教育系統安全威脅情報共享平台
在2017年,我們幾次展示過教育系統安全威脅情報共享平台。這個在2017年2月底開始建立的協作式平台是在教育管理部門、高校、産業界的共同合作下建立的。各高校可以通過這個平台,第一時間了解到自身相關的漏洞信息,幫助學校做查漏補缺的工作。專家表示,對安全漏洞,不僅僅是發現,更重要的是要有體制保障,能夠對它進行跟蹤,一直到它被消亡為止,實現全生命周期的閉環管理。
Web安全
Web安全是高校網絡安全工作中常說常新的話題。2017年,我們從機制和技術兩個維度幾次探讨Web安全的防範。有一些值得複習的觀點:開展網站普查是Web安全管理的基礎。如同定期的人口普查,高校也要對自己有多少網站進行全面動态的掌握,在此基礎上推進備案管理體系,明确每一個網站的責任主體,做到網站和責任準确關聯;網站備案工作依靠技術和管理雙方出擊,要使用網站掃描系統對校園網定期掃描,保障網站備案信息的準确性。
安全服務外包
安全服務外包已然成為一種趨勢。從花錢買設備到花錢買服務,高校需要做好什麼程度的風險控制,如何更好地保障高校總體安全目标的實現成為這一年的熱點話題。專家認為,做好安全服務外包需要學校和企業一起對外包服務的内容和效果制定可操作,可檢查,可追溯的服務标準。多方攜手,勇于擔起網絡安全責任。
應急響應
應急響應工作在網絡安全一系列體系中占據很重要的位置,其主要目的是在政策背景下,盡可能迅速地将網絡信息安全事件造成的損害和影響控制在最小範圍。2017年,我們探讨了自動化技術在安全事件中的響應,網絡安全預案的建立和實施等。從技術上來看,目前尚無希望出現完全的自動響應系統,可預期的方案是系統在進行應急響應時可以根據預配置的策略,靈活地在人工和自動響應之間進行切換,為需要人工參與的過程提供足夠的工具支持。數據安全
對于教育行業來說,數據安全是一個軟肋。《網絡安全法》出台也以法律的形式明确要求各類組織切實承擔起保障數據安全的責任,2017年我們分幾次探讨了數據安全及數據庫安全問題。專家認為,做好數據安全工作,要實施如下方案:第一,建立數據分級防護策略;第二,嚴格數據的訪問控制;第三,探索嘗試數據加密與一緻性校驗技術;第四,實施數據庫審計。其中,第一條非常重要。數據的分級原則考慮到可操作性,建議高校數據分為三個或四個安全級别,如可劃分為公開數據、一般業務數據、内部敏感數據、個人數據四個安全級别。
重大活動時期安全保障
高校在2017年全年重大活動安全保障時間達60天左右,這一年,我們熟悉了右圖中的這些詞。
2017年度,我們對重大活動時期的網絡安全保障進行了報道,相關人士表示,我們應當借助重大時期的東風,通過在重要時刻發現問題并處理問題;在重大活動時期,在特殊時刻,優先保障的肯定是“白名單”範圍裡的主要業務,因此一定要把資産的等級梳理出來;尤其針對網站安全,網站系統要定期檢查,一定要成為一個常态化的工作。
網絡信息安全學術年會
2017年的開始和結束,我們分别關注了2016年和2017年高校網絡信息安全學術年會,有很多重要的觀點值得分享。如:關于大數據在網絡安全工作中的應用。有了大數據我們就會有更廣闊的視角,去審視互聯網過去和現在所發生的一切;學校應圍繞信息資産為核心來開展安全工作,網絡安全建設要和信息化建設融為一體,應當盡快從被動應急響應向主動安全管理轉變;新時期的應急響應應當從技術管控向全面行政管控轉變;要仿效開源社區建立教育行業自己的網絡安全社區。
2017年對于大多數高校的網絡安全工作而言都是充滿挑戰的一年。未來,大勢所趨下,網絡安全工作都隻會越來越具有挑戰。好消息是,在總體政策的驅動下,大家顯然已經意識到了合作在搭建整體網絡安全環境中的重要性和迫切性,相信未來各種有效的合作會更多。
(責編:王左利)