存在的問題與原因

山東大學的網絡安全工作一直存在很多問題，在2017年7月以前，被發(fā)現(xiàn)安全漏洞多，曾經長期位列教育部漏洞排行榜榜首，原因主要有以下幾點：

一是網站多由個人或小團隊開發(fā)，技術薄弱、安全漏洞多，沒有維護人員，處置不及時；

二是虛擬主機系統(tǒng)環(huán)境版本低，受部分網站無維護人員限制不能升級，操作系統(tǒng)多是Redhat9.0、AS2.1、AS3.0、CentOS4.X等；

三是校園網邊界基本不做訪問控制，校內上網設備使用公網IP，便于端到端攻擊；

四是信息化人員不足，WAF部署后沒精力持續(xù)優(yōu)化策略，沒有充分發(fā)揮其作用；

五是二級單位網站安全意識弱、學院機房自管網站幾乎沒有安全防護措施，主要表現(xiàn)在分管領導不重視、不抓網絡安全、出現(xiàn)問題處理慢，網站管理員只負責發(fā)布新聞工作；

六是部分用戶安全意識弱，弱密碼嚴重，特別是一些信息系統(tǒng)的管理員，密碼采用非常常見的熱密碼，很不安全；

七是自身安全問題重視不夠；

八是安全管理力度弱，安全漏洞處置進度慢、時間長。

網絡安全管理措施

針對以上問題，山東大學從頂層設計、組織體系、制度建設、基礎措施等四個方面進行了相應的工作。在頂層設計方面，學校發(fā)文成立涵蓋政治安全、公共安全、消防安全、安全生產、網絡信息安全、反恐防恐等職能的學校安全工作委員會，負責統(tǒng)籌學校（三地八校區(qū)）政治穩(wěn)定工作和各類安全工作的組織、謀劃、指導和監(jiān)督實施。

學校安全實行總體規(guī)劃、統(tǒng)籌協(xié)調、協(xié)同配合、分級負責的機制，堅持“黨政同責、一崗雙責、失職追責”，堅持“ 誰主管、誰負責，誰使用、誰負責，誰組織、誰負責”，逐級簽訂安全責任書。

在組織體系方面，學校成立了安全工作委員會，下設網絡安全和信息化工作組，由信息化工作辦公室負責牽頭，協(xié)調各職能部門與各院系、中心所等單位開展網絡安全工作，同時每個二級單位都下設有兼職網絡安全員。

建立安全隊伍，信息辦人員都是安全員。在校內二級單位設置網絡信息安全負責人，由職能部門、院、所、黨、政一把手擔任。根據(jù)各二級單位規(guī)模，設置網絡安全員，具體負責執(zhí)行日常管理、監(jiān)控、工作落實等工作。同時建立安全工作群，成員有141名。

在制度建設方面，從學校層面制定了《關于加強和改進學校安全穩(wěn)定工作的意見》，發(fā)布了網絡安全管理辦法，督促各學院建立自己的網站系統(tǒng)管理辦法與應急響應預案。

在技術措施方面，首先，購買多家安全服務以解決人手不足問題。第二，將網站全部遷入網站群，關閉虛擬主機系統(tǒng)；采取宣傳動員的做法，同時學校承擔遷移費用；針對不愿意遷移的網站，采取重要時期有問題網站做訪問控制，不允許校外訪問，或者嚴重的實施斷網，倒逼存在問題的網站進行遷移。如此，通過這兩個措施，一是正向激勵，一是反向督促，促進各單位積極向網站群遷移。第三，在校園網邊界設置白名單，關閉端口，比如Web常用端口、遠程桌面、SSH端口、常用數(shù)據(jù)庫端口等。第四，師生從校外通過VPN訪問校內資源。第五，投入人力持續(xù)優(yōu)化WAF策略。

在漏洞處理方面，通過OA系統(tǒng)，處理流程追蹤進展，還可以通過微信群直接通知相關領導與安全員。在重要時期保障前進行網絡安全檢查（漏掃、滲透測試），查出安全問題及時整改，并且重要時期還要進行應急預案的演練。加強弱密碼治理，消除弱密碼（重要信息系統(tǒng)提高密碼強度，強制用戶更改密碼）。

做好備案工作。登記各單位信息系統(tǒng)（網站）基本信息，建立校內信息系統(tǒng)（網站）數(shù)據(jù)庫；治理雙非網站、僵尸網站；清理僵尸、失效主機名，通過整理清單、網上公示、判定無效后進行清理。

