馬文海

（江蘇警官學(xué)院 計算機信息與網(wǎng)絡(luò)安全系，江蘇 南京210031）

高校網(wǎng)絡(luò)存在的安全隱患與應(yīng)對措施研究*

馬文海

（江蘇警官學(xué)院 計算機信息與網(wǎng)絡(luò)安全系，江蘇 南京210031）

隨著大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)在高校領(lǐng)域普及應(yīng)用，高等教育行業(yè)面臨的網(wǎng)絡(luò)安全威脅和信息安全挑戰(zhàn)也越來越嚴重。當(dāng)前高校網(wǎng)絡(luò)安全存在許多隱患，直接影響高校教學(xué)、科研和管理健康發(fā)展。應(yīng)進一步落實網(wǎng)絡(luò)安全責(zé)任，積極推進網(wǎng)絡(luò)安全管理規(guī)范化，加快推進網(wǎng)絡(luò)安全技術(shù)保障體系建設(shè)，深入開展網(wǎng)絡(luò)安全宣傳教育，加強高校網(wǎng)絡(luò)安全保障隊伍建設(shè)，確保高校網(wǎng)絡(luò)安全。

保障；高校；網(wǎng)絡(luò)；安全

隨著大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)在高校教育、科研和管理等領(lǐng)域廣泛應(yīng)用，高等教育行業(yè)面臨的網(wǎng)絡(luò)安全威脅和信息安全挑戰(zhàn)也越來越嚴重。加強高校網(wǎng)絡(luò)安全工作，防范化解高校網(wǎng)絡(luò)安全風(fēng)險，已成為教育信息化一項十分重要而又緊迫的任務(wù)。

一、當(dāng)前高校網(wǎng)絡(luò)面臨的安全風(fēng)險

實現(xiàn)教育現(xiàn)代化是到2020年全面建成小康社會的一項戰(zhàn)略任務(wù)。當(dāng)前，隨著科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)性、全局性作用日益增強。同時，網(wǎng)絡(luò)安全問題也日益凸顯出來，國際上圍繞著信息的獲取、使用和控制的斗爭愈演愈烈，全球范圍內(nèi)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密和網(wǎng)上違法犯罪等問題日漸突出。網(wǎng)絡(luò)安全問題已成為與政治安全、經(jīng)濟安全、文化安全同等重要，事關(guān)國家安全的重大戰(zhàn)略問題。高校網(wǎng)絡(luò)安全工作同樣面臨著嚴峻挑戰(zhàn)。

1．高校網(wǎng)絡(luò)安全風(fēng)險潛滋暗長

當(dāng)前，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間，是國際戰(zhàn)略在軍事領(lǐng)域的演進，對我國網(wǎng)絡(luò)安全提出了嚴峻的挑戰(zhàn)。網(wǎng)絡(luò)空間主權(quán)已成為中西方博弈焦點。我國網(wǎng)絡(luò)安全基礎(chǔ)薄弱，大部門核心技術(shù)和硬件設(shè)備受制于人，網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息安全存在巨大隱患，一旦遭受攻擊，極易導(dǎo)致國家基礎(chǔ)數(shù)據(jù)、公民個人信息被竊取。境內(nèi)外敵對勢力把互聯(lián)網(wǎng)作為意識形態(tài)滲透的主渠道，大肆進行網(wǎng)絡(luò)滲透，企圖搞亂我國內(nèi)人心，破壞我國家安全。需要警惕的是，互聯(lián)網(wǎng)具有強大的聚焦放大效應(yīng)和社會動員能力，很容易使各類風(fēng)險疊加共振，由此產(chǎn)生綜合性風(fēng)險。高校網(wǎng)站和業(yè)務(wù)系統(tǒng)及新媒體是教育宣傳和輿論引導(dǎo)的重要陣地，境內(nèi)外敵對勢力企圖將高校作為滲透破壞、占領(lǐng)意識形態(tài)高地的突破口，高校網(wǎng)絡(luò)和系統(tǒng)也必然是其攻擊重要目標(biāo)。一旦高校網(wǎng)絡(luò)和系統(tǒng)遭到攻擊和非法接入，直接危害高校網(wǎng)絡(luò)安全和正常秩序。

