◆郭玉龍 楊浩杰

高校信息安全風(fēng)險(xiǎn)分析及對(duì)策研究

◆郭玉龍 楊浩杰

（鐵道警察學(xué)院 河南 450053）

隨著科學(xué)技術(shù)的快速發(fā)展和社會(huì)的進(jìn)步，高校的信息化建設(shè)正在快速推進(jìn)，高校的教學(xué)、科研、管理等工作對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的依賴越來越強(qiáng)，信息安全已成為高校普遍關(guān)注的重要問題。本文從技術(shù)、管理、理念等方面分析了影響高校信息安全的風(fēng)險(xiǎn)因素，研究提升信息安全的策略和方法，旨在為高校信息安全管理提供參考，提升信息安全管理水平。

信息安全；數(shù)據(jù)管理；信息化

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，高校普遍都進(jìn)行了信息化建設(shè)，從最初的校園網(wǎng)建設(shè)，到后來的數(shù)字校園建設(shè)，以及近幾年在云計(jì)算、大數(shù)據(jù)技術(shù)支撐下的智慧校園建設(shè)，高校信息化建設(shè)逐步深入。隨著信息化建設(shè)的逐步推進(jìn)，高校的教學(xué)、科研、管理等工作越來越依賴于校園網(wǎng)及各類應(yīng)用系統(tǒng)的正常穩(wěn)定運(yùn)行，校園網(wǎng)及應(yīng)用系統(tǒng)已成為高校重要的基礎(chǔ)設(shè)施。各類應(yīng)用系統(tǒng)中積累和沉淀的數(shù)據(jù)已成為高校重要的戰(zhàn)略資產(chǎn)，通過分析教學(xué)、科研、生活等各類業(yè)務(wù)過程數(shù)據(jù)可以了解學(xué)生的學(xué)習(xí)狀況、思想狀況、生活習(xí)慣，為科學(xué)合理地制定教學(xué)方案、完善管理體制提供數(shù)據(jù)支撐和參考。

在信息化方便各項(xiàng)業(yè)務(wù)開展，提升辦事效率的同時(shí)，病毒攻擊、數(shù)據(jù)丟失、隱私泄露等信息安全問題也隨之出現(xiàn)。信息化應(yīng)用程度越高，對(duì)信息化依賴程度越強(qiáng)，信息安全問題造成的影響就越大。分析信息安全風(fēng)險(xiǎn)因素，研究防范信息安全事件的策略和方法在當(dāng)今信息化快速發(fā)展的時(shí)代將具有重要的理論價(jià)值和實(shí)踐指導(dǎo)意義。

1 高校信息化建設(shè)概況

目前大多數(shù)高校在初期建設(shè)的校園網(wǎng)和數(shù)字校園的基礎(chǔ)上，正在進(jìn)行智慧校園建設(shè)。基本都建成了覆蓋教學(xué)樓、辦公樓、圖書館、宿舍等主要區(qū)域的校園網(wǎng)，并建設(shè)有教務(wù)管理、財(cái)務(wù)管理、辦公自動(dòng)化、科研管理等業(yè)務(wù)管理系統(tǒng)，實(shí)現(xiàn)了業(yè)務(wù)流程的網(wǎng)絡(luò)化。同時(shí)在已有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上，建立了統(tǒng)一的數(shù)據(jù)交換平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)的整合和共享。在數(shù)據(jù)整合和共享的基礎(chǔ)上，運(yùn)用大數(shù)據(jù)技術(shù)，對(duì)數(shù)據(jù)進(jìn)行深度挖掘和分析，多維度的了解學(xué)校的發(fā)展?fàn)顩r，為科學(xué)決策提供有力的數(shù)據(jù)支撐。

