杭州電子科技大學計算機學院 郭倩 張樺 何嵐嵐

互聯(lián)網(wǎng)時代在改變了人們的生活方式的同時也對教育領(lǐng)域尤其高等學校師生的工作學習產(chǎn)生了重大影響，“互聯(lián)網(wǎng)+教育”新模式下，數(shù)字校園建設(shè)已經(jīng)成為高校數(shù)字化轉(zhuǎn)型中最為重要的環(huán)節(jié),對高校的教學、科研、師生生活帶來了顛覆性的變革。與此同時，大量的互聯(lián)網(wǎng)應(yīng)用場景下暴露出來的網(wǎng)絡(luò)信息安全管理風險和問題也越來越多。本文分析了高校網(wǎng)絡(luò)信息安全的現(xiàn)狀及問題，提出了加強教育行業(yè)網(wǎng)絡(luò)安全防護保障體系的建議及構(gòu)建一體化的高校網(wǎng)絡(luò)安全監(jiān)測預(yù)警與處置體系。

1 研究背景

隨著現(xiàn)代互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和高校數(shù)字校園等信息化建設(shè)的全面推進，校園網(wǎng)已經(jīng)成為高等院校的重要基礎(chǔ)設(shè)施之一[1]。在高校中，互聯(lián)網(wǎng)極大的便利了大學生的日常學習和生活。但是，網(wǎng)絡(luò)上的信息參差不齊，眾多的信息充斥著網(wǎng)絡(luò)空間，難辨真?zhèn)蝃2]。在目前階段，學生仍未步入社會，對于信息的是非辨別能力不強。在瀏覽互聯(lián)網(wǎng)上的信息時，很有可能被外界因素左右自己的判斷，給學校的網(wǎng)絡(luò)安全管理帶來更大的負擔。

高校是思想政治和意識形態(tài)的重要陣地[3]，境內(nèi)外敵對勢力想打設(shè)法的借助高校給大學生灌輸有害于身心健康的內(nèi)容，而網(wǎng)絡(luò)這個開放的空間，便被用來傳播有害思想和內(nèi)容的重要工具。大學生的心智尚不成熟，網(wǎng)絡(luò)安全意識淡薄，很容易受到敵對勢力和不法分子的蠱惑，陷入“網(wǎng)絡(luò)陷阱”，在近些年表現(xiàn)的更為明顯。如何建立健全高校的網(wǎng)絡(luò)信息安全保障體系，是迫在眉睫的。

2 高校網(wǎng)絡(luò)信息安全現(xiàn)狀及問題分析

隨著高校教育信息化的發(fā)展，越來越多的科研、教學、管理、學生思政等工作需要借助于互聯(lián)網(wǎng)平臺開展。一方面，教育行業(yè)作為一個國家的最重要行業(yè)之一，必定會成為敵對勢力的攻擊對象。雖然其中一大半是主管及運營單位的信息安全自檢工作，但是另外一部分尤其是來自境外的攻擊仍是不可忽視的不安全因素。另一方面，互聯(lián)網(wǎng)是個開放的平臺，信息參差不齊，大學生長期暴露在這種網(wǎng)絡(luò)環(huán)境中很容易被灌輸不良信息。因此，給大學生營造一個清朗健康的網(wǎng)絡(luò)環(huán)境，及時發(fā)現(xiàn)并處理高校信息化過程中出現(xiàn)的網(wǎng)絡(luò)信息安全問題，增強大學生的網(wǎng)絡(luò)安全防范意識，是關(guān)乎國家信息安全的重要內(nèi)容。然而當前高校網(wǎng)絡(luò)安全事件時有發(fā)生，現(xiàn)狀不盡人意。

