高校校园网络安全管理问题及对策研究
2017-03-10杨俊斌
◆杨俊斌 梁 红
(1.山西警察学院 山西 030021; 2.中北大学 山西 030000)
高校校园网络安全管理问题及对策研究
◆杨俊斌1梁 红2
(1.山西警察学院 山西 030021; 2.中北大学 山西 030000)
当今互联网技术的不断发展,极大地推动着高校信息化建设。校园网在信息化建设中占据重要位置。在学校的日常教学办公也都离不开校园网。但是校园网络就像一把双刃剑一样也带来严重的安全威胁,校园网络安全问题也日益成为高校信息化建设中焦点问题,制约着高校信息化建设。本文首先提出校园网络安全的重要性,然后分析了当前校园网络安全的现状,找到了网络安全管理上存在的问题,最后提出了几点针对高校网络安全管理方面的建议。
高校校园网;网络安全;管理
0 前言
随着互联网的不断发展,很多高等院校的都开始了自己的校园信息化建设,极大地提高了学校日常教学办公的效率,使得学校的各种资源得到了很大程度的利用[1]。然而,校园网络也存在着来严重的安全隐患。最近的发生的一些安全事故,造成了严重的社会危害, 给高校的网络安全管理敲响了警钟。所以,如何建设、管理和维护好一个安全可靠的校园网络,已经成为当前各高校信息化建设中的一个棘手的问题[2]。
1 背景
去年的发生的徐玉玉事件和今年的爆发的勒索病毒事件,造成了极大的危害,直接将校园网络安全问题推到了社会公众面前。习近平总书记在2016年网络安全和信息化工作座谈会上的讲话中提出网络安全和信息化二者同等重要,要同步推进。《中华人民共和国网络安全法》也于今年6月1号正式实施,条文中明确规定了网络运营者应具有的权利和承担相应的义务[3]2016年11月7日,教育部网络安全和信息化领导小组召开第一次全体会议,会上明确提出将安全放在发展的前面。
2 校园网网络信息安全现状
校园网已经成为高等院校信息化建设中不可或缺的重要组成部分,颠覆了传统的教学办公模式,大大提高了高校的教学办公效率。但是高校校园网络的应用现状却不容乐观,受到的攻击千变万化,几乎所有的高校网络都受到了不同程度的入侵[4]。
近几年网络入侵大致上可以分为显形的入侵和隐形的入侵两大类。
2.1 显形的入侵
这种入侵造成的危害直接就能看得到,非常容易察觉。就入侵方式而言,有以下几种:
(1)篡改网页
篡改网页是目前高校校园网遭受到的最常见的攻击,也是最引人注意的。这种方式通常将学校关键宣传页面内容篡改为反动反社会信息,政治影响极坏,非常容易引起领导的重视。如2017年7月19日夜,江苏某高等职业院校迎新管理系统网页遭篡改。
(2)挂马
挂马就是攻击者通过各种攻击手段,网站管理员口令和密码,然后登录后台系统向网站页面加入恶意的链接。当访问者访问网站是就会被自动转向恶意的网站或者诱导下载病毒木马等。因为高校的网络的访问量比较高,网站的权重也高,而且高校的网络安全防护相对较弱,所以攻击者经常会选择在高校网站上挂马,以谋取不正当利益。
(3)暗链
暗链顾名思义就是看不见的网站链接,攻击者经常在高校网站中做大量的非常隐蔽且短时间不容易被搜索引擎发现的链接,这些链接通常是指向赌博、色情网站,以提高其网站的 SEO排名,误导浏览者点击。
(4)网站后门
网站后门是开发者为了方变修改程序的bug故意在程序开发初期而设置的,后门程序通常可以绕开网站安全性控制而获得系统的控制权。目前几乎所有的高校网站都留有后门。攻击者一旦获得这些后门信息,如同拿到了通往网站控制的密道钥匙,前台做的各种防御措施显得无能为力。
2.2 隐形的攻击
除了上述能看见的攻击,现在隐形的攻击危害也日益突出。私密信息遭到泄露但是管理人员却完全没有发现,用户信息一旦流入到坏人手里,后果不堪设想。目前常见的隐形的网络攻击有以下几种:
(1)信息泄露:在互联网+时代,人们在注册使用网银、社交、网购、支付平台的时候,通常要提供个人真实信息。但是各个平台对于这些信息的监管水平是参差不齐的。
(2)用户信息窃取
用户个人信息除了企业内部人员造成的信息泄露,还存在外部的攻击,导致用户信息遭窃取。例如山东徐玉玉案中,攻击者入侵了“山东省2016高考网上报名信息系统”,并在网站植入木马病毒,获取了网站后台登录权限,盗取了大量考生报名信息,并将这些用户信息卖给了电信诈骗犯。
(3)APT 攻击威胁
