高校信息系統(tǒng)安全防護策略研究

王文泉

摘 ? 要：隨著信息化的發(fā)展，高校信息系統(tǒng)安全越來越受重視。文章分析高校信息系統(tǒng)特點與安全現(xiàn)狀，指出面臨的問題，提出安全防護策略，以期為高校信息系統(tǒng)的安全防護提供一些參考性意見。

關(guān)鍵詞：高校信息系統(tǒng);信息系統(tǒng)安全;信息安全

中圖分類號： TP309 ? ? ? ? ?文獻標識碼：A

Abstract： With the development of information technology， information system security in colleges and universities is causing more and more attention. This paper analyzes the characteristics of information system in colleges and universities， pointing out the present situation of security and problems faced， and puts forward the security protection strategies， in order to provide some reference for the security defense of information system in colleges and universities.

Key words： information system in colleges and universities; information system security; information security

1 引言

高校信息化建設(shè)如火如荼，各種各樣的信息系統(tǒng)大量涌現(xiàn)。信息系統(tǒng)安全在信息安全中占據(jù)重要地位，對于高校而言更是如此。高校如果出現(xiàn)諸如招生數(shù)據(jù)泄露、官網(wǎng)被掛“反動標語”等信息安全問題，不僅會造成損失，而且會影響到學校聲譽，帶來社會負面影響。360公司曾在《中國高校網(wǎng)站安全檢測報告》中顯現(xiàn)：中國每所高校網(wǎng)站平均每天被黑客攻擊113次。從教育行業(yè)漏洞報告平臺公布的即時數(shù)據(jù)來看，位于漏洞排行榜第一名的上海交通大學漏洞總數(shù)為1075，漏洞威脅值高達3517（每個漏洞分值按風險等級由低到高為0～10）[1]。由此可見，高校信息系統(tǒng)的安全防護不容怠慢，其研究工作意義深遠。

2 高校信息系統(tǒng)特點

高校信息系統(tǒng)不僅包括各職能部門建立的人事、財務、教務、資產(chǎn)管理等業(yè)務系統(tǒng)，也包括校園官網(wǎng)、招生、就業(yè)、各二級學院宣傳主頁等網(wǎng)站。以深圳信息職業(yè)技術(shù)學院為例，目前臺賬中有統(tǒng)計在冊的信息系統(tǒng)203個，按照系統(tǒng)用途，可以將它們大致分為三類：部門（學校）宣傳網(wǎng)站、業(yè)務系統(tǒng)和項目（課題）申報網(wǎng)站，按照建設(shè)類型可以分為兩類：網(wǎng)站群和自主建設(shè)，它們的數(shù)量統(tǒng)計情況如表1所示。

可以看出，高校信息系統(tǒng)具有以下“雙高”特點。

2.1 項目申報網(wǎng)站占比高

由表1可以看出，項目申報網(wǎng)站在三類信息系統(tǒng)（按系統(tǒng)用途分）中數(shù)量最多，占比為63%。這些網(wǎng)站主要用于課程、教學資源庫、教學團隊建設(shè)等教研項目和科研項目的申報、評審、驗收等，它們伴隨項目周期而建設(shè)，待項目驗收通過后往往便不再需要，使用周期短，但是很多網(wǎng)站在驗收通過后往往被科研團隊遺忘，依舊存活。

2.2 自主建設(shè)系統(tǒng)占比高

由表1可以看出，依托網(wǎng)站群模板建設(shè)的系統(tǒng)與自主建設(shè)的系統(tǒng)比例為112：91，高校自主建設(shè)的信息系統(tǒng)占比高、幾乎追平網(wǎng)站群系統(tǒng)。將各用途的信息系統(tǒng)在網(wǎng)站群和自主建設(shè)兩種建設(shè)類型上作出統(tǒng)計，如圖1所示。可以看出，項目申報網(wǎng)站中自主建設(shè)的占比將近40%，因為有項目經(jīng)費，很多網(wǎng)站為教師個人或者項目團隊自行搭建，這就會導致各系統(tǒng)技術(shù)水平層次不齊;部門的宣傳網(wǎng)站一旦建立，長時間運行，也多為靜態(tài)頁面，然而其中自主建設(shè)的占比約為30%;業(yè)務系統(tǒng)無法依托網(wǎng)站群建設(shè)，所以均為自主建設(shè)。

