高校信息安全及其治理研究

呂曉猛，蔣玉峰

（常熟理工學院，江蘇 蘇州 215500）

0 引言

隨著信息技術的不斷發展，信息技術創新日新月異，以數字化、網絡化、智能化為特征的信息化浪潮蓬勃興起。全球信息化進入全面滲透、跨界融合、加速創新、引領發展的新階段。2016年中共中央辦公廳、國務院辦公廳印發《國家信息化發展戰略綱要》，要求將信息化貫穿我國現代化進程始終，加快釋放信息化發展的巨大潛能，以信息化驅動現代化，加快建設網絡強國。《綱要》是規范和指導未來十年國家信息化發展的綱領性文件。其中第38條專門提出推進教育信息化。事實上近年來高校信息化建設得到快速發展，高校信息化“以高性能校園網為基礎，實現學校管理業務流程的合理重組和管理職能的轉變，形成高效的、充滿活力的新型管理機制；實現教務管理、教學資源管理、科研管理、后勤與服務管理的全面整合，增強了高等教育的開放性，促進了教育的現代化發展。

然而由于計算機網絡具有開放性和互聯性的特點，每年國內外政府機關、企事業單位的網絡都不斷遭受到黑客、惡意軟件、病毒、后門程序的攻擊，嚴重影響了國家的安全、社會的穩定和人們的生活。在高校信息化的建設中，信息作為高校教育教學的重要資源，一旦由于管理不慎導致某些事故發生，將給學校的教學和管理帶來嚴重的后果。因此，研究信息的安全問題有著重要意義。

1 高校信息安全問題及分析

1.1 高校安全問題嚴峻

中國高校網站安全情況極差，根據《2013年中國高校網站安全檢測報告》，高校網站的安全性在全國各類網址中，體檢分數排名僅僅比倒數第一名多2分(見圖1)。就僅僅從安全漏洞上來看，根據國家信息安全漏洞共享平臺(CNVD)通報，2021 年 03 月 01 日-07 日一周內就協調教育 行業應急組織驗證和處置高?？蒲性核到y漏洞事件 59 起，03月08日-14日協調66 起，而03月15日-03 月 21 日協調133 起，整體呈現急劇上升趨勢。

圖1 2012 中國互聯網各類網站安全評測平均成績

值得注意的是，各大學校的科研、教務網站上保存有大量的敏感數據和學生信息，如不加以重視安全保護，極易受到黑客的攻擊和竊取，由此引發的高校網站被篡改、被掛馬的安全事件頻繁出現，最終給高校帶來嚴重的形象及經濟損失。另外，高校網站在各搜索引擎中是熱門關鍵詞，由于其安全性低及各方面的利益驅使，是不法分子攻擊的優選目標。所以信息安全隱患已經成為高校信息化建設過程中必須關注的問題[1]。

1.2 高校信息安全問題分類

根據當前高校信息安全呈現的問題看，可以分成兩類：一類是由于管理方面的問題。這類信息安全問題以當前的技術是可以避免的，但由于管理不當而導致的；一類是由于技術缺陷引發的安全問題，這類信息安全問題是不可控的。分析清楚當前高校信息安全問題及其成因有助于解決問題。

（1）管理不當帶來的高校信息安全問題。由于管理不當，帶來高校在信息安全上的諸多問題，諸如：

①人員方面。大部分高校網絡管理人員水平低，不能提前制定信息安全防御策略；不能及時解決出現的問題，甚至可能進行一些錯誤的操作，給內網安全帶來隱患。有些高校只是在硬件與軟件進行投入，很少引進專業化的信息安全技術人員，有的規模較小的學校往往只有一兩個技術人員，這使得高校信息安全人才極度匱乏，信息安全人員專業素質不高，很難肩負起信息安全責，從而導致高校信息安全防護措施處于較低水平，當出現新的攻擊事件時無能為力。對教師、學生等信息技術培訓不足，信息安全意識相對薄弱，往往容易忽視對信息資源的保護。也有極少數人員在利益的驅使下對現有資源、科研成果等進行竊取、破壞等；有的學生出于好奇，嘗試對校園網進行攻擊，甚至修改教務數據庫等。

