网络安全| 中国人民大学:摸排校园网站 清理安全隐患
编者按:
最近,教育部印发了关于《教育行业网络安全综合治理行动方案》的通知,提出四项工作内容。第一,治理网站乱象,强化主体责任;第二,堵塞安全漏洞,增强防护能力;第三,补齐等保短板,履行安全保护义务;第四,规范安全管理,提升治理水平。其中,治理网站乱象,强化主体责任是最基础的工作。治理乱象,需先摸清家底,对所有的网站做到备案,进一步地做到对网站的全生命周期管理。近期,《中国教育网络》将就如何摸清网站家底,做好备案工作提供一些方案。
1
中国人民大学:
摸排校园网站 清理安全隐患
收回所有关停网站的域名解析和IP地址,未在校内备案的网站不再支持其ICP注册(需要向工信部申请完成),这样就保证了所有在册网站都是健康、活跃并有负责人的。
高校网站众多,当前大家都在讨论如何使用技术手段进行防护,但是到目前为止极少有高校清楚自己有多少个网站,有多少台服务器,更别提能够物尽其用和安全维护到位了,因此有必要探讨如何摸清家底。
高校网站的常见问题
在清理网站前,中国人民大学网站建设没有一个统一的规范要求,经年积累形成了开办随意、运维不规范、技术和策略层面管理不到位的局面,这些因素使得我校一直无法完成整体上的安全策略和防护。
下面这些情况基本上绝大多数高校都存在:
1、网站域名使用不清中国人民大学目前刚刚完成网站摸底工作。由于历史遗留问题,在清理前,注册域名706个,其中可以联系到人员的198个,找不到人的208个;可以Ping通的域名406个(说明还活跃),不同的域名300个(可能是僵尸网站);在域名管理中有备案的197个,未备案的509个。这种情况下,通过域名对网站进行安全监测比较困难。
2、网站服务器应用不明各个院系部处中心的服务器存放位置不清晰,有的在校内托管机房,有的使用虚拟服务器,有的使用校外公有云,有的干脆运行在办公室。另外,我们曾发现一个学院为了做信息安全实验向社会开放钓鱼网站,有一些负面影响。
3、安全应急不及时隐藏的网站众多,一旦被黑客攻击,找不到所有者或维护人,只能借助网络部门查找相应网络,影响应急前期的响应时间,后期整改时往往发现开发人是学生且已经毕业,导致无从下手。
4、网站类型无法分清网站开办的随意性大,个人做的网站以学校的名义面向社会,影响不好。同时存在大量的不再使用却未注销的“死”网站,还发现了一些已经被黑客入侵的僵尸网站。
厘清校属网站的方法
学校是个特殊的环境,一方面管理和技术的实施不能影响正常的教学科研,另一方面,学院部处相对于具有教辅职能的信息技术中心是强势部门,不可蛮干。因此,厘清全校的网站需要采取行之有效的方法策略,实施路线如图1所述。
1、建立网站审核机制
首先,建立网站的审核流程和流程中的处理角色,整个流程通过数字校园完成,中国人民大学是通过“微人大”的服务功能在网上完成填报和审核,填报的申请表包括:申请人信息(姓名、职工号、联系方式等)、单位性质、网站名称、网站用途、域名和IP、接入和托管、服务器存放位置、ICP和等级保护备案号、24小时畅通紧急联络电话、论坛有无等字段。
我校通过“微人大”填报后自动进入流转,首先需要本部门主管(比如学院院长)批示,后自动流转由学校办公室、宣传部和信息技术中心分别审核。此外,信息技术中心要有专人答疑和处理。
2、发文和再发文
考虑到信息技术中心的教学支持辅助角色,应联合学校办公室和具有网站审核义务的党宣部门联合发文,这样效果更好。联合发文中应要求3个月内备案并给出未备案网站的处理方式,联合发文后网络安全人员应主动联系并敦促院系网站备案,3个月到期后,未备案网站不能马上关闭处理,要有1年的缓冲期。间隔1年后,信息技术中心再发文强调,给出1个月的截止时间点,到期强制关闭。表1是中国人民大学发文和实际效果情况。
3、未备案网站
关停此时关停的未备案网站会影响到学院活动,但是不会有不利的反馈,只要是正常的系统,各部门都会积极备案,僵尸网站就清理出来了,收回所有关停网站的域名解析和IP地址,未在校内备案的网站不再支持其ICP注册(需要向工信部申请完成),这样就保证了所有在册网站都是健康、活跃并有负责人的,我校清查前后状况见表2,从表中可看出下一步的工作要点,以此为基础进行等级保护备案和针对350个网站的Web漏洞扫描服务购置。
4、安全管理员队伍
每个网站都有联系人和负责人,我们建立了网站台账,联系人兼任安全管理员,由此形成了安全管理员队伍,这样就有了上通下达的沟通渠道,一般性的通知和安全预警可以高效地以邮件群发形式发送,不走公文流程;每个网站的管理员也可以直接和学校联系,处理效率高。这样,全校在网络安全方面已经形成了整体,体现在:
(1)最近的几次安全事故处理迅速有效。
(2)事故的发生次数明显减少,从春节后到4月底未收到教育部漏洞通报。
建立学校网站管理的长效机制
早期中国人民大学各部门网站的作废和变更没有登记,长期积累下来导致无法管理,比如原负责人早已调走因此有问题联系不上的事情经常发生。此次厘清校内网站后,还要完善管理制度,明确两点:
1、新建网站的审批备案制度:只要是校属网站就要走网上流程审批,考虑到信息安全和应急处理,网站原则上应采用学校主域名的子域名,服务器放置校内。
2、维护人员的责任,并对网站的变更和域名IP的回收作出规定。
目前中国人民大学已经摸清了家底,关闭了僵尸网站,下一步以此为基础开展。
(作者单位为中国人民大学信息技术中心)
网站备案专题
本文刊载自《中国教育网络》杂志2017年5月刊