2．高校對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的依賴程度日益加深

近年來，高校信息化建設(shè)發(fā)展迅速，大數(shù)據(jù)在教學(xué)、科研和管理等方面引發(fā)的創(chuàng)新與變革日益顯現(xiàn)，特別是智慧課堂、智慧校園建設(shè)，已經(jīng)成為推動教育綜合改革、提高教育治理體系和治理能力現(xiàn)代化，促進高等教育內(nèi)涵式發(fā)展的有效手段。廣大教職員工在高校信息化應(yīng)用中嘗到了甜頭，各項業(yè)務(wù)的開展對高校網(wǎng)絡(luò)的依賴程度越來越高，已經(jīng)成為高校工作正常運轉(zhuǎn)的重要載體，成為教學(xué)、科研、管理和服務(wù)不可缺少的重要工具。不可否認的是，隨著網(wǎng)絡(luò)對高校的介入越來越深，信息和數(shù)據(jù)的收集也變得越來越便捷,大量的教學(xué)、科研和管理信息，都變成了可被存儲、分析的數(shù)據(jù)，一旦被濫用、盜用勢必加劇高校及其教職工的信息風(fēng)險。據(jù)《中國網(wǎng)民權(quán)益保護調(diào)查報告》統(tǒng)計，2015年因個人信息泄露等原因，遭受經(jīng)濟損失1000元以上的，就有大約4500萬網(wǎng)民。此外，計算機病毒、網(wǎng)絡(luò)攻擊、垃圾郵件、系統(tǒng)漏洞、網(wǎng)絡(luò)竊密、虛假有害信息和網(wǎng)絡(luò)違法犯罪等問題日漸突出，如果處置不當(dāng)，極易造成系統(tǒng)中斷、網(wǎng)絡(luò)癱瘓、病毒爆發(fā)或者重要信息數(shù)據(jù)丟失、泄露，給高校工作的正常運轉(zhuǎn)帶來重大損失。

3．維護高校網(wǎng)絡(luò)安全的難度日漸加大

隨著互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的快速發(fā)展和廣泛應(yīng)用，大數(shù)據(jù)日益成為推動高校領(lǐng)域變革的強勁力量，高校網(wǎng)絡(luò)安全的內(nèi)涵也已經(jīng)從單純的信息內(nèi)容的完整性、保密性，擴展到了整個信息系統(tǒng)的可控性，延伸到了數(shù)據(jù)安全、網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施安全、信息存儲介質(zhì)安全等多個方面，安全保密的對象、領(lǐng)域、環(huán)境和手段發(fā)生了深刻變化?？梢哉f，信息技術(shù)越先進，信息化程度越高，網(wǎng)絡(luò)安全問題就越突出，網(wǎng)絡(luò)安全工作遇到的挑戰(zhàn)也就會越嚴峻，維護管理的難度和要求也會越來越高。如何在加快推進高校信息化的同時降低網(wǎng)絡(luò)安全風(fēng)險，是當(dāng)前高校面臨的一個新課題。

二、我國高校網(wǎng)絡(luò)存在的主要安全隱患

1．網(wǎng)絡(luò)安全意識談薄

一些高校對網(wǎng)絡(luò)安全工作重視不夠，“說起來重要，干起來次要，忙起來不要”的現(xiàn)象還大量存在。不少領(lǐng)導(dǎo)同志缺乏網(wǎng)絡(luò)安全意識，敵情意識不強，敏感性不夠，警惕性不高，往往重建設(shè)、輕應(yīng)用、少安全，缺乏統(tǒng)籌考慮、頂層設(shè)計。有的領(lǐng)導(dǎo)干部觀念陳舊，認為高校從事的工作涉密不多，只要沒有主動泄密行為，不會產(chǎn)生嚴重后果，存在無安全風(fēng)險需防要控的錯誤認識。還有的領(lǐng)導(dǎo)干部過于相信信息技術(shù)部門和人員技術(shù)防范能力，忽視廣大教職工安全紀(jì)律教育，致使部分教職工不了解網(wǎng)絡(luò)安全基礎(chǔ)知識和基本要求。少數(shù)在職人員缺乏主人翁意識，責(zé)任心不夠，對使用的計算機管理不善，在校園網(wǎng)和其他網(wǎng)絡(luò)上交叉使用移動存儲介質(zhì)，而且沒有對其進行計算機病毒檢測處理，導(dǎo)致大量病毒滲入校園網(wǎng)。

