馬幸飛

引言：信息科技技術(shù)的高質(zhì)量發(fā)展，帶來諸多網(wǎng)絡(luò)安全風(fēng)險問題。在教育信息化的背景下，高等院校在信息化安全建設(shè)與管理中也存在諸多風(fēng)險問題，其信息化安全管理能力還有待進(jìn)一步提升，與現(xiàn)階段等保2.0的標(biāo)準(zhǔn)存在一定差距，需要高等院校剖析問題所在，并制訂及完善相應(yīng)的信息化安全管理制度，以此全面推動高等院校網(wǎng)絡(luò)安全建設(shè)。

在信息技術(shù)高速發(fā)展的大背景以及由教育部、財政部實施的中國特色高水平高職學(xué)校和專業(yè)建設(shè)計劃的大力推進(jìn)下，高校信息化建設(shè)進(jìn)程因勢加速發(fā)展。多元化的應(yīng)用信息系統(tǒng)和互聯(lián)網(wǎng)產(chǎn)品已滲透至高等教育的方方面面。在增強(qiáng)中國高等教育水平，順應(yīng)教育新形勢，推動信息交換與資源共享的今天，信息化建設(shè)也產(chǎn)生更廣泛的安全問題。諸如此類的問題時時刻刻威脅民眾與社會，乃至整個國家的利益。因此加強(qiáng)對高校進(jìn)行全面的信息化安全防護(hù)，保證網(wǎng)絡(luò)信息系統(tǒng)的有序運行，成為現(xiàn)階段亟待解決的關(guān)鍵問題。

1 等級保護(hù)2.0標(biāo)準(zhǔn)新要求

等保2.0全稱網(wǎng)絡(luò)安全等級保護(hù)2.0制度，其新要求涵蓋安全物理環(huán)境、計算環(huán)境、管理制度、管理人員等幾方面。較之于等保1.0，更加地注重全面主動防御、安全可信、動態(tài)感知和全面審計。另外對近年來取得長足發(fā)展的云計算、物聯(lián)網(wǎng)、工業(yè)控制和移動互聯(lián)網(wǎng)的安全等方面也有著明確要求，基本實現(xiàn)了對保護(hù)對象的全覆蓋。

1.1 技術(shù)方面

第一，應(yīng)用的物理環(huán)境，要求機(jī)房內(nèi)應(yīng)該配備電子門禁系統(tǒng)、安全控制系統(tǒng)、錄像監(jiān)測系統(tǒng)等；機(jī)房分區(qū)實施管理，并要設(shè)置防雷、斷電設(shè)施裝置，對電力電纜線路設(shè)置冗余或并聯(lián)，針對突發(fā)停電的情形要有后備電源保護(hù)措施和緊急預(yù)案；并且應(yīng)配備智能感知和采集系統(tǒng)，設(shè)置機(jī)房內(nèi)對煙霧、高溫等惡劣環(huán)境的自動感知與遠(yuǎn)程告警功能。第二，應(yīng)用的計算機(jī)環(huán)境，應(yīng)具備數(shù)據(jù)儲存與備份功能，在身份驗證中應(yīng)有多重檢驗，加強(qiáng)對審核過程的權(quán)限控制，在關(guān)鍵環(huán)節(jié)上要做好入侵測試，并做好攻擊性病毒入侵的安全管理工作，構(gòu)建具有高保密性、高安全性、高應(yīng)用性的校園網(wǎng)絡(luò)數(shù)據(jù)中心，做好信息化管理工作。

1.2 管理方面

根據(jù)技術(shù)層面合理完善安全制度網(wǎng)絡(luò)，建立專業(yè)的網(wǎng)絡(luò)安全機(jī)構(gòu)并配置專項管理力量。定時對軟硬件設(shè)施及設(shè)備開展全面檢查、記錄備案，對管理職責(zé)進(jìn)行嚴(yán)格審核，對特殊人員要簽訂保密合同或者責(zé)任書等。在運維業(yè)務(wù)操作中，對異地運維、運維更新、日常監(jiān)控、外部授權(quán)和設(shè)備的更新等要進(jìn)行嚴(yán)格控制與管理，健全審核流程，做好后期的信息登記與備份。外包運維服務(wù)應(yīng)明確信息安全維護(hù)的具體要求，做到有據(jù)可依。

基于等保2.0高校信息化安全建設(shè)，符合安全教育的硬性標(biāo)準(zhǔn)，是保障教育信息化建設(shè)安全的重大措施，是貫徹落實國家信息安全保護(hù)的具體表現(xiàn)。實踐證明，高校在進(jìn)行等級保護(hù)實施的過程中不斷提升信息系統(tǒng)安全防護(hù)能力，進(jìn)一步加強(qiáng)了對信息化安全基礎(chǔ)設(shè)施、信息系統(tǒng)建設(shè)與管理中的薄弱環(huán)節(jié)進(jìn)行保護(hù)。能夠?qū)π畔⒒ㄔO(shè)進(jìn)行合理、有效的引導(dǎo)，確保信息系統(tǒng)安全穩(wěn)健運行，打造安全的教育環(huán)境，減少安全風(fēng)險，防止安全事件發(fā)生。

