互聯網+形勢下的校園信息安全思考

■ 浙江省寧波市北侖中學信息中心 許燕疊

編者按：互聯網+形勢下校園信息安全問題日益凸顯，本文將對教育行業信息安全特點進行分析，結合校園信息安全現狀及挑戰，給出一些校園信息安全工作建議。

互聯網+形勢下，筆者學校正在逐步實施互聯網+相關行動計劃，面臨的安全問題也日益凸顯，除了互聯網共性的外部威脅和內部威脅，還包括互聯網+技術融合帶來的特殊風險以及校園自有的安全挑戰。對此，我們從端正認識、完善制度、優化技術、加強內控、嚴格監管、深化多領域合作等方面入手，確保“互聯網+教育”的安全運作。

互聯網技術和互聯網思維被認為是互聯網+的兩大支點，互聯網技術包括云計算、大數據、移動互聯網、物聯網等，互聯網思維是科技不斷發展下，對市場、用戶、產品和企業價值鏈乃至整個商業生態進行重新審視的思考方式，這些技術和思維同樣適用于教育信息化領域。

圖1 筆者學校信息安全體系框架

校園信息安全管理現狀

筆者學校現有各類教育信息系統超過10套，涵蓋校園網站、選課系統、考試系統、教學管理系統、網絡課程平臺、綜合辦公平臺等。除網絡課程平臺、校園網站和微信平臺之外，其余系統均屬于專線網系統，學生或老師一般都僅限于校園內才能訪問此類系統。

我校信息安全總體策略 以 PDR（Protection、Detection、Response）安全模型和“縱深防御”思想為指導，重點在信息安全防護體系建設、安全事件管理和業務連續性管理等方面開展信息安全工作，安全體系構架如圖1所示。

在信息安全防護體系建設方面，按照“縱深防御”的思想，部署多層次的安全防護措施，從應用層安全、主機層安全、網絡層安全和安全基礎支撐層等多個層次開展安全防護措施，從常規的系統安全架構設計、安全防護設備部署等層面加強安全防護能力。

在安全事件管理方面，通過完善的網絡入侵防護監測體系進行相關安全事件的監控與告警，一旦發現安全入侵事件，通過網絡層防護和應用層修復漏洞等多種措施進行安全防護，保障信息系統正常運行。

在業務連續性方面，以基于數據庫復制和企業級存儲等方式開展災備系統建設，通過不斷完善應急管理預案，定期開展切換演練和信息安全測評工作，保障信息系統穩定運行。

互聯網信息安全形勢嚴峻

互聯網信息技術所面臨的安全風險，互聯網+也都將面對，并且因為互聯網信息技術與傳統行業結合過程中產生了很多新的結合點，這些結合點上還可能會面臨新的安全風險。包括如下：

1.層出不窮的外部威脅

我校是通過校園網站系統對外發布招生、面試、錄取及各項教學政策等重要權威信息，因此保證網站系統不被入侵和篡改是非常重要的基礎工作。學校師生通過網站或教學系統客戶端頁面途徑接入系統參與教學活動，因此訪問控制安全是系統安全的第一道防線。目前教學系統設計缺陷、漏洞利用以及常態化的APT攻擊是幾種最具危險性的外部威脅。

2.防不勝防的內部威脅

圖2 互聯網+下我校的安全應對

內部人員對機構的運作、結構熟悉，導致攻擊不易被發覺，內部人員最容易接觸敏感信息，通過有意亂用或誤用該權限，對組織的信息或信息系統的保密性、完整性或可用性造成負面影響的行為。內部人員危害的往往是機構中最核心的數據和資源。各機構的信息安全保護措施一般是“防外不防內”，因而無法阻止、檢測和響應該類威脅。

3.互聯網+下的特殊安全風險

現階段，互聯網+下的特殊安全風險主要包括：信息世界與物理世界融合所帶來的安全風險，云計算系統、移動設備和大數據等內容相關的安全風險。

新形勢下校園信息安全挑戰

學校作為區域重要教育機構，通過校園網站、教學平臺、課程平臺等各類系統面向學生、教師、家長等提供相關教育信息服務，一旦出現嚴重安全問題可能導致教育事故，甚至引發公共事件。因此我校必須要有全面的信息安全防護措施以保障信息系統的數據傳輸、數據存儲和系統運行的安全。

盡管我校信息系統的整體信息安全體系與規劃設計比較完善，但是在互聯網+形勢下，原有的安全體系和規劃設計不一定能夠完全適應和防護新的安全威脅和風險，我校依然面臨著非常多的信息安全挑戰，包括“以專線為主的信息系統安全防護水平應進行提升以適應互聯網要求、新形勢下的業務發展對安全管理和安全技術開發提出更高要求、信息安全管理人員技術跟蹤和安全研究的持續關注不足、面向全校師生的安全素養培訓有待加強”等眾多問題。

“互聯網+”下校園信息安全應對

“互聯網+教育”產生出的新特點，對互聯網教育技術體系規劃和安全設計提出了新的要求。網絡安全涉及到人的意識、流程、工具、技術、立法等多方面，是一個需要綜合治理的過程。如圖2所示。