②硬件方面。對網絡中心機房硬件防護投入不足，對中心機房的硬件物理防護條件缺失。造成失竊、斷電等事故。機房應具有報警、防火、防水、防靜電、防鼠害、防雷擊等設施，安裝有工業空調，確保機房在適宜的溫度和濕度下運行。同時，機房還需要網絡中心內部供電與外部供電，因為當突然斷電，易失性存儲器中的數據便會丟失，且很難恢復。

另外，機房主要設備包括服務器（如單點失效、RAID報警等）、路由器（如地址轉換失效、系統軟件損壞等）、交換機（如電源電壓不穩、端口損壞、背板過熱等）、無線設備等，以及設備的I／O控制器、網絡接口卡、硬盤、內存以及其他部件會出現故障，需要進行異地備份等。許多高校的網絡中心機房只有主要設備，一些必要的防護設備和設施缺失，易于帶來安全事故。

③管理制度方面。一些高校缺乏完善的信息安全相關管理制度。信息安全管理制度應該包含信息安全的各項保障措施、落實措施，包括中心機房的信息安全保障物理防護措施、人員行為規章制度、經費落實措施等。而一些高校只是應付檢查，要么沒有完善的信息安全管理制度，要么是有制度根本不執行、認真落實。

④資金方面。一些高校對信息安全的資金投入不足。信息化建設是一個系統工程，從前期的硬件設備和軟件系統投入，再到信息化系統的運維，需要大量的、持續的資金支持。

上述問題都屬于管理不當所帶來本來能夠做好而出現問題的方面。這些問題主要是高校高層領導層重視不夠所引起，否則，人員問題、資金問題、制度問題等都不會出現問題。

（2）技術類安全問題。當前，高校面臨的信息安全問題有些是技術方面的問題，主要有：

①病毒軟件攻擊。病毒軟件通常利用U盤、硬盤等傳輸工具，在復制與傳送文件、運行程序的過程中對計算機系統進行破壞，在對程序和數據造成破壞的同時，對網絡效率也會造成嚴重影響，部分網絡病毒甚至破壞硬件設備，一旦學校的數據庫搜到破壞，將會對學校造成嚴重的后果。

②網絡攻擊。不法分子利用網絡存在的漏洞和安全缺陷對高校服務器進行的攻擊。通常有兩種行為：主動攻擊和被動攻擊。主動攻擊主要是攻擊者有目的的訪問所需要的信息；被動攻擊表現為破壞服務器硬盤、文件系統，非法復制、竊聽、篡改、偽造數據等，或對校園網絡進行信息轟炸從而導致服務中斷，或惡意篡改與刪除數據致使網絡癱瘓。

③垃圾郵件。電子郵件的發送需要經過不同的路由器轉發，最后到達收件人，在這個過程中不法分子通過給學校郵件服務器發送大量的垃圾郵件，導致過多占用網絡帶寬，降低的網絡運行的效率，當大量的郵件同時發送給某一郵箱時，收件人的郵箱將會發生嚴重堵塞，不法分子便可乘機截取郵件，造成機密信息泄露。垃圾郵件不但引起網絡癱瘓、機密信息泄露，同時還耗費了工作人員大量的時間和精力。

④惡意軟件。當前，很多網站容易感染惡意軟件，學校管理者、教師或者學生使用計算機瀏覽網頁時極易在毫不知情的情況下安裝各類廣告軟件、間諜軟件等，這些惡意軟件在計算機上安裝后門，為不法分子大開方便之門[2]。