2.1 網(wǎng)絡(luò)謠言層出不窮

互聯(lián)網(wǎng)號稱“虛擬社會”，網(wǎng)絡(luò)的產(chǎn)生和繁盛賦予了言論自由新的活力[4]，這種權(quán)力往往會被一部分網(wǎng)民濫用，出于各種原因傳播一些不實或錯誤言論，嚴重影響人們的正常生活。高校青年作為一個特殊的社會群體，具有較高的科學文化素養(yǎng)，在某些網(wǎng)絡(luò)消息方面有較強的辨別能力，然而大學生青春期特有的生理、心理特征及作為新媒體的最廣泛受眾，往往也容易被別有用心的人利用成為網(wǎng)絡(luò)謠言傳播“利器”。

2.2 網(wǎng)絡(luò)詐騙事件頻發(fā)

詐騙作為長期以來一直存在的犯罪方式，也是隨著生活方式的改變不斷演化的。從之前的電話詐騙，到現(xiàn)在的電信詐騙、網(wǎng)絡(luò)詐騙，套路和陷阱更新迭代的速率之快，手段之新穎，都讓廣大互聯(lián)網(wǎng)用戶防不勝防。在高校，一些不法分子利用學生對老師的尊敬及信任之心，冒充任課老師建立線上QQ群，并在群內(nèi)發(fā)布因線上教學需要購買材料等繳費信息，誘導(dǎo)學生通過微信或支付寶方式轉(zhuǎn)賬。此外，有些詐騙分子冒充企業(yè)在網(wǎng)上發(fā)布虛假的招聘信息，利用學生們的求職迫切之心，向?qū)W生收取培訓費、體檢費等。

2.3 校園網(wǎng)用戶的不良網(wǎng)絡(luò)行為

高校學生群體網(wǎng)絡(luò)活躍度高，在開放環(huán)境下學生樂忠于嘗試網(wǎng)絡(luò)新技術(shù)，因此會有更大概率面臨新技術(shù)帶來的安全威脅。高校存在的高水平的計算機技能的學生，有一定的開發(fā)和創(chuàng)新能力[5]，往往出于好奇或者科研需要，主動開發(fā)一些高危代碼，嘗試利用學校信息系統(tǒng)漏洞、編制木馬程序等，對校園網(wǎng)造成潛在網(wǎng)絡(luò)威脅。

另外，部分學生法律意識薄弱，利用VPN等代理技術(shù)訪問非法境外網(wǎng)站。國內(nèi)的網(wǎng)絡(luò)環(huán)境相對比較穩(wěn)定，監(jiān)管力度更大，可以確保大多數(shù)網(wǎng)絡(luò)信息的安全性。但是訪問一些境外網(wǎng)絡(luò)，由于缺少了相應(yīng)的監(jiān)管措施，一些違法或不健康的內(nèi)容就會暴露在大學生面前，甚至進行傳播；對于網(wǎng)絡(luò)安全來說，這樣的行為也進一步擴大了被惡意木馬病毒程序攻擊的可能性。

2.4 高校信息系統(tǒng)漏洞和網(wǎng)絡(luò)攻擊

高校的數(shù)字校園建設(shè)日趨完善，各類互聯(lián)網(wǎng)資源及應(yīng)用也越來越豐富，為師生的學習、工作和校園生活創(chuàng)造了良好的信息化環(huán)境，與此同時，不可避免的會存在各種系統(tǒng)漏洞。在行業(yè)性質(zhì)方面，高校作為非營利事業(yè)單位，無法像商業(yè)公司一樣大規(guī)模進行信息化建設(shè)與網(wǎng)絡(luò)安全維護投入，技術(shù)迭代慢，進而導(dǎo)致高校信息系統(tǒng)補丁及服務(wù)組件版本更新迭代滯后，可能存在各種漏洞未及時修復(fù)，容易受到多種類型的攻擊，信息泄露、黑客攻擊、網(wǎng)頁被掛木馬等現(xiàn)象比比皆是。據(jù)統(tǒng)計占比最高的三項分別為命令注入攻擊、SQL注入攻擊、Web組件漏洞利用等[6]。信息系統(tǒng)安全已成為高校數(shù)字校園建設(shè)過程中的一道瓶頸。

