吳海軍

（三門(mén)峽職業(yè)技術(shù)學(xué)院 現(xiàn)代教育技術(shù)中心，河南 三門(mén)峽 472000）

0 引言

信息，是通信系統(tǒng)傳輸和處理的對(duì)象，泛指人類社會(huì)傳播的一切內(nèi)容。人們通過(guò)獲得、識(shí)別自然界和社會(huì)的信息來(lái)區(qū)別不同事物，得以認(rèn)識(shí)和改造世界。在一切通信和控制系統(tǒng)中，信息是一種普遍聯(lián)系的內(nèi)容形式。

從某種意義上說(shuō)，信息就是一種資源，對(duì)我們有非常重要的意義，具有共享性、普遍性、可處理性等多種特性。信息安全的實(shí)質(zhì)是要保護(hù)信息在傳輸過(guò)程中免受各種類型的破壞和干擾，這就是信息的安全性。根據(jù)國(guó)際上通用的定義，信息的安全性主要指的是信息的可用性、完整性、保密性以及可靠性。［1］信息安全是任何國(guó)家和政府、任何部門(mén)和行業(yè)都非常重視的問(wèn)題，是一個(gè)不容小視的國(guó)家戰(zhàn)略性問(wèn)題。但是，具體到不同的行業(yè)和部門(mén)來(lái)說(shuō)，在信息安全方面的要求和工作重點(diǎn)還是有區(qū)別的。

1 網(wǎng)絡(luò)信息安全的工作重點(diǎn)

以三門(mén)峽職業(yè)技術(shù)學(xué)院為例，2018年學(xué)院持續(xù)推進(jìn)智慧校園建設(shè)，制訂了《三門(mén)峽職業(yè)技術(shù)學(xué)院智慧校園V2.0建設(shè)方案》，以“一站、七平臺(tái)、四中心”為總體建設(shè)目標(biāo)［2］，重點(diǎn)以“智慧三職”院APP為抓手，在整體建設(shè)方案設(shè)計(jì)過(guò)程中，網(wǎng)絡(luò)及信息安全工作始終是貫穿智慧校園建設(shè)的重點(diǎn)。

1.1 科學(xué)統(tǒng)籌，確立校園信息安全工作總體目標(biāo)

按照“依法依規(guī)、技術(shù)保障、以查促防”的總體要求，堅(jiān)持分級(jí)管理、責(zé)任明確、完善建設(shè)的原則，全面提高業(yè)務(wù)主管部門(mén)乃至全校師生的網(wǎng)絡(luò)與信息安全意識(shí)，建立信息安全管理專職團(tuán)隊(duì)，制訂和實(shí)施網(wǎng)絡(luò)安全建設(shè)管理規(guī)范，加強(qiáng)基礎(chǔ)設(shè)施、硬件配備和安全系統(tǒng)的防范措施，定期排查網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)和隱患，不斷提高對(duì)惡意攻擊、非法入侵、有害信息傳播的預(yù)防和應(yīng)急響應(yīng)能力，進(jìn)一步提高網(wǎng)絡(luò)與信息系統(tǒng)的安全保密防護(hù)能力，切實(shí)為信息化環(huán)境下的學(xué)院教育教學(xué)改革與發(fā)展提供可靠的安全保障。

1.2 明責(zé)定制，建立健全網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)體系和管理制度

為加強(qiáng)網(wǎng)絡(luò)與信息安全管理工作，學(xué)院成立了以主管校長(zhǎng)為組長(zhǎng)，現(xiàn)代教育技術(shù)中心主任為辦公室主任，各職能部門(mén)、院部負(fù)責(zé)人為成員的教育信息化試點(diǎn)建設(shè)領(lǐng)導(dǎo)小組，分工明確，責(zé)任具體到人。領(lǐng)導(dǎo)小組的重要職能與工作內(nèi)容之一就是全面負(fù)責(zé)校園網(wǎng)絡(luò)與信息安全保障工作?，F(xiàn)代教育技術(shù)中心組織了技術(shù)支撐團(tuán)隊(duì)和專職管理隊(duì)伍，總體負(fù)責(zé)該項(xiàng)工作的推進(jìn)與管理。同時(shí)，學(xué)院與市政府網(wǎng)絡(luò)信息安全管理部門(mén)、市公安部門(mén)建立了縱向銜接、橫向協(xié)調(diào)的組織保障系統(tǒng)。