1.適當“封閉”，堅持開放原則

發展是安全的基礎。作為區域重要教育信息樞紐的我校來說，應順應互聯網+的發展潮流，最大限度利用信息化和網絡化，以開放的理念，科學治理和解決互聯網+和信息化發展過程中出現的問題與風險，避免出現以頑固封閉，拒絕開放來換取所謂的安全的情況。

網絡攻防永遠是一場此消彼長的戰爭，降低攻擊或者防御成本是最本質的因素，我校作為防御的一方，在保持現有信息安全防御成本不大幅度提高的情況下盡可能提高黑客的攻擊成本是最具指導性的措施。

圖3 網絡安全應急模塊圖

2.借力發展，構建多元化合作渠道

在“互聯網+教育”時代，信息安全技術飛速發展，互聯網上黑客無處不在，我校內部的信息安全管理團隊面臨更大的挑戰和壓力，僅僅依靠內部信息安全團隊的能力，是遠遠不夠的。因此，我校需要與各類安全機構開展合作，構建多元化的合作渠道，尤其是加強與教育主管部門、公安和電信部門、IT廠商等合作，共同營造適合互聯網教育發展的環境。

3.自主可控，大膽啟用新思路、新架構

在互聯網+的發展進程中，我校也正在積極轉變發展理念，研究通過創新運用互聯網、移動通訊、大數據和云計算等前沿科技技術，提高教育系統運行效率和管理水平，更好地提供教育服務。

目前已經積極開始了一些嘗試，包括：通過敏捷式開發來實現互聯網教育平臺的開發轉型，更及時響應教學管理和交互需求；在管理上，通過引入與借鑒大數據技術，加快整合內部各信息系統的教育數據資源，運用于安全事件監管、教育管理和運營分析等方面；結合上級部門指導，有選擇地更多地選擇國產硬件和軟件系統，以加強自主可控；培養專門人才研究開源軟件，積極使用開源軟件替代各類商業軟件；深入推廣與創新數字證書技術，特別是國密證書的應用。

4.加大應急預警和管控力度

網絡安全應急管理應做到及時發現，及早預警，全面追蹤和有效處置，如圖3所示。

國內互聯網教育領域應建立多層次和覆蓋廣的安全檢測體系，整合行業資源和安全資源，解決基礎資源分散、未知漏洞和未知攻擊監測能力不足的問題，實現網絡安全狀態全面感知的能力，有效增強應對突發事件的能力。

我校教學信息系統是區域教育領域的關鍵系統，一旦出現問題影響面巨大，因此系統安全運行和降低安全風險是我校首要的任務。而我校信息系統數量多、用戶廣泛，系統內部流程和功能關聯比較復雜，整個信息系統面臨著巨大的運行風險。

因此，要滿足互聯網教育時代的發展要求，實現我校信息系統安全穩定運行，不僅需要積極關注國內安全行業內新的安全檢測體系發展情況，還特別需要在內部運維管理上進行相應的改進，不僅是一些安全設備和人員的簡單累加，而是應該在流程、監控、自動化、安全應急等各方面進行改進，使安全管理和應急響應進行聯動，真正提高風險管控水平。

5.樹立信息安全理念，加強安全意識培訓

安全規范最終需要人來落實，因此開展全體師生信息安全思維培訓，保持良好的信息安全思維方式，并制定結合教學特點和信息安全現狀的培訓計劃都是非常必要的。

有計劃地培養我校內部信息安全教育的師資隊伍，開發相應的教學資源，適當考慮引進外部優秀的專家團隊進行定期的專家講座和技術交流，推進我校信息安全教育工作。

6.加強安全設計，防范信息系統技術風險

我校有些信息系統是直接涉及課程和考試等關鍵環節，系統業務上的安全設計是否合理，直接影響了系統的安全性和可用性。

目前校園教學系統安全設計沒有完善的理論，相關資料較少，因此不斷借鑒優化同行業做法、提高系統設計人員自身的信息安全素養是目前為數不多的可行方法。在互聯網+時代，在技術無法保證絕對安全的前提下，設計人員是否重視安全設計的重要性，也是我校信息系統能夠長期安全運行的關鍵。

互聯網+下我校安全形勢展望

互聯網+意味著傳統業務與互聯網結合而成的業務模式將成為未來幾年的發展趨勢。教育行業尤其是體制內教育一直受到嚴格的監管，有嚴肅的準入準出機制，為進一步提升效率、擴大教育服務范圍和水平，尤其需要互聯網+給行業帶來的新氣息和技術創新，互聯網+必將成為國內教育行業發展的新引擎。

互聯網+形勢下我校所面臨的挑戰日益嚴峻。信息系統面臨的攻擊面越來越大，防御鏈條越來越長，校園信息技術和安全技術人才稀缺。重視安全規范的同時，還需更加重視用戶體驗。因此，我校應積極響應國家關于互聯網+的號召，深化互聯網教育形勢下的信息安全建設，在教育局等上級機構指導下，以合作共贏，重視數據，以人為本的理念，使我校發展走向更高的平臺。