高校校園網絡安全管理問題及對策研究

◆楊俊斌 梁 紅

（1.山西警察學院 山西 030021; 2.中北大學 山西 030000）

高校校園網絡安全管理問題及對策研究

◆楊俊斌1梁 紅2

（1.山西警察學院 山西 030021; 2.中北大學 山西 030000）

當今互聯網技術的不斷發展，極大地推動著高校信息化建設。校園網在信息化建設中占據重要位置。在學校的日常教學辦公也都離不開校園網。但是校園網絡就像一把雙刃劍一樣也帶來嚴重的安全威脅，校園網絡安全問題也日益成為高校信息化建設中焦點問題，制約著高校信息化建設。本文首先提出校園網絡安全的重要性，然后分析了當前校園網絡安全的現狀，找到了網絡安全管理上存在的問題，最后提出了幾點針對高校網絡安全管理方面的建議。

高校校園網；網絡安全；管理

0 前言

隨著互聯網的不斷發展，很多高等院校的都開始了自己的校園信息化建設，極大地提高了學校日常教學辦公的效率，使得學校的各種資源得到了很大程度的利用[1]。然而，校園網絡也存在著來嚴重的安全隱患。最近的發生的一些安全事故，造成了嚴重的社會危害， 給高校的網絡安全管理敲響了警鐘。所以，如何建設、管理和維護好一個安全可靠的校園網絡，已經成為當前各高校信息化建設中的一個棘手的問題[2]。

1 背景

去年的發生的徐玉玉事件和今年的爆發的勒索病毒事件，造成了極大的危害，直接將校園網絡安全問題推到了社會公眾面前。習近平總書記在2016年網絡安全和信息化工作座談會上的講話中提出網絡安全和信息化二者同等重要，要同步推進。《中華人民共和國網絡安全法》也于今年6月1號正式實施，條文中明確規定了網絡運營者應具有的權利和承擔相應的義務[3]2016年11月7日，教育部網絡安全和信息化領導小組召開第一次全體會議，會上明確提出將安全放在發展的前面。

2 校園網網絡信息安全現狀

校園網已經成為高等院校信息化建設中不可或缺的重要組成部分，顛覆了傳統的教學辦公模式，大大提高了高校的教學辦公效率。但是高校校園網絡的應用現狀卻不容樂觀，受到的攻擊千變萬化，幾乎所有的高校網絡都受到了不同程度的入侵[4]。

近幾年網絡入侵大致上可以分為顯形的入侵和隱形的入侵兩大類。

2.1 顯形的入侵

這種入侵造成的危害直接就能看得到，非常容易察覺。就入侵方式而言，有以下幾種：

（1）篡改網頁

篡改網頁是目前高校校園網遭受到的最常見的攻擊，也是最引人注意的。這種方式通常將學校關鍵宣傳頁面內容篡改為反動反社會信息，政治影響極壞，非常容易引起領導的重視。如2017年7月19日夜，江蘇某高等職業院校迎新管理系統網頁遭篡改。

（2）掛馬

掛馬就是攻擊者通過各種攻擊手段，網站管理員口令和密碼，然后登錄后臺系統向網站頁面加入惡意的鏈接。當訪問者訪問網站是就會被自動轉向惡意的網站或者誘導下載病毒木馬等。因為高校的網絡的訪問量比較高，網站的權重也高，而且高校的網絡安全防護相對較弱，所以攻擊者經常會選擇在高校網站上掛馬，以謀取不正當利益。

（3）暗鏈

暗鏈顧名思義就是看不見的網站鏈接，攻擊者經常在高校網站中做大量的非常隱蔽且短時間不容易被搜索引擎發現的鏈接，這些鏈接通常是指向賭博、色情網站，以提高其網站的 SEO排名，誤導瀏覽者點擊。

（4）網站后門

網站后門是開發者為了方變修改程序的bug故意在程序開發初期而設置的，后門程序通常可以繞開網站安全性控制而獲得系統的控制權。目前幾乎所有的高校網站都留有后門。攻擊者一旦獲得這些后門信息，如同拿到了通往網站控制的密道鑰匙，前臺做的各種防御措施顯得無能為力。

2.2 隱形的攻擊

除了上述能看見的攻擊，現在隱形的攻擊危害也日益突出。私密信息遭到泄露但是管理人員卻完全沒有發現，用戶信息一旦流入到壞人手里，后果不堪設想。目前常見的隱形的網絡攻擊有以下幾種：

（1）信息泄露：在互聯網+時代，人們在注冊使用網銀、社交、網購、支付平臺的時候，通常要提供個人真實信息。但是各個平臺對于這些信息的監管水平是參差不齊的。

（2）用戶信息竊取

用戶個人信息除了企業內部人員造成的信息泄露，還存在外部的攻擊，導致用戶信息遭竊取。例如山東徐玉玉案中，攻擊者入侵了“山東省2016高考網上報名信息系統”，并在網站植入木馬病毒，獲取了網站后臺登錄權限，盜取了大量考生報名信息，并將這些用戶信息賣給了電信詐騙犯。