學(xué)院制訂了《三門(mén)峽職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)及信息安全管理制度》，在校園網(wǎng)絡(luò)安全、網(wǎng)絡(luò)信息和網(wǎng)站安全、網(wǎng)絡(luò)信息系統(tǒng)安全、數(shù)據(jù)保密、應(yīng)急處置等方面做了嚴(yán)格規(guī)定，另外還制訂了《三門(mén)峽職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)及信息安全責(zé)任書(shū)》《三門(mén)峽職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等多項(xiàng)安全管理規(guī)章制度和安全標(biāo)準(zhǔn)規(guī)范，并在工作中加以落實(shí)，以保證網(wǎng)絡(luò)與信息安全管理工作有章可循。

1.3 積極探索，著力構(gòu)建具有可操作性的網(wǎng)絡(luò)與信息安全防護(hù)機(jī)制

在網(wǎng)絡(luò)安全保護(hù)方面，學(xué)院配備基礎(chǔ)硬件安全設(shè)備。銳捷核心交換機(jī)防火墻板卡、天融信防火墻、網(wǎng)御星云防火墻、山石網(wǎng)科出口路由防火墻對(duì)內(nèi)外網(wǎng)進(jìn)行隔離保護(hù)；啟明星辰入侵防御系統(tǒng)按照惡意入侵特征庫(kù)對(duì)非法入侵攻擊隔離并報(bào)警；銳捷上網(wǎng)行為管理及內(nèi)容審計(jì)系統(tǒng)、銳捷日志審計(jì)系統(tǒng)對(duì)校園上網(wǎng)行為日志記錄備案；核心交換機(jī)和路由器中的相關(guān)安全策略對(duì)安全隱患端口自動(dòng)屏蔽。另外，學(xué)院針對(duì)網(wǎng)管中心機(jī)房、各計(jì)算機(jī)機(jī)房等安全場(chǎng)所及服務(wù)器、門(mén)戶網(wǎng)站、關(guān)鍵數(shù)據(jù)、校園內(nèi)單機(jī)用戶等各類重點(diǎn)信息系統(tǒng)，均采取登記備案、專人負(fù)責(zé)管理、同步備份等有效措施進(jìn)行安全防范，有效確保網(wǎng)絡(luò)與信息的防攻擊性、防篡改性和防泄漏性。

在網(wǎng)站及信息安全保護(hù)方面，同樣利用防火墻入侵防御系統(tǒng)預(yù)置了部分安全策略，對(duì)常見(jiàn)的網(wǎng)站攻擊行為進(jìn)行防御。由專人對(duì)數(shù)據(jù)庫(kù)和系統(tǒng)日志按天進(jìn)行多時(shí)間段、多介質(zhì)查看與備份。網(wǎng)站后臺(tái)程序具有嚴(yán)格的權(quán)限劃分，方便用戶登入后臺(tái)進(jìn)行不同的操作，同時(shí)設(shè)立了嚴(yán)格的二級(jí)網(wǎng)站建設(shè)規(guī)范，以統(tǒng)一標(biāo)準(zhǔn)對(duì)各子網(wǎng)站群進(jìn)行管理，確保二級(jí)網(wǎng)站的健康發(fā)展，確保信息的審核以及數(shù)據(jù)的安全性。同時(shí)定期對(duì)網(wǎng)站安全系統(tǒng)開(kāi)展風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)等工作，減少安全隱患，提高應(yīng)急處理能力，確保網(wǎng)站安全系統(tǒng)持續(xù)穩(wěn)定運(yùn)行。