2．網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)存在漏洞隱患

目前高校的網(wǎng)絡(luò)設(shè)備無論硬件軟件都處于不設(shè)防的狀態(tài)，使用的大多是國外企業(yè)生產(chǎn)的產(chǎn)品或者技術(shù)，網(wǎng)絡(luò)本身不是自主研發(fā)的，很可能會因“后門”造成信息泄露。被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染。如不對操作系統(tǒng)進行及時更新，彌補各種漏洞，計算機即使安裝了防毒軟件也會反復(fù)感染。據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計，2015年共掃描各類網(wǎng)站231.2萬個，共掃出存有漏洞的網(wǎng)站101.5萬個，占43.9%；掃出存有高危漏洞的網(wǎng)站30.8萬個，占總數(shù)13.3%；被篡改的網(wǎng)站8.4萬個。對21854臺網(wǎng)站服務(wù)器進行了網(wǎng)站“后門”檢測，掃描發(fā)現(xiàn)約4097臺服務(wù)器存在“后門”，占所有掃描網(wǎng)站服務(wù)器的18.7%；共攔截各類網(wǎng)站漏洞攻擊16.5億次，較2014年增長了約135.7%，平均每天攔截漏洞攻擊512.2萬次。目前，高校校園網(wǎng)絕大多數(shù)是依托互聯(lián)網(wǎng)建設(shè)的虛擬專網(wǎng)，雖然要求與其他外網(wǎng)嚴格隔離，但目前還未能嚴格實現(xiàn)，其安全隱患不容忽視。

3.惡意軟件程序和病毒危害嚴重

惡意軟件程序是危害網(wǎng)絡(luò)安全的頭等威脅。隨著云計算和大數(shù)據(jù)技術(shù)的應(yīng)用，高校各類信息系統(tǒng)權(quán)限管理和訪問控制存在諸多風(fēng)險，數(shù)據(jù)一旦泄露，稍加分析和加工就變成了有用的信息，對個人而言是隱私，而對高校而言則有可能是敏感信息，甚至是機密信息。據(jù)360互聯(lián)網(wǎng)安全中心報告，2015年共攔截惡意程序攻擊855.4億次，比2014年增長49.4%，其中截獲PC端新增惡意軟件程序樣本3.56億個，比2014年增長9.9%。計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)效率急劇下降，甚至造成計算機和網(wǎng)絡(luò)系統(tǒng)癱瘓，是影響高校網(wǎng)絡(luò)安全的主要因素。高校網(wǎng)絡(luò)“一機兩用”或使用含有涉密信息的存儲介質(zhì)上互聯(lián)網(wǎng)，極易造成泄密和病毒感染。有的將存放敏感信息的移動硬盤、U盤等存儲介質(zhì)在校園網(wǎng)和互聯(lián)網(wǎng)上交叉使用，不僅容易導(dǎo)致網(wǎng)上泄密事件，而且極易染上計算機病毒。

4．安全措施落實不到位

當(dāng)前，由防火墻、入侵監(jiān)測和病毒防范構(gòu)建的高校網(wǎng)絡(luò)安全體系，已不能從根本上實現(xiàn)對各種不安全因素的防御。少數(shù)單位對高校網(wǎng)絡(luò)、涉密信息和上網(wǎng)人員管理不嚴格，安全保密制度不落實。據(jù)中國高等教育學(xué)會2015年調(diào)研統(tǒng)計，46%高校對信息系統(tǒng)（業(yè)務(wù)）或信息資產(chǎn)（數(shù)據(jù)）進行登記和安全普查沒有做到位。大部分高校安全管理投入重點還在硬件上。怎么建設(shè)一套符合高校真實需求的安全架構(gòu)體系，更加均衡的進行合理投入，還沒有深入思考。

5．專業(yè)保障隊伍人少質(zhì)弱情況突出

網(wǎng)絡(luò)安全的管理保障主要依靠專門人才，但全國高校從事網(wǎng)絡(luò)安全專門人員投入普遍偏低。據(jù)中國高等教育學(xué)會2015年調(diào)研統(tǒng)計，在全國106所高校中，38%的學(xué)校沒有安全團隊處理網(wǎng)絡(luò)安全問題，41%的高校未設(shè)網(wǎng)絡(luò)安全崗位；71%的高校偏重網(wǎng)絡(luò)安全工作的人員不到2人，16%的高校沒有專職網(wǎng)絡(luò)安全管理人員。在現(xiàn)有的安全管理人員中，絕大多數(shù)因工作需要兼顧安全工作，真正網(wǎng)絡(luò)安全科班出身的人員比例不到10%。

