网络安全| 清华大学吴海燕:自动识别技术“倒逼”网站备案

编者按:

最近,教育部印发了关于《教育行业网络安全综合治理行动方案》的通知,提出四项工作内容。第一,治理网站乱象,强化主体责任;第二,堵塞安全漏洞,增强防护能力;第三,补齐等保短板,履行安全保护义务;第四,规范安全管理,提升治理水平。其中,治理网站乱象,强化主体责任是最基础的工作。治理乱象,需先摸清家底,对所有的网站做到备案,进一步地做到对网站的全生命周期管理。从今天起,《中国教育网络》将就如何摸清网站家底,做好备案工作提供一些方案。

1

清华大学吴海燕:

自动识别技术“倒逼”网站备案

吴海燕:高级工程师,清华大学信息化技术中心工作,长期从事高校信息安全保障工作。

网站登记备案是网站安全管理的起点和基础,登记备案有助于帮助高校掌握网站数量,确定网站的安全责任主体单位,梳理网站的业务和管理信息等。本文就开展网站登记备案工作时要考虑的一些问题谈几点思考。

001

网站备案的安全责任主体单位

高校网站存在数量大、建设和运行模式多样的特点,我们可将其安全责任细分为主管安全责任、开发安全责任、运行安全责任和使用安全责任。

在网站的建设和运行中承担的角色不同,安全责任也不一样。网站建设的发起单位是网站的主管部门,一般是业务部门,承担主管安全责任;网站的开发单位对网站的代码安全负责,承担开发安全责任;网站的运行部门对网站的运行环境的安全负责,承担运行安全责任;网站的使用单位对网站发布的内容安全负责,承担使用安全责任。

在网站登记备案实际工作中,能够确定主管单位的网站,建议将主管单位定位在网站登记备案的责任主体单位,否则可选择网站的运行单位作为网站登记备案的责任主体单位。

002

网站登记备案流程

学校的信息安全管理部门(一般是信息化办公室或者信息中心)发起网站登记备案工作,制定网站登记备案信息表,信息表一般应包括网站的域名、IP 地址、业务类型、处理的主要数据、服务范围、安全责任主体单位(主管单位)信息、运行单位信息、网站的存放地点等内容。

以学校的二级单位为主体进行网站信息的梳理,整理本单位主管网站的有关信息,报送学校的信息安全管理部门,进行网站的登记备案,通过安全准入检查后可正式提供服务。

通过上述两步工作,初步建立了学校网站的基础信息。各二级单位应在本单位网站发生变化时,如新建网站、撤销网站、更改域名等时,及时将网站信息向学校安全管理部门进行报备。

为保证备案信息的准确性,除了依赖二级单位的配合外,学校信息安全管理部门还应对网站备案信息进行定期核查,及时对备案信息进行确认和更新。

003

网站登记备案的技术支撑手段

上述的网站登记备案流程是理想情况,在实际工作中,如果缺乏技术支撑措施,经常有备案网站不全、下线网站不撤销备案、备案信息更新不及时等情况发生。所以很多高校虽然也实施了登记备案制度,但校内仍有数量不少的无备案网站运行,备案网站中“死网站”如影随形,网站备案工作通过“突击式”方式推进,难以达到掌握网站底数的目的。针对此问题,建议使用如下技术支撑手段,加强管理措施的落实。

1、建立网站安全管理工作平台。高校网站数量大、涉及的二级单位多,依靠纸质表单、电子邮件实现登记备案、准入检查、漏洞通告、事件处置等网站安全管理工作,不仅效率低,而且易出错。建立网站安全管理信息系统,实现登记备案等安全管理流程的在线办理,系统实现与网站漏洞扫描、网站识别系统的对接,网站的漏洞信息、未备案网站的信息直接推送给二级单位的管理员,不仅能够提高效率,而且能够有效保证备案信息的准确性。遗憾的是,目前业界尚没有成熟的网站安全管理工作平台软件,需要定制开发,实现成本较高。

2、网站自动识别与控制系统。网站自动识别系统可通过网络流量分析,对正在提供服务的网站进行识别。系统可部署在校园网出口、校园网骨干节点,进行网站识别,并与网站备案信息进行自动比对,及时发现未备案网站,并阻断未备案网站的服务,倒逼网站的主管单位进行网站登记备案工作。

3、使用网站扫描系统在校园网进行定期扫描。可对备案网站进行定期扫描,不但可以及时发现网站的安全隐患,还可以及时发现备案网站中的“死网站”,保证网站备案信息的准确性。并可对全校的网段进行网站服务发现扫描,将扫描结果与网站备案信息进行比对,发现未备案的网站信息,提供给校内二级单位,帮助二级单位更好地梳理本单位主管的网站信息,并及时备案。

(作者单位为清华大学信息化技术中心)

网站备案专题

上海交通大学姜开达:开展网站普查是Web安全管理的基础

本文刊载自《中国教育网络》杂志2017年5月刊


(0)

相关推荐