高校網絡安全分析及風險防控

隨著國家對信息化產業的重視，信息化技術不斷升級創新，高校教育信息化也得到了大力發展。無論是學校的多媒體教學，科技信息查詢服務，還是無紙化辦公等，都能看到信息化技術的影子。高校網絡作為信息傳播的通道，不僅是學校信息化平臺建設的基礎，更是學校可持續科學發展的重要保障。

高校網絡安全現狀

信息化技術在高校普及的同時，也出現了許多問題，其中最突出的是網絡安全問題，比如拒絕服務攻擊、系統漏洞攻擊、網頁篡改等，對高校正常教學辦公，科學研究工作造成的影響和破壞難以估量。

在2017年6月1日，《中華人民共和國網絡安全法》正式實施，提出“保障網絡安全，維護網絡空間主權和國家安全、社會公共利益”，“建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性”。

因此，高校作為校園網絡建設、運營、提供服務的主體，必須承擔起應有的社會和法律責任，加強和保障網絡安全，促進校園網絡穩定運行。

高校校園網絡存在的安全風險

1.高校各信息系統網絡安全防護能力水平不一

高校網絡應用和管理系統的網絡安全防護能力有異，高校的網絡應用和管理系統大多是由不同的服務商建設，服務商的水平直接決定了該系統的網絡全安防護水平，其安全防護能力參差不齊，最低安全防護能力決定了全校信息平臺整體的安全水平，缺乏統一的網絡安全體系建設，存在較大安全隱患。

2.網絡安全問題重視程度不夠

一是因為國家對學校投入的資源有限，所以學校方面更加重視教育教學資源的投入，總認為網絡安全對于學校而言不像企業研發或政府機密部門那么重要，網絡安全防護等級較低，學校沒有什么值得盜取的。

二是學校在安全問題的處置上，大都是事后補漏，不能及時對網絡安全態勢做出判斷和響應，預防措施不足。

三是高校對網絡安全防護相關的軟硬件設備認識不足，即使擁有了設備也無法充分發揮設備的作用，大多數高校目前都缺乏成熟的網絡安全體系和網絡安全專業管理人員，對于網絡安全防護的認識滯后于互聯網絡行業的發展。

3.高校網站是網絡安全事件并發的重災區

一是高校網站建設和管理相分離，數量體積龐大，建設需求雜，給安全管理帶來難度；二是網站重復建設，維護不到位，存在“僵尸”網站；三是鑒于高校的公益性，即使網站被入侵或網頁被篡改，造成的損失也不大，網站系統存在弱口令和信息泄漏的風險；四是網站服務器普遍存在漏洞，安全維護技術力量不足，漏洞修復不及時，經常成為攻擊的突破口。

4.師生缺乏對網絡安全知識的認識

在互聯網時代，網絡應用隨處可見，成為人們工作生活中不可或缺的工具。在高校，網絡的使用普及率更高，但大部分人對網絡安全知識卻知之甚少。在2017年5月，暴發了全球性的永恒之藍事件，我國大部門高校中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。此次事件說明，如果平時我們養成良好的上網習慣，學習網絡安全知識，那么事前必定能夠起到一定防范作用，事后也能降低甚至避免造成的損失。高校師生對于網絡安全認識的匱乏，儼然已成為高校網絡安全的隱患。

高校網絡安全風險防控策略

1.遵循科學原則，合理規劃網絡安全防護體系

作好網絡安全防護體系頂層設計，將有助于提高學校網絡整體安全防護能力，降低運行成本，具體可遵循以下幾個原則使規劃更為科學合理：

等級保護原則，安全體系建設必須嚴格遵循相關部門信息系統的安全等級定級辦法，按照各應用系統相對應的防護能力進行建設；

體系化設計原則，通過安全集成的形式完善技術體系建設和管理體系建設；

技管并重原則，采取技術和管理相結合的安全防護措施，將各種安全技術與運行管理機制、正確安全觀引導、技術培訓、安全規章制度建設相結合；

安全域劃分原則，可根據現有網絡結構和管理模式，在充分保障安全的基礎上，進行可操作、方便易用的區域劃分，以較小的代價完成安全域劃分和網絡梳理。

2.應重視網絡安全技術體系設計，加強管理體系建設

網絡安全技術體系設計主要包括以下幾個方面：

（1）安全技術環境設計。首先應進行安全區域邊界設計，如在外網出口位置部署應用安全防護系統，用于阻止和降低Web安全帶來的風險，其次還應注重內網主機防病毒能力，部署防病毒服務器，負責制定終端主機防病毒策略，如在內網建立全網統一的升級服務器。