三、加強高校網(wǎng)絡(luò)安全的措施

當(dāng)前，以信息技術(shù)為核心的新一輪科技革命和產(chǎn)業(yè)革命方興未艾，互聯(lián)網(wǎng)日益成為創(chuàng)新驅(qū)動發(fā)展的先導(dǎo)力量。大數(shù)據(jù)時代，高校網(wǎng)絡(luò)安全不僅是傳統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，還包括信息層面以及執(zhí)行決策層面的安全，即與信息化有關(guān)的非傳統(tǒng)安全的綜合。應(yīng)從維護國家安全和社會穩(wěn)定的高度，重視高校網(wǎng)絡(luò)安全風(fēng)險，正確處理數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的矛盾，切實增強安全意識，堅決克服“重建設(shè)、輕安全”的問題，建立可信、可靠、可控的高校網(wǎng)絡(luò)安全環(huán)境。

1．認真落實網(wǎng)絡(luò)安全責(zé)任

隨著高等教育信息化的快速發(fā)展和廣泛應(yīng)用，教學(xué)、科研和管理等工作對校園網(wǎng)絡(luò)和相關(guān)系統(tǒng)的依賴程度日益加深。與此同時，高校網(wǎng)絡(luò)安全工作面臨的形勢也日益嚴峻復(fù)雜，一旦遭到攻擊和非法接入，不僅危害網(wǎng)絡(luò)資源安全，而且影響高校各項工作的正常開展。對此，高校必須充分認識加強網(wǎng)絡(luò)安全工作重要性和必要性，堅持積極防御、綜合防范、突出重點的原則，建立健全安全管理機構(gòu)和人員，加強安全保障體系建設(shè)，落實網(wǎng)絡(luò)安全工作的責(zé)任，確保網(wǎng)絡(luò)安全。一是落實領(lǐng)導(dǎo)責(zé)任。高校黨政“一把手”是網(wǎng)絡(luò)安全工作第一責(zé)任人，要切實擔(dān)負起領(lǐng)導(dǎo)責(zé)任，把這項工作擺上重要議事日程；分管領(lǐng)導(dǎo)要認真抓好各項安全工作措施的落實，切實加強督促檢查。二是落實主管部門的責(zé)任。高校信息化與網(wǎng)絡(luò)管理中心、保密部門是網(wǎng)絡(luò)安全工作的組織者、管理者，既要密切合作，又要明確各自的職責(zé)，充分發(fā)揮職能作用。三是落實使用單位的責(zé)任。各使用單位要切實加強對教職工和聘用人員的安全教育工作，研究制定適合教學(xué)、科研和管理部門的安全管理工作制度，從源頭上杜絕安全問題的發(fā)生。

2．積極推進網(wǎng)絡(luò)安全管理規(guī)范化

一要嚴格入網(wǎng)設(shè)備的管理。入網(wǎng)設(shè)備包括計算機、交換機、服務(wù)器、路由器、防火墻、移動終端、信息采集儀、移動存儲介質(zhì)及其它網(wǎng)絡(luò)設(shè)備。對這些入網(wǎng)設(shè)備，要實現(xiàn)“實名制”和“戶口式”管理，確定專人負責(zé)并建立工作日志，定期對網(wǎng)絡(luò)設(shè)備進行檢查。要嚴格把住入網(wǎng)、出網(wǎng)兩個關(guān)口。入網(wǎng)前，要嚴格實施安全檢查，并進行注冊，嚴防無安全保障的設(shè)備接入校園網(wǎng)。出網(wǎng)前，要嚴格進行清理檢查，并予以注銷。二要嚴格各類信息系統(tǒng)（網(wǎng)站）的運行管理。對各類信息系統(tǒng)（網(wǎng)站），要嚴格執(zhí)行登記、備案制度，明確管理單位，落實責(zé)任人。所有信息系統(tǒng)都應(yīng)當(dāng)具備應(yīng)用日志安全審計功能，能夠?qū)γ總€用戶的登錄、訪問行為進行安全監(jiān)測和責(zé)任審計，對數(shù)據(jù)異常、違規(guī)操作、越權(quán)訪問等進行追蹤溯源。三要嚴格執(zhí)行信息安全等級保護制度。貫徹落實國家信息安全等級保護制度的相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范及《教育行業(yè)信息系統(tǒng)安全保護定級工作指南》的相關(guān)要求，定期對各類信息系統(tǒng)(網(wǎng)站)進行安全等級測評和風(fēng)險評估，落實安全保護技術(shù)措施和安全制度，提高信息系統(tǒng)的整體保護能力。四是建立信息管理制度。對系統(tǒng)內(nèi)信息采取必要的技術(shù)防范措施，防止信息被非法竊取、篡改和破壞，嚴禁將敏感隱私數(shù)據(jù)和工作秘密數(shù)據(jù)上互聯(lián)網(wǎng)和校園網(wǎng)進行傳輸、處理和存儲。五是建立網(wǎng)絡(luò)安全應(yīng)急處置和報告機制。制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確應(yīng)急處置流程，落實應(yīng)急處置技術(shù)支撐隊伍，定期開展安全應(yīng)急演練。發(fā)生安全事件后，應(yīng)立即采取措施降低損害程度，防止擴大范圍，保存相關(guān)記錄。

