网络安全工作应遵守《中华人民共和国网络安全法》并符合网络安全等级保护相关的GB/T 22239、GB/T 28448、GB/T 25070及GB/T 25058的要求。做好高等学校网络安全工作需要对以下五项工作重点部署安排。学校网络安全与信息化领导小组要围绕“网络安全为人民,网络安全靠人民”主题,对网络安全进行周密部署,倡导师生依法文明上网,增强网络安全意识,普及网络安全知识,共同维护国家网络安全。

    一、基础设施安全

    基础设施安全主要包括物理环境安全、有线网络安全、无线网络安全、物联网设施安全、校园私有云平台安全等。校园网所有密码加密技术应采用安全的加密算法,加密证书应是授权机构颁发。

    有线无线网络安全方面需要提升网络安全监测和告警能力,核心交换区域应具备流量检测和用户流量分析能力;接入区应具备数据采集或数据采样能力;根据业务特点进行网络分区管理;能检测到针对无线接入设备的网络扫描、DDoS攻击、密码破解、中间人攻击等行为。

    物联网安全方面应保证只有授权的感知节点可以接入网络,能够限制于感知节点和感知网关的通信,以规避陌生地址的攻击行为。

    校园私有云平台安全,当远程管理校园网私有云平台中设备时,管理终端和云平台之间应建立双向身份验证机制,虚拟机及平台远程登录,应通过运维堡垒机登录;校园网私有云平台应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。

    二、信息系统安全

    信息系统泛指网站、移动应用、业务平台等软件系统。信息系统上线前应按照GB/T 22240要求进行等级保护定级,定级后按照GB/T 22239基本要求进行安全防护。主要包括主机安全和系统及应用安全。

    主机安全包括了身份鉴别、访问控制、入侵防范、恶意代码防范和特殊业务加密等。

    系统及应用安全包括身份鉴别、访问控制、重要系统备份恢复、校园网所有密码加密技术等。

    三、信息终端安全

    信息终端安全包括以下内容:

    1、所有终端接入网络须进行认证管理,确保终端安全落实责任。

    2、备通用操作系统的终端,如个人电脑、移动终端等,应安装病毒防护和查杀工具,定期更新系统补丁和查杀病毒。

    3、物联网设备和工控设备等专用设备,需进行定期安全检测和评估,及时维护和更新软件版本,降低安全威胁风险。

    4、应采用技术手段限制移动存储设备在重要终端与服务器内的使用,确需使用的,应先使用抗恶意代码工具对移动存储设备进行病毒查杀。

    5、高等学校内部重要数据及文件处理终端,应采用DLP数据防泄漏系统对重要文件及数据进行加密,对重要文件的处理、传输进行管控。

    四、数据安全

    数字校园相关系统产生的数据量大,且关系到师生的隐私,因此针对数字校园相关系统产生的数据应具备保护措施。数据安全主要做到以下四点:

    1、重要数据(数据、重要业务数据和重要个人信息)在传输和存储过程中的完整性、保密性应采用校验技术或密码技术保证,应提供重要数据的本地数据备份与恢复功能;应提供异地实时备份功能。

    2、高等学校个人信息的收集、存储、使用、共享、转让、公开披露等环节的相关行为应符合GB/T 35273的要求。应仅采集和保存业务必需的用户个人信息,应禁止未授权访问和非法使用学校领导、员工、老师、学生等人的个人信息。涉及接触个人信息的第三方公司应与学校签署安全保密协议。

    3、校园网私有云平台应确保所有数据和个人信息等存储于中国境内,如需出境应遵循国家相关规定。未经学校正式授权,云服务商或第三方不具有云上数据的使用、扩散权限,云服务商提供的存储服务应保证数据存在若干个可用的副本,各副本之间的内容应保持一致。每个校区、分校、院系或者独立的业务管理机构都应在云下本地保存其相关业务数据的备份。校园网私有云平台应提供查询数据及备份存储位置的能力。

    4、虚拟机迁移过程中重要数据的完整性应使用校验码或密码技术确保,并在检测到完整性受到破坏时采取必要的恢复措施。

    5、高等学校应具有密钥管理系统,保证实现数据的加解密过程,密钥应符合国家密码管理局相关标准。

    五、内容安全

    学校应建立网络内容发布安全检查机制,宜遵循GA/T 1396-2017相关的要求建立安全管理策略,并根据设定的安全管理策略对违反策略的网站及新媒体进行报警,从而确保网站内容的合规性。可采用网站内容检查产品,通过数据采集和分析,对包括网页中的文字、图片、文档、音视频、暗链接和错误链接等对象中包含的信息进行检测、记录和分析,发现违规内容及时进行整改。

    总之,数字校园的网络安全管理需从两个维度进行防护,纵向安全的防护主要面对校园网络与互联网和教育专网之间的互通,横向安全的防护主要加强校园网内部的安全保障。从全局布局,从终端、网络、数据中心多个层次进行监测、防护和预警。强化网络安全管理和网络运维,启动安全审计功能全面覆盖到每个用户,对重要用户行为和重要安全事件进行审计。建立网络安全风险洞察机制,网络安全风险防控机制。

    学校从网络安全顶层设计实现网络安全、内容管理和技术防护的全覆盖、无死角、无短板、无缝衔接,构建形成网络安全风险治理的整体框架。构建形成覆盖学校、院系部门、科室、个人的四级网络安全管理和协同机制,形成统筹协调有力、部门协同高效,上下联动顺畅的网络安全工作机制,网络安全责任制及绩效考核办法得到有效落实。建成专职网络安全管理和技术队伍,培养提升教职工网络新媒体素养和信息素养,学生网络安全队伍参与,实现社会网络安全力量协同,网络安全竞赛、教育培训、网络安全应急演练实现常态化。《网络安全法》《信息安全技术网络安全等级保护基本要求》等网络安全法规、条例、标准的宣传与有关工作要求得到有效落实。