高職院校網絡安全運營問題與對策分析*

尹俊艷

湖南中醫藥高等專科學校 湖南 株洲 412000

引言

隨著互聯網技術應用的飛速發展，在教育部印發的《教育信息化2.0行動計劃》的推動下，高等院校信息化程度得到極大的提高，特別是在移動互聯網、云計算、大數據、人工智能、5G網絡等新技術的驅動下，高等院校師生的教育教學、管理、科研教學以及生活對網絡及信息系統的依賴程度日益提升[1]。保障網絡和信息系統可靠運行的安全防御工作已經變得不可或缺。切實保障好支撐網絡空間良好運行的網絡系統和信息資產，構建基礎結構安全的靜態防御機制以及積極主動的動態防御機制相結合的綜合防御能力體系對高等院校網絡安全運營具有重大意義。

1 網絡安全形勢

1.1 安全風險引發的安全事件頻發

隨著高校信息化的快速發展，教育信息安全問題如影隨形。針對教育的勒索、挖礦、數據泄露等信息安全事件層出不窮。例如某職業技術學院招生信息管理系統存在越權漏洞，后臺登錄密碼弱口令，致使系統存儲的4353名學生的身份信息泄露；高校業務服務器被植入挖礦木馬，自動執行挖礦程序，挖取門羅幣，導致電服務器CPU 占用達 100%，運行嚴重卡慢，影響業務正常運行，給學校正常工作和生活秩序造成重大風險隱患。

1.2 加強安全合規監管要求

自2017年6月1日《中華人民共和國網絡安全法》正式實施之后，網絡安全上升到國家戰略，同時習主席在國家安全工作座談會中明確提出“加強網絡安全預警監測，確保大數據安全，實現全天候全方位感知和有效防護”[2]。除此之外，在教育部印發的《教育信息化2.0行動計劃》通知中明確要求：組織主要負責人為網絡安全工作的第一負責人，建立網絡安全和信息化統籌協調的領導體制；建立網絡安全監督考核機制；全面落實網絡安全等級保護制度，深入開展網絡安全監測預警，提高網絡安全態勢感知水平。在教育部辦公廳印發的《2020年教育信息化和網絡安全工作要點》通知中也提到：深入貫徹落實《網絡安全法》，持續推進網絡安全監測預警通報機制[3]。

當前網絡安全形勢不容樂觀，網絡安全法律法規在不斷完善，網絡安全監管力度在不斷加強。高職高校著力建設智慧校園，為學科發展、教學科研和師生生活提供更好的環境和服務的同時，也將“健全網絡安全保障體系”作為高校數字化建設中的一項重要任務。

2 高職院校網絡安全現狀

2.1 網絡安全意識有待提高

因信息的固有屬性即數字特性原因，盡管國家網絡安全管理部門大力宣傳網絡安全，但從高校普通用戶的視角看，很難切身體會到網絡安全的重要性[4]。其次很多用戶對網絡安全相關法律法規條例了解不多，存在“網絡安全跟自己無關”的僥幸認知，導致網絡安全相關工作的積極性以及配合度較低。

2.2 網絡安全管理制度不健全

在各高校全面推進信息化建設過程中，信息化資產頻繁地上線、下線、變更已成為常態，信息化資產的歸屬也各不相同，由于缺乏明確的制度以規范建設過程，很難建立網絡資產的臺賬[6]。其次，高職院校網絡安全管理部門更多的是根據上級網絡安全管理部門提出的整改要求，應急性地補充管理制度，缺乏系統、全面的制度梳理，因而存在制度織網不嚴、不實、流于形式的現象。

2.3 常態化運營及應急響應的操作規程缺乏

其一，高校業務系統多，存在分散建設、各部門自行建設等現象，缺乏信息系統建設的需求、設計、開發、測試階段網絡安全檢測，導致大量系統“帶病上線”，為以后的網絡安全問題埋下隱患。

其次，有些高校管理制度雖多，依然存在有些操作性不強，日常運營的操作規程缺乏等現象，難以應對復雜多變網絡安全問題。

第三，存在對網絡安全應急響應的理解不全面，未制定的應急響應預案，未開展應急演練，以驗證預案有效性，導致安全事件發生到事件閉環存在一定的滯后性[7]。

2.4 網絡安全技術力量嚴重不足

高職院校網絡安全部門由于成立較晚，技術員的角色更像是電腦維修工，對網絡安全缺乏專門技能。其次，負責網絡安全與信息化工作的部門人手短缺，有網絡安全知識背景的更是鳳毛麟角。學校采購的安全設備，依托現有人員對安全設備的運維能力無法發揮安全設備的防護效果，即便是依靠安全設備發現了安全事件，沒有技術實力處置網絡安全事件，更缺乏主動的風險管控措施。

