智慧校園網(wǎng)絡信息安全問題與對策

金燄

（武漢城市職業(yè)學院 湖北省武漢市 430064）

1 引言

隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等新型技術與校園信息化建設的深度融合，智慧校園各類業(yè)務系統(tǒng)深度互聯(lián)互通，網(wǎng)絡傳輸能力不斷加強，信息數(shù)據(jù)規(guī)模急劇擴大，信息安全問題隨之頻繁出現(xiàn)并成為智慧校園建設的新研究課題。

網(wǎng)絡與信息安全事件大致可分為敏感信息泄露，電信詐騙，勒索病毒、網(wǎng)絡黑客漏洞攻擊、弱口令攻擊、釣魚網(wǎng)站或郵件、木馬、網(wǎng)頁篡改等類型。國家互聯(lián)網(wǎng)應急中心發(fā)布的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》顯示，2019年全年捕獲計算機惡意程序樣本數(shù)量超過 6,200 萬個，日均傳播次數(shù)達 824 萬余次，涉及計算機惡意程序66 萬余個。[1]

我國高?；虺蔀榫W(wǎng)絡信息安全泄漏的重災區(qū)。2015年5月高招期間，有媒體報道國內(nèi)近千所高校網(wǎng)站存在嚴重的安全問題，可能導致大量學生及教職員工信息泄漏。2017年，某職業(yè)技術學院系統(tǒng)的高危漏洞，直接導致系統(tǒng)存儲的4000 余名學生身份信息泄露。2018年江蘇某大學某學院發(fā)生大規(guī)模學生信息泄露事件，上千名學生信息疑被不法企業(yè)用于偷逃稅款。

2 安全問題產(chǎn)生的原因

近些年高校網(wǎng)絡信息安全事件頻發(fā)，多數(shù)是由于學校管理體制不夠健全、信息化建設規(guī)劃不合理、各級管理與應用人員安全素養(yǎng)不足等原因造成。學校信息安全的責任邊界不清，造成信息安全責任落實不到具體責任人，相互推諉造成安全工作出現(xiàn)管理真空；在信息化建設過程中，安全設備一般都是信息化項目建設完成上線后購置部署，軟件系統(tǒng)的漏洞有時候是信息安全問題出現(xiàn)后才進行修補，用戶密碼沒有對強弱進行規(guī)定與限制，信息數(shù)據(jù)也沒有脫敏處理；而各級應用管理人員安全意識淡薄、風險辨識能力不夠、安全信息獲取不及時，也是造成信息安全事件頻發(fā)的主要原因。

3 國家法規(guī)與安全標準

我國網(wǎng)絡安全頂層設計正在不斷完善中，《網(wǎng)絡安全法》《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》《中華人民共和國密碼法》《信息安全技術網(wǎng)絡安全等級保護基本要求》（網(wǎng)絡安全等級保護 2.0）等多項網(wǎng)絡安全相關法律法規(guī)、配套制度及有關標準已向社會發(fā)布。[1]

為應對以及防范校園網(wǎng)絡信息安全問題，教育部于2018年制定的《教育信息化2.0 行動計劃》中提出“擔當責任，保障安全”的建設要求[2]。如圖1所示，信息系統(tǒng)安全保障是在信息系統(tǒng)整個生命周期中，通過對信息系統(tǒng)的風險分析，制定并執(zhí)行相應的安全保障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性。[3]

4 解決安全問題的對策

4.1 構(gòu)建網(wǎng)絡信息安全體系

高校信息安全具有動態(tài)性,主要是因為院校信息安全政策、策略的制定在實質(zhì)上是高校發(fā)展過程中的某些決策過程。[4]完整的安全體系不能由一次會議或一次研討來制定完成，其建立過程是循序漸進的，需要不斷地計劃、實施、檢查、改進，周而復始地完善，通過對安全體系文件制定、發(fā)布、評審、變更、修訂、審批等流程，增強體系有效性和適用性。

