李沐明 袁亞興

(國家開放大學(xué) 信息化部，北京 100039)

習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上的講話中指出，“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。這一論述，把網(wǎng)絡(luò)安全上升到國家安全層面，為加快我國網(wǎng)絡(luò)安全能力建設(shè)指明了方向，提供了遵循。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，該法是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑，是依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險的法律重器，為網(wǎng)絡(luò)安全工作提供切實法律保障。

《網(wǎng)絡(luò)安全法》的實施使得網(wǎng)絡(luò)安全工作受重視程度得到前所未有的提升，對網(wǎng)絡(luò)安全工作提出了更高的要求。本文以國家開放大學(xué)為例，對國家開放大學(xué)面臨的網(wǎng)絡(luò)安全形勢進(jìn)行分析，為國家開放大學(xué)辦學(xué)體系的網(wǎng)絡(luò)安全工作提供參考和建議。

一、開放大學(xué)面臨的網(wǎng)絡(luò)安全形勢

國家開放大學(xué)（以下簡稱“國開”）是面向全體社會成員，以現(xiàn)代信息技術(shù)為支撐，沒有圍墻的新型大學(xué)。在“互聯(lián)網(wǎng)+”時代背景下，為適應(yīng)300多萬學(xué)生在職學(xué)習(xí)、泛在學(xué)習(xí)、有支持的自主學(xué)習(xí)的需要，國開明確提出了探索“云、路、端”三位一體技術(shù)支撐模式，重在支持、促進(jìn)現(xiàn)代信息技術(shù)與開放遠(yuǎn)程教育深度融合，有效實現(xiàn)教育信息化[1]。建設(shè)先進(jìn)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，對教育信息化的發(fā)展及應(yīng)用有著重要的支撐作用[2]。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、在線人數(shù)不斷增多、網(wǎng)絡(luò)開放程度的不斷增強(qiáng)，網(wǎng)絡(luò)安全問題也越來越突出。

在互聯(lián)網(wǎng)時代的背景下，移動通信、光纖通信技術(shù)的快速發(fā)展使得互聯(lián)網(wǎng)得到了廣泛普及。國開利用路由器、交換機(jī)、服務(wù)器、存儲系統(tǒng)等構(gòu)建了專業(yè)化機(jī)房，該機(jī)房共有2臺核心交換機(jī)、4臺數(shù)據(jù)中心匯聚交換機(jī)、4臺樓層匯聚交換機(jī)。總計部署信息系統(tǒng)60余個，包括教務(wù)管理系統(tǒng)、考試管理系統(tǒng)、科研管理系統(tǒng)、學(xué)分銀行系統(tǒng)和網(wǎng)上學(xué)習(xí)平臺等。這些信息系統(tǒng)已經(jīng)成為國家開放大學(xué)系統(tǒng)共享招生、教學(xué)、考試、管理、科研必不可少的重要工具，為國開系統(tǒng)內(nèi)辦公自動化、教務(wù)管理網(wǎng)絡(luò)化、圖書館資源數(shù)字化等帶來了諸多便利。

互聯(lián)網(wǎng)在為高校帶來便利的同時，也帶來了潛在的威脅，比如木馬、病毒和黑客，其可以攻擊、破壞和竊取高校系統(tǒng)信息[3]。鑒于這種現(xiàn)狀，對國開可能面臨的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行分析是必要的。

以2018年全年為例，根據(jù)專業(yè)安全監(jiān)測工具對國開信息系統(tǒng)及網(wǎng)站進(jìn)行了監(jiān)測，監(jiān)測結(jié)果如圖1、2所示。

圖1 安全事件總趨勢

圖2 漏洞類型

從監(jiān)測結(jié)果來看，國開的網(wǎng)站系統(tǒng)安全漏洞較多，根據(jù)對漏洞事件報告進(jìn)行分析，這些漏洞主要包括SQL注入、web網(wǎng)站可瀏覽目錄及文件、源碼下載、鏈接注入、跨站腳本攻擊以及口令泄露等，由此可見國開所面臨的網(wǎng)絡(luò)安全形勢依然不容忽視。

