構(gòu)建系統(tǒng)性網(wǎng)絡(luò)安全防護(hù)體系的十大措施

　　為了構(gòu)建系統(tǒng)性網(wǎng)絡(luò)安全防護(hù)體系，我們提出通過采取十大措施推動(dòng)該項(xiàng)工作，具體措施為：轉(zhuǎn)觀念、立規(guī)矩、變可視、建防護(hù)、定策略、做檢查、促整改、找?guī)褪?、推等保、?bào)預(yù)警。

　　一是轉(zhuǎn)觀念。這是一個(gè)非常重要而且過程漫長的工作，主要包括變被動(dòng)為主動(dòng)、推動(dòng)兩個(gè)意識(shí)轉(zhuǎn)變和劃清安全工作邊界。變被動(dòng)為主動(dòng)是一種工作意識(shí)的轉(zhuǎn)變，從不得不根據(jù)信息技術(shù)的發(fā)展被迫地進(jìn)行防護(hù)到主動(dòng)開展防控，積極開展安全檢查和防護(hù)；在兩個(gè)意識(shí)轉(zhuǎn)變中，其一是網(wǎng)絡(luò)與信息系統(tǒng)與硬件產(chǎn)品一樣，它是有生命周期的，需要隨著需求和技術(shù)的不斷發(fā)展而更新，必要的時(shí)候甚至要根據(jù)安全的要求進(jìn)行必要的更新?lián)Q代。其二是網(wǎng)絡(luò)與信息系統(tǒng)和汽車產(chǎn)品一樣，需要運(yùn)維并經(jīng)常地進(jìn)行系統(tǒng)維護(hù)，進(jìn)行必要的備份、漏洞修復(fù)、軟件升級(jí)等，這樣才能保障信息系統(tǒng)能長期安全有效的運(yùn)行；劃清安全工作的邊界就是杜絕推諉扯皮。一般來說信息部門就像學(xué)校的保衛(wèi)隊(duì)，保護(hù)的是學(xué)校的大門，要做好外圍的防護(hù)。各個(gè)單位相當(dāng)于圍墻之內(nèi)的各家各戶，他們有自己的戶型、結(jié)構(gòu)和私有的鑰匙，所以只有各單位才能做好內(nèi)部防護(hù)。為了落實(shí)各單位履行安全管理職責(zé)，需要給他們配套相應(yīng)的經(jīng)費(fèi)，促使管理員監(jiān)管信息系統(tǒng)建設(shè)單位或者專業(yè)的安全運(yùn)維公司進(jìn)行防護(hù)，從而將自己的責(zé)任逐級(jí)落實(shí)下去。

　　二是立規(guī)矩。無規(guī)矩不成方圓，必須有一套能落實(shí)主體責(zé)任的文件，才能有效的落實(shí)安全責(zé)任。為了規(guī)范和明確信息化建設(shè)中各單位的工作范圍和職責(zé)，學(xué)校必須建立一套與網(wǎng)絡(luò)與信息安全管理制度，并通過這些制度對(duì)安全管理工作和職責(zé)進(jìn)行劃分。制度應(yīng)明確網(wǎng)絡(luò)與信息系統(tǒng)安全必須要貫穿學(xué)校的信息化建設(shè)始終，做到同步規(guī)劃，同步建設(shè)和同步運(yùn)行，應(yīng)確定信息管理部門和各二級(jí)單位之間的具體職責(zé)以及必須開展的工作等。

　　三是變可視。為了引起各級(jí)領(lǐng)導(dǎo)和各單位對(duì)安全工作的重視，將安全工作可視化，讓安全量化并走進(jìn)每個(gè)人的生活，是一件非常重要的事情。如果網(wǎng)絡(luò)與信息安全總是處于一種摸不到、看不著的狀態(tài)，是很難真正將安全工作落實(shí)到位的，因?yàn)橹挥信铝瞬拍苷嬲齽?dòng)起來。為了實(shí)現(xiàn)可視化，學(xué)?？梢砸氚踩O(jiān)測(cè)設(shè)備，并利用這些設(shè)備產(chǎn)生的數(shù)據(jù)制作學(xué)校信息化安全簡報(bào)，以量化的數(shù)據(jù)和圖文并茂的形式將學(xué)校網(wǎng)絡(luò)安全的狀況、網(wǎng)絡(luò)漏洞的危害和防范知識(shí)展現(xiàn)給各位領(lǐng)導(dǎo)和師生。通過這些數(shù)字可以讓他們了解到真實(shí)的現(xiàn)狀，并充分意識(shí)到面臨的風(fēng)險(xiǎn)和責(zé)任。

　　四是建防護(hù)。學(xué)校要從技術(shù)方面入手做好整個(gè)校園環(huán)境的基礎(chǔ)信息安全防護(hù)，這里主要包括建立全校網(wǎng)絡(luò)防火墻、堡壘機(jī)、上網(wǎng)行為管理、抗DDoS 攻擊、數(shù)據(jù)庫審計(jì)、遠(yuǎn)程管理審計(jì)、云防護(hù)、網(wǎng)站及信息系統(tǒng)監(jiān)控平臺(tái)、漏掃設(shè)備、網(wǎng)絡(luò)防病毒軟件等公共平臺(tái)設(shè)施，確保有防護(hù)、有數(shù)據(jù)、有痕跡，為網(wǎng)絡(luò)與信息安全工作提供必須的、完備的環(huán)境和條件保障。

