隨著國(guó)家對(duì)信息化產(chǎn)業(yè)的重視，信息化技術(shù)不斷升級(jí)創(chuàng)新，高校教育信息化也得到了大力發(fā)展。無(wú)論是學(xué)校的多媒體教學(xué)，科技信息查詢服務(wù)，還是無(wú)紙化辦公等，都能看到信息化技術(shù)的影子。高校網(wǎng)絡(luò)作為信息傳播的通道，不僅是學(xué)校信息化平臺(tái)建設(shè)的基礎(chǔ)，更是學(xué)?？沙掷m(xù)科學(xué)發(fā)展的重要保障。

高校網(wǎng)絡(luò)安全現(xiàn)狀

信息化技術(shù)在高校普及的同時(shí)，也出現(xiàn)了許多問(wèn)題，其中最突出的是網(wǎng)絡(luò)安全問(wèn)題，比如拒絕服務(wù)攻擊、系統(tǒng)漏洞攻擊、網(wǎng)頁(yè)篡改等，對(duì)高校正常教學(xué)辦公，科學(xué)研究工作造成的影響和破壞難以估量。

在2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，提出“保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益”，“建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性”。

因此，高校作為校園網(wǎng)絡(luò)建設(shè)、運(yùn)營(yíng)、提供服務(wù)的主體，必須承擔(dān)起應(yīng)有的社會(huì)和法律責(zé)任，加強(qiáng)和保障網(wǎng)絡(luò)安全，促進(jìn)校園網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

高校校園網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)

1.高校各信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力水平不一

高校網(wǎng)絡(luò)應(yīng)用和管理系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力有異，高校的網(wǎng)絡(luò)應(yīng)用和管理系統(tǒng)大多是由不同的服務(wù)商建設(shè)，服務(wù)商的水平直接決定了該系統(tǒng)的網(wǎng)絡(luò)全安防護(hù)水平，其安全防護(hù)能力參差不齊，最低安全防護(hù)能力決定了全校信息平臺(tái)整體的安全水平，缺乏統(tǒng)一的網(wǎng)絡(luò)安全體系建設(shè)，存在較大安全隱患。

2.網(wǎng)絡(luò)安全問(wèn)題重視程度不夠

一是因?yàn)閲?guó)家對(duì)學(xué)校投入的資源有限，所以學(xué)校方面更加重視教育教學(xué)資源的投入，總認(rèn)為網(wǎng)絡(luò)安全對(duì)于學(xué)校而言不像企業(yè)研發(fā)或政府機(jī)密部門那么重要，網(wǎng)絡(luò)安全防護(hù)等級(jí)較低，學(xué)校沒(méi)有什么值得盜取的。

二是學(xué)校在安全問(wèn)題的處置上，大都是事后補(bǔ)漏，不能及時(shí)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)做出判斷和響應(yīng)，預(yù)防措施不足。

三是高校對(duì)網(wǎng)絡(luò)安全防護(hù)相關(guān)的軟硬件設(shè)備認(rèn)識(shí)不足，即使擁有了設(shè)備也無(wú)法充分發(fā)揮設(shè)備的作用，大多數(shù)高校目前都缺乏成熟的網(wǎng)絡(luò)安全體系和網(wǎng)絡(luò)安全專業(yè)管理人員，對(duì)于網(wǎng)絡(luò)安全防護(hù)的認(rèn)識(shí)滯后于互聯(lián)網(wǎng)絡(luò)行業(yè)的發(fā)展。

3.高校網(wǎng)站是網(wǎng)絡(luò)安全事件并發(fā)的重災(zāi)區(qū)

一是高校網(wǎng)站建設(shè)和管理相分離，數(shù)量體積龐大，建設(shè)需求雜，給安全管理帶來(lái)難度；二是網(wǎng)站重復(fù)建設(shè)，維護(hù)不到位，存在“僵尸”網(wǎng)站；三是鑒于高校的公益性，即使網(wǎng)站被入侵或網(wǎng)頁(yè)被篡改，造成的損失也不大，網(wǎng)站系統(tǒng)存在弱口令和信息泄漏的風(fēng)險(xiǎn)；四是網(wǎng)站服務(wù)器普遍存在漏洞，安全維護(hù)技術(shù)力量不足，漏洞修復(fù)不及時(shí)，經(jīng)常成為攻擊的突破口。

4.師生缺乏對(duì)網(wǎng)絡(luò)安全知識(shí)的認(rèn)識(shí)