二、開放大學(xué)網(wǎng)絡(luò)安全問題存在的主要原因

在教育行業(yè)中，常見的網(wǎng)絡(luò)安全問題主要如下：

1.網(wǎng)站遭篡改、暗鏈、掛馬；

2.篡改招生錄取、考試成績，竊取學(xué)生及學(xué)生家長個人隱私信息等數(shù)據(jù)，謀取商業(yè)利益；

3.門戶等信息系統(tǒng)面臨的內(nèi)容安全風(fēng)險；

4.教務(wù)和招生等信息系統(tǒng)面臨業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)安全的雙重風(fēng)險。

對國家開放大學(xué)而言，以上網(wǎng)絡(luò)安全問題同樣存在，存在這些問題的原因如下：

1.信息系統(tǒng)數(shù)量過多，建設(shè)單位水平不一，很難建立完整臺賬，對于安全管理比較困難。

2.對于網(wǎng)站安全重視程度不夠，由于高校網(wǎng)站非盈利的特征，被入侵和篡改頁面所造成的影響不夠嚴(yán)重，導(dǎo)致一些信息系統(tǒng)的賬號存在弱口令現(xiàn)象。

3.信息系統(tǒng)的建設(shè)沒有統(tǒng)一的安全標(biāo)準(zhǔn)和規(guī)范，每個系統(tǒng)由不同的公司進(jìn)行建設(shè)，建設(shè)方的水平直接決定了該信息系統(tǒng)的網(wǎng)絡(luò)安全水平，部分網(wǎng)站在正式上線前未做安全方面的加固。

4.網(wǎng)絡(luò)黑客攻擊手段多樣，由于數(shù)據(jù)中存在著大量的網(wǎng)絡(luò)設(shè)備（交換機(jī)）、服務(wù)器和安全設(shè)備，這些設(shè)備本身可能存在系統(tǒng)漏洞，這些漏洞一旦被網(wǎng)絡(luò)黑客掌握和利用，學(xué)校的網(wǎng)絡(luò)就有可能受到網(wǎng)絡(luò)攻擊。

三、開放大學(xué)網(wǎng)絡(luò)安全管理工作建議

（一）加強(qiáng)網(wǎng)絡(luò)安全工作統(tǒng)籌領(lǐng)導(dǎo)

2016年11月，在教育部網(wǎng)信領(lǐng)導(dǎo)小組會議上印發(fā)了《教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組各成員單位職責(zé)分工》，教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室設(shè)在科技司，主要成員單位包括辦公廳、政法司、信息中心等。

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，國開制定了《國家開放大學(xué)網(wǎng)絡(luò)安全管理規(guī)定（試行）》。該規(guī)定明確了國開網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組和工作小組職責(zé)與成員組成。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組對全校的網(wǎng)絡(luò)安全工作進(jìn)行頂層設(shè)計、制定政策。

在實際的網(wǎng)絡(luò)安全工作中，應(yīng)按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則落實網(wǎng)絡(luò)安全責(zé)任。

對主管部門而言，具體責(zé)任為：統(tǒng)籌信息系統(tǒng)建設(shè)；統(tǒng)籌信息系統(tǒng)安全等級保護(hù)工作；統(tǒng)籌信息系統(tǒng)的應(yīng)急管理；統(tǒng)籌信息系統(tǒng)安全管理。對運(yùn)維部門而言，具體責(zé)任為：制定并嚴(yán)格執(zhí)行信息系統(tǒng)的運(yùn)維管理制度；按照安全等級保護(hù)相關(guān)要求制定信息系統(tǒng)安全策略；及時溝通解決信息系統(tǒng)軟硬件日常使用中出現(xiàn)的問題；配合信息系統(tǒng)主管單位做好信息技術(shù)安全事件的應(yīng)急響應(yīng)處置和整改工作。對使用部門而言，具體責(zé)任為：確保依法用網(wǎng)，嚴(yán)格遵守法律法規(guī)要求操作、管理信息系統(tǒng)；確保發(fā)布、轉(zhuǎn)載和鏈接的信息準(zhǔn)確；確保政務(wù)數(shù)據(jù)不泄露、不丟失；確保系統(tǒng)穩(wěn)定，避免人為過失造成安全事件；確保賬戶安全，杜絕弱口令和明文傳輸現(xiàn)象，嚴(yán)格保密。