在信息化建設(shè)的過程中，師生普遍對(duì)各類應(yīng)用系統(tǒng)的功能和作用比較關(guān)注，對(duì)系統(tǒng)的運(yùn)行和管理狀態(tài)則很少進(jìn)行關(guān)心，存在重建設(shè)輕管理的現(xiàn)象。很多系統(tǒng)部署上線完成以后只要不影響正常訪問，就很少再去看后臺(tái)的運(yùn)行狀態(tài)。磁盤空間不足、異常用戶登錄等比較隱蔽的問題不能及時(shí)發(fā)現(xiàn)，直到出現(xiàn)明顯的問題時(shí)才去處理，但很多時(shí)候造成的損失已難以彌補(bǔ)。目前高校充分認(rèn)識(shí)到了信息化的重要作用，對(duì)信息化建設(shè)比較重視，但在建設(shè)的過程中，對(duì)信息安全問題還存在重視不夠的情況。

2 高校信息安全風(fēng)險(xiǎn)因素

信息化建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及硬件建設(shè)、軟件建設(shè)、日常使用、運(yùn)行維護(hù)等很多環(huán)節(jié)，每一個(gè)環(huán)節(jié)出現(xiàn)問題都會(huì)導(dǎo)致信息安全事件，從技術(shù)、管理、使用等多方面進(jìn)行分析，主要存在以下安全風(fēng)險(xiǎn)因素：

（1）軟硬件故障。服務(wù)器、存儲(chǔ)、交換機(jī)等硬件設(shè)備的正常穩(wěn)定運(yùn)行是保證業(yè)務(wù)系統(tǒng)正常運(yùn)行和數(shù)據(jù)安全的基礎(chǔ)，但由于受供電電壓不穩(wěn)定、溫濕度過高或過低、靜電干擾等環(huán)境因素的影響，不可避免將降低設(shè)備運(yùn)行的穩(wěn)定性。同時(shí)隨著設(shè)備運(yùn)行時(shí)間的增長(zhǎng)，零部件會(huì)逐漸老化，性能和穩(wěn)定性將不可避免的降低。部分軟件由于設(shè)計(jì)的缺陷，可能存在內(nèi)存泄露、邏輯錯(cuò)誤等問題，短期內(nèi)可能不會(huì)出現(xiàn)運(yùn)行錯(cuò)誤，但運(yùn)行時(shí)間較長(zhǎng)或者滿足特定條件將有可能出現(xiàn)系統(tǒng)故障，造成數(shù)據(jù)丟失或其他問題。

（2）病毒攻擊和破壞。計(jì)算機(jī)病毒是人為編制的、可以破壞計(jì)算機(jī)上的正常程序和數(shù)據(jù)并影響計(jì)算機(jī)正常運(yùn)行、能進(jìn)行自我復(fù)制的指令代碼。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)病毒也在快速的演變和發(fā)展。目前計(jì)算機(jī)和網(wǎng)絡(luò)深入到了人們生活和工作的每一個(gè)角落，影響越來越廣泛，很多惡意的個(gè)人和組織利用互聯(lián)網(wǎng)開放性的特征，加緊對(duì)互聯(lián)網(wǎng)進(jìn)行惡意的攻擊和破壞?，F(xiàn)在的病毒攻擊和破壞出現(xiàn)了很多新的特征，攻擊者的目的不再是簡(jiǎn)單的展示自己的高超技術(shù)，而是實(shí)現(xiàn)特定的經(jīng)濟(jì)或者政治目的，如近幾年出現(xiàn)的勒索病毒?，F(xiàn)在互聯(lián)網(wǎng)上的病毒是越來越多，越來越隱蔽，防范和發(fā)現(xiàn)的難度越來越大，已成為對(duì)計(jì)算機(jī)和互聯(lián)網(wǎng)嚴(yán)重的威脅因素。

（3）數(shù)據(jù)泄露。數(shù)據(jù)已成為一個(gè)組織重要的戰(zhàn)略資源，但很多高校對(duì)數(shù)據(jù)的重要性認(rèn)識(shí)不足，對(duì)數(shù)據(jù)安全的重視程度不夠，造成了很多網(wǎng)絡(luò)安全事件或者其他事故。網(wǎng)絡(luò)詐騙很多都是從數(shù)據(jù)泄露開始的，犯罪分子首先收集個(gè)人的一些基本信息，然后利用已掌握的信息騙取信任，進(jìn)行進(jìn)一步的精準(zhǔn)詐騙。高校的學(xué)生信息數(shù)據(jù)、科研數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等屬于重要的資產(chǎn)，一旦出現(xiàn)泄漏或者破壞，將造成嚴(yán)重的后果，需要進(jìn)行重點(diǎn)防護(hù)。

