高校信息安全風險評估意識整體薄弱

文/高寧

高校信息安全風險評估意識整體薄弱

文/高寧

2014年和2016年，在教育部科技發展中心組織的“高等教育信息化發展狀況調研活動”中，兩次均參與的96所高校調查數據分析結果顯示，

2014 年和 2016 年，教育部科技發展中心面對全國高校信息化現狀進行調研， 兩次均參與 96 所高校，涵蓋七大地區，涉及 985/211 高校、一般本科院校、高職高專院校三大類別學校。本文從高校網絡與信息安全機制體制建設，高校網絡與信息安全管理以及高校網絡與信息安全隊伍建設三方面進行分析與對比，探究高校網絡與信息安全建設存在的問題，引領高校信息安全今后的發展方向。

高校網絡與信息安全機制體制建設

信息安全建設是一個整體組織協調的過程，涉及責任部門設置、各部門間統籌協調、安全問題解決機制、信息安全預防措施、信息安全評估測試等一系列環節。高校應該注重信息安全頂層設計，制定信息安全相關政策與制度；確立信息安全負責部門，責任到人；加強各部門間統籌協調，高效、有序解決突擊問題；完善預測評估機制，做到防患于未然。

1. CIO 機制與管理模式尚未確立

從圖1中可以看出，絕大多數高校大多由校長、副校長以及網絡部門負責人分管學校信息安全管理，絕大多數高校并未形成 CIO 職能與管理模式。兩次調研中發現，在 96 所高校中由 CIO 負責信息安全管理工作的不到 10人，網絡工程師負責信息安全的僅占2人。由此看出，建立網絡安全責任制，設立相應的辦事機構，做到責任到人已勢在必行。

圖1 高校負責信息安全的最高職位統計 ( 單位：所）

2.信息安全管理制度初見成效

從圖2中可以看出，兩年對比中，96所高校在安全管理制定方面有所提升，2016 年已經有 50 所高校制定并實施信息系統的數據安全管理制度，比 2015 年增加了不到十個百分點，接近三分之一的高校處于正在規劃并逐步實施的階段，暫無這方面規劃的在 2016 年調研中有0所學校，這充分體現了信息安全管理已經上升到制度層面。雖然高校網絡與信息安全意識有所提升，但是信息安全管理工作以及高校關于信息安全的制度建設并沒有落實，信息安全機構設置、人員配備、制度建設、技術支撐以及預防工作等始終是高校信息安全建設的重要環節。

圖2 信息系統的數據安全管理制度制定情況對比 ( 單位：所）

3.高校信息安全相關政策制定

信息安全政策與制度對于高校的信息安全發展提供了規范以及約束，但是目前我國高校在信息安全政策建設方面相對薄弱。從圖3可以看出，調研高校的信息安全政策多集中于要求所有關鍵系統都要及時打補丁做軟件升級，有能力對違反學校規定、影響網絡服務的設備所在區域進行斷網方面，從兩年數據對比發現高校在主動對關鍵系統掃描已知安全漏洞的重視程度有了很大提升，但是還有很多盲區需要進一步落實，如 DNSSEC 部署；在簽訂宿主服務之前都要做安全評估；要求學校擁有的所有移動設備都要加密；主動對全校上網的個人計算機掃描已知漏洞等方面的工作還有欠缺，另外，2016 年調研中仍有 11 所高校尚未制定與安全保密相關的政策?？傮w來看，我國高校信息安全相關政策制定并不完善，還應加強重視。

圖3 高校信息安全建設采取哪些政策 ( 單位：所）

圖5 高校無線網絡身份認證對比（內環：2016 年，外環：2014 年）

安全管理控制技術措施的分析

信息技術的日新月異、更新迭代為高校信息化安全管理提供了技術保障。在兩次的調研中發現，總體上具有一定的吻合性與延續性。目前各高校采用的信息安全手段多集中于身份認證、防火墻、網絡實時監測三個方面。從圖4中我們也可以看到目前各高校對于信息安全都頗為重視，而且信息安全防護的手段也趨于多樣化，各項防護手段非常明確。在 2016 年的調研中可以發現，高校樂于接受新技術如漏洞掃描、備份容災、審計日記、授權訪問及各級準入控制等，并且各項信息安全管理技術的采用在之前基礎上都有所提升。

1.高校網絡身份認證技術

從圖5中可以看出，高校無線網絡身份認證已逐步普及，兩年的數據對比中發現 985/211 院校、高職高專院校以及一般本科院校在無線網絡身份認證方面都有很大提升，其中 985/211 院校、高職高專院校中實現無線網絡身份認證的已達到八成。

在 2014 年的調研中發現，身份認證技術采用情況極其不好，大部分身份認證技術均未采用，僅有不到三分之一的高校廣泛采用 PKI技術。不到 20% 的高校部分采用的身份認證技術分別是 PKI、電子簽名、生物特征識別（如圖6）。圖7顯示，智能卡技術已被采用的高校占到三分之一，近兩年內，高校計劃采用的技術為雙重認證、電子簽名和智能卡，從中得出了高校對身份認證技術的偏愛情況以及未來的發展趨勢。

圖4 高校在信息化安全管理方面總體工作對比 (單位：所）

圖7 身份認證技術采用情況（2016 年， 單位：所）

圖8 高校網絡訪問的用戶認證方式（單位：所）

2.用戶認證方式

從圖8可以看出，96所高校均對無線網絡有著較強的管理意識，大多數高校訪問其無線網絡都需要用戶進行認證，有七成以上的學校全校范圍內的無線網訪問需要用戶認證，并且超過一半的學校在用戶接入時就需要用戶認證（包括有線、無線），但是從兩年的對比中發現，2016 年高校對用戶認證的重視相比 2014 年有所下降。