在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)應(yīng)用隨處可見，成為人們工作生活中不可或缺的工具。在高校，網(wǎng)絡(luò)的使用普及率更高，但大部分人對(duì)網(wǎng)絡(luò)安全知識(shí)卻知之甚少。在2017年5月，暴發(fā)了全球性的永恒之藍(lán)事件，我國(guó)大部門高校中招，被勒索支付高額贖金才能解密恢復(fù)文件，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。此次事件說(shuō)明，如果平時(shí)我們養(yǎng)成良好的上網(wǎng)習(xí)慣，學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，那么事前必定能夠起到一定防范作用，事后也能降低甚至避免造成的損失。高校師生對(duì)于網(wǎng)絡(luò)安全認(rèn)識(shí)的匱乏，儼然已成為高校網(wǎng)絡(luò)安全的隱患。

高校網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控策略

1.遵循科學(xué)原則，合理規(guī)劃網(wǎng)絡(luò)安全防護(hù)體系

作好網(wǎng)絡(luò)安全防護(hù)體系頂層設(shè)計(jì)，將有助于提高學(xué)校網(wǎng)絡(luò)整體安全防護(hù)能力，降低運(yùn)行成本，具體可遵循以下幾個(gè)原則使規(guī)劃更為科學(xué)合理：

等級(jí)保護(hù)原則，安全體系建設(shè)必須嚴(yán)格遵循相關(guān)部門信息系統(tǒng)的安全等級(jí)定級(jí)辦法，按照各應(yīng)用系統(tǒng)相對(duì)應(yīng)的防護(hù)能力進(jìn)行建設(shè)；

體系化設(shè)計(jì)原則，通過(guò)安全集成的形式完善技術(shù)體系建設(shè)和管理體系建設(shè)；

技管并重原則，采取技術(shù)和管理相結(jié)合的安全防護(hù)措施，將各種安全技術(shù)與運(yùn)行管理機(jī)制、正確安全觀引導(dǎo)、技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合；

安全域劃分原則，可根據(jù)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理模式，在充分保障安全的基礎(chǔ)上，進(jìn)行可操作、方便易用的區(qū)域劃分，以較小的代價(jià)完成安全域劃分和網(wǎng)絡(luò)梳理。

2.應(yīng)重視網(wǎng)絡(luò)安全技術(shù)體系設(shè)計(jì)，加強(qiáng)管理體系建設(shè)

網(wǎng)絡(luò)安全技術(shù)體系設(shè)計(jì)主要包括以下幾個(gè)方面：

（1）安全技術(shù)環(huán)境設(shè)計(jì)。首先應(yīng)進(jìn)行安全區(qū)域邊界設(shè)計(jì)，如在外網(wǎng)出口位置部署應(yīng)用安全防護(hù)系統(tǒng)，用于阻止和降低Web安全帶來(lái)的風(fēng)險(xiǎn)，其次還應(yīng)注重內(nèi)網(wǎng)主機(jī)防病毒能力，部署防病毒服務(wù)器，負(fù)責(zé)制定終端主機(jī)防病毒策略，如在內(nèi)網(wǎng)建立全網(wǎng)統(tǒng)一的升級(jí)服務(wù)器。

（2）安全通信網(wǎng)絡(luò)設(shè)計(jì)。首先應(yīng)做好流量管控，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的全面透析與管控，優(yōu)化網(wǎng)絡(luò)帶寬，為網(wǎng)絡(luò)管理者提供網(wǎng)絡(luò)的可見性，幫助組織構(gòu)建可視、可控、可優(yōu)化的高效網(wǎng)絡(luò)，其次應(yīng)保護(hù)通信完整性，通過(guò)對(duì)重要敏感字段進(jìn)行強(qiáng)加密來(lái)保障通信傳輸?shù)谋Ｃ苄院桶踩浴?/p>

（3）部署綜合運(yùn)維審計(jì)平臺(tái)，通過(guò)收集所有服務(wù)器（如 syslog、NetBIOS等）、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)的日志，對(duì)日志進(jìn)行智能關(guān)聯(lián)分析。

網(wǎng)絡(luò)安全管理體系建設(shè)，主要從以下幾方面加強(qiáng)：

（1）設(shè)立安全管理機(jī)構(gòu)。承擔(dān)學(xué)校網(wǎng)絡(luò)信息化建設(shè)與運(yùn)行維護(hù)工作。

（2）貫徹和落實(shí)國(guó)家相關(guān)政策規(guī)定，制定適合本校實(shí)際情況的網(wǎng)絡(luò)安全管理制度。

（3）設(shè)置網(wǎng)絡(luò)安全專業(yè)技術(shù)人員崗位，專職從事學(xué)校網(wǎng)絡(luò)安全管理工作。

（4）加強(qiáng)網(wǎng)絡(luò)安全體系系統(tǒng)運(yùn)維管理工作，如網(wǎng)絡(luò)運(yùn)行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控與安全管理、系統(tǒng)安全管理等。