（4）管理不規(guī)范。高校的信息化建設(shè)需要有設(shè)備廠商、運(yùn)維人員、管理人員、教職工、學(xué)生的共同參與，每一個(gè)環(huán)節(jié)出現(xiàn)問題都會(huì)導(dǎo)致全校的網(wǎng)絡(luò)安全隱患。很多高校在網(wǎng)絡(luò)安全管理方面的制度還不夠完善，或者制度執(zhí)行不到位，不能對(duì)信息化的參與人員形成有效的約束。高校的信息化建設(shè)涉及校園網(wǎng)、各類業(yè)務(wù)管理系統(tǒng)、教學(xué)平臺(tái)、科研平臺(tái)、學(xué)生及教職工個(gè)人電腦等很多要素，難以部署統(tǒng)一的防病毒軟件和應(yīng)用統(tǒng)一的安全策略，這進(jìn)一步增加了安全管理的難度。

（5）缺乏安全意識(shí)。安全意識(shí)缺失，對(duì)網(wǎng)絡(luò)安全工作重視不夠是造成很多網(wǎng)絡(luò)安全問題的重要因素。在進(jìn)行信息化建設(shè)時(shí)，領(lǐng)導(dǎo)和教職工更多的是關(guān)注系統(tǒng)的功能和性能，對(duì)信息安全工作經(jīng)常不夠重視，甚至認(rèn)為信息安全工作是技術(shù)方面的事，主要由信息管理部門負(fù)責(zé)，與自己無關(guān)。事實(shí)上很多信息安全事故都是由普通用戶引起的，比如有些教職工使用的密碼太過簡(jiǎn)單，被輕易破解，被惡意登錄獲取只有內(nèi)部教職工才可以看到的信息，造成信息泄露，甚至可能以此為突破口進(jìn)一步對(duì)網(wǎng)絡(luò)或應(yīng)用系統(tǒng)進(jìn)行滲透。

3 高校信息安全防范策略

設(shè)備故障、病毒攻擊和破壞、安全意識(shí)淡薄等很多因素都可以引起信息安全問題，綜合技術(shù)、管理、意識(shí)等多方面的因素，應(yīng)從以下幾方面加強(qiáng)對(duì)信息安全的管理，防范信息安全風(fēng)險(xiǎn)。

（1）部署安全防護(hù)設(shè)備。必要的安全設(shè)備是阻止網(wǎng)絡(luò)攻擊和掃描，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要支撐。針對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)的重要程度可以劃分不同的安全域，不同的安全域之間需要部署防火墻、入侵防護(hù)等安全設(shè)備對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行檢測(cè)和過濾。通常在校園網(wǎng)出口處需要部署防火墻或其他安全設(shè)備，對(duì)進(jìn)出校園網(wǎng)的數(shù)據(jù)進(jìn)行檢測(cè)和過濾，避免病毒輕易進(jìn)入到校園內(nèi)網(wǎng)，防止對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行破壞。內(nèi)網(wǎng)服務(wù)器需要部署在單獨(dú)的安全域內(nèi)，并在服務(wù)器區(qū)和校園網(wǎng)之間部署安全設(shè)備，對(duì)進(jìn)出服務(wù)器區(qū)的數(shù)據(jù)進(jìn)行過濾和監(jiān)測(cè)，防止內(nèi)網(wǎng)上惡意用戶對(duì)服務(wù)器進(jìn)行破壞?；ヂ?lián)網(wǎng)、校園內(nèi)網(wǎng)、服務(wù)器區(qū)是最基本的安全域劃分方法，為了進(jìn)行更精細(xì)化的管理，可以劃分為更多的安全區(qū)域。