3.網絡管理產品采用情況

從圖9中可以看出，目前流量管理和上網認證系統成為了高校進行網絡管理的主流產品，在此基礎上各高校選擇網絡管理產品也呈現多樣化的特點，對于IDS/IPS、網絡監控、智能 DNS 都有著一定比例的使用。采用智能 DNS 以及 CIDS/IPS 的高校雖然與 2014 年相比有了提高但是總量還是很少，僅占不到總體的三分之一，這說明高校網絡管理產品更新迭代步伐緩慢。

4. 安全方案采用情況

圖9 高校網絡管理產品采用情況對比

圖10 高校在各數據區域采用的安全方案（2014， 單位：所）

圖11 高校在各數據區域采用的安全方案（2016， 單位：所）

隨著云計算、大數據、機器學習等技術的風起云涌，各高校通過自建、運營商全權負責以及與運營商共建等方式已建立數據管理平臺，但是大部分高校存在“重建設、輕維護”現象明顯。從兩年的調查數據中顯示，高校采用的安全方案更加多樣化，防火墻、IPS、ACL 已被廣泛采用，而 UTM、DLP、NAC 被采用的比例較低，2014 年調研中發現 96 所高校中有 0 所采用 DLP（如圖10）；從圖11 可以看出，防火墻、IPS、ACL 雖然所占比例較高，但是相比2014年有下降的趨勢，而UTM、DLP、NAC有所上升，高校在各數據區域采取的安全方案呈多樣化發展趨勢。

5.信息安全風險評估工作

圖12 高校信息安全風險評估工作對比（單位：所）

信息安全風險評估是信息安全有效預防方式之一，從兩年的調研數據可以看出，高校對信息安全風險評估的重視程度有了很大提升。從圖12 中看出，在 2016年的調查中，已有 49所高校對核心管理系統和數據有相應的評估，僅有三成左右高校對中央 IT 系統和架構、科研系統和數據以及教學系統和數據三方面接受過信息安全風險評估，另外仍有兩成左右高校還沒有做過這方面的風險評估，由此可以看出，高校信息安全風險評估意識整體薄弱，亟待提升。

信息安全隊伍建設現況與改善

高素質信息安全隊伍是信息安全建設的智力支撐，建設一支技術精湛、富有創新的高精端信息安全人才隊伍是高校網絡與信息安全建設體系的重中之重。高校在信息安全人才培養中應堅持引進、培養、管理相結合的建設方式，在培養過程中不斷提高整體的信息安全意識，增強信息安全相關技術了解與應用，逐步形成良性的發展模式。

1.高校網絡與信息安全意識有待提升

從圖13 得知，96 所高校中超過一半的安全評測認證等級是二級， 2014 年有 65.17% 的高校尚未進行信息安全評測，在 2016 年信息安全評測的比例有所下降，從兩年的數據對比來看，2016 年高校信息安全認證工作有了很大提升，高校網絡與信息安全意識有所改善，但是總體上看，各高校對信息安全測評意識還是相對單薄，加強高校師生的信息安全風險意識不可懈怠。

圖13 高校信息安全測評或認證等級對比

2.高校信息安全工作人員培養不到位

高校信息安全人才隊伍建設不僅要在人才引進環節進行嚴格把控，更要注重信息安全隊伍的培養工作。從圖14中可以看出，高校要求信息安全工作人員必須參加相關培訓并獲得證書的比例在 2016 年有所下降，而要求其參加關鍵培訓但不要求證書的比例達到52.08%，從中可以看出，高校對信息安全工作人員的培養重視程度較低，這也造成了培訓流于形式的現象嚴重。

討論與建議

1. 繼續增強高校信息安全意識

圖14 信息安全工作人員資質對比

隨著云計算、數據挖掘、機器學習等技術與教育的融合，高校信息化進程的不斷推進，高校領導以及管理部門應該矢志不渝地高度重視信息網絡與安全問題，把網絡安全提升到關系學校一流大學建設戰略高度上來把握、布置工作，加強統籌規劃，抓好各項制度和措施的落實；將學校網絡與信息安全責任落實到各個部門，形成責任到人、即時補救機制；技術部門加強學校網絡與信息安全監控、治理、防患工作相統一，主動檢測系統漏洞，及時補救。最后，加強高校師生信息安全風險意識也是始終不容忽視的問題。

2.加強信息安全制度建設與頂層設計

從總體上看，目前高校在信息安全建設方面責任不明確，缺乏統籌與頂層設計。在今后的信息安全建設中，不斷完善信息安全制度，設立信息安全專門機構以及專業負責人，做到責任到人。加強各部門之間的溝通與協調，加快解決問題的步伐，此外高校應注重信息安全的預測與評估機制的建設，加強對信息網站的備案與監管，信息安全負責人定期進行安全評估，及時修補系統及網站中存在的漏洞。

3.加強信息安全人才隊伍建設

高校信息安全人才隊伍建設是高校網絡與信息安全建設體系的重中之重，高校在信息安全人才培養中應堅持引進、培養、管理相結合的建設方式，加強安全技術人員的培訓管理工作，組建一支技術精湛、富有創新的高精端信息安全人才隊伍，為高校信息安全建設提供智力保障。

4.加強校級、社會、國際之間的交流與協作

開放、共享、互惠、共贏已經成為信息化時代的標簽，高校在今后的信息安全建設中切忌閉門造車，應該不斷地加強校際、社會、國際之間的交流與協作，加強技術、資源、經驗等的共享，共同維護信息網絡安全。通過組織高校信息安全聯盟建設信息安全統一防護線，推動高校信息安全管理。

（作者單位為北京理工大學網絡教育學院）