3.安全服務(wù)體系與網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警平臺(tái)建設(shè)

安全服務(wù)體系包括但不限于以下內(nèi)容：

（1）滲透測(cè)試，以模擬攻擊、反應(yīng)分析的方式確定軟件安全漏洞存在性，能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問(wèn)題。

（2）風(fēng)險(xiǎn)評(píng)估，通過(guò)第三方對(duì)現(xiàn)有系統(tǒng)進(jìn)行全方位的評(píng)估服務(wù)，一般通過(guò)現(xiàn)場(chǎng)訪談、工具掃描、手工檢查等手段進(jìn)行，根據(jù)評(píng)估結(jié)果制定分險(xiǎn)分析和風(fēng)險(xiǎn)管理規(guī)劃。

（3）安全掃描，采用掃描工具對(duì)信息系統(tǒng)進(jìn)行安全掃描，發(fā)現(xiàn)漏洞，出具掃描報(bào)告，并根據(jù)掃描報(bào)告給出整改建議。

（4）安全加固，根據(jù)系統(tǒng)情況制定相應(yīng)測(cè)試方案、加固方案與回退方案，通過(guò)安裝補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，增強(qiáng)信息系統(tǒng)抵抗風(fēng)險(xiǎn)的能力，從而提高整個(gè)系統(tǒng)的安全性。

在建立安全服務(wù)體系的基礎(chǔ)上，教育管理部門可以統(tǒng)籌協(xié)調(diào)全省乃至全國(guó)高校搭建教育行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警平臺(tái)，進(jìn)一步強(qiáng)化安全服務(wù)體系。安全監(jiān)測(cè)預(yù)警技術(shù)是通過(guò)對(duì)某一類事情的異常跟蹤發(fā)現(xiàn)特定的問(wèn)題并加以組織，同時(shí)能及時(shí)上報(bào)發(fā)現(xiàn)的潛在威脅和脆弱環(huán)節(jié)相應(yīng)的特征和特點(diǎn)。

4.教育管理部門主導(dǎo)，推進(jìn)站群云服務(wù)平臺(tái)建設(shè)

站群云服務(wù)是通過(guò)云服務(wù)技術(shù)提供網(wǎng)站群建設(shè)空間的服務(wù)。國(guó)家可加大對(duì)高校網(wǎng)絡(luò)安全防護(hù)的專項(xiàng)資源投入，由教育管理部門主導(dǎo)，社會(huì)企業(yè)共同參與，推進(jìn)高校站群云服務(wù)集群及安全防護(hù)體系建設(shè)。這樣將有利于提高網(wǎng)站安全性，降低分散建設(shè)成本，從根本上解決各高校站點(diǎn)管理不到位，安全投入不足，系統(tǒng)漏洞修補(bǔ)不及時(shí)等問(wèn)題。

5.普及網(wǎng)絡(luò)安全知識(shí)，強(qiáng)化網(wǎng)絡(luò)安全意識(shí)

只有注重對(duì)全校師生網(wǎng)絡(luò)安全知識(shí)的普及，提高其安全防范意識(shí)，才能做到安全有效的防范，因此需要不時(shí)對(duì)高校師生進(jìn)行網(wǎng)絡(luò)安全意識(shí)教育和相關(guān)安全技術(shù)科普。其內(nèi)容包括本單位的信息安全方針、信息安全方面的基礎(chǔ)知識(shí)、安全技術(shù)、相關(guān)的安全責(zé)任要求、法律責(zé)任和懲戒措施等。教育科普的形式有，網(wǎng)上問(wèn)卷有獎(jiǎng)?wù){(diào)查，召開信息安全學(xué)習(xí)大會(huì)，部門網(wǎng)絡(luò)安全知識(shí)學(xué)習(xí)會(huì)議，學(xué)校網(wǎng)絡(luò)安全公開課等。

結(jié)語(yǔ)

高校網(wǎng)絡(luò)安全問(wèn)題將伴隨高校信息化建設(shè)發(fā)展全過(guò)程，維護(hù)好高校網(wǎng)絡(luò)空間安全，需要通過(guò)國(guó)家持續(xù)加大對(duì)教育事業(yè)網(wǎng)絡(luò)安全專項(xiàng)資源投入，教育管理部門主導(dǎo)，高校不斷加強(qiáng)自身安全體系建設(shè)，社會(huì)企業(yè)共同參與，多方協(xié)作共同努力。