3．加快推進網(wǎng)絡(luò)安全技術(shù)保障體系建設(shè)

要在校園網(wǎng)部署終端安全入網(wǎng)管控、網(wǎng)絡(luò)行為審計、數(shù)據(jù)庫審計、網(wǎng)絡(luò)攻擊和入侵監(jiān)測、病毒監(jiān)測、異常流量監(jiān)測等專用安全設(shè)備，采集相關(guān)日志和監(jiān)測數(shù)據(jù)，開展基于大數(shù)據(jù)的關(guān)聯(lián)分析，實現(xiàn)安全威脅的主動發(fā)現(xiàn)和準(zhǔn)確定位，嚴防數(shù)據(jù)被篡改、丟失和信息泄露等安全事件發(fā)生。同時，對高校門戶網(wǎng)站、網(wǎng)上辦事大廳等應(yīng)用系統(tǒng)實施定期安全檢測、風(fēng)險評估、安全加固和日常安全監(jiān)控，防止網(wǎng)頁篡改、數(shù)據(jù)竊取等黑客攻擊，確保門戶網(wǎng)站和網(wǎng)上辦事大廳等系統(tǒng)的安全。

4．深入開展網(wǎng)絡(luò)安全宣傳教育

采取多種形式，開展網(wǎng)絡(luò)安全知識普及教育，增強國家網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)主權(quán)以及個人隱私權(quán)的維護意識，嚴格遵守法律和社會公德，不能以自己的自由侵犯他人的權(quán)利。教育廣大師生掌握一般性網(wǎng)絡(luò)安全技能，學(xué)會電腦等設(shè)備常用安全設(shè)置，處理常見網(wǎng)絡(luò)故障和安全問題，防范一般性網(wǎng)絡(luò)威脅，積極維護綠色網(wǎng)絡(luò)環(huán)境，與破壞網(wǎng)絡(luò)秩序的行為作斗爭。要開展網(wǎng)絡(luò)安全培訓(xùn)工作，推進“網(wǎng)絡(luò)安全知識進校園”行動，舉辦學(xué)生網(wǎng)絡(luò)安全知識競賽，為教育信息化健康發(fā)展?fàn)I造安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。要加強對網(wǎng)絡(luò)有害行為和不良信息監(jiān)管力度，防止暴力色情等有害信息在校園網(wǎng)中傳播。

5．加強高校網(wǎng)絡(luò)安全保障隊伍建設(shè)

防范化解網(wǎng)絡(luò)安全風(fēng)險，人才是核心。沒有網(wǎng)絡(luò)安全人才就難以保障網(wǎng)絡(luò)安全。目前，從中央到地方，從教育主管部門到高校對網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)越來越重視，投入也越來越大，但對高校自身網(wǎng)絡(luò)安全人才引進和培養(yǎng)還遠不適應(yīng)教育信息化的需要，必須解放思想，創(chuàng)新機制，加大高校網(wǎng)絡(luò)安全人才培養(yǎng)，加快建立一支與形勢任務(wù)發(fā)展相適應(yīng)的網(wǎng)絡(luò)安全管理專業(yè)隊伍。

[1]360互聯(lián)網(wǎng)安全中心.2015年中國互聯(lián)網(wǎng)安全報告[EB/OL].2016-03-01.

[2]中國教育網(wǎng)絡(luò)編輯部.2015高校網(wǎng)絡(luò)安全調(diào)研報告[J].中國教育網(wǎng)絡(luò),2015(11):56-59.

（編輯：王曉明）

TP393

B

1673-8454（2016）19-0025-03

2015年江蘇警官學(xué)院科學(xué)研究基金重點項目“大數(shù)據(jù)時代公安信息化研究”（2105SJYSZ02）。