4.2 完善安全管理法規(guī)制度

網(wǎng)絡信息安全工作，三分技術，七分管理，因此更需要強化管理職能，加強規(guī)章制度建設，落實網(wǎng)絡安全崗位職責。[5]學校制定網(wǎng)絡信息安全的相關管理制度與法規(guī)條例，應按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，規(guī)定各部門和教職工應承擔的網(wǎng)絡信息安全責任。各級應用人員參照信息系統(tǒng)的安全操作規(guī)范實施管理，包括賬號與密碼設置、木馬病毒防范、補丁更新、數(shù)據(jù)備份、數(shù)據(jù)加密、臺帳記錄登記等。結(jié)合實際工作制定相應網(wǎng)絡信息安全預案，對突發(fā)安全事件建立應急預案管理制度和相關操作辦法，并定期組織人員進行演練，以保證信息系統(tǒng)面臨突發(fā)事件時能在較短時間內(nèi)恢復正常使用。

4.3 注重工程項目過程安全

項目建設安全管理的目標是保證整個項目建設過程中系統(tǒng)的安全。項目的生命周期包括規(guī)劃組織、需求分析、總體方案設計、概要設計、詳細設計、系統(tǒng)實施、系統(tǒng)測試、運行維護與廢棄等過程。為實現(xiàn)這個目標，信息安全管理必須融合在整個項目建設過程中，與學校的業(yè)務需求、環(huán)境要求、項目計劃、成本效益等相符。

軟件生命周期融合出一個信息系統(tǒng)安全工程項目，如圖2所示，通過設定安全等級，確認、評估、消除系統(tǒng)已知或未知安全問題，最終評估得到一個可控的安全風險。項目的可行性分析、立項、需求、架構(gòu)設計、編碼、測試、上線、運行、驗收等關鍵環(huán)節(jié)，在規(guī)定時限內(nèi)完成各環(huán)節(jié)的安全管理，做到信息安全的可度量和可控。

4.4 運用落實各項安全技術

高校網(wǎng)絡安全技術體系，通過落實安全技術相關控制要求，實現(xiàn)物理、網(wǎng)絡、主機、應用和數(shù)據(jù)的所有安全控制，通常采用安全產(chǎn)品加以實現(xiàn)，輔助安全服務以增強安全控制能力。[6]信息系統(tǒng)運維的安全技術包括系統(tǒng)安全防護策略、主機操作系統(tǒng)存儲漏洞掃描與補丁，木馬病毒、數(shù)據(jù)庫遭受攻擊攻防演練，應用系統(tǒng)漏洞補丁、管理員及普通用戶賬號密碼分級管理與設定等。

4.4.1 門戶安全技術

門戶安全技術主要防范頁面篡改、網(wǎng)頁掛馬、管理員及用戶賬號密碼泄漏、SQL 注入、后臺數(shù)據(jù)泄露，內(nèi)容缺乏過濾及審核機制等安全問題。通過不斷提升技術管理手段，加裝WEB 防火墻、加強系統(tǒng)及應用補丁升級等，確保門戶的完整性、可用性、保密性，從而保障門戶安全。

4.4.2 數(shù)據(jù)安全技術

運用數(shù)據(jù)安全技術，做好數(shù)據(jù)及應用系統(tǒng)安全工作，確保數(shù)據(jù)的機密性、完整性、可用性。通過雙機備份、差異備份、整體備份，加密存儲等方式確保數(shù)據(jù)與應用系統(tǒng)安全。部署數(shù)據(jù)存儲加密產(chǎn)品、服務器密碼機或其他密碼模塊，對存儲的重要數(shù)據(jù)進行機密性和完整性保護。

4.4.3 等級保護測評

等級測評是測評機構(gòu)依據(jù)國家網(wǎng)絡安全等級保護制度規(guī)定，受有關單位委托，按照有關管理規(guī)范和技術標準，對等保對象安全等級保護狀況進行檢測評估的活動。

如表1所示，首先根據(jù)系統(tǒng)的風險侵害程度進行評估，設定該系統(tǒng)的保護級別，并按照等級保護要求完成信息系統(tǒng)安全加固工作，定期對已備案的信息系統(tǒng)進行等級保護測評，從而保證信息系統(tǒng)運行風險控制維持在較高水平，并不斷增強系統(tǒng)的穩(wěn)定性和安全性。

信息系統(tǒng)安全建設整改前，信息系統(tǒng)運營使用單位可以選擇測評機構(gòu)進行等級測評，掌握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確安全建設整改需求。信息系統(tǒng)安全建設整改后，信息系統(tǒng)運營使用單位應當再選擇測評機構(gòu)進行等級測評，檢測系統(tǒng)安全保護狀況與標準要求的符合性，進一步查找安全隱患和問題，并進行風險分析，為進一步整改提供依據(jù)。