3 高校信息系統(tǒng)安全現(xiàn)狀

3.1 缺乏系統(tǒng)全生命周期監(jiān)管

大量系統(tǒng)建設(shè)完成后直接上線運行，缺乏風險評估和滲透測試。帶病上線，必然會帶來安全風險隱患，這也是大量系統(tǒng)自主建設(shè)的后果。根據(jù)上一部分的討論，項目申報網(wǎng)站具有“使用周期短、存活周期不一定短”的特點，如果一個網(wǎng)站被長時間遺忘，淪為僵尸網(wǎng)站，必然容易被黑客攻擊、利用。有的“雙非”系統(tǒng)，業(yè)務與學校相關(guān)，但是卻不知道責任人是誰，一旦出現(xiàn)安全問題，相當被動。一個信息系統(tǒng)，從上線到運行，再到退出，必須建立完善的系列監(jiān)管機制。

3.2 管理人員安全意識薄弱

針對信息安全，目前還是廣泛存在“說起來重要，做起來次要，忙起來不要”的現(xiàn)象。很多系統(tǒng)上線后鮮有人維護，即便被發(fā)現(xiàn)有安全漏洞隱患，依舊置之不理。以深圳信息職業(yè)技術(shù)學院為例，信息系統(tǒng)安全監(jiān)管部門會針對有漏洞的系統(tǒng)向責任部門發(fā)出“信息安全整改通知書”，根據(jù)反饋來看，整改率僅為41%;待到這些風險系統(tǒng)被上級監(jiān)管部門通報批評后，系統(tǒng)所有者往往追悔莫及。造成這一現(xiàn)狀的主要原因，是管理人員乃至上級領(lǐng)導嚴重缺乏信息安全意識。

3.3 管理制度缺失

無規(guī)矩不成方圓，系統(tǒng)亂象的背后是缺乏規(guī)范管理。統(tǒng)計表明，70%以上的信息安全問題是由管理不善造成的，而這些安全問題中的95%是可以通過科學的信息安全管理制度來避免的[2]。信息安全制度、流程不健全，就會導致責任不明確、不落實。

4 高校信息系統(tǒng)安全防護策略

數(shù)量多、技術(shù)參差不齊、生命周期不同、意識缺乏、制度缺失、權(quán)責不清……面對高校信息系統(tǒng)如此嚴峻的安全威脅形勢，可以從五個方面實施信息系統(tǒng)安全防護策略。

4.1 增強信息安全意識

信息安全工作，人是第一位的。美國國家安全局發(fā)布的信息安全保障技術(shù)框架（Information Assurance Technical Framework，IATF）提出深度防御戰(zhàn)略的三個核心要素，其中居于首位的就是：人[3]。人員意識上來了，工作總能想辦法做到位。構(gòu)建高校信息系統(tǒng)安全防護體系，首要的是，加強宣傳教育，組織專業(yè)培訓，開展信息安全員、系統(tǒng)管理員層級培訓，自頂向下培養(yǎng)起基本的信息安全意識，同時提高管理人員技術(shù)水平，使其掌握常規(guī)安全防范措施。

4.2 統(tǒng)一管理、規(guī)范建設(shè)

參照等級保護安全框架[4]，明確信息系統(tǒng)建設(shè)流程及其相關(guān)安全工作如圖2所示。

當校內(nèi)二級部門申請建設(shè)一個新的信息系統(tǒng)時，信息安全監(jiān)管部門主要作出兩項判斷：一是否能夠放到網(wǎng)站群建設(shè)和統(tǒng)一管理。所有宣傳網(wǎng)站必須放到網(wǎng)站群建設(shè)，項目申報網(wǎng)站盡可能放到網(wǎng)站群;二是所有項目相關(guān)系統(tǒng)、網(wǎng)站和職能部門業(yè)務系統(tǒng)，必須留出經(jīng)費，用做定級論證、風險檢測等相關(guān)安全工作。

系統(tǒng)開發(fā)階段，要特別注意規(guī)范代碼書寫，遵守編程安全原則，避免產(chǎn)生漏洞。比如針對XSS攻擊，系統(tǒng)要對用戶提交的內(nèi)容進行可靠的輸入驗證，包括對URL、查詢關(guān)鍵字、HTTP頭、REFER、POST數(shù)據(jù)等，僅接受指定長度范圍內(nèi)、采用適當格式與所預期的字符的內(nèi)容提交，對其他一律過濾;盡量采用POST而非GET方式提交表單等。

