陳宓宓

江蘇省高校信息化建設(shè)先進(jìn)單位、中國教育科研網(wǎng)優(yōu)秀會員單位、鎮(zhèn)江市信息安全等級保護(hù)先進(jìn)集體……這是江蘇科技大學(xué)近年來在落實(shí)網(wǎng)信安全立體化管理模式中曬出的成績單。

近年來， 江蘇科技大學(xué)以貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》及學(xué)校有關(guān)網(wǎng)絡(luò)和信息安全相關(guān)制度為主線，以開展校園網(wǎng)、信息系統(tǒng)和網(wǎng)站安全檢查為基礎(chǔ)，以強(qiáng)化網(wǎng)絡(luò)和信息安全教育培訓(xùn)為抓手，緊緊圍繞網(wǎng)信安全怎么創(chuàng)新、怎么做實(shí)、怎么干好三個方面， 通過調(diào)整組織架構(gòu)、改進(jìn)工作方式、創(chuàng)新聯(lián)動機(jī)制， 全力打造“制度先行、定期排查、定時掃描、承諾保障、及時整改”的立體化管理模式在實(shí)踐中收到了良好的效果。

一、實(shí)施CIO制度，強(qiáng)化網(wǎng)絡(luò)安全責(zé)任

2017年4月，江蘇科技大學(xué)成立了以校黨委書記和正校長為組長、分管信息化和輿情的副校長為副組長的網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組；同年9月，頒布《江蘇科技大學(xué)首席信息官制度》，確定二級部門信息主管和干事；構(gòu)架以“網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”為決策層、“網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室”為協(xié)調(diào)層、各部門信息主管（干事）為執(zhí)行層的三層隊伍體系。加強(qiáng)二級部門對網(wǎng)絡(luò)信息安全的重視和自查自糾，簽署《安全承諾書》。督促二級部門參照《江蘇科技大學(xué)信息安全應(yīng)急預(yù)案》，組織制定本部門應(yīng)急預(yù)案，提高應(yīng)急處置能力，確保業(yè)務(wù)部門信息系統(tǒng)和網(wǎng)站的正常運(yùn)行和有效維護(hù)。

二、梳理網(wǎng)絡(luò)拓?fù)?，?yōu)化校園網(wǎng)絡(luò)結(jié)構(gòu)

優(yōu)化網(wǎng)絡(luò)設(shè)備的安全策略，強(qiáng)化網(wǎng)絡(luò)安全的軟硬件建設(shè)（核心交換機(jī)、出口防火墻、Web應(yīng)用防火墻、網(wǎng)管軟件等）。通過安全策略實(shí)現(xiàn)部分專網(wǎng)與校園網(wǎng)的隔離。關(guān)閉核心交換機(jī)上二級部門可接入服務(wù)器地址的端口，優(yōu)化WAF安全配置，優(yōu)化數(shù)據(jù)中心防火墻配置，通過購置備份、容災(zāi)設(shè)備，提高數(shù)據(jù)安全等級。合理部署入侵防御系統(tǒng)，進(jìn)一步提升應(yīng)用系統(tǒng)（網(wǎng)站）的安全級別。為解決現(xiàn)有校園網(wǎng)三層架構(gòu)網(wǎng)絡(luò)環(huán)境下，局域網(wǎng)內(nèi)存在ARP欺騙、用戶上網(wǎng)行為管理只能在出口認(rèn)證網(wǎng)關(guān)處進(jìn)行管理的不足，對校園網(wǎng)絡(luò)進(jìn)行了扁平化改造，實(shí)現(xiàn)了精細(xì)化網(wǎng)絡(luò)管理。

三、施行“白名單”制度，嚴(yán)控服務(wù)器訪問

嚴(yán)格控制公網(wǎng)至校園網(wǎng)的訪問入口、梳理并規(guī)范現(xiàn)有應(yīng)用系統(tǒng)的對外開放端口；加強(qiáng)信息系統(tǒng)（網(wǎng)站）域名和IP地址管理，清理非官方信息系統(tǒng)（網(wǎng)站），關(guān)斷各信息系統(tǒng)（網(wǎng)站）的外部訪問，僅開放有特殊需要的。頒布《信息系統(tǒng)（網(wǎng)站）安全管理辦法》等制度、對所有信息系統(tǒng)（網(wǎng)站）逐個排查、清理“僵尸”信息系統(tǒng)，對可能聯(lián)網(wǎng)的信息發(fā)布終端進(jìn)行了徹底排查，確保網(wǎng)絡(luò)和信息安全工作縱向到底、橫向到邊。