APT是近年来出现的一种高级的攻击威胁,APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,然后利用先进的攻击手段进行长期持续的攻击[5]。随着社交工程攻击手段的不断丰富,黑客经常会给高校内部职工发送钓鱼邮件来实施APT攻击。
3 校园网安全管理存在的问题
校园网络安全不仅仅是技术上有漏洞,更重要的是管理上存在问题。校园网安全管理出现问题的原因具体归纳为以下几个方面。
3.1 领导缺乏重视
在实际校园网建设的过程中,高校领导往往只注重校园网络的实用性和便捷性,而对校园网络安全问题并不重视,大部分高校都没有建立一套完整的校园网络安全管理制度。在网络出现安全问题时,往往没有制度保障,无章可循。
3.2 责任没有落实到人
校园网安全建设职责没有落实到个人,问题出现时建设方和管理方都不愿意承担责任,互相扯皮、“甩锅”。
3.3 教职工安全意识差
由于校园相关管理人员(教职工、和学生)缺乏强有力的网络安全防范意识,认为网络安全防范与自己无关,应该是网络中心的事情,这也导致校园网网络安全存诸多隐患。在校园网网络建设过程中,网络构建的工作人员将注意点放到网络的高效性方面,而在一定程度上忽视了网络系统的安全性。
3.4 专业技术缺乏
负责高校校园网络安全管理的工作人员,大部分是非专业出身,缺乏网络安全管理的技术和应对突发网络安全事故的经验,不具备专业管理技能。而高校的薪资待遇低和职务升迁渺茫是吸引不到高级的网络安全管理人才的一个重要原因。
4 校园网安全管理建设建议
针对于校园网安全管理出现问题的原因,提出以下几点建议。
4.1 领导重视
学校领导应该从行政要求,法律义务层面来重视安全问题。可以成立网络安全管理与信息化建设工作领导小组,让校领导担任小组组长,各职能部门和系部的一把手做组员都参与到校园网安全建设的工作中来。只有领导重视了,才能投入更多人力、物力和财力去进行网络安全管理建设。
4.2 完善规章制度,责任落实到人
除了国家颁布的网络安全法外,各高校应根据自身的情况建立相应的责任落实到个人的高校网络安全管理机构,设置严格的校园网络安全管理制度和法规,将责任具体到个人;严格网站备案、漏洞管理和安全事件的应急处置,制定网络建设管理的奖惩制度。
4.3 提高教职工安全意识
高校应加强对教职工的网络安全培训和网络道德法制教育,加强“校园网络安全,人人有责”的意识,通过校园广播、大型讲座、宣传手册、公告栏或信息安全竞赛等各种途经来使其掌握一定的网络安全知识和技能,以便在以后的工作和生活中能正确安全的使用网络,并自觉地对学校的网络安全管理工作进行监督。
4.4 专人专管
必须有专职负责学校网络信息安全的岗位及人员,在不同的岗位上各负其责。当前高校缺乏相应的网络安全管理人才,可以利用学校相关专业技术的优势,吸纳信息安全专业的老师来做兼职管理、培养对安全有兴趣的勤工助学的学生等,或者花重金引进安全意识好、安全技能高的人才,建立专业的技术团队。也可适当的让外部公司的专业技术团队进驻学校来进行相应的支持和服务,或定期派出网络安全管理人员出去参加网络安全培训。
5 总结
虽然当前的网络安全防范技术已足够先进,但层出不穷的网络安全事件时刻提醒我们要做的还很多。对待网络安全问题应遵循“管理为主、技术为辅”的原则,建立一个网络安全动态防控体系。各高校应搭乘等级保护评测的顺风车,建立一套成熟的网络安全应急处理机制。业务建设方应把安全作为校园网建设的基本需求,贯穿到整个信息系统的生命周期中。只要大家共同努力,使用合理的网络管理措施,就一定能构建一个安全和谐的网络通道。
[1]李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008.
[2]覃国锐.高校校园网络安全管理存在的问题及对策[J].柳州师专学报,2009.
[3]佚名.中华人民共和国网络安全法[J].新疆农垦科技,2017.
[4]张惠平.浅谈高校校园网络安全分析及防护策略[J].中国公共安全:学术版,2008.
[5]徐豪.高校网络安全管理问题与对策研究[J].数字技术与应用,2016.
学科建设:山西省“1331工程”重点学科建设计划经费资助(英文缩写为“1331KSC”)。
项目:2017年山西警察学院青年课题“基于大数据的社会安全管控及预防(舆情方向)应用研究”(2017yqn011)。