3 高校信息安全工作探的索-同济大学.pdf

高校信息安全工作探索 同济大学信息化办公室 2016年11月  信息安全主要教训和问题  信息安全管理制度和管理体系  信息安全工作机制  信息安全综合防范系统建设 信息安全主要教训和问题 高校典型安全威胁、攻击类型 典型案例 高危漏洞 黑链、后门 网页篡改 上级管理部门安全通报 2014 2015 2016 教育部科技司 4 上海市网安总队 2 上海市互联网应急中心 4 2 1 上海市文保分局 1 1 事发时间：2015年12月24日20:24分 接警时间：2015年12月24日20:44分 ，我校某学院下属本科生专业 课程网站首页图片被境外的“反共 黑客“篡改。 • 主要教训和问题 ： • 未明确和落实责任人 • 无明确和专业的管理团队，任务和职责不到位（学 生） • 系统没有及时进行升级和补丁（Struts2 ） • 没有一定的安全防护设备 梳理现状 • 责任主体和管理制度： • 责任主体有待明确和落实 • 制度不规范不完善 （管理制度、工作流程、应急预案 等） • 服务器设立门槛较低、审核不严（时效、必要、管理 队伍） • 管理和技术措施： • 不设防的 “靶子”太多： • 独立和分散的服务器。截至 2016/9/13 ，学校信息 系统（网站）859 ，独立分散网站315 （36% ）。 • 篱笆没有扎紧： • 开设网站的区域没有限制； • 没有内外有别； • 开放端口比较随意； • 行为管理（管理运维人员、外单位运维开发人员）； • 系统漏洞、代码质量 • 安全意识和专业队伍： • 安全知识缺乏、安全意识淡薄，缺少起码的管理和维 护人员。 信息安全管理制度和管理体系建设 目标和原则： 责任到位、堵疏结合、宽严相济、安全和谐。 •2016年5月16日发布： 《同济大学信息安全管理条例（试行） 附件： 《同济大学信息系统安全责任书》 《同济大学信息系统网络信息安全配置基线》 明确和落实信息安全管理责任主体和任务 ： “谁主管谁负责，谁运维谁负责，谁使用谁负责”； 处理好使用与责任的关系，要把管理主体的责任落下去， 形成“建、管、用”责任的统一。 摘自“教育部网络安全和信息化领导小组第一次会议纪要” • 信息办：网络和信息安全工作的管理和落实 • 网络中心 ：网络与信息安全防护体系的建设与运维，为各 单位提供技术支持和服务。 • 各院系、职能部处和直属单位 ： • 本单位网络与信息安全工作的责任主体，各单位负责人 是本单位第一责任人； • 分管副职全面负责本部门的网络信息安全工作（审批）； • 指定专人为单位信息安全员，负责管理和协调本部门的 具体网络信息安全业务（管理）。 • 申请设立服务器的单位和个人（分管和申请人）需签订 《同济大学信息系统安全责任书》 ，明确各方职责。 信息系统的准入、申请、审核和管理 服务器（信息系统或网站）和域名的准入： • 学校域名服务器将只向校内服务器提供服务： （域名） 11 （校园网地址） （域名） 11 （非校园网地址） • 校园网内信息系统的服务器将只能使用学校的域名： （域名） 11 （IP地址） • 学校具有管理职能的部门和单位的信息系统都必须建设在校园网 内：