系統(tǒng)開發(fā)完成后、上線前，還需要進行全面的安全檢查，包括滲透測試、服務器掃描等。對于存在安全隱患的，堅持整改完畢、復測安全后再上線運行。

針對系統(tǒng)下線，建立完善的退出機制。下線可以分為永久下線與臨時下線兩種情況[5]。對于網(wǎng)站使用周期結(jié)束，或者常年無人管理的僵尸網(wǎng)站，二級部門和信息安全監(jiān)管部門建立信息互通，對系統(tǒng)作永久下線處理。對于例行安全檢測之后，發(fā)現(xiàn)存在安全隱患或者已經(jīng)發(fā)生重大安全事故的系統(tǒng)，立刻進行整改，并且切斷外網(wǎng)訪問權(quán)限，這種情況稱之為臨時下線。臨時下線的系統(tǒng)，經(jīng)復測安全后方可再行上線運行。

4.3 加強日常防護

第一，強化基礎(chǔ)性工作是加強信息安全保障工作的主要原則之一，信息系統(tǒng)日常安全防護常規(guī)工作可以按時間跨度上“六步工作法”展開：（1）每天巡檢;（2）每周更新、升級;（3）每月漏掃;（4）每季度審計;（5）每半年滲透測試;（6）每年風險評估、等保測評。

第二，要形成7×24小時值守制度，采取系統(tǒng)+人工的方式，對重要系統(tǒng)作監(jiān)測，及時發(fā)現(xiàn)網(wǎng)頁篡改、暗鏈、無法訪問等風險隱患，并觸發(fā)預警和斷網(wǎng)等聯(lián)動處置。

第三，如果發(fā)生信息系統(tǒng)安全事件，要立即響應，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓。而在這之前，要做好應急預案和數(shù)據(jù)備份。

4.4 完善信息系統(tǒng)安全管理制度

針對第4.2節(jié)的討論，從上線到下線，建立起基于“閉環(huán)”的信息系統(tǒng)全生命周期管理制度。嚴格把控系統(tǒng)申請外網(wǎng)訪問權(quán)限，做到“開通前有申請、結(jié)束后有交代”，及時做好備案和關(guān)閉工作，同時建立、健全臨時下線機制。為應對各種突發(fā)事件，制定《信息系統(tǒng)安全應急預案》，建立、健全信息系統(tǒng)安全應急處理保障體系，并且定期演練和完善。當所有規(guī)章制度，都具有了“閉環(huán)”特征，執(zhí)行起來才行之有效、不留后遺癥。

4.5 探索多維信息系統(tǒng)安全監(jiān)管機制

“有法可依”后還要“有法必依”“執(zhí)法必嚴”。制度一旦確立，落到實處才能產(chǎn)生效益，對于拒不履行安全義務的部門和個人，加大懲罰力度;探索將信息系統(tǒng)安全納入部門、個人績效考核等新形勢下多維度的信息系統(tǒng)安全監(jiān)管機制，將有利于提升整體信息安全水平。

5 結(jié)束語

《中華人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日施行。《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》為“等保2.0”新標準，于2019年12月1日起正式實施。高校信息系統(tǒng)安全防護工作迫在眉睫，其策略研究意義深遠。只有全面提升信息安全意識，加強日常防護，統(tǒng)一和規(guī)范管理，所有制度、流程都“閉環(huán)”起來，多方聯(lián)動，才能切實保障信息系統(tǒng)安全運行。

參考文獻

[1] 全國高校漏洞排行榜[EB/OL].https：//src.sjtu.edu.cn/rank/firm/.2020-06-02.

[2] 傅川，陳云.高校信息系統(tǒng)安全體系研究與實踐[J].中山大學學報（自然科學版）， 2009， 48（3）： 25-28.

[3] 朱勝濤，溫哲，位華，等.注冊信息安全專業(yè)人員培訓教材[M]. 北京： 北京師范大學出版社， 2019： 1.

[4] 國家市場監(jiān)督管理總局，中國國家標準化管理委員會.信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求： 附錄C 等級保護安全框架和關(guān)鍵技術(shù)使用要求： GB/T 22239-2019[S].北京： 中國標準出版社， 2019： 4.

[5] 胡進娟.高校網(wǎng)站安全防護體系化構(gòu)建策略研究[J].無線互聯(lián)科技，2019（24）： 30-31.

[6] 耿娟平.高校網(wǎng)站安全分析及對策研究[J].北華航天工業(yè)學院學報， 2018， 28（1）： 11-13.

[7] 劉振昌，陳詩明，焦寶臣，等. 高校網(wǎng)站安全管理模式的探索與實踐[J].華東師范大學學報（自然科學版）， 2015（S1）： 224-231.