大數據時代高校信息化安全建設研究

朱圣才

摘要：高校信息化建設歷經校園網、數字校園、智慧校園三個階段的發展，在信息化建設道路上取得了一定成果。高校信息化建設安全問題也隨之越來越復雜，特別是隨著大數據時代的到來，高校信息化安全建設問題更加突出，文章從高校信息化安全現狀出發，對高校信息化安全問題、安全建議進行分析研究，旨在對大數據時代高校信息化安全進行闡述，進而為高校信息化建設提供參考，保障高校網絡安全與信息化建設同步落實。

關鍵詞：大數據；網絡信息安全；高校信息化安全

中圖分類號：TP302 文獻標識碼：A 文章編號：1009-3044（2017）36-0051-02

2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上發表講話，指出“網絡安全和信息化是相輔相成的”，“安全是發展的前提，發展是安全的保障，安全和發展要同步推進”，“各方面齊抓共管，切實維護網絡安全”。同年11月7日，第十二屆人大常委會第二十四次會議通過《中華人民共和國網絡安全法》。

2017年6月1日，《網絡安全法》正式實施，標志著我國第一部規范網絡空間安全管理方面的基礎性法律正是落到生根，是我國網絡空間法治建設的重要里程碑，是依法治國、化解網絡風險的重要法律武器，同時也為網絡安全工作提出了更高、更廣的要求。

高校信息化同樣需要處理好安全和發展的關系，落實網絡安全和信息化是相輔相成，需要安全和發展同步推進，在高校信息化建設的同時部署信息化安全工作。

1 高校信息化安全現狀

1.1 信息化安全投入有限、重視程度不夠

高校信息化已經成為高校發展建設的重要組成部分，是評價一所高校的重要指標之一，高校信息化經歷了一個高速的發展時期，在基礎設施建設和人才隊伍建設等方面已經取得了一定成果，深刻改變著教學、管理、科研等傳統活動。高校信息化經歷了校園網建設、數字校園建設和智慧校園建設三個基本階段，從整個高校信息化建設歷程可以看出，高校信息化建設基本都是在圍繞功能運轉，高校信息化安全工作在高校整個信息化建設中投入相對較低，并且高校信息化建設基本都是圍繞應用系統安全開展，例如，防火墻、WAF、IPS、IDS等等。

高校信息化作為學校的一項基礎性工作，已經在一定程度上得到了高校領導的重視，然而，高校網絡信息安全工作是在黨的十八大以后，逐步發展提到了一個新高度，從中央到地方，從地方到行業，需要一個過程，并且高校網絡與信息安全工作的發展取決于高校領導對網絡與信息安全工作的認知度與重視度。

1.2 個人信息泄露比較嚴重、隱私得不到保障

《網絡安全法》明確：個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

大數據時代產生的各類數據包含了大量的個人隱私，高校是教師和學生的信息集中地，極易造成個人信息泄露，影響比較惡劣。不法分子可以利用網絡技術手段和系統已知漏洞對學生個人信息進行攻擊，獲取學生個人信息，然后進行倒賣，對學生和學生家長進行詐騙，嚴重危害學生的個人利益；不法分子還可以通過社會工程學梳理學生個人信息進行一定程度的攻擊。

高校個人信息泄露的案例非常之多，通過搜索關鍵詞可以拿到很多學生的敏感信息，最為常見是那種以Excel表格和Word文檔的形式，在學校網站上可以任意下載，涉及數量之大、包含信息之多、危害程度之重都是巨大的。

1.3 數據審計不完善、安全事件無法追溯

數據安全中涉及的數據具有易復制的特性，所有針對數據的安全事件發生后，無法進行有效的追溯和審計。目前多數高?；径际遣捎帽４嫒罩?0天的方式進行審計，沒有進行深度內容分析和事務安全關聯分析來識別、監視和保護靜止的數據、移動的數據以及使用中的數據，沒有完善的事前、事中、事后保護機制，特別是敏感數據保護機制，無法實現數據的合規使用，保障數據資產的可控、可信、可用。

2 高校信息化安全問題

2.1 系統陳舊、運維不夠

高校的信息化建設過程經過20余年的建設與發展，使得大量的信息系統沉淀在校園網內帶病運行。造成這種現狀的原因是早期開發的各類信息系統過于陳舊，明文傳輸、明文存儲較為普遍，并且系統漏洞較多，加之無人運維，常見的SQL注入漏洞、文件上傳漏洞、弱口令、第三方中間件漏洞等，這些安全漏洞均會造成服務器權限被獲取，數據庫被脫等網絡與信息安全事件，危害非常之大。從目前教育部、教委等教育主管部門的漏洞通報來看，多數安全漏洞及安全事件都發生在老舊系統之中。

由于信息系統過于陳舊，這類信息系統多數由當時校內學生開發，或者外包給校外集成商開發。當時的校內學生已經畢業離開學校，校外集成商由于沒有及時簽署相應的運維合同，久而久之，系統的開發團隊也無法追溯，使得這類信息系統的運維遠遠跟不上現有技術的發展。

2.2 信息系統數量龐大、信息安全人員不足

根據各高校域名梳理發現，高校對外提供服務的域名少則幾百個，多則上千個，系統數量之龐大是校內信息化管理人員都沒有預估到的，盡管各高校采取各類手段對校內信息系統進行管理，但是數量龐大的信息系統給校內運維帶來了一定程度的困難。

