论文部分内容阅读
校园网络安全事关校园安全,与师生利益息息相关。2017年,《中华人民共和国网络安全法》正式实施,标志着等级保护2.0的正式启动。
近年来,在各类第三方抽查及自查过程中,上海开放大学浦东南校发现学校校园网络信息系统存在一些安全隐患,如:网站存在暗链现象,考试用服务器及部分终端存在挂马现象,部分终端存在弱口令现象等。
为建设高标准、安全可控的基层开放大学校园网络,针对上海开放大学浦东南校在网络安全方面的不足,笔者从学校自身角度出发,提出以下建议。
提高网站综合防护能力
上海开放大学浦东南校现有的对外校园网络信息系统包括门户网站和财务收费系统。目前,网络设备置于上海开放大学浦东南校自建机房中,网络安全相关业务由浦东新区教育局直接管理。在2020年1–8月间,通过扫描工具对学校的门户网站及财务收费系统进行Web漏洞扫描,共查出中高风险漏洞53个,说明学校的网络存在一定的技术问题和管理问题。问题集中表现为三方面。一是网站建设标准落后。学校门户网站建设标准低,开发环境已经过时,存在诸多安全漏洞。二是未配备专业的网络安全设备,外部没有接入可靠防火墙、防篡改软件与WAF(Web Application Firewall的缩写,即Web应用防火墙)等网络安全设施。三是管理上缺乏对网站整体性安全策略的部署,尤其是安全事故的预警策略。
解决网站整体安全问题,通常有两个思路:重新开发网站,建设符合网络安全等级保护2.0标准的自建机房;使用网站群,并把网站部署在可信、安全的教育云中。显然,无论从经济投入角度还是区域整体安全性角度考虑,第二种思路都更适合。
网站群是指通过统一标准、统一规范、统一规划,而建立在统一技术架构基础之上的若干个网站集合,其具有统一管理、資源集约和信息共享等优点,可以有效提高网站管理的安全性。
2017年国务院办公厅印发的《政府网站发展指引》指出,政府网站建设中,利用集约化手段,开展网站群建设,减少互联网出口,实现网站的统一管理、统一防护,提高网站综合防护能力。此外,网站群在国内高校已广泛建设,在部署了网站群平台的高校中,92.73%的高校的网站群从未发生过安全事件。
总体来说,网站群和云平台是优化技术、资金、人员等要素配置,避免重复建设,符合以集中共享的资源库为基础、安全可控为原则的统筹规划和顶层设计。建议学校网络使用浦东新区教育局信息中心委托开发的“网站群”,并迁入教育云中。
管控“进出”闸门
校园网络防火墙一般有硬件、软件和云三种形式,是基于规则管控进入校园网络的闸门,配备好的防火墙可以有效阻挡网络攻击。而上网行为管理设备可以精准管控师生的上网行为,从而做到师生绿色上网,降低感染网络病毒的概率并减少外部的攻击行为。
上海开放大学浦东南校的硬件防火墙是浦东新区教育局信息中心2013年统一采购的,建议按照目前内部网络及终端数量的实际情况,更新防火墙设备,以有效抵御外部攻击。另外需要采购合适的上网行为管理设备。
加强网络安全队伍建设
目前,学校主要是由专职教师兼任网络安全管理员。要加强学校的网络安全队伍建设,从长期来看需要采用引进外部人才和培养内部人才的方式;而短期内,可以合理调整现有人员的工作量,使之成为网络安全管理专员,并适当采取购买网络安全服务的方式。视需要引入外包公司对网站、网络和服务器与终端的日常运维,提升学校的网络与信息安全管理能力,打造安全可控的校园网络环境。
强化口令管理
据了解,浦东新区下属学校在2020年1–4月间日均在线终端数在14万台左右,同期通过安全监测设备发现537所学校的2194台各类计算机终端被病毒感染。而上海开放大学浦东南校共有终端560台,主要分布在教师办公室和机房,数量众多,若靠人工单机操作管理则工作量十分繁重。建议引入腾讯电脑管家小团队版,实现集中管理学校电脑,实时查看所有电脑运行情况,统计电脑资产,记录硬件变更,统一控制安全策略,提前发现风险,实现轻便部署。
网络安全最大的弱点来自于用户。网络安全保障不只是网管员个人的事情,保障措施应建立在全体人员群防群力的机制基础上。而关于口令设置,更多的应该依靠教职工等电脑使用者,校方应该明确哪些电脑需要设置口令,口令的强度需要达到什么程度,需要更换的周期是多久。建议给学校所有电脑设置口令,重要的信息系统或服务器建议设置强密码,一般的终端设置中等强度密码,每学期更换一次密码。
综上所述,考虑到按照等级保护2.0标准建设自建机房整体方案价格不菲且短期内无法解决人员问题,建议上级主管部门推进网站群建设与应用,并定期组织网络安全的业务培训,通过购买服务与内部培养相结合的方式补上人员缺口,增加学校网络出口防火墙的专项投入,提升学校的网络与信息安全管理能力,以提高校园网络安全等级,使校园网络安全、稳定、可靠地为广大师生服务。