2 高校信息化安全現(xiàn)狀分析

2.1 技術(shù)方面

高?，F(xiàn)階段應(yīng)用的信息安全防護(hù)設(shè)備主要是通過對外界病毒攻擊的特征進(jìn)行對等防御。對于像0DAY的病毒往往沒有防御能力，而教育行業(yè)是走在信息發(fā)布前端的行業(yè)，也就成為了外界病毒攻擊的重災(zāi)區(qū)，傳統(tǒng)的安全設(shè)備難以對其進(jìn)行有效防御。

（1）系統(tǒng)漏洞威脅

在信息化安全管理中，漏洞是其中一個關(guān)鍵的影響因素。由于硬件、軟件自身的不足，或者設(shè)計者的疏忽，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)在未經(jīng)許可下被訪問，甚至盜取用戶信息。如果不及時進(jìn)行補(bǔ)漏或者更新完善，導(dǎo)致漏洞長期存在，成為潛伏危險，便會為網(wǎng)絡(luò)黑客創(chuàng)造入侵機(jī)會。一旦入侵，損失慘重。

（2）病毒感染和木馬傳播

病毒與木馬通常是通過程序惡意植入，進(jìn)而損壞、清除用戶計算機(jī)中的重要文件。而被惡意植入的計算機(jī)也可通過網(wǎng)絡(luò)繼續(xù)散播病毒。由于現(xiàn)在病毒和木馬的隱蔽性較強(qiáng)，不易被人立刻察覺，因此無法及時與全面地估算其損害的強(qiáng)度與損失。

（3）網(wǎng)絡(luò)垃圾廣告與郵件

現(xiàn)階段網(wǎng)絡(luò)垃圾廣告與郵件泛濫成災(zāi)。一些不法分子通過此類方式散播、傳遞病毒信息與不良信息。此類垃圾信息在一定程度上影響師生的生活質(zhì)量，并浪費院校的網(wǎng)絡(luò)資源。除此之外，垃圾郵件可能具有夾帶攻擊性病毒的風(fēng)險，嚴(yán)重破壞計算機(jī)安全，無法有效保證師生的應(yīng)用安全。

2.2 管理方面

高校信息化安全建設(shè)不僅要為全校師生提供各種應(yīng)用服務(wù)，還要為諸多外來訪客提供臨時訪問許可，用戶數(shù)量龐大，用戶信息素養(yǎng)與使用需求各不相同。諸多用戶對互聯(lián)網(wǎng)安全問題認(rèn)識不高，安全意識淡薄，大量存在使用單一密碼和弱密碼，對違規(guī)網(wǎng)絡(luò)、惡意軟件等不良信息的識別能力薄弱，造成信息被盜用、網(wǎng)上欺詐時有發(fā)生。對高校信息化安全管理帶來一定的難度。

（1）技術(shù)人員稀缺

術(shù)業(yè)有專攻，因此專業(yè)的事情需要專業(yè)的人員進(jìn)行維護(hù)，但大部分高等院校缺乏專業(yè)管理人才。首先，教師缺乏相關(guān)的設(shè)備應(yīng)用與管理經(jīng)驗。其次，專業(yè)人才引入力度不足，培養(yǎng)方式相對滯后，與新時代教育信息化的要求不符。最后，諸多高等院校缺乏網(wǎng)絡(luò)安全管理實踐基地，導(dǎo)致諸多青年大學(xué)生缺乏實踐機(jī)會，無法全面適應(yīng)多變的網(wǎng)絡(luò)環(huán)境。

（2）管理制度缺失

現(xiàn)階段，高等院校均制訂相應(yīng)的網(wǎng)絡(luò)信息安全管理制度，不過此類制度的先進(jìn)性與新時代校園建設(shè)不符，在教育新時代運行中不易貫徹執(zhí)行。同時，諸多二級機(jī)構(gòu)的信息安全管理者也是身兼數(shù)職，并未樹立全面的信息化安全管理意識，并且由于工作人員調(diào)整頻繁，不利于安全工作的整體開展。與此同時，缺乏應(yīng)急演練與攻防實戰(zhàn)。在處置安全突發(fā)情況中，往往反應(yīng)滯后，處置不得當(dāng)。