在有限的高校信息化團隊建設過程中，信息安全團隊建設在信息化隊伍中的人數為數不多，還有很多高校信息安全團隊是由原來的信息化團隊中抽取出來，處理信息安全工作，人員數量和專業性都有待進一步提高。

2.3 校內制度規范不健全、安全工作開展依據不足

高校信息化建設過程中，“重功能輕規范”的思想比較普遍，在信息化高速發展的過程中，信息化建設審批流程簡單，同時，以信息化建設服務教學、科研為目的，信息化建設過程中沒有形成完善的制度、規范，主觀意愿較強，導致校內制度規范不健全，網絡安全工作開展依據不足。

部分人員對于安全漏洞的危害性認識得不夠，存在漏洞修復配合不及時、對管控措施（如臨時關停外網訪問）不理解等情況，由于沒有官方的文件支撐，對網絡安全工作的落實執行存在一定程度的影響。

2.4 二級單位安全意識不高，安全人員技術力量薄弱

各高校二級單位網絡安全意識不高，“重建設輕維護”的思想比較普遍。一些信息系統只有管理（使用）人員，而沒有配備相應的運維人員，難以及時處置安全漏洞。另外，由于二級單位多數沒有配備專業的安全技術人員，或安全技術人員的技術力量有限，導致有部分信息系統整體安全情況堪憂，同一網站曾多次接到漏洞通報，在漏洞整改方面存在“頭痛醫頭腳痛醫腳”的情況。

3 高校信息化發展的一點安全建議

3.1 加強關鍵信息基礎設施安全防護

《網絡安全法》中明確提出了關鍵信息基礎設施的運行安全，高校涉及的關鍵信息基礎設施主要為門戶網站和一些數據量超大的重要信息系統，因此要盡快建立關鍵信息基礎設施網絡安全監測預警體系和信息通報制度，保障校園關鍵信息基礎設施安全。

3.2 建立信息系統備案審核機制

（1） 完善信息系統備案機制：對于高校范圍內新建信息系統，由基層黨委（黨組）部門提出申請，宣傳部門與信息化部門負責審核。明確信息系統的主管單位、負責人、管理員、運維人員以及開發語言、系統架構、域名、端口等信息。

建立校內信息系統定期審核備案（如年審）制度。定期對各部門的信息系統進行清查，對信息發生過變更的信息系統及時更新備案；對不再使用的及時報備，并落實關停；對未通過審核備案的，予以關停或限制訪問。

（2） 加強新建信息系統上線前的安全審查：明確新建的校內重要信息系統（校級系統、包含重要數據的系統）必須通過第三方安全測評機構測評和專家論證后方可上線運行；一般信息系統必須通過信息化安全部門安全檢測后方可上線運行。

（3） 借助信息化手段完善信息系統備案流程：建設校內信息系統備案系統，通過完善的申請、審批、管理工作流，為信息系統的申請、建設、上線、運行、乃至服務使命結束等環節提供支撐，保障信息系統建設過程的可追溯性，使運維工作更加規范、可控。

（4） 建立網站群平臺，加大網站群平臺的推廣與應用：網站群平臺進一步豐富網站群平臺及站群模板，并加以推廣。推動二級單位網站的集中建設、運維與管理，提高系統安全性與可維護性。

3.3 建立數據安全防泄露機制

（1） 建立嚴格的信息發布審核機制：對高校來講，多數數據泄露是信息發布造成的個人數據泄露，因此建立嚴格的信息發布審核機制是關鍵，對信息發布內容進行嚴格的流程控制，確保正常發布的信息不涉及數據泄露，尤其是文件類型的數據泄露。

（2） 使用安全有效的數據加密技術：安全有效的數據加密技術是數據安全的關鍵，同時也是應對黑客攻擊數據的重要手段，無論是傳統的數據安全還是大數據時代的數據安全，數據加密技術都是保證數據安全的一把利劍，它可以做到網絡信息安全建設目的中“看不懂”。

（3） 建立及時有效的應急響應機制：無論安全做到什么程度，都無法保障絕對的安全，網絡安全是整體的而不是割裂的、是動態的而不是靜態的、是開放的而不是封閉的、是相對的而不是絕對的、是共有的而不是孤立的，建立及時有效的應急響應機制，才能夠在安全事件（事故）發生后第一時間對安全事件進行處理、修復等相關工作，能夠最小化程度減小安全事件（事故）、數據泄露等造成的危害。

（4） 落實數據信息資產化：數據資產化是將所有數據作為一種資產，對于一個單位來講，或者說是一種國有資產，我們這樣理解對于領導者來數據保護會更加有說服力，數據泄露就是國有資產的一種流失。

4 結束語

高校信息化安全建設是高校信息化建設的重要組成部分，是高校信息化體系中不可缺失的一員，也是落實中央網絡安全和信息化是一體之兩翼、驅動之雙輪的必要手段，高校在信息化建設過程中務必堅持安全與發展同步規劃、同步運行、同步實施。

參考文獻：

[1] 李春蘭，周增國，龐有軍，高校信息化建設進程中的問題與對策分析[J]，中國教育信息化，2010（17）.

[2] 冉德玲，高校信息化建設初探[J]，電腦知識與技術，2014（24）.

[3] 程序，大數據時代下高校網絡安全探析[J]，科技經濟導刊，2017（21）.

[4] 張曉燕，大數據時代高校數據安全探析[J]，教育，2016（7）.