4.4.4 物理設備區(qū)域門禁

重點物理設備區(qū)域憑權(quán)限進入，網(wǎng)絡設施設備區(qū)域應配置監(jiān)控設備、門禁設備，控制、鑒別人員進出資格。部署基于密碼技術的電子門禁系統(tǒng)，對重要物理區(qū)域出入人員的身份進行鑒別，并對電子門禁系統(tǒng)進出記錄等數(shù)據(jù)進行完整性。部署基于密碼技術的視頻監(jiān)控系統(tǒng)，對視頻監(jiān)控音像記錄等數(shù)據(jù)進行完整性保護。

4.4.5 密碼技術

密碼技術能夠保護信息系統(tǒng)安全的前提是正確使用子安全可靠的密碼技術，密碼相關標準除了滿足互聯(lián)互通需求外，更是密碼技術安全性的基本保證。

部署智能密碼鑰匙、智能IC 卡其他具備身份鑒別功能的密碼產(chǎn)品，對登錄的用戶進行身份鑒別。部署可信計算密碼支撐平臺、簽名驗簽服務器或服務器密碼機，實現(xiàn)可信計算能力，建立從系統(tǒng)到應用的信任鏈，保護重要信息的完整性，保證計算環(huán)境的安全可信。

4.4.6 安全認證技術

部署證書認證系統(tǒng)提供的電子認證服務，為用戶配置智能密碼鑰匙、智能IC 卡、移動智能終端密碼模塊等具備身份鑒別功能的密碼產(chǎn)品，對系統(tǒng)用戶身份進行管理。部署安全認證網(wǎng)關系統(tǒng)，對訪問應用服務器的用戶進行身份鑒別和權(quán)限控制，對客戶端與服務器端、應用系統(tǒng)之間傳輸?shù)臄?shù)據(jù)進行機密性和完整性保護。部署簽名驗簽服務器、服務器密碼機或其他密碼模塊，對存儲的日志記錄進行完整性保護。部署簽名驗簽服務器、電子簽章系統(tǒng)、時間戳服務器等密碼產(chǎn)品，對收發(fā)的數(shù)據(jù)及相關操作記錄進行簽名，保證數(shù)據(jù)原發(fā)行為或數(shù)據(jù)接收行為的不可否認性。

4.5 培養(yǎng)提高人員安全素養(yǎng)

制定網(wǎng)絡與信息安全培訓規(guī)劃，選拔出具有網(wǎng)絡與信息系統(tǒng)管理經(jīng)驗與專業(yè)技能的人員從事網(wǎng)絡與信息安全管理工作。安全崗位人員要將網(wǎng)絡信息安全意識、責任意識、保密意識相結(jié)合，落實安全崗位責任與考核機制，逐步實現(xiàn)網(wǎng)絡安全管理人員和技術人員持證上崗。通過定期開展信息化應用能力培訓等方式整體提升領導干部、管理人員、技術人員、教師隊伍的網(wǎng)絡信息安全意識與防范意識，提升師生員工信息素養(yǎng)和應用能力水平。在互聯(lián)網(wǎng)辦公、內(nèi)網(wǎng)辦公、移動辦公三個方面，做出相關安全要求，輔以相應網(wǎng)絡安全案例來剖析網(wǎng)絡安全問題根源，共同探討如何建立良好的網(wǎng)絡安全習慣。同時線上線下相結(jié)合，通過網(wǎng)絡安全案例的現(xiàn)場互動體驗、虛擬課堂、在線答題等方式進行網(wǎng)絡信息安全培訓。

表1：網(wǎng)絡安全等級保護工作級別劃分

5 總結(jié)

網(wǎng)絡信息安全是一項體系化的綜合性工作，涵蓋運維管理、安全技術、制度規(guī)范、人員培養(yǎng)等多個維度。網(wǎng)絡信息安全體系建設過程是循序漸進的，需要各級領導重視，明確職責，并落實監(jiān)督考核；網(wǎng)絡和信息系統(tǒng)要做好安全技術防護、落實等保、定期巡查等工作；各級系統(tǒng)用戶要盡力提升安全素養(yǎng)以做到能保護其個人隱私。網(wǎng)絡安全體系框架的構(gòu)建，將為高校智慧校園建設提供可借鑒的網(wǎng)絡安全體系架構(gòu)模型，為高校信息化建設保駕護航。[7]