圖1 教育部、公安部安全管理流程

重要時期加強管理，如上合峰會期間強化管理，多輪掃描辦公區(qū)IP，排查、處理未登記Web服務器，每天在校園網邊界更新IP地址黑名單，每天調整WAF策略。在關鍵時間點臨時封存風險IP、疑似攻擊IP，臨時限制問題信息系統(tǒng)校外訪問。

加強校園網敏感信息清理。購買CA證書，重要信息系統(tǒng)，比如校園卡系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)啟用HTTPS； 落實6個月日志存留（應用級、系統(tǒng)級），購置微軟軟件提供學生使用，提高正版化率，減少個人電腦肉機數(shù)量。同時加強兄弟學校之間協(xié)同協(xié)作。

在采取以上措施后，學校取得了一定成績，但在實施過程中也遇到一些難點，表現(xiàn)在工作不受重視、二級單位支持度低、網絡安全管理工作推進較慢。我們的方向是加強工作力度，但加強工作力度不可避免要得罪人，導致有些工作就此擱置?；诖藛栴}，我們采取借助三個“東風”的方式有效化解了以上問題。

在2017年8～9月，對于網絡安全漏洞各單位不重視、處理慢、時間長，也不重視信息辦的漏洞處置要求等問題，借助“東風”一：教育部在“十九大”期間發(fā)布網絡安全保障通知，要求除主要網站外，其他網站都不允許校外訪問，發(fā)現(xiàn)問題問責。學校采取三大措施：經檢查確定沒問題的網站/信息系統(tǒng)允許校外訪問；有問題網站限制校外訪問或斷網；有問題信息系統(tǒng)8小時外限制校外訪問。通過“十九大”期間持續(xù)近一個月的安全保障，提高了部分單位領導抓網絡安全的意識。

在2018年兩會保障期間，部分單位仍然存在安全意識薄弱、處理不及時的問題。在這種情況下，借助第二個“東風”，公安部門在青島上合峰會期間要求網絡安全保障不出問題，同時學校安全風險管控力度加大，成立安全工作委員會、簽訂安全責任書，問責力度加大，領導責任意識增強。我們采取了20年來山大最嚴格的網絡安全管理措施，多輪全方位安全檢查，立查立改。收到成效是二級單位領導安全意識普遍提高；各二級單位認識到信息辦安全治理動真格是新常態(tài)，安全管理工作開始順暢。

但好景不長，2018年6月，學校進行中層領導輪崗調整，新提拔一批年輕干部，學院辦公室主任全部進行更換，部分新任網絡安全分管領導安全意識弱，單位安全管理放松、問題處理不受重視、不及時問題抬頭。于是借助第三個“東風”：教育部網絡安全現(xiàn)場檢查，安全檢查反饋結果后要立即整改。我們采取了三輪漏洞自查及處理，督促二級單位建立網絡安全管理制度并落實責任人的措施。經過整改，新任領導加強了網絡安全意識，問題處理及時，網絡安全管理開始重新順暢?？偨Y分析，通過三個“東風”采取強力措施是工作成功的關鍵因素。網絡安全等級保護將會是一個持久東風，各高?？梢越柚燃壉Ｗo東風加強網絡安全的管理工作。

工作中的認識

一是對教育部、公安部安全管理的認識。在日常工作中面對教育部和公安部兩個部門的檢查，為了能減少工作量同時提高效率，我們對這兩部分的情況做了梳理，如圖1所示。我們認識到，等保是核心工作，做好等保安全管理事半功倍。二是對《網絡安全法》和等級保護的認識。通過對國家網絡安全法和等保制度的深入學習，認識到不做等保后果很嚴重。三是變被動為主動，積極主動推進等保工作。

今后山東大學網絡安全的主要工作也將會在推進等保工作方面開展。繼續(xù)推進向網站群遷移，特別是二級單位機房自管網站。同時多部門協(xié)同，發(fā)揮職能部門的作用，重點突破教學、科研實驗室網絡與信息安全。

每年的常態(tài)化工作，包含每年兩次網絡安全大檢查，重要時期保障前開展網絡安全檢查，每年一次登記、更新信息系統(tǒng)（網站）信息數(shù)據(jù)庫，清除雙非、僵尸網站。學校今后還將進一步加強弱密碼治理（信息系統(tǒng)側異常登錄處理）； 加強運維審計管理；擴大HTTPS覆蓋率；加強生物識別信息管理以及IPv6環(huán)境下網絡安全管理等。