2017年,我们关注了这些话题 | 网络安全
教育系统安全威胁情报共享平台
在2017年,我们几次展示过教育系统安全威胁情报共享平台。这个在2017年2月底开始建立的协作式平台是在教育管理部门、高校、产业界的共同合作下建立的。各高校可以通过这个平台,第一时间了解到自身相关的漏洞信息,帮助学校做查漏补缺的工作。专家表示,对安全漏洞,不仅仅是发现,更重要的是要有体制保障,能够对它进行跟踪,一直到它被消亡为止,实现全生命周期的闭环管理。
安全服务外包
安全服务外包已然成为一种趋势。从花钱买设备到花钱买服务,高校需要做好什么程度的风险控制,如何更好地保障高校总体安全目标的实现成为这一年的热点话题。专家认为,做好安全服务外包需要学校和企业一起对外包服务的内容和效果制定可操作,可检查,可追溯的服务标准。多方携手,勇于担起网络安全责任。
Web安全
Web安全是高校网络安全工作中常说常新的话题。2017年,我们从机制和技术两个维度几次探讨Web安全的防范。有一些值得复习的观点:开展网站普查是Web安全管理的基础。如同定期的人口普查,高校也要对自己有多少网站进行全面动态的掌握,在此基础上推进备案管理体系,明确每一个网站的责任主体,做到网站和责任准确关联;网站备案工作依靠技术和管理双方出击,要使用网站扫描系统对校园网定期扫描,保障网站备案信息的准确性。
应急响应
应急响应工作在网络安全一系列体系中占据很重要的位置,其主要目的是在政策背景下,尽可能迅速地将网络信息安全事件造成的损害和影响控制在最小范围。2017年,我们探讨了自动化技术在安全事件中的响应,网络安全预案的建立和实施等。从技术上来看,目前尚无希望出现完全的自动响应系统,可预期的方案是系统在进行应急响应时可以根据预配置的策略,灵活地在人工和自动响应之间进行切换,为需要人工参与的过程提供足够的工具支持。
数据安全
对于教育行业来说,数据安全是一个软肋。《网络安全法》出台也以法律的形式明确要求各类组织切实承担起保障数据安全的责任,2017年我们分几次探讨了数据安全及数据库安全问题。专家认为,做好数据安全工作,要实施如下方案:第一,建立数据分级防护策略;第二,严格数据的访问控制;第三,探索尝试数据加密与一致性校验技术;第四,实施数据库审计。其中,第一条非常重要。数据的分级原则考虑到可操作性,建议高校数据分为三个或四个安全级别,如可划分为公开数据、一般业务数据、内部敏感数据、个人数据四个安全级别。
重大活动时期安全保障
高校在2017年全年重大活动安全保障时间达60天左右,这一年,我们熟悉了下图中的这些词。
2017年度,我们对重大活动时期的网络安全保障进行了报道,相关人士表示,我们应当借助重大时期的东风,通过在重要时刻发现问题并处理问题;在重大活动时期,在特殊时刻,优先保障的肯定是“白名单”范围里的主要业务,因此一定要把资产的等级梳理出来;尤其针对网站安全,网站系统要定期检查,一定要成为一个常态化的工作。
网络信息安全学术年会
2017年的开始和结束,我们分别关注了2016年和2017年高校网络信息安全学术年会,有很多重要的观点值得分享。如:关于大数据在网络安全工作中的应用。有了大数据我们就会有更广阔的视角,去审视互联网过去和现在所发生的一切;学校应围绕信息资产为核心来开展安全工作,网络安全建设要和信息化建设融为一体,应当尽快从被动应急响应向主动安全管理转变;新时期的应急响应应当从技术管控向全面行政管控转变;要仿效开源社区建立教育行业自己的网络安全社区。
2017年对于大多数高校的网络安全工作而言都是充满挑战的一年。未来,大势所趋下,网络安全工作都只会越来越具有挑战。好消息是,在总体政策的驱动下,大家显然已经意识到了合作在搭建整体网络安全环境中的重要性和迫切性,相信未来各种有效的合作会更多。
本文刊载于《中国教育网络》杂志2018年1月刊