（2）加強(qiáng)網(wǎng)絡(luò)安全管理。防火墻、入侵防護(hù)等安全設(shè)備部署完成后需要根據(jù)網(wǎng)絡(luò)的運(yùn)行狀況及時(shí)進(jìn)行調(diào)整，以適應(yīng)最新的網(wǎng)絡(luò)安全態(tài)勢(shì)。病毒和攻擊的手段時(shí)刻都會(huì)發(fā)生變化，需要不斷的升級(jí)規(guī)則庫，優(yōu)化安全防護(hù)規(guī)則和策略。要經(jīng)常查看各類安全設(shè)備的運(yùn)行狀態(tài)和日志，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)并及時(shí)處理，避免風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大。

（3）做好冗余備份。對(duì)重要的設(shè)備和數(shù)據(jù)要進(jìn)行冗余備份，避免出現(xiàn)安全問題后造成數(shù)據(jù)永久的丟失和損壞。不可能保證系統(tǒng)和數(shù)據(jù)的絕對(duì)安全，進(jìn)行冗余備份是風(fēng)險(xiǎn)發(fā)生后的補(bǔ)救措施。對(duì)冗余備份的設(shè)備和數(shù)據(jù)要經(jīng)常進(jìn)行恢復(fù)測(cè)試，避免安全事件發(fā)生后備份數(shù)據(jù)失效。

（4）提高網(wǎng)絡(luò)安全意識(shí)。高校領(lǐng)導(dǎo)需要充分重視網(wǎng)絡(luò)安全工作，從人員、資金、制度等方面的給予充分的保障。網(wǎng)絡(luò)管理人員要有責(zé)任心，密切關(guān)注網(wǎng)絡(luò)安全狀態(tài)，及時(shí)調(diào)整優(yōu)化網(wǎng)絡(luò)安全防護(hù)策略。教職工和學(xué)生要規(guī)范、文明的使用網(wǎng)絡(luò)，不瀏覽不健康網(wǎng)站，不安裝來源不明軟件，不隨意連接未知的無線網(wǎng)絡(luò)，妥善保管自己的賬號(hào)、密碼等個(gè)人信息，避免自己計(jì)算機(jī)遭到病毒攻擊和破壞。

4 結(jié)語

高校的信息安全工作是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、管理、理念等諸多方面，而且病毒和攻擊手段時(shí)刻都在發(fā)生變化，這就要求高校必須結(jié)合實(shí)際情況，培養(yǎng)強(qiáng)有力信息安全管理團(tuán)隊(duì)，找出適合本校的信息安全管理策略和方法，并根據(jù)信息安全態(tài)勢(shì)和運(yùn)行狀態(tài)不斷進(jìn)行調(diào)整優(yōu)化，提升整體信息安全水平，避免出現(xiàn)信息安全事件。

[1]唐宇.大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（07）：59-60.

[2]蔡彬彬，孫忠輝.計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題及防護(hù)策略研究[J].長(zhǎng)春理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2019，42（03）：128-132+137.

[3]劉夢(mèng)君，姜雨薇，曹樹真，楊兵.信息安全技術(shù)在教育數(shù)據(jù)安全與隱私中的應(yīng)用分析[J].中國電化教育，2019（06）：123-130.

[4]黃立冬.校園計(jì)算機(jī)網(wǎng)絡(luò)信息的安全管理探討[J].教育理論與實(shí)踐，2019，39（11）：25-26.

[5]朱海龍，胡鵬.高校校園網(wǎng)絡(luò)安全管理問題與對(duì)策研究[J].湖南社會(huì)科學(xué)，2018（05）：98-109.

[6]陶源，黃濤，張墨涵，黎水林.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究及發(fā)展趨勢(shì)分析[J].信息網(wǎng)絡(luò)安全，2018（08）：79-85.

中央高校基本科研業(yè)務(wù)經(jīng)費(fèi)項(xiàng)目（2018TJJBKY020，2019TJJBKY012）；河南省高等學(xué)校重點(diǎn)科研項(xiàng)目（19B510008）。