马文海

摘 要：随着大数据、云计算、移动互联网和物联网等新技术在高校领域普及应用，高等教育行业面临的网络安全威胁和信息安全挑战也越来越严重。当前高校网络安全存在许多隐患，直接影响高校教学、科研和管理健康发展。应进一步落实网络安全责任，积极推进网络安全管理规范化，加快推进网络安全技术保障体系建设，深入开展网络安全宣传教育，加强高校网络安全保障队伍建设，确保高校网络安全。

关键词：保障；高校；网络；安全

中图分类号：TP393 文献标志码：B 文章编号：1673-8454（2016）19-0025-03

随着大数据、云计算、移动互联网和物联网等新技术在高校教育、科研和管理等领域广泛应用，高等教育行业面临的网络安全威胁和信息安全挑战也越来越严重。加强高校网络安全工作，防范化解高校网络安全风险，已成为教育信息化一项十分重要而又紧迫的任务。

一、当前高校网络面临的安全风险

实现教育现代化是到2020年全面建成小康社会的一项战略任务。当前，随着科学技术的迅猛发展和信息技术的广泛应用，网络系统的基础性、全局性作用日益增强。同时，网络安全问题也日益凸显出来，国际上围绕着信息的获取、使用和控制的斗争愈演愈烈，全球范围内网络攻击、网络窃密和网上违法犯罪等问题日渐突出。网络安全问题已成为与政治安全、经济安全、文化安全同等重要，事关国家安全的重大战略问题。高校网络安全工作同样面临着严峻挑战。

1.高校网络安全风险潜滋暗长

当前，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，是国际战略在军事领域的演进，对我国网络安全提出了严峻的挑战。网络空间主权已成为中西方博弈焦点。我国网络安全基础薄弱，大部门核心技术和硬件设备受制于人，网络基础设施和信息安全存在巨大隐患，一旦遭受攻击，极易导致国家基础数据、公民个人信息被窃取。境内外敌对势力把互联网作为意识形态渗透的主渠道，大肆进行网络渗透，企图搞乱我国内人心，破坏我国家安全。需要警惕的是，互联网具有强大的聚焦放大效应和社会动员能力，很容易使各类风险叠加共振，由此产生综合性风险。高校网站和业务系统及新媒体是教育宣传和舆论引导的重要阵地，境内外敌对势力企图将高校作为渗透破坏、占领意识形态高地的突破口，高校网络和系统也必然是其攻击重要目标。一旦高校网络和系统遭到攻击和非法接入，直接危害高校网络安全和正常秩序。

2.高校对网络和应用系统的依赖程度日益加深

近年来，高校信息化建设发展迅速，大数据在教学、科研和管理等方面引发的创新与变革日益显现，特别是智慧课堂、智慧校园建设，已经成为推动教育综合改革、提高教育治理体系和治理能力现代化，促进高等教育内涵式发展的有效手段。广大教职员工在高校信息化应用中尝到了甜头，各项业务的开展对高校网络的依赖程度越来越高，已经成为高校工作正常运转的重要载体，成为教学、科研、管理和服务不可缺少的重要工具。不可否认的是，随着网络对高校的介入越来越深，信息和数据的收集也变得越来越便捷，大量的教学、科研和管理信息，都变成了可被存储、分析的数据，一旦被滥用、盗用势必加剧高校及其教职工的信息风险。据《中国网民权益保护调查报告》统计，2015年因个人信息泄露等原因，遭受经济损失1000元以上的，就有大约4500万网民。此外，计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出，如果处置不当，极易造成系统中断、网络瘫痪、病毒爆发或者重要信息数据丢失、泄露，给高校工作的正常运转带来重大损失。

3.维护高校网络安全的难度日渐加大

随着互联网和物联网的快速发展和广泛应用，大数据日益成为推动高校领域变革的强劲力量，高校网络安全的内涵也已经从单纯的信息内容的完整性、保密性，扩展到了整个信息系统的可控性，延伸到了数据安全、网络安全、基础设施安全、信息存储介质安全等多个方面，安全保密的对象、领域、环境和手段发生了深刻变化。可以说，信息技术越先进，信息化程度越高，网络安全问题就越突出，网络安全工作遇到的挑战也就会越严峻，维护管理的难度和要求也会越来越高。如何在加快推进高校信息化的同时降低网络安全风险，是当前高校面临的一个新课题。