3 基于等保2.0高校信息化安全建設(shè)策略

諸多高校已初步建立校園網(wǎng)絡(luò)信息安全管理體系，但該體系主要以被動防護(hù)為主，缺乏主動防御能力，且傳統(tǒng)校園信息化安全防護(hù)設(shè)備缺乏全方面的資源協(xié)同能力，通過人工管理大量的安全數(shù)據(jù)，工作效率低下、反應(yīng)緩慢，已不能應(yīng)付當(dāng)前日益變化的網(wǎng)絡(luò)安全威脅。在等保2.0背景下，高等院校應(yīng)轉(zhuǎn)“被動”為“主動”，全面開展安全管理。

3.1 技術(shù)方面

信息化安全建設(shè)應(yīng)根據(jù)等保2.0基本要求，進(jìn)行整體、合理規(guī)劃。目前高校均有多條出口鏈路。辦公教學(xué)區(qū)網(wǎng)絡(luò)出口一般都會采用教育網(wǎng)加運營商多鏈路方式實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡，而宿舍區(qū)采用學(xué)校監(jiān)管運營商自主經(jīng)營方式。經(jīng)過長期的實踐，信息化安全建設(shè)已逐步形成如下信息安全體系拓?fù)浣Y(jié)構(gòu)，如圖一。

（1）校園出口區(qū)

其中出口防火墻設(shè)備作為第一道安全防線，首次部署時應(yīng)嚴(yán)格控制出入規(guī)則和對外開放端口，對國家安全機(jī)構(gòu)和組織提供的威脅地址設(shè)置黑名單。辦公區(qū)因流量相對較小，可串接部署上網(wǎng)行為管理設(shè)備，制訂流量策略、實施應(yīng)用管控，對敏感字符實現(xiàn)過濾。通過認(rèn)證軟件實現(xiàn)實名認(rèn)證，明確責(zé)任到每一個用戶。

（2）服務(wù)器區(qū)

通過部署WEB防火墻有效阻止網(wǎng)絡(luò)帶來的各種攻擊，初次部署時刻采用全部禁止方式，針對實際情況逐步開放端口和相應(yīng)操作規(guī)則。部署統(tǒng)一防病毒軟件，進(jìn)行統(tǒng)一的病毒查殺與管理。如使用虛擬化服務(wù)器，可在內(nèi)部安裝虛擬防火墻，實現(xiàn)東西向病毒隔離。嚴(yán)格限制對外發(fā)布的信息系統(tǒng)，可通過反向代理設(shè)備進(jìn)行資源統(tǒng)一發(fā)布，該設(shè)備一般帶有一鍵斷網(wǎng)功能，可在信息安全突發(fā)事件時進(jìn)行一鍵斷網(wǎng)，第一時間減少因威脅事件帶來的負(fù)面影響。所有服務(wù)器、信息系統(tǒng)和數(shù)據(jù)庫采用強(qiáng)密碼策略，并強(qiáng)制定期更改，盡量避免使用默認(rèn)用戶名。

（3）安全旁路區(qū)

根據(jù)信息系統(tǒng)訪問和管理需求，采用vpn方式進(jìn)行訪問與管理，所有服務(wù)器都應(yīng)該通過堡壘機(jī)進(jìn)行訪問，留存用戶的操作記錄，以供發(fā)現(xiàn)威脅時進(jìn)行溯源。通過部署IDS或態(tài)勢感知工具來主動收集、分類、處理系統(tǒng)漏洞和威脅數(shù)據(jù)信息，利用大數(shù)據(jù)分析技術(shù)，通過對網(wǎng)絡(luò)域中導(dǎo)致網(wǎng)絡(luò)安全狀況改變的各種原因進(jìn)行分析處理，及時發(fā)現(xiàn)網(wǎng)絡(luò)非正常訪問，對網(wǎng)絡(luò)風(fēng)險情況做出預(yù)估與評估，形成合理的威脅信息共享體系，以保障網(wǎng)絡(luò)運營的安全穩(wěn)定性。

3.2 管理方面

高校信息化安全管理不應(yīng)拘泥于技術(shù)應(yīng)用層面，還可以在使用過程中，不斷完善對安全運維管理體系的建設(shè)。通過建立一個全面的、針對性的安全管理體系，依托高質(zhì)量的技術(shù)進(jìn)行后期維護(hù)與跟蹤。建立高等院校的網(wǎng)絡(luò)信息化安全管理制度及相關(guān)文檔，做為學(xué)校網(wǎng)絡(luò)管理的實踐基礎(chǔ)，使學(xué)校安全工作可運行、可監(jiān)測，使學(xué)校管理工作更加正規(guī)性、過程式。學(xué)校必須及早設(shè)立信息安全專人專崗，做好信息系統(tǒng)各類常規(guī)運維工作的同時，定期做好數(shù)據(jù)庫和重要信息系統(tǒng)的數(shù)據(jù)災(zāi)備、操作系統(tǒng)漏洞修復(fù)工作。以及時發(fā)現(xiàn)潛在危險情況。加強(qiáng)與外界交流學(xué)習(xí)，與專門的安全科技組織協(xié)作，為高校提供安全技術(shù)咨詢及保障等服務(wù)。

