赛尔网络有限公司河南分公司安全工程师仝志浩
随着信息化的快速发展,高校各种业务系统的信息化在给师生带来便利的同时,也带来了更多的网络安全隐患。对此,大部分学校已成立专门的网络安全工作小组,以及时处理各种渠道汇总过来的问题,并在工作中形成了一整套方案流程,能够做到及时响应。相较于原始混乱的漏洞处置,甚至是已经出现问题后迟迟不能响应,我们确实取得了极大的进步。但在信息化安全工作中,仅仅做到应急响应就足以支撑起快速的信息化建设了么?
出了问题的业务系统,关停后是否还要重新启用?
如果不启用,前期投入打了水漂;如果启用,是否还有其他潜在风险?
其他业务系统会不会仍有类似问题?
业务系统关停期间带来的影响能否接受?
学校相应工作又会停滞多久?
……
面对这些问题仅仅做到“应急”是完全不够的。赛尔网络在对高校网络安全服务的过程中发现,信息化安全工作需要的不仅仅是及时应急,更需要一个完整的体系,它可以覆盖到每一个信息资产的全生命周期。从一个信息资产上架到使用到废弃,期间所出现的一切问题,这套体系都能提供具体的处置方式,尽可能降低甚至避免漏洞导致“事件”,使其仅停留在“风险”层面。
习近平总书记指出,“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战”,并点明“网络安全的本质在对抗”。而对抗的本质在漏洞利用,解决漏洞的落地措施是漏洞管理。这便是我们这套体系的核心。
安全事件因漏洞而造成,如果我们可以在黑客利用漏洞发起攻击之前修复了漏洞,那么便能极大提升我们系统的安全等级,发挥出我们安全部门的真正作用。相反,如果对出现的漏洞没有及时做好应对措施,危险一定会以飞快的速度在互联网上爆发并导致大规模利用,因为这个网络空间中无时无刻不充斥着混乱的攻击。
例如,年的WannaCry病*事件,从原始漏洞披露出来,到互联网上出现大规模的后门安装只用了不到一周,到最终WannaCry这个兼勒索、蠕虫于一体的完备病*在国际互联网上流行起来,也只用了不到一个月。类似漏洞的爆发,不仅可能会给高校师生带来学习生活上的麻烦和潜在的资金损失,还会损害到高校的名誉,甚至违反相关法律法规。
目前实行的等保2.0中,安全运维管理部分新增了(相对等保1.0)配置管理、漏洞和风险管理控制点,要求企事业单位重视漏洞和补丁管理安全,做好配置管理工作,及时更新基本配置信息库,定期开展安全测评工作,提升积极主动防护的能力。年6月发布的《网络安全漏洞管理规定(征求意见稿)》,要求相关组织或个人在获知网络产品或系统漏洞后,立即验证漏洞。“对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施”。
社会上很多企业也对关键等级高的资产在上线前和重要变更时进行渗透测试有要求,并定期进行漏洞扫描,以发现新暴露的漏洞。除却主动检测之外,也成立了安全应急响应中心SecurityResponseCenter(SRC),通过物质激励促使白帽子主动挖掘披露漏洞从而模拟外部世界的真实攻击情况来提升产品服务的安全等级。
上海交通大学的教育行业漏洞通报平台