在信息發(fā)布審核方面，學(xué)院制訂了詳細(xì)周密的校園網(wǎng)信息管理辦法，嚴(yán)格規(guī)范了信息的撰寫(xiě)、發(fā)布和審核工作；設(shè)置網(wǎng)站編輯專崗，負(fù)責(zé)網(wǎng)站信息審核和不良信息處理工作，配備后臺(tái)技術(shù)權(quán)限，全校各院部對(duì)門(mén)戶網(wǎng)站的信息報(bào)送與上傳需經(jīng)主、副編輯的二次審核后才能刊登。學(xué)院還建立了完善的網(wǎng)絡(luò)信息安全監(jiān)管體制，與市網(wǎng)監(jiān)支隊(duì)建立了協(xié)查機(jī)制，定期將規(guī)定的信息及關(guān)鍵字對(duì)網(wǎng)站內(nèi)容加以審查過(guò)濾，校內(nèi)由專人全面負(fù)責(zé)信息安全與監(jiān)控工作，對(duì)學(xué)院內(nèi)部、外部網(wǎng)站信息進(jìn)行定期監(jiān)控和備份，將各類不良信息在第一時(shí)間向?qū)W院匯報(bào)并妥善處理。

1.4 防患未然，建立完善的網(wǎng)絡(luò)與信息安全工作應(yīng)急處置和通報(bào)機(jī)制

學(xué)院制訂了專門(mén)的網(wǎng)絡(luò)安全與信息保密工作日常監(jiān)測(cè)預(yù)警機(jī)制，遵循“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，加強(qiáng)對(duì)各類突發(fā)網(wǎng)絡(luò)與信息安全事件和可能引起突發(fā)事件的有關(guān)信息的收集匯總、分析判斷和持續(xù)監(jiān)測(cè)，同時(shí)明確應(yīng)急處置流程和權(quán)限，對(duì)重大網(wǎng)絡(luò)與信息安全事件建立處置和報(bào)告制度。該項(xiàng)安全應(yīng)急預(yù)警機(jī)制由現(xiàn)代教育技術(shù)中心負(fù)責(zé)統(tǒng)籌，專職人員負(fù)責(zé)具體實(shí)施，全體技術(shù)人員作為技術(shù)支撐。如遇突發(fā)安全事件，將在第一時(shí)間采取應(yīng)急措施控制事態(tài)發(fā)展，降低損害程度，保存相關(guān)記錄，并根據(jù)安全事件的嚴(yán)重程度及時(shí)上報(bào)主管領(lǐng)導(dǎo)與有關(guān)部門(mén)，做到應(yīng)急處置迅速、報(bào)告及時(shí)。

網(wǎng)絡(luò)輿情監(jiān)測(cè)系統(tǒng)對(duì)涉及我院的互聯(lián)網(wǎng)輿情進(jìn)行重點(diǎn)監(jiān)測(cè)，對(duì)重點(diǎn)網(wǎng)站實(shí)施重點(diǎn)監(jiān)管，保證及時(shí)性和準(zhǔn)確性，提高分析網(wǎng)絡(luò)信息問(wèn)題的能力。對(duì)網(wǎng)絡(luò)信息活動(dòng)進(jìn)行有效管理，實(shí)現(xiàn)早發(fā)現(xiàn)、早報(bào)告、早處理，減少互聯(lián)網(wǎng)不良信息的傳播，凈化網(wǎng)絡(luò)宣傳環(huán)境，維護(hù)網(wǎng)絡(luò)信息傳播秩序。

學(xué)院還定期進(jìn)行網(wǎng)絡(luò)與信息安全檢測(cè)與自查，落實(shí)和完善安全措施，及時(shí)掌握網(wǎng)絡(luò)與信息系統(tǒng)安全狀況，認(rèn)真查找安全隱患，堵塞安全漏洞；同時(shí)定期舉辦網(wǎng)絡(luò)與信息安全事故應(yīng)急演練，進(jìn)一步提高網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急能力和突發(fā)事件的應(yīng)急處置能力，建立健全網(wǎng)站與信息安全保障機(jī)制。

1.5 持續(xù)給力，加強(qiáng)網(wǎng)絡(luò)安全管理隊(duì)伍建設(shè)，不斷增強(qiáng)網(wǎng)絡(luò)與信息安全防護(hù)能力