二、我国高校网络存在的主要安全隐患

1.网络安全意识谈薄

一些高校对网络安全工作重视不够，“说起来重要，干起来次要，忙起来不要”的现象还大量存在。不少领导同志缺乏网络安全意识，敌情意识不强，敏感性不够，警惕性不高，往往重建设、轻应用、少安全，缺乏统筹考虑、顶层设计。有的领导干部观念陈旧，认为高校从事的工作涉密不多，只要没有主动泄密行为，不会产生严重后果，存在无安全风险需防要控的错误认识。还有的领导干部过于相信信息技术部门和人员技术防范能力，忽视广大教职工安全纪律教育，致使部分教职工不了解网络安全基础知识和基本要求。少数在职人员缺乏主人翁意识，责任心不够，对使用的计算机管理不善，在校园网和其他网络上交叉使用移动存储介质，而且没有对其进行计算机病毒检测处理，导致大量病毒渗入校园网。

2.网络设备和操作系统存在漏洞隐患

目前高校的网络设备无论硬件软件都处于不设防的状态，使用的大多是国外企业生产的产品或者技术，网络本身不是自主研发的，很可能会因“后门”造成信息泄露。被广泛使用的网络操作系统都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。据360互联网安全中心统计，2015年共扫描各类网站231.2万个，共扫出存有漏洞的网站101.5万个，占43.9%；扫出存有高危漏洞的网站30.8万个，占总数13.3%；被篡改的网站8.4万个。对21854台网站服务器进行了网站“后门”检测，扫描发现约4097台服务器存在“后门”，占所有扫描网站服务器的18.7%；共拦截各类网站漏洞攻击16.5亿次，较2014年增长了约135.7%，平均每天拦截漏洞攻击512.2万次。目前，高校校园网绝大多数是依托互联网建设的虚拟专网，虽然要求与其他外网严格隔离，但目前还未能严格实现，其安全隐患不容忽视。

3.恶意软件程序和病毒危害严重

恶意软件程序是危害网络安全的头等威胁。随着云计算和大数据技术的应用，高校各类信息系统权限管理和访问控制存在诸多风险，数据一旦泄露，稍加分析和加工就变成了有用的信息，对个人而言是隐私，而对高校而言则有可能是敏感信息，甚至是机密信息。据360互联网安全中心报告，2015年共拦截恶意程序攻击855.4亿次，比2014年增长49.4%，其中截获PC端新增恶意软件程序样本3.56亿个，比2014年增长9.9%。计算机病毒影响计算机系统的正常运行、破坏系统软件和网络资源，使网络效率急剧下降，甚至造成计算机和网络系统瘫痪，是影响高校网络安全的主要因素。高校网络“一机两用”或使用含有涉密信息的存储介质上互联网，极易造成泄密和病毒感染。有的将存放敏感信息的移动硬盘、U盘等存储介质在校园网和互联网上交叉使用，不仅容易导致网上泄密事件，而且极易染上计算机病毒。

4.安全措施落实不到位

当前，由防火墙、入侵监测和病毒防范构建的高校网络安全体系，已不能从根本上实现对各种不安全因素的防御。少数单位对高校网络、涉密信息和上网人员管理不严格，安全保密制度不落实。据中国高等教育学会2015年调研统计，46%高校对信息系统（业务）或信息资产（数据）进行登记和安全普查没有做到位。大部分高校安全管理投入重点还在硬件上。怎么建设一套符合高校真实需求的安全架构体系，更加均衡的进行合理投入，还没有深入思考。

5.专业保障队伍人少质弱情况突出

网络安全的管理保障主要依靠专门人才，但全国高校从事网络安全专门人员投入普遍偏低。据中国高等教育学会2015年调研统计，在全国106所高校中，38%的学校没有安全团队处理网络安全问题，41%的高校未设网络安全岗位；71%的高校偏重网络安全工作的人员不到2人，16%的高校没有专职网络安全管理人员。在现有的安全管理人员中，绝大多数因工作需要兼顾安全工作，真正网络安全科班出身的人员比例不到10%。

三、加强高校网络安全的措施

当前，以信息技术为核心的新一轮科技革命和产业革命方兴未艾，互联网日益成为创新驱动发展的先导力量。大数据时代，高校网络安全不仅是传统的网络基础设施安全，还包括信息层面以及执行决策层面的安全，即与信息化有关的非传统安全的综合。应从维护国家安全和社会稳定的高度，重视高校网络安全风险，正确处理数据安全和数据应用的矛盾，切实增强安全意识，坚决克服“重建设、轻安全”的问题，建立可信、可靠、可控的高校网络安全环境。