2.5 個人信息和重要數(shù)據(jù)泄露

隨著大數(shù)據(jù)時代與信息經(jīng)濟的到來，數(shù)據(jù)的經(jīng)濟價值不斷上升，高校師生的數(shù)據(jù)也成為被獲取的重點對象，而一旦發(fā)生信息泄露，為用戶帶來的負面影響不僅是經(jīng)濟損失，還有聲譽損失。在高校，大學生信息被企業(yè)盜用、學生不知情情況“被入職”等事件時有發(fā)生，此前徐玉玉事件導(dǎo)致的悲劇，以及此類信息泄露事件造成的惡劣影響，警視著我們高校已成為信息泄露重災(zāi)區(qū)。

高校數(shù)字化、信息化建設(shè)不斷發(fā)展，引入各類信息系統(tǒng)中存儲的敏感數(shù)據(jù)也越來越多，學校信息系統(tǒng)存儲大量的師生個人信息，另外，高校的一些擁有自有授權(quán)資料的研究成果，如期刊授權(quán)、學生論文和科研成果等，高校個人和科研信息價值的不斷瘋漲，這些信息的泄露對于高校的知識產(chǎn)權(quán)保護、甚至相關(guān)領(lǐng)域的國家安全構(gòu)成嚴重的威脅[7]。

2.6 安全風險監(jiān)測管控措施落后

我國高校在信息化軟硬件設(shè)施建設(shè)上比較完善，但在應(yīng)用效果上卻參差不齊，很少高校能夠在IT系統(tǒng)和架構(gòu)及數(shù)據(jù)層面有安全考慮，網(wǎng)絡(luò)安全技術(shù)手段不足，更多重視的是網(wǎng)絡(luò)基礎(chǔ)設(shè)備，缺乏專業(yè)的入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全分析監(jiān)測設(shè)備，被黑客惡意攻擊往往無法及時監(jiān)測發(fā)現(xiàn)。

另一方面，近些年，以數(shù)字化校園為特征的高校教育信息化發(fā)展十分迅速，深刻地影響著教育教學改革快速向前推進[8]，各種類似于釘釘、學習通的App的使用量激增。這就使大量的學生數(shù)據(jù)如班級、學號、姓名、聯(lián)系方式等敏感信息存儲在App的數(shù)據(jù)庫系統(tǒng)中。這類敏感、隱私的信息在各類業(yè)務(wù)系統(tǒng)中頻繁調(diào)用和傳輸，卻沒有有效的安全監(jiān)控措施，存在著被越權(quán)使用、違規(guī)批量下載的風險，而且一旦被惡意攻擊竊取，也無法及時的監(jiān)測感知和溯源。

3 高校網(wǎng)絡(luò)信息安全保障建議

高等學校數(shù)字校園建設(shè)的總體目標是：圍繞立德樹人根本任務(wù)，結(jié)合業(yè)務(wù)需求，充分利用信息技術(shù)特別是智能技術(shù)，實現(xiàn)高等學校在信息化條件下育人方式的創(chuàng)新性探索、網(wǎng)絡(luò)安全的體系化建設(shè)、信息資源的智能化聯(lián)通、校園環(huán)境的數(shù)字化改造、用戶信息素養(yǎng)的適應(yīng)性發(fā)展以及核心業(yè)務(wù)的數(shù)字化轉(zhuǎn)型[9]。整體而言，國內(nèi)的網(wǎng)絡(luò)信息安全建設(shè)還處于起步階段，大多數(shù)高校已逐步意識到網(wǎng)絡(luò)安全保護的重要性，但高校相關(guān)的制度和技術(shù)還不夠完善，這是客觀存在的事實。所以構(gòu)建高校網(wǎng)絡(luò)信息安全保障體系需要從制度和技術(shù)層面雙管齊下。