學(xué)院致力于建立多層次的網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)體系，加大投入力度，尤其是按需不斷更新基礎(chǔ)硬件配備，提升防御系統(tǒng)性能，構(gòu)建可信、可控、可查的網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)環(huán)境，為網(wǎng)絡(luò)與信息安全提供可靠的、強(qiáng)有力的保障。同時(shí)推進(jìn)網(wǎng)絡(luò)與信息安全等級(jí)保護(hù)制度，按照國(guó)家與教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范與工作要求，對(duì)已有以及新建的各項(xiàng)安全系統(tǒng)進(jìn)行定級(jí)與備案，并定時(shí)進(jìn)行等級(jí)測(cè)評(píng)，加強(qiáng)安全防護(hù)措施的建設(shè)。

另外，學(xué)院不斷加強(qiáng)網(wǎng)絡(luò)與信息安全管理隊(duì)伍和技術(shù)隊(duì)伍建設(shè)［3］，開(kāi)展面向全員的專業(yè)培訓(xùn)，落實(shí)崗位責(zé)任制和考核機(jī)制。

目前，學(xué)院第一批核心信息系統(tǒng)等級(jí)保護(hù)定級(jí)測(cè)評(píng)工作已由相關(guān)公司完成相關(guān)流程，學(xué)院博達(dá)網(wǎng)站群管理平臺(tái)、教務(wù)網(wǎng)絡(luò)管理系統(tǒng)、天財(cái)財(cái)務(wù)管理平臺(tái)和校園一卡通系統(tǒng)安全等級(jí)測(cè)評(píng)結(jié)果均為第二級(jí)（S2A2G2）。

2 網(wǎng)絡(luò)信息安全面臨的問(wèn)題

2.1 物理安全問(wèn)題

機(jī)房出入口未安排專人值守；漏水防護(hù)措施不完善；機(jī)房未配備自動(dòng)消防系統(tǒng)；來(lái)訪人員未登記審批記錄；機(jī)房未配各專用精密空調(diào)對(duì)濕度進(jìn)行控制；未對(duì)存儲(chǔ)介質(zhì)進(jìn)行分類標(biāo)識(shí)；系統(tǒng)主要設(shè)備未設(shè)置標(biāo)簽標(biāo)記。

2.2 網(wǎng)絡(luò)安全問(wèn)題

系統(tǒng)網(wǎng)絡(luò)未部署入侵檢測(cè)設(shè)備；系統(tǒng)未采取措施對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查；身份鑒別機(jī)制不完善；網(wǎng)絡(luò)設(shè)備出口網(wǎng)關(guān)、流量控制、匯聚交換機(jī)未采用加密方式進(jìn)行遠(yuǎn)程管理［4］；網(wǎng)絡(luò)設(shè)備出口防火墻、出口網(wǎng)關(guān)、服務(wù)器接入交換機(jī)、匯聚交換機(jī)未啟用登錄失敗處理功能；出口防火墻、出口網(wǎng)關(guān)、流量控制等設(shè)備未對(duì)遠(yuǎn)程管理地址進(jìn)行合理限制；網(wǎng)絡(luò)設(shè)備服務(wù)器接入交換機(jī)與匯聚交換機(jī)未提供身份鑒別功能。

2.3 數(shù)據(jù)安全及備份恢復(fù)問(wèn)題

核心網(wǎng)絡(luò)設(shè)備、關(guān)鍵鏈路等關(guān)鍵設(shè)備存在單點(diǎn)故障；應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫(kù)未對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)；操作系統(tǒng)未對(duì)重要數(shù)據(jù)進(jìn)行備份［5］；系統(tǒng)未采用密碼技術(shù)進(jìn)行通信完整性驗(yàn)證。