（3）APT 攻擊威脅

APT是近年來出現的一種高級的攻擊威脅，APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集，然后利用先進的攻擊手段進行長期持續的攻擊[5]。隨著社交工程攻擊手段的不斷豐富，黑客經常會給高校內部職工發送釣魚郵件來實施APT攻擊。

3 校園網安全管理存在的問題

校園網絡安全不僅僅是技術上有漏洞，更重要的是管理上存在問題。校園網安全管理出現問題的原因具體歸納為以下幾個方面。

3.1 領導缺乏重視

在實際校園網建設的過程中，高校領導往往只注重校園網絡的實用性和便捷性，而對校園網絡安全問題并不重視，大部分高校都沒有建立一套完整的校園網絡安全管理制度。在網絡出現安全問題時，往往沒有制度保障，無章可循。

3.2 責任沒有落實到人

校園網安全建設職責沒有落實到個人，問題出現時建設方和管理方都不愿意承擔責任，互相扯皮、“甩鍋”。

3.3 教職工安全意識差

由于校園相關管理人員（教職工、和學生）缺乏強有力的網絡安全防范意識，認為網絡安全防范與自己無關，應該是網絡中心的事情，這也導致校園網網絡安全存諸多隱患。在校園網網絡建設過程中，網絡構建的工作人員將注意點放到網絡的高效性方面，而在一定程度上忽視了網絡系統的安全性。

3.4 專業技術缺乏

負責高校校園網絡安全管理的工作人員，大部分是非專業出身，缺乏網絡安全管理的技術和應對突發網絡安全事故的經驗，不具備專業管理技能。而高校的薪資待遇低和職務升遷渺茫是吸引不到高級的網絡安全管理人才的一個重要原因。

4 校園網安全管理建設建議

針對于校園網安全管理出現問題的原因，提出以下幾點建議。

4.1 領導重視

學校領導應該從行政要求，法律義務層面來重視安全問題。可以成立網絡安全管理與信息化建設工作領導小組，讓校領導擔任小組組長，各職能部門和系部的一把手做組員都參與到校園網安全建設的工作中來。只有領導重視了，才能投入更多人力、物力和財力去進行網絡安全管理建設。

4.2 完善規章制度，責任落實到人

除了國家頒布的網絡安全法外，各高校應根據自身的情況建立相應的責任落實到個人的高校網絡安全管理機構，設置嚴格的校園網絡安全管理制度和法規，將責任具體到個人；嚴格網站備案、漏洞管理和安全事件的應急處置，制定網絡建設管理的獎懲制度。

4.3 提高教職工安全意識

高校應加強對教職工的網絡安全培訓和網絡道德法制教育，加強“校園網絡安全，人人有責”的意識，通過校園廣播、大型講座、宣傳手冊、公告欄或信息安全競賽等各種途經來使其掌握一定的網絡安全知識和技能，以便在以后的工作和生活中能正確安全的使用網絡，并自覺地對學校的網絡安全管理工作進行監督。

4.4 專人專管

必須有專職負責學校網絡信息安全的崗位及人員，在不同的崗位上各負其責。當前高校缺乏相應的網絡安全管理人才，可以利用學校相關專業技術的優勢，吸納信息安全專業的老師來做兼職管理、培養對安全有興趣的勤工助學的學生等，或者花重金引進安全意識好、安全技能高的人才，建立專業的技術團隊。也可適當的讓外部公司的專業技術團隊進駐學校來進行相應的支持和服務，或定期派出網絡安全管理人員出去參加網絡安全培訓。

5 總結

雖然當前的網絡安全防范技術已足夠先進，但層出不窮的網絡安全事件時刻提醒我們要做的還很多。對待網絡安全問題應遵循“管理為主、技術為輔”的原則，建立一個網絡安全動態防控體系。各高校應搭乘等級保護評測的順風車，建立一套成熟的網絡安全應急處理機制。業務建設方應把安全作為校園網建設的基本需求，貫穿到整個信息系統的生命周期中。只要大家共同努力，使用合理的網絡管理措施，就一定能構建一個安全和諧的網絡通道。

[1]李小志．高校校園網絡安全分析及解決方案[J]．現代教育技術，2008．

[2]覃國銳．高校校園網絡安全管理存在的問題及對策[J]．柳州師專學報，2009．

[3]佚名．中華人民共和國網絡安全法[J]．新疆農墾科技，2017．

[4]張惠平．淺談高校校園網絡安全分析及防護策略[J]．中國公共安全：學術版，2008．

[5]徐豪．高校網絡安全管理問題與對策研究[J]．數字技術與應用，2016．

學科建設：山西省“1331工程”重點學科建設計劃經費資助（英文縮寫為“1331KSC”）。

項目：2017年山西警察學院青年課題“基于大數據的社會安全管控及預防（輿情方向）應用研究”（2017yqn011）。