3.1 強化網(wǎng)絡(luò)信息安全意識教育

雖然高校一直在宣傳網(wǎng)絡(luò)安全知識，但有限的宣傳與網(wǎng)絡(luò)技術(shù)的快速發(fā)展依然難以企及。學校在日常管理上依舊要時刻有意識的來增強網(wǎng)絡(luò)的使用者和管理者的安全意識和責任意識。對于網(wǎng)絡(luò)的使用者，尤其是學生，可以通過指導(dǎo)學生參與以網(wǎng)絡(luò)信息安全為主題的社會實踐項目[10]，來增強自己的辨別能力，主動識別各種流行的欺詐行為；同時，要學會約束自己，文明上網(wǎng)，營造清朗的網(wǎng)絡(luò)環(huán)境。對于網(wǎng)絡(luò)的管理者，要加大培訓和宣貫力度，增強網(wǎng)絡(luò)管理者的安全意識和技術(shù)水平。

3.2 建立網(wǎng)絡(luò)與信息安全管理制度及應(yīng)急預(yù)案

高校若無完整的網(wǎng)絡(luò)與信息安全管理制度及應(yīng)急預(yù)案，則應(yīng)對突發(fā)的安全事件的能力無法保障。因此要嚴肅重視《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》中指出的網(wǎng)絡(luò)安全責任不落實、管理不規(guī)范、安全隱患修復(fù)不及時等問題。針對這些問題及時補短板、堵漏洞，建立健全網(wǎng)絡(luò)與信息安全管理制度及應(yīng)急預(yù)案，切實做好高校網(wǎng)絡(luò)突發(fā)事件的防范和應(yīng)急處理工作，進一步提高預(yù)防和處置突發(fā)安全事件的能力。三分靠技術(shù)，七分靠管理，通過網(wǎng)絡(luò)與信息安全管理制度及應(yīng)急預(yù)案，共同來維護互聯(lián)網(wǎng)的“綠水青山”。

3.3 加強信息系統(tǒng)數(shù)據(jù)安全防護

隨著今年《個人信息保護法》、《數(shù)據(jù)安全法》的出臺，國家正在全面加強法治力度整治個人信息泄露、濫用、非法交易等亂象，高校對于信息數(shù)據(jù)安全的防護工作也將面臨新的挑戰(zhàn)。

高校應(yīng)當從全面提升學校工作人員的安全防范意識入手，建立完善的數(shù)據(jù)安全組織體系、管理及責任制度，同時增強數(shù)據(jù)安全監(jiān)測預(yù)警和數(shù)據(jù)泄露應(yīng)急處置能力，形成與信息化發(fā)展相適應(yīng)的數(shù)據(jù)安全保障體系。從系統(tǒng)建設(shè)及使用階段，做好嚴格的安全架構(gòu)設(shè)計，對于重要數(shù)據(jù)開始進行加密傳輸和存儲，重要數(shù)據(jù)采取多重鑒權(quán)機制，防止內(nèi)部高權(quán)限用戶未授權(quán)操作以及外部攻擊造成的越權(quán)訪問等造成的數(shù)據(jù)泄露問題。此外，對重要信息系統(tǒng)應(yīng)該建立全面的數(shù)據(jù)審計流程記錄，及時識別高風險行為并進行告警，一旦產(chǎn)生信息泄露事件，能夠快速溯源取證和追溯定責，形成事前事中事后的全流程數(shù)據(jù)安全保護體系。

3.4 完善高?；A(chǔ)設(shè)施安全防護技術(shù)手段

高校等教育系統(tǒng)不能像企業(yè)那樣有大量的預(yù)算用于系統(tǒng)的安全防護，可以向政府或教育局等管理單位申請經(jīng)費，用于升級和完善防火墻系統(tǒng)、入侵檢測、WAF等第三方防護系統(tǒng)，構(gòu)建完整的高校網(wǎng)絡(luò)縱深防御體系。

另外，在校師生也可以以此為課題開展課程教學、科研分析和實戰(zhàn)開發(fā)，并將成果真正部署上線。在豐富了師生的科研成果和技術(shù)棧的同時也完善了學校本身的安全防護系統(tǒng)。