（二）落實網(wǎng)絡(luò)安全等級保護(hù)制度

《網(wǎng)絡(luò)安全法》的實施，對網(wǎng)絡(luò)安全工作有一定的指導(dǎo)作用，其中有三大基本制度，分別是網(wǎng)絡(luò)安全等級保護(hù)制度、用戶信息保護(hù)制度、網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。

在落實網(wǎng)絡(luò)安全等級保護(hù)制度方面，應(yīng)做好以下五個方面的工作。

1.制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任；

2.對本單位的信息系統(tǒng)進(jìn)行定級備案，并按要求做好整改測評；

3.采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

4.采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

5.采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

（三）健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系

《網(wǎng)絡(luò)安全法》第五章將監(jiān)測預(yù)警與應(yīng)急處置工作制度化、法制化，明確國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，建立網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期演練。這為建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險報告機(jī)制、情報共享機(jī)制、研判處置機(jī)制提供了法律依據(jù)，為深化網(wǎng)絡(luò)安全防護(hù)體系，實現(xiàn)全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢提供了法律保障。

通過構(gòu)建網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系，加強(qiáng)對各部門門戶網(wǎng)站、重要信息系統(tǒng)的常態(tài)化監(jiān)測，通過電話、短信、電子郵件等方式，及時通知漏洞，并跟蹤核查整改結(jié)果。網(wǎng)絡(luò)安全監(jiān)測預(yù)警流程如圖3所示。

圖3 網(wǎng)絡(luò)安全監(jiān)測預(yù)警流程

（四）提高教職工網(wǎng)絡(luò)安全意識

用戶上網(wǎng)缺乏必要的安全意識和電腦知識，導(dǎo)致系統(tǒng)漏洞百出，木馬病毒泛濫，這是大多網(wǎng)絡(luò)安全事故產(chǎn)生的真正原因。因此，要使網(wǎng)絡(luò)安全有序運(yùn)行必須首先提高用戶計算機(jī)水平并認(rèn)識到安全的重要性及可能給個人和學(xué)校帶來的危害，掌握電腦防毒防黑技巧，同時強(qiáng)化網(wǎng)絡(luò)法制教育，并把網(wǎng)絡(luò)安全作為一項長期性工作緊抓不懈[4]。具體操作中，可把電腦安全設(shè)置的方法步驟和注意事項等做成視頻或文檔等形式放在網(wǎng)上或張貼在公告欄，也可就計算機(jī)基礎(chǔ)知識和網(wǎng)絡(luò)安全問題定期做一些技術(shù)講座和培訓(xùn)，甚至可將網(wǎng)絡(luò)安全、網(wǎng)絡(luò)法律教育等納入課堂教學(xué)中，從而引導(dǎo)和規(guī)范用戶的上網(wǎng)行為，減少安全事故的發(fā)生。通過開展網(wǎng)絡(luò)安全宣傳教育活動，讓教職工深入了解網(wǎng)絡(luò)安全法規(guī)、網(wǎng)絡(luò)安全管理規(guī)定以及學(xué)校面臨的網(wǎng)絡(luò)安全形勢。

（五）建立應(yīng)急響應(yīng)制度

及時成立信息安全應(yīng)急響應(yīng)小組，對信息安全事件進(jìn)行應(yīng)急響應(yīng)。對信息安全事件的應(yīng)急響應(yīng)進(jìn)行協(xié)調(diào)、處置和管理。一旦發(fā)生安全事件，運(yùn)維或使用部門應(yīng)第一時間采取斷網(wǎng)等有效措施進(jìn)行處置，保留現(xiàn)場，報告至本部門安全負(fù)責(zé)人及網(wǎng)絡(luò)安全工作小組，確定安全事件級別。網(wǎng)絡(luò)安全事件處置流程圖如圖4所示。

圖4 網(wǎng)絡(luò)安全事件處置流程圖

四、未來保障網(wǎng)絡(luò)安全的對策

（一）加大整改力度，加強(qiáng)網(wǎng)站規(guī)范管理

按照教育部對網(wǎng)絡(luò)安全工作的通知要求，對部分暫停開放的信息系統(tǒng)（網(wǎng)站）進(jìn)行整改，統(tǒng)一對各部門及校辦企業(yè)網(wǎng)站進(jìn)行整合，加強(qiáng)規(guī)范管理，關(guān)閉或刪除不必要的網(wǎng)站、應(yīng)用、服務(wù)、端口和鏈接。