1.认真落实网络安全责任

随着高等教育信息化的快速发展和广泛应用，教学、科研和管理等工作对校园网络和相关系统的依赖程度日益加深。与此同时，高校网络安全工作面临的形势也日益严峻复杂，一旦遭到攻击和非法接入，不仅危害网络资源安全，而且影响高校各项工作的正常开展。对此，高校必须充分认识加强网络安全工作重要性和必要性，坚持积极防御、综合防范、突出重点的原则，建立健全安全管理机构和人员，加强安全保障体系建设，落实网络安全工作的责任，确保网络安全。一是落实领导责任。高校党政“一把手”是网络安全工作第一责任人，要切实担负起领导责任，把这项工作摆上重要议事日程；分管领导要认真抓好各项安全工作措施的落实，切实加强督促检查。二是落实主管部门的责任。高校信息化与网络管理中心、保密部门是网络安全工作的组织者、管理者，既要密切合作，又要明确各自的职责，充分发挥职能作用。三是落实使用单位的责任。各使用单位要切实加强对教职工和聘用人员的安全教育工作，研究制定适合教学、科研和管理部门的安全管理工作制度，从源头上杜绝安全问题的发生。

2.积极推进网络安全管理规范化

一要严格入网设备的管理。入网设备包括计算机、交换机、服务器、路由器、防火墙、移动终端、信息采集仪、移动存储介质及其它网络设备。对这些入网设备，要实现“实名制”和“户口式”管理，确定专人负责并建立工作日志，定期对网络设备进行检查。要严格把住入网、出网两个关口。入网前，要严格实施安全检查，并进行注册，严防无安全保障的设备接入校园网。出网前，要严格进行清理检查，并予以注销。二要严格各类信息系统（网站）的运行管理。对各类信息系统（网站），要严格执行登记、备案制度，明确管理单位，落实责任人。所有信息系统都应当具备应用日志安全审计功能，能够对每个用户的登录、访问行为进行安全监测和责任审计，对数据异常、违规操作、越权访问等进行追踪溯源。三要严格执行信息安全等级保护制度。贯彻落实国家信息安全等级保护制度的相关法律法规、标准规范及《教育行业信息系统安全保护定级工作指南》的相关要求，定期对各类信息系统（网站）进行安全等级测评和风险评估，落实安全保护技术措施和安全制度，提高信息系统的整体保护能力。四是建立信息管理制度。对系统内信息采取必要的技术防范措施，防止信息被非法窃取、篡改和破坏，严禁将敏感隐私数据和工作秘密数据上互联网和校园网进行传输、处理和存储。五是建立网络安全应急处置和报告机制。制定网络安全应急预案，明确应急处置流程，落实应急处置技术支撑队伍，定期开展安全应急演练。发生安全事件后，应立即采取措施降低损害程度，防止扩大范围，保存相关记录。

3.加快推进网络安全技术保障体系建设

要在校园网部署终端安全入网管控、网络行为审计、数据库审计、网络攻击和入侵监测、病毒监测、异常流量监测等专用安全设备，采集相关日志和监测数据，开展基于大数据的关联分析，实现安全威胁的主动发现和准确定位，严防数据被篡改、丢失和信息泄露等安全事件发生。同时，对高校门户网站、网上办事大厅等应用系统实施定期安全检测、风险评估、安全加固和日常安全监控，防止网页篡改、数据窃取等黑客攻击，确保门户网站和网上办事大厅等系统的安全。

4.深入开展网络安全宣传教育

采取多种形式，开展网络安全知识普及教育，增强国家网络主权、数据主权以及个人隐私权的维护意识，严格遵守法律和社会公德，不能以自己的自由侵犯他人的权利。教育广大师生掌握一般性网络安全技能，学会电脑等设备常用安全设置，处理常见网络故障和安全问题，防范一般性网络威胁，积极维护绿色网络环境，与破坏网络秩序的行为作斗争。要开展网络安全培训工作，推进“网络安全知识进校园”行动，举办学生网络安全知识竞赛，为教育信息化健康发展营造安全稳定的网络环境。要加强对网络有害行为和不良信息监管力度，防止暴力色情等有害信息在校园网中传播。

5.加强高校网络安全保障队伍建设

防范化解网络安全风险，人才是核心。没有网络安全人才就难以保障网络安全。目前，从中央到地方，从教育主管部门到高校对网络安全学科建设和人才培养越来越重视，投入也越来越大，但对高校自身网络安全人才引进和培养还远不适应教育信息化的需要，必须解放思想，创新机制，加大高校网络安全人才培养，加快建立一支与形势任务发展相适应的网络安全管理专业队伍。

参考文献：

[1]360互联网安全中心.2015年中国互联网安全报告[EB/OL].2016-03-01.

[2]中国教育网络编辑部.2015高校网络安全调研报告[J]. 中国教育网络，2015（11）：56-59.

（编辑：王晓明）