4 構(gòu)建一體化的高校網(wǎng)絡(luò)安全監(jiān)測預(yù)警與處置體系

學校網(wǎng)絡(luò)安全建設(shè)缺少一種發(fā)現(xiàn)威脅的能力，信息安全防御體系相對被動，沒有發(fā)現(xiàn)能力就不能監(jiān)控過程，就不能有效指導(dǎo)各個節(jié)點網(wǎng)絡(luò)安全措施推進安全加固工作，也無法有效預(yù)知和管控安全風險。高校網(wǎng)絡(luò)和信息系統(tǒng)組網(wǎng)復(fù)雜，網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)數(shù)量、資產(chǎn)復(fù)雜度不斷提升，面對黑客日益專業(yè)和層出不窮的攻擊手段，僅憑幾臺安全防護設(shè)備簡單堆疊已經(jīng)很難確保目標主機的安全。所以需要構(gòu)建一個網(wǎng)絡(luò)安全縱深防御體系和集中運營各類安全設(shè)備告警信息，實時全面掌握學校整體網(wǎng)絡(luò)安全狀態(tài)，實現(xiàn)網(wǎng)絡(luò)安全威脅的縱深防御，如圖1所示。

圖1 高校網(wǎng)絡(luò)安全縱深防護體系架構(gòu)Fig.1 The architecture of the in-depth protection system for network security in colleges and universities

基于融合的安全架構(gòu)、軟件定義等先進理念，在關(guān)鍵數(shù)據(jù)流量節(jié)點部署流量采集設(shè)備收集全網(wǎng)流量，采用規(guī)則匹配、關(guān)聯(lián)分析、威脅情報等手段對原始流量進行分析，從而實現(xiàn)對全網(wǎng)網(wǎng)絡(luò)安全威脅的發(fā)現(xiàn)，并聯(lián)動邊界部署的防火墻實施封鎖和訪問控制，終端部署的安全防護軟件實現(xiàn)隔離或者殺毒處置等措施，通過網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)打造安全事件實時預(yù)警機制，并聯(lián)動各個安全設(shè)備實現(xiàn)安全事件閉環(huán)處理機制，形成“預(yù)知、防護、檢測、響應(yīng)”閉環(huán)安全體系。

打造學校的全網(wǎng)業(yè)務(wù)可視化，威脅可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。同時結(jié)合安全態(tài)勢展示（外部威脅態(tài)勢、威脅事件態(tài)勢、資產(chǎn)風險態(tài)勢）、威脅統(tǒng)計（包括漏洞、掛馬等）、實時告警等功能，實現(xiàn)整改通知、資產(chǎn)管理、風險管理、預(yù)警管理、系統(tǒng)管理等多方面的管理功能，全面提升學校的安全風險預(yù)警能力、安全事件處理能力與快速響應(yīng)能力。

5 結(jié)語

“互聯(lián)網(wǎng)+教育”對傳統(tǒng)教育模式進行了重大變革，教育行業(yè)及高校信息化建設(shè)是提升教育發(fā)展質(zhì)量，順應(yīng)歷史發(fā)展趨勢的必由之路。本文總結(jié)了高校網(wǎng)絡(luò)安全的發(fā)展現(xiàn)狀，在制度和技術(shù)等方面分析了高校信息系統(tǒng)面臨的安全風險點，提出了加強教育行業(yè)網(wǎng)絡(luò)安全防護保障體系的建議及構(gòu)建一體化的高校網(wǎng)絡(luò)安全監(jiān)測預(yù)警與處置體系(如圖2所示)，以期能夠為新時代下的高校信息化網(wǎng)絡(luò)安全保障工作提供一些借鑒意義。

圖2 一體化高校網(wǎng)絡(luò)安全監(jiān)測預(yù)警與處置體系功能架構(gòu)圖Fig.2 The functional architecture diagram of the integrated university network security monitoring, early warning and disposal system