（1）人員管理

加大網(wǎng)絡(luò)信息化安全團(tuán)隊的構(gòu)建，打造各級政府多部門協(xié)同管理網(wǎng)絡(luò)信息化安全共同體，并建立高效的聯(lián)防聯(lián)控。在管理、技能、監(jiān)控、輿情等方面強(qiáng)化員工的網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，并明確個人崗位職責(zé)，制定相應(yīng)培訓(xùn)制度，定期舉辦或參加專業(yè)人員相應(yīng)的安全技術(shù)培訓(xùn)，有效推進(jìn)高等院校的信息安全管理能力。同時建設(shè)二級信息安全管理隊伍，開展安全技術(shù)培訓(xùn)，以健全學(xué)校內(nèi)部有效的安全管理機(jī)制。與此同時，網(wǎng)絡(luò)信息化安全教育普及全校師生，并定期開展安全管理教育。

（2）制度管理

安全管理制度的制定是高等院校信息化安全管理的重要保障，依據(jù)制度方可使安全管理工作有效開展。高等院校需結(jié)合實際應(yīng)用情況，合理制定安全管理制度，并實行內(nèi)部責(zé)任制，強(qiáng)化安全管理認(rèn)知，進(jìn)而改善高等院校的信息化安全管理能力。

以制度為標(biāo)準(zhǔn)，開展應(yīng)急管理，提升指揮能力。信息化安全管理需以問題為中心，以主動化解事件，重視協(xié)同應(yīng)用與管理預(yù)警，采用科學(xué)的檢測策略，制訂可行的考評手段，全面減少應(yīng)用風(fēng)險，防患于未然。同時也應(yīng)該重視聯(lián)動管理的應(yīng)急機(jī)制建設(shè)，嚴(yán)格執(zhí)行國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，對安全事故實施分級或分類管控。在事前做好應(yīng)對預(yù)案，并進(jìn)行緊急演練；事中迅速反饋情況，利用包括安全監(jiān)測、信息共享、聯(lián)系第三方、現(xiàn)場通報等的多渠道及時了解安全信息，以減少經(jīng)營風(fēng)險；事后總結(jié)經(jīng)驗教訓(xùn)，及時發(fā)現(xiàn)問題根源，防止再次出現(xiàn)，并借鑒經(jīng)驗教訓(xùn)，不斷對后續(xù)風(fēng)險監(jiān)測評價。

3.3 網(wǎng)絡(luò)安全意識方面

全面提高師生樹立正確的網(wǎng)絡(luò)安全意識認(rèn)知，信息安全不僅僅是安全運維管理人員的問題，也關(guān)乎著每一個用戶，是一項長期的、系統(tǒng)的工作，在技術(shù)層面和管理層面要并駕齊驅(qū)，以技術(shù)促進(jìn)管理，第一，在管理的同時不斷提升技術(shù)；第二，對內(nèi)部安全不容忽視，用戶關(guān)注的重點在外界因素，例如信息入侵、病毒攻擊等，而忽視設(shè)備軟硬件、操作人員本身的安全風(fēng)險，如內(nèi)部操作失誤、信息泄露等；第三，風(fēng)險可視化、可控化，信息化安全需要通過硬件與軟件的加持，才得以運作，其中攜帶諸多風(fēng)險因子，而此類風(fēng)險因子又是長期存在的，信息化安全管理在于降低風(fēng)險傷害，而不是杜絕所有風(fēng)險，因此在管理中要做到可視化與可控化，發(fā)現(xiàn)問題及時發(fā)現(xiàn)并處理。

4 結(jié)語

在教育信息化時代，高校信息安全直接關(guān)乎教育工作的井然開展，也是學(xué)校未來信息化水平提升的重要保障?；诖耍疚囊愿咝Ｐ畔⒒踩ㄔO(shè)問題為背景，通過研究并分析了該安全問題，總結(jié)現(xiàn)階段高校面臨的信息化安全困境，以此建立等保2.0的防護(hù)管理體系。通過信息化安全管理體系的建設(shè)，促使全校師生樹立正確的網(wǎng)絡(luò)安全意識，為安全校園的建設(shè)保駕護(hù)航。

本文系無錫商業(yè)職業(yè)技術(shù)學(xué)院校級課題《基于等保2.0高校信息化安全建設(shè)研究》（KJXJ22418）。

（作者單位：無錫商業(yè)職業(yè)技術(shù)學(xué)院數(shù)據(jù)與信息化中心）