（二）完善應(yīng)急預(yù)案，加大機(jī)房監(jiān)控力度

繼續(xù)開展有針對性的網(wǎng)絡(luò)安全專題應(yīng)急演練，進(jìn)一步完善專業(yè)應(yīng)急預(yù)案，保證應(yīng)急預(yù)案的可操作性和可實施性，增強(qiáng)學(xué)校應(yīng)對網(wǎng)絡(luò)安全事件的應(yīng)急處置能力。同時加大機(jī)房監(jiān)控力度，加強(qiáng)電源系統(tǒng)、空調(diào)系統(tǒng)的監(jiān)控，確保機(jī)房供電、溫度、濕度符合標(biāo)準(zhǔn)。加強(qiáng)機(jī)房內(nèi)網(wǎng)絡(luò)設(shè)備的巡檢，組織開展網(wǎng)絡(luò)安全隱患排查和治理。

（三）開展專題培訓(xùn)，提升安全防護(hù)能力

組織開展網(wǎng)絡(luò)安全宣傳教育，面向網(wǎng)絡(luò)安全管理人員和技術(shù)人員開展專題培訓(xùn)，切實增強(qiáng)教職工的網(wǎng)絡(luò)安全意識，提高本單位網(wǎng)絡(luò)安全管理人員的管理水平，提升本單位網(wǎng)絡(luò)安全技術(shù)人員的防護(hù)能力。

（四）加強(qiáng)網(wǎng)絡(luò)監(jiān)控，確保業(yè)務(wù)系統(tǒng)安全運(yùn)行

整理、梳理上網(wǎng)設(shè)備，控制互聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備，對上網(wǎng)行為進(jìn)行監(jiān)控，提高網(wǎng)絡(luò)信息系統(tǒng)的防攻擊、防病毒、防竊密等安全防護(hù)工作。提高服務(wù)器安全配置管理登記，及時更新系統(tǒng)安全補(bǔ)丁，強(qiáng)化信息業(yè)務(wù)系統(tǒng)數(shù)據(jù)的備份，確保業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行，為教育信息化建設(shè)做好技術(shù)保障。

隨著互聯(lián)網(wǎng)應(yīng)用范圍的推廣和高校信息化建設(shè)的推進(jìn)，網(wǎng)絡(luò)信息安全問題日益突出。層出不窮的信息泄露和網(wǎng)絡(luò)攻擊，給高校的發(fā)展帶來了一定的影響。網(wǎng)絡(luò)安全的核心是信息系統(tǒng)安全，包括信息安全和系統(tǒng)安全。在保障學(xué)校網(wǎng)絡(luò)安全過程中，首先要保障的是學(xué)校信息系統(tǒng)的安全，無論是信息系統(tǒng)的管理人員還是運(yùn)維人員，都應(yīng)該充分重視網(wǎng)絡(luò)安全，遵守網(wǎng)絡(luò)安全管理制度。隨著網(wǎng)絡(luò)技術(shù)的不斷更新發(fā)展，網(wǎng)絡(luò)安全管理是一個不斷完善的過程，它需要一支高素質(zhì)的人才隊伍來構(gòu)建安全、可靠的校園網(wǎng)系統(tǒng)，從而保障好學(xué)校的網(wǎng)絡(luò)安全工作，確保不發(fā)生網(wǎng)絡(luò)安全事故[5]。對國家開放大學(xué)這樣依靠互聯(lián)網(wǎng)系統(tǒng)進(jìn)行體系辦學(xué)的模式尤其重要。

由于校園網(wǎng)絡(luò)具有開放性和多樣性的特點(diǎn)，僅采用單方面安全措施的校園網(wǎng)無法滿足安全需要。未來需要構(gòu)建能夠?qū)崿F(xiàn)多層防護(hù)的網(wǎng)絡(luò)安全保障體系，保障業(yè)務(wù)信息系統(tǒng)平穩(wěn)運(yùn)行，為教育信息化建設(shè)保駕護(hù)航。