（2）安全通信網絡設計。首先應做好流量管控，實現對網絡流量的全面透析與管控，優化網絡帶寬，為網絡管理者提供網絡的可見性，幫助組織構建可視、可控、可優化的高效網絡，其次應保護通信完整性，通過對重要敏感字段進行強加密來保障通信傳輸的保密性和安全性。

（3）部署綜合運維審計平臺，通過收集所有服務器（如 syslog、NetBIOS等）、網絡設備、應用系統的日志，對日志進行智能關聯分析。

網絡安全管理體系建設，主要從以下幾方面加強：

（1）設立安全管理機構。承擔學校網絡信息化建設與運行維護工作。

（2）貫徹和落實國家相關政策規定，制定適合本校實際情況的網絡安全管理制度。

（3）設置網絡安全專業技術人員崗位，專職從事學校網絡安全管理工作。

（4）加強網絡安全體系系統運維管理工作，如網絡運行環境管理、資產管理、介質管理、設備管理、監控與安全管理、系統安全管理等。

3.安全服務體系與網絡安全態勢感知監測預警平臺建設

安全服務體系包括但不限于以下內容：

（1）滲透測試，以模擬攻擊、反應分析的方式確定軟件安全漏洞存在性，能夠直觀的讓管理人員知道自己網絡所面臨的問題。

（2）風險評估，通過第三方對現有系統進行全方位的評估服務，一般通過現場訪談、工具掃描、手工檢查等手段進行，根據評估結果制定分險分析和風險管理規劃。

（3）安全掃描，采用掃描工具對信息系統進行安全掃描，發現漏洞，出具掃描報告，并根據掃描報告給出整改建議。

（4）安全加固，根據系統情況制定相應測試方案、加固方案與回退方案，通過安裝補丁、修改安全配置、增加安全機制等方法，增強信息系統抵抗風險的能力，從而提高整個系統的安全性。

在建立安全服務體系的基礎上，教育管理部門可以統籌協調全省乃至全國高校搭建教育行業網絡安全態勢感知監測預警平臺，進一步強化安全服務體系。安全監測預警技術是通過對某一類事情的異常跟蹤發現特定的問題并加以組織，同時能及時上報發現的潛在威脅和脆弱環節相應的特征和特點。

4.教育管理部門主導，推進站群云服務平臺建設

站群云服務是通過云服務技術提供網站群建設空間的服務。國家可加大對高校網絡安全防護的專項資源投入，由教育管理部門主導，社會企業共同參與，推進高校站群云服務集群及安全防護體系建設。這樣將有利于提高網站安全性，降低分散建設成本，從根本上解決各高校站點管理不到位，安全投入不足，系統漏洞修補不及時等問題。

5.普及網絡安全知識，強化網絡安全意識

只有注重對全校師生網絡安全知識的普及，提高其安全防范意識，才能做到安全有效的防范，因此需要不時對高校師生進行網絡安全意識教育和相關安全技術科普。其內容包括本單位的信息安全方針、信息安全方面的基礎知識、安全技術、相關的安全責任要求、法律責任和懲戒措施等。教育科普的形式有，網上問卷有獎調查，召開信息安全學習大會，部門網絡安全知識學習會議，學校網絡安全公開課等。

結語

高校網絡安全問題將伴隨高校信息化建設發展全過程，維護好高校網絡空間安全，需要通過國家持續加大對教育事業網絡安全專項資源投入，教育管理部門主導，高校不斷加強自身安全體系建設，社會企業共同參與，多方協作共同努力。