⑤網絡系統自身的漏洞。由于網絡技術的高速發展，部分高校的網絡難以適應網絡技術的發展形勢，軟件系統在使用的過程中通常存任一定的安全漏洞，雖然部分高校推出了相應的補丁程序，但仍然不可避免地遭受病毒或人為的破壞，從而給學校造成難以挽回的損失，此外，部分高校在軟件和硬件存在配置不當的問題，也會造成安全漏洞，從而對高校信息安全帶來嚴重的問題。

2 解決高校信息安全問題的策略

當前，國家層面推出了網絡安全等級保護標準2.0版，這是我國推出的網絡安全新的標準，也為高校網絡信息安全體系建設提供了新思路和新參照。從管理和技術兩個方面入手，對標等保2.0標準，找到高校信息安全方面的問題以及出現問題的根源，原本溯源，對高校信息安全問題進行改進。

2.1 管理措施

從宏觀層面上來說，高校信息安全需要高校高層領導特別是主要領導重視。如何引起高校高層領導重視，需要將“信息安全”作為高校諸多考核指標之一。在領導重視的基礎上，需要做好以下管理工作：

（1）建立、健全高校信息安全管理制度。高校必須明確信息安全目標，建立、完善信息安全管理體制和制度(包括用戶權限制度、密碼管理制度、網絡系統管理制度、病毒防范制度等)，要包含“明確信息安全管理方案、產品采購使用、授權管理機制、密碼使用、軟件開發、安全服務等管理內容；建立人員安全管理制度，明確人員錄用、離崗、考核、教育培訓等管理內容”；建立信息安全責任制，明確各個部門、領導、人員的信息安全責任；建立系統運維制度，明確設備環境安全、存儲介質安全、病毒防范、備份與恢復、各種應急預案等管理內容；同時，還需要建立并落實監督檢查機制，定期進行自查和監督檢查，嚴格執行。

（2）加強工作人員培訓與安全教育，提高安全意識，落實安全職責。建立起管理決策層、組織協調層、落實執行層的三層架構人員組織體系。保障信息安全，在技術上需要配備足夠專業人士，同時，隨著技術的發展，信息技術人員也需要不斷的學習才能適應，所以需要經常對技術人員進行專業培訓。同時，發揮信息辦專業安全管理員的管理功能，將人數不多的安全管理員從日常繁瑣的運維事務中抽離出來，將重點放在安全體系的監督和安全態勢的管理上。

信息安全不僅僅是信息技術人員幾個人的事，全校師生都必需參與。所以，需要積極開展各種信息安全宣傳教育活動，定期對師生員工進行信息安全教育培訓，結合科學的信息安全管理理念，使高校信息安全防護實現最優化。

另外，還可以將高精技術類事務或瑣碎的技術類事務采取部分外包、部分分流的方式解決，經常跟安全運維服務商、安全設備廠商、第三方安全咨詢專家之間的溝通和協調.一旦發生安全事件，可以在短時間內進行安全補救并提供日常的安全咨詢維護。

建立完善的信息安全防護基礎環境，定期評估，不斷改進、完善。

在基礎環境方面，建立完善的信息安全防護基礎環境，對機房溫濕度、空調、UPS、門禁、消防和漏水檢測等都符合要求；對核心機房出入口管理、機房溫濕度、空調、UPS、門禁、消防和漏水檢測等進行監控；

在基礎技術防護方面，如網絡環境方面、主機安全控制措施方面、在網頁防篡改方面、在服務防中斷方面、在系統運維管理等方面，按照網絡安全等級保護標準2.0版制定各項防護方案，并做好應急保障準備、應急處理流程等，包括事后教育和培訓等內容，做到定期評估，不斷改進、完善。

2.2 技術層次措施

隨著科技的發展，各類新信息安全漏洞出現和內、外部攻擊手段的更新，有必要加強防護，并根據科技的發展不斷升級防護措施?？梢詮膬蓚€方面進行：一是根據高?，F有軟硬件基礎加強防御，二是整體防御技術更新換代，采用新的防御體系。