3 改進(jìn)措施與整改效果

3.1 改進(jìn)措施

3.1.1 物理安全措施

在機(jī)房出入口加強(qiáng)門(mén)禁管理，對(duì)出入人員進(jìn)行控制和登記；在空調(diào)設(shè)備及可能出現(xiàn)漏水隱患的區(qū)域周邊增設(shè)防水堤，安裝浸水報(bào)警裝置，以降低因漏水、積水對(duì)信息設(shè)備造成的影響；定期檢查機(jī)房專用滅火器；建立有效的外來(lái)人員進(jìn)入機(jī)房的審批記錄表；配備機(jī)房精密空調(diào)進(jìn)行濕度控制，濕度45%～65%；為各存儲(chǔ)介質(zhì)進(jìn)行分類標(biāo)識(shí)；為系統(tǒng)內(nèi)所有重要設(shè)備及通信線纜設(shè)置明顯的不易去除的標(biāo)簽。

3.1.2 網(wǎng)絡(luò)安全措施

考慮在系統(tǒng)中部署網(wǎng)絡(luò)入侵檢測(cè)設(shè)備，對(duì)可能潛在的攻擊行為進(jìn)行檢測(cè)并報(bào)警；考慮架設(shè)能夠檢測(cè)內(nèi)部用戶非法外聯(lián)行為的設(shè)備或采取其他同等效力的監(jiān)控措施，對(duì)違規(guī)外聯(lián)行為進(jìn)行檢查和阻斷；為系統(tǒng)增加口令復(fù)雜度檢查及限制功能，加強(qiáng)系統(tǒng)在身份鑒別機(jī)制方面的安全防護(hù)能力；采用安全的方式（如SSH、HTTPS等）對(duì)網(wǎng)絡(luò)設(shè)備出口網(wǎng)關(guān)、流量控制、匯聚交換機(jī)等設(shè)備進(jìn)行遠(yuǎn)程管理；啟用網(wǎng)絡(luò)設(shè)備如出口防火墻、出口網(wǎng)關(guān)、服務(wù)器接入交換機(jī)、匯聚交換機(jī)登錄失敗處理功能，并設(shè)置合理的參數(shù)；設(shè)置出口防火墻、出口網(wǎng)關(guān)、流量控制等設(shè)備遠(yuǎn)程管理地址限制，其顆粒度應(yīng)達(dá)到主機(jī)級(jí)。

3.1.3 數(shù)據(jù)安全及備份恢復(fù)安全措施

遠(yuǎn)期考慮對(duì)核心網(wǎng)絡(luò)設(shè)備、關(guān)鍵鏈路、核心服務(wù)器均采用冗余設(shè)計(jì)［6］；考慮對(duì)系統(tǒng)管理數(shù)據(jù)、鑒別信息及重要業(yè)務(wù)數(shù)據(jù)采用經(jīng)國(guó)家密碼主管部門(mén)認(rèn)可的密碼技術(shù)，保證其在存儲(chǔ)過(guò)程中數(shù)據(jù)的私密性；對(duì)操作系統(tǒng)數(shù)據(jù)每天至少完全備份1次，并將備份介質(zhì)場(chǎng)外存放，此外還應(yīng)定期對(duì)備份文件進(jìn)行恢復(fù)測(cè)試，確保備份文件有效［7］；考慮對(duì)重要數(shù)據(jù)采用經(jīng)國(guó)家密碼管理局認(rèn)可的密碼技術(shù)，保證通信數(shù)據(jù)的完整性。

3.2 整改效果

經(jīng)過(guò)開(kāi)展自查工作和學(xué)院第一批核心信息系統(tǒng)等級(jí)保護(hù)定級(jí)測(cè)評(píng)工作，學(xué)院預(yù)計(jì)將在以下幾個(gè)方面達(dá)到一定的網(wǎng)絡(luò)安全管理整改效果：一是完善網(wǎng)絡(luò)安全管理制度建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全從業(yè)人員的網(wǎng)絡(luò)安全培訓(xùn)，進(jìn)一步提高系統(tǒng)管理員、信息安全員的信息安全防范意識(shí)；二是核實(shí)學(xué)院自查情況，按照學(xué)院信息安全風(fēng)險(xiǎn)級(jí)別和智慧校園建設(shè)進(jìn)度合理安排查缺補(bǔ)漏進(jìn)度，杜絕高風(fēng)險(xiǎn)隱患，降低中風(fēng)險(xiǎn)比例，控制低風(fēng)險(xiǎn)比例。