3 基于問題的對策分析

3.1 增強網絡安全意識

“沒有網絡安全就沒有國家安全”，在國家高度重視網絡安全的大環境下，運用各種渠道積極地宣傳《中華人民共和國網絡安全法》、網絡安全基本知識，充分利用各種網絡安全事件案例，以師生喜聞樂見的載體“以案釋法”，組織全員網絡安全知識競賽，提升廣大的師生網絡安全意識，自覺凈化網絡環境，維護網絡安全，維護國家安全[8]。

3.2 建立網絡安全體制機制及管理制度

全面梳理校內的業務系統、中間件、數據庫、虛擬機、服務器、網絡設備、IP、移動端等資產，根據網絡安全優先順序，在兼顧校情的基礎上，適當添置網絡安全設備[9]。其次，根據不同信息資產等級，構建分級分類的網絡安全防護機制。建立目標明確、責任清晰的網絡安全責任制；建立包含漏洞發現，漏洞分析、修復優先級判斷、漏洞整改、漏洞復測的漏洞全生命周期的管理機制。完善安全策略，實現網絡安全邊界防護可防可控，

3.3 常態化運營及應急響應的操作規程缺乏

全面梳理不同時期、不同階段的信息化建設項目，形成信息資產清單。規范日常運營操作規范，構建信息資產及安全事件等級矩陣，對不同的資產類別及安全事件等級賦予不同的操作規程，將管理制度逐一轉換成網格化的核查單。強化應對外部網絡安全威脅事件應急處置的能力，制定應急響應預案，定期開展應急演練工作來驗證預案流程的有效性。組建專業應急響應團隊，避免安全事件發生到事件閉環的滯后性。

3.4 提升能力，加強校企合作[10]

加強技術隊伍的培訓培養，充分利用網絡安全設備廠商的技術優勢，采用院校選送培養、師徒跟班制培養、專家來校講座等多種校企合作模式，全面提升現有技術人員的專業技術水平。其次，增強網路安全技術人員的使命感和責任擔當精神，積極吸納有行業經驗的技術員來校工作。第三，充分借助網絡安全設備廠商的技術力量，可以有效地保障在關鍵節點、重點防護期網絡安全。

卡類型的編碼，0：社保卡；1：醫保卡；2：全市統一自費就診卡；3：醫院自費卡；4：區內統一自費就診卡；5：新農合卡；6：居民健康卡；9：其他卡。對于市管干部、在編軍人，這里的卡號、卡類型請填寫“TS”

4 構建基于“人機共智”的網絡安全運營防護體系

職業院校加強網絡安全運營中心建設，創新網絡安全運營服務模式，通過安全組件、安全平臺、安全專家，構建“人機共智”的云地協同、集“預防、監測、處置、溯源、加固”一體化的深度運營防護體系（如表1所示）。

表1 安全運營體系構架表

安全組件：通過在學校網絡環境中部署防火墻、態勢感知平臺及終端安全監測響應平臺等專業安全組件，進行必要的安全日志及告警信息收集。

安全平臺：將安全組件對接到專業的云端安全運營中心統一聚合安全事件，實現網絡安全設備安全流量與日志的統一匯聚、檢測與分析，集中安全告警。

安全專家：借助安全服務的形式構建起一支內外部協同的專家隊伍，擴展已有的安全能力，實現高階安全能力的持續供給。在專家指導下建立各類安全處置工作的標準化流程步驟和應對措施[11]。

除此之外，還需賦能學校以下安全能力對以上體系進行補充。

信息系統安全檢測：針對校內新業務系統，在業務系統上線前進行安全檢測，防止業務系統“帶病上線”。定期對校內的信息系統開展滲透測試工作，模擬APT組織對業務開展攻擊演練，降低因漏洞造成的網絡安全、數據泄露等事件的危害。

網絡安全培訓教育：結合網絡安全宣傳周和教育部要求，積極開展技術培訓和針對全校教職員工和學生的網絡安全意識教育。

常態化網絡安全攻防演練：積極參與由地方網絡安全監管單位組織的攻防演練以及應急演練，通過實戰演練檢驗并提高學校的網絡安全防護能力。

5 結束語

在國內外網絡安全新態勢下，高職院校作為高校師生學習、工作生活的主場所，數據要素的密集產地，應持續高度關注網絡空間安全。高職院校采用有效的方式全面提升師生的網絡安全意識，以網絡安全設備組件為基礎，結合人機態勢感知耦合機制，采用“人機共智”的工作模式，搭建新型安全運營體系。通過“人機共智”的方式，實現智慧校園網絡安全運營全程動態監測、實時感知、主動防御。同時，以必要的制度為保障，以部門之間的高效協同，建立統一的網絡安全協同運營機制，從而保證網絡安全運營的時效性和高效性。