(陈松,上海开放大学浦东南校信息处干事)
责任编辑:夏英
近年来,在各类第三方抽查及自查过程中,上海开放大学浦东南校发现学校校园网络信息系统存在一些安全隐患,如:网站存在暗链现象,考试用服务器及部分终端存在挂马现象,部分终端存在弱口令现象等。
为建设高标准、安全可控的基层开放大学校园网络,针对上海开放大学浦东南校在网络安全方面的不足,笔者从学校自身角度出发,提出以下建议。
提高网站综合防护能力
上海开放大学浦东南校现有的对外校园网络信息系统包括门户网站和财务收费系统。目前,网络设备置于上海开放大学浦东南校自建机房中,网络安全相关业务由浦东新区教育局直接管理。在2020年1–8月间,通过扫描工具对学校的门户网站及财务收费系统进行Web漏洞扫描,共查出中高风险漏洞53个,说明学校的网络存在一定的技术问题和管理问题。问题集中表现为三方面。一是网站建设标准落后。学校门户网站建设标准低,开发环境已经过时,存在诸多安全漏洞。二是未配备专业的网络安全设备,外部没有接入可靠防火墙、防篡改软件与WAF(Web Application Firewall的缩写,即Web应用防火墙)等网络安全设施。三是管理上缺乏对网站整体性安全策略的部署,尤其是安全事故的预警策略。
解决网站整体安全问题,通常有两个思路:重新开发网站,建设符合网络安全等级保护2.0标准的自建机房;使用网站群,并把网站部署在可信、安全的教育云中。显然,无论从经济投入角度还是区域整体安全性角度考虑,第二种思路都更适合。
网站群是指通过统一标准、统一规范、统一规划,而建立在统一技术架构基础之上的若干个网站集合,其具有统一管理、資源集约和信息共享等优点,可以有效提高网站管理的安全性。
2017年国务院办公厅印发的《政府网站发展指引》指出,政府网站建设中,利用集约化手段,开展网站群建设,减少互联网出口,实现网站的统一管理、统一防护,提高网站综合防护能力。此外,网站群在国内高校已广泛建设,在部署了网站群平台的高校中,92.73%的高校的网站群从未发生过安全事件。
总体来说,网站群和云平台是优化技术、资金、人员等要素配置,避免重复建设,符合以集中共享的资源库为基础、安全可控为原则的统筹规划和顶层设计。建议学校网络使用浦东新区教育局信息中心委托开发的“网站群”,并迁入教育云中。
管控“进出”闸门
校园网络防火墙一般有硬件、软件和云三种形式,是基于规则管控进入校园网络的闸门,配备好的防火墙可以有效阻挡网络攻击。而上网行为管理设备可以精准管控师生的上网行为,从而做到师生绿色上网,降低感染网络病毒的概率并减少外部的攻击行为。
上海开放大学浦东南校的硬件防火墙是浦东新区教育局信息中心2013年统一采购的,建议按照目前内部网络及终端数量的实际情况,更新防火墙设备,以有效抵御外部攻击。另外需要采购合适的上网行为管理设备。
加强网络安全队伍建设
目前,学校主要是由专职教师兼任网络安全管理员。要加强学校的网络安全队伍建设,从长期来看需要采用引进外部人才和培养内部人才的方式;而短期内,可以合理调整现有人员的工作量,使之成为网络安全管理专员,并适当采取购买网络安全服务的方式。视需要引入外包公司对网站、网络和服务器与终端的日常运维,提升学校的网络与信息安全管理能力,打造安全可控的校园网络环境。
强化口令管理
据了解,浦东新区下属学校在2020年1–4月间日均在线终端数在14万台左右,同期通过安全监测设备发现537所学校的2194台各类计算机终端被病毒感染。而上海开放大学浦东南校共有终端560台,主要分布在教师办公室和机房,数量众多,若靠人工单机操作管理则工作量十分繁重。建议引入腾讯电脑管家小团队版,实现集中管理学校电脑,实时查看所有电脑运行情况,统计电脑资产,记录硬件变更,统一控制安全策略,提前发现风险,实现轻便部署。
网络安全最大的弱点来自于用户。网络安全保障不只是网管员个人的事情,保障措施应建立在全体人员群防群力的机制基础上。而关于口令设置,更多的应该依靠教职工等电脑使用者,校方应该明确哪些电脑需要设置口令,口令的强度需要达到什么程度,需要更换的周期是多久。建议给学校所有电脑设置口令,重要的信息系统或服务器建议设置强密码,一般的终端设置中等强度密码,每学期更换一次密码。
综上所述,考虑到按照等级保护2.0标准建设自建机房整体方案价格不菲且短期内无法解决人员问题,建议上级主管部门推进网站群建设与应用,并定期组织网络安全的业务培训,通过购买服务与内部培养相结合的方式补上人员缺口,增加学校网络出口防火墙的专项投入,提升学校的网络与信息安全管理能力,以提高校园网络安全等级,使校园网络安全、稳定、可靠地为广大师生服务。
(陈松,上海开放大学浦东南校信息处干事)
责任编辑:夏英