　　五是定策略。確定防范策略是一個(gè)重要的環(huán)節(jié)，需要結(jié)合學(xué)校自身實(shí)際進(jìn)行考量。其中最重要的策略之一就是推行白名單制度。因?qū)W校很多網(wǎng)絡(luò)與信息服務(wù)屬于科研或內(nèi)部工作性質(zhì)，通過白名單制度將這些內(nèi)部系統(tǒng)限制在內(nèi)網(wǎng)中使用，而僅僅將有限的公共服務(wù)對(duì)外網(wǎng)開放，可以在很大程度上減少風(fēng)險(xiǎn)和防護(hù)的工作量，增加安全系數(shù)。在歷次的重要時(shí)期安全工作中，白名單制度起到了重要的作用。

　　六是做檢查。在完善了外圍防護(hù)的基礎(chǔ)上，學(xué)校要建立安全檢查機(jī)制，監(jiān)督和幫助各單位管好、防好各自所負(fù)責(zé)的信息系統(tǒng)安全。學(xué)校主要是利用專業(yè)的漏洞檢測(cè)設(shè)備工具，采用每月定期檢測(cè)和平時(shí)檢測(cè)相結(jié)合的安全檢測(cè)機(jī)制，對(duì)所有的網(wǎng)站及應(yīng)用系統(tǒng)進(jìn)行安全檢查。當(dāng)檢查完成后，生成該信息系統(tǒng)的專項(xiàng)檢查報(bào)告，并提出相應(yīng)的具體解決方案，以便系統(tǒng)管理員能夠指導(dǎo)專業(yè)運(yùn)維人員很快地處理各種安全威脅。另外，還應(yīng)該不定期地引入滲透等措施開展安全檢查。通過這些常態(tài)工作，可以有效地及時(shí)發(fā)現(xiàn)問題并加以處理。

　　七是促整改。只做檢查不落實(shí)整改結(jié)果就不能形成安全工作閉環(huán)，就無法保證安全防護(hù)的效果，因此必須采取強(qiáng)有力的措施促使責(zé)任單位進(jìn)行整改。學(xué)校需要根據(jù)正式出臺(tái)的信息化制度嚴(yán)格落實(shí)相應(yīng)的管理和監(jiān)督職責(zé)，可以對(duì)出現(xiàn)高危問題的網(wǎng)站及信息系統(tǒng)進(jìn)行先關(guān)停再整改的措施，同時(shí)通過“信安字”文件形式下發(fā)整改通知，要求各單位針對(duì)發(fā)現(xiàn)的問題進(jìn)行整改，整改合格后方可恢復(fù)上線。

　　八是找?guī)褪帧慰抗芾硎遣粔虻?，還需要專業(yè)的技術(shù)支持。為了克服人員少和人員能力不足的狀況，需要擴(kuò)展渠道、找?guī)褪?，引入專業(yè)的技術(shù)人員支持，共同做好學(xué)校的安全防護(hù)。一方面，學(xué)校通過與安全公司進(jìn)行合作，購買安全服務(wù)，引進(jìn)一批專業(yè)的技術(shù)支持。另一方面，充分利用有能力的學(xué)生做安全方面的測(cè)試、攻擊、滲透等工作，讓他們能為學(xué)校的安全貢獻(xiàn)出自己的力量。同時(shí)，也可以給學(xué)生出具工作證明，對(duì)他們的白帽子工作給予肯定。

　　九是推等保。等保工作是一個(gè)嚴(yán)密的信息化防護(hù)工作，真正落實(shí)到位以后會(huì)極大提升學(xué)校的網(wǎng)絡(luò)與信息安全水平。學(xué)校需要落實(shí)《網(wǎng)絡(luò)安全法》要求，對(duì)所有設(shè)施做好等保評(píng)測(cè)并取得通過資質(zhì)。同時(shí)，也要將等保要求落實(shí)到今后新建系統(tǒng)的合同里，要求后續(xù)所有新建系統(tǒng)在上線之前必須完成等級(jí)備案及等保評(píng)測(cè)。

　　十是報(bào)預(yù)警。一味地防不是辦法，也需要變被動(dòng)為主動(dòng)。學(xué)校需要和專業(yè)的安全公司開展合作，建設(shè)軟件預(yù)警平臺(tái)，對(duì)各種新發(fā)生的安全事件實(shí)施及時(shí)的全校預(yù)警，也需要充分開展大數(shù)據(jù)應(yīng)用，對(duì)有風(fēng)險(xiǎn)的行為做預(yù)警，及時(shí)阻斷各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，為師生提供增值的信息化服務(wù)。

　　通過以上十項(xiàng)舉措，可以讓學(xué)校初步構(gòu)建系統(tǒng)性的網(wǎng)絡(luò)安全防護(hù)體系，為學(xué)校信息化工作提供網(wǎng)絡(luò)與信息安全保障。但由于信息技術(shù)在不斷發(fā)展和突破，所以安全問題永遠(yuǎn)在路上，我們也需要不斷地探索和完善工作辦法，努力為學(xué)校的發(fā)展保駕護(hù)航。