（1）現有安全防御體系的加強。目前，大多數高校已經有了基本的網絡和安全設備，對校園網絡信息的安全起到了基本的保障作用，但這遠遠不夠，需要根據等保2.0標準來對信息安全進行重新規劃。可以根據安全域劃分原則，把具有相同安全等級和安全屬性的一類服務器、網絡設備、應用程序等劃歸為同一安全域，實施相同的安全策略。

華東政法大學的做法可以作為參考模板，他們將網絡系統劃分為4個安全區域：互聯網接入區域、核心交換區域、運維管理區域和數據中心區域。在互聯網接入區域和核心交換區域之間部署了出口防火墻進行邊界防護；部署防病毒網關進行病毒防護，部署入侵防護設備進行人侵防護。數據中心區域包括學校網站群系統、數據庫服務器和高校各種業務系統應用服務器等。數據中心區域可以部署網頁防篡改系統、內網防火墻、web應用防火墻和數據庫審計系統，實現對學校網站、應用和數據的綜合防護。在運維管理區域區部署了堡壘機、日志審計和漏洞掃描系統等，實現集中運維管理、運維審計、日志管理分析和漏洞掃描等[4]。

此外，還可以運用一些新推出的技術來進行安全防護，如應用基于物聯網的保密技術、虛擬入侵誘騙系統、虛擬蜜網等新型信息安全技術。

（2）規劃應用新型的云安全和虛擬化安全系統。等保2.0標準擴展測評的技術要求高校的網絡信息安全建設規劃中必須應用服務器虛擬化部署和運用云計算服務。當前中國高校大部分已經實現了服務器虛擬化部署，也有部分業務部署在各類云服務器上。

云計算因其節約成本、維護方便、配置靈活已經成為各國政府優先推進發展的一項服務。美、英、澳大利亞等國家紛紛出臺了相關發展政策，有計劃的促進了政府部門信息系統向云計算平臺的遷移。

但服務器虛擬化部署和運用云計算服務本身也有信息安全問題。虛擬化中的安全威脅主要分為數據泄露和丟失、拒絕服務、權限提升、運行時（Hypervisor／GOS）代碼和數據篡改以及控制流截獲、rootkits和后門遺留等，而數據泄露和丟失、運行時數據篡改以及控制流截獲和rootkits是虛擬化威脅的主要表現形式。

對虛擬化安全的研究綜合起來可以歸結為兩個方面：一個是虛擬化軟件的安全；另一個是虛擬服務器的安全[4]。對位于校園網內虛擬化安全可以從以下三方面著重考慮：

①安全設備與虛擬化技術結合的安全防護：可以通過硬件虛擬化技術，將一臺硬件設備劃分為多個虛擬設備（如虛擬防火墻），將硬件安全網關（如防火墻、NGFW和IPS等）部署在數據中心邊界，過濾進出數據中心的流量等。

②在虛擬化主機之間流量的保護：可以將原先東西向的無監控流量也納入到信息安全防護體系之中，并為之配備技術和管理手段。

③橫向擴展的安全防護：當邊界硬件設備性能不足時，可以通過scale.out(橫向擴展)，以利于保護投資，同時增強彈性，根據業務繁忙程度占用或釋放計算資源[3]。

當然面對科技和服務的不斷發展，高?？梢赃x擇云服務商數據托管，利用云服務商的強大技術能力分擔信息安全問題。

3 結語

信息安全是個永恒的課題，信息安全防范體系的建立并不是一勞永逸的，隨著技術的發展，新的安全隱患將不斷涌現，高校必須根據實際情況，以等保2.0標準為標準，從管理和信息安全技術這兩個方面下功夫，加大資金投入，積極引進專業技術人才，加強高校內部管理，及時進行設備維護和技術更新，保證信息安全防范體系的高效運作和良性發展，從而確保信息安全。