四、定期掃描網(wǎng)站，及時查堵安全漏洞

通過等保、云盾服務(wù)、日常掃描等手段，明確現(xiàn)有應(yīng)用系統(tǒng)存在的安全漏洞。對外開放訪問權(quán)限的重要應(yīng)用系統(tǒng)（網(wǎng)站）每月掃描一次，其他應(yīng)用系統(tǒng)（網(wǎng)站）每兩個月掃描一次。針對責(zé)任部門下發(fā)《網(wǎng)絡(luò)和信息安全隱患整改通知單》、限時完成高危漏洞的整改。利用“可視化管理軟件”加強(qiáng)網(wǎng)絡(luò)攻擊行為的監(jiān)控；運(yùn)用“運(yùn)維管理軟件”深化虛擬服務(wù)器、存儲等基礎(chǔ)硬件運(yùn)行狀態(tài)的監(jiān)控。

五、實(shí)施網(wǎng)絡(luò)安全報告制度，及時通報安全動態(tài)

發(fā)布《江蘇科技大學(xué)網(wǎng)絡(luò)與信息安全事件報告制度》《江蘇科技大學(xué)網(wǎng)絡(luò)與信息安全問題通報制》，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全問題的早發(fā)現(xiàn)、早處置。信息化中心會根據(jù)對網(wǎng)站、信息系統(tǒng)的常態(tài)化監(jiān)測，通過電話、短信、電子郵件和書面通知等方式，以季度報告、月度簡報、不定期通報等方式向網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組和各部門通報存在的漏洞、后門、暗鏈、弱口令等安全隱患，并負(fù)責(zé)跟蹤核查整改結(jié)果。

六、評估信息系統(tǒng)風(fēng)險，加強(qiáng)數(shù)據(jù)安全管理

信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一項工作。今年順利完成了數(shù)字化校園系統(tǒng)、云平臺信息系統(tǒng)、校園主頁及站群系統(tǒng)的二級等保測評，以及電子郵件系統(tǒng)的三級等保測評工作，獲得鎮(zhèn)江市網(wǎng)安支隊和同行的廣泛認(rèn)可。嚴(yán)格按照數(shù)據(jù)標(biāo)準(zhǔn)對各業(yè)務(wù)系統(tǒng)中不符合要求的數(shù)據(jù)進(jìn)行了清洗和轉(zhuǎn)換。對數(shù)據(jù)容災(zāi)、備份開展深入調(diào)研思考，探索進(jìn)一步加強(qiáng)數(shù)據(jù)層面安全管理的工作方向。

七、開展培訓(xùn)與教育，提高安全意識和技能

根據(jù)我校網(wǎng)絡(luò)和信息安全薄弱環(huán)節(jié)以及網(wǎng)絡(luò)和信息安全工作年度重點(diǎn)，制定針對不同對象的網(wǎng)絡(luò)和信息安全教育計劃，重點(diǎn)開展面向信息主管、信息干事和系統(tǒng)管理員的專題培訓(xùn)，切實(shí)提高廣大師生的網(wǎng)絡(luò)安全意識和防護(hù)能力。推行網(wǎng)信安全工作例會制和項目研討制。利用新生入學(xué)教育、新教師入職教育、網(wǎng)絡(luò)安全宣傳周、信息化建設(shè)與管理中心黨支部特色活動等契機(jī)，通過形勢政策課、講座、報告會等方式面向廣大師生開展網(wǎng)絡(luò)安全宣傳教育，提高網(wǎng)絡(luò)和信息安全意識和素養(yǎng)。以增強(qiáng)各部門網(wǎng)絡(luò)和信息安全責(zé)任和意識為目標(biāo)，以促進(jìn)信息化項目使用和信息資源共享為出發(fā)點(diǎn)，對二級部門網(wǎng)絡(luò)安全和信息化工作開展年度考核，通過評選先進(jìn)的方式進(jìn)一步激勵網(wǎng)絡(luò)和信息安全工作的實(shí)效。