大数据时代高校信息化安全建设研究
2018-01-08朱圣才
朱圣才
摘要:高校信息化建设历经校园网、数字校园、智慧校园三个阶段的发展,在信息化建设道路上取得了一定成果。高校信息化建设安全问题也随之越来越复杂,特别是随着大数据时代的到来,高校信息化安全建设问题更加突出,文章从高校信息化安全现状出发,对高校信息化安全问题、安全建议进行分析研究,旨在对大数据时代高校信息化安全进行阐述,进而为高校信息化建设提供参考,保障高校网络安全与信息化建设同步落实。
关键词:大数据;网络信息安全;高校信息化安全
中图分类号:TP302 文献标识码:A 文章编号:1009-3044(2017)36-0051-02
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上发表讲话,指出“网络安全和信息化是相辅相成的”,“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”,“各方面齐抓共管,切实维护网络安全”。同年11月7日,第十二届人大常委会第二十四次会议通过《中华人民共和国网络安全法》。
2017年6月1日,《网络安全法》正式实施,标志着我国第一部规范网络空间安全管理方面的基础性法律正是落到生根,是我国网络空间法治建设的重要里程碑,是依法治国、化解网络风险的重要法律武器,同时也为网络安全工作提出了更高、更广的要求。
高校信息化同样需要处理好安全和发展的关系,落实网络安全和信息化是相辅相成,需要安全和发展同步推进,在高校信息化建设的同时部署信息化安全工作。
1 高校信息化安全现状
1.1 信息化安全投入有限、重视程度不够
高校信息化已经成为高校发展建设的重要组成部分,是评价一所高校的重要指标之一,高校信息化经历了一个高速的发展时期,在基础设施建设和人才队伍建设等方面已经取得了一定成果,深刻改变着教学、管理、科研等传统活动。高校信息化经历了校园网建设、数字校园建设和智慧校园建设三个基本阶段,从整个高校信息化建设历程可以看出,高校信息化建设基本都是在围绕功能运转,高校信息化安全工作在高校整个信息化建设中投入相对较低,并且高校信息化建设基本都是围绕应用系统安全开展,例如,防火墙、WAF、IPS、IDS等等。
高校信息化作为学校的一项基础性工作,已经在一定程度上得到了高校领导的重视,然而,高校网络信息安全工作是在党的十八大以后,逐步发展提到了一个新高度,从中央到地方,从地方到行业,需要一个过程,并且高校网络与信息安全工作的发展取决于高校领导对网络与信息安全工作的认知度与重视度。
1.2 个人信息泄露比较严重、隐私得不到保障
《网络安全法》明确:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
大数据时代产生的各类数据包含了大量的个人隐私,高校是教师和学生的信息集中地,极易造成个人信息泄露,影响比较恶劣。不法分子可以利用网络技术手段和系统已知漏洞对学生个人信息进行攻击,获取学生个人信息,然后进行倒卖,对学生和学生家长进行诈骗,严重危害学生的个人利益;不法分子还可以通过社会工程学梳理学生个人信息进行一定程度的攻击。
高校个人信息泄露的案例非常之多,通过搜索关键词可以拿到很多学生的敏感信息,最为常见是那种以Excel表格和Word文档的形式,在学校网站上可以任意下载,涉及数量之大、包含信息之多、危害程度之重都是巨大的。
1.3 数据审计不完善、安全事件无法追溯
数据安全中涉及的数据具有易复制的特性,所有针对数据的安全事件发生后,无法进行有效的追溯和审计。目前多数高校基本都是采用保存日志60天的方式进行审计,没有进行深度内容分析和事务安全关联分析来识别、监视和保护静止的数据、移动的数据以及使用中的数据,没有完善的事前、事中、事后保护机制,特别是敏感数据保护机制,无法实现数据的合规使用,保障数据资产的可控、可信、可用。
2 高校信息化安全问题
2.1 系统陈旧、运维不够
高校的信息化建设过程经过20余年的建设与发展,使得大量的信息系统沉淀在校园网内带病运行。造成这种现状的原因是早期开发的各类信息系统过于陈旧,明文传输、明文存储较为普遍,并且系统漏洞较多,加之无人运维,常见的SQL注入漏洞、文件上传漏洞、弱口令、第三方中间件漏洞等,這些安全漏洞均会造成服务器权限被获取,数据库被脱等网络与信息安全事件,危害非常之大。从目前教育部、教委等教育主管部门的漏洞通报来看,多数安全漏洞及安全事件都发生在老旧系统之中。
由于信息系统过于陈旧,这类信息系统多数由当时校内学生开发,或者外包给校外集成商开发。当时的校内学生已经毕业离开学校,校外集成商由于没有及时签署相应的运维合同,久而久之,系统的开发团队也无法追溯,使得这类信息系统的运维远远跟不上现有技术的发展。
2.2 信息系统数量庞大、信息安全人员不足
根据各高校域名梳理发现,高校对外提供服务的域名少则几百个,多则上千个,系统数量之庞大是校内信息化管理人员都没有预估到的,尽管各高校采取各类手段对校内信息系统进行管理,但是数量庞大的信息系统给校内运维带来了一定程度的困难。
在有限的高校信息化团队建设过程中,信息安全团队建设在信息化队伍中的人数为数不多,还有很多高校信息安全团队是由原来的信息化团队中抽取出来,处理信息安全工作,人员数量和专业性都有待进一步提高。
2.3 校内制度规范不健全、安全工作开展依据不足
高校信息化建设过程中,“重功能轻规范”的思想比较普遍,在信息化高速发展的过程中,信息化建设审批流程简单,同时,以信息化建设服务教学、科研为目的,信息化建设过程中没有形成完善的制度、规范,主观意愿较强,导致校内制度规范不健全,网络安全工作开展依据不足。
部分人员对于安全漏洞的危害性认识得不够,存在漏洞修复配合不及时、对管控措施(如临时关停外网访问)不理解等情况,由于没有官方的文件支撑,对网络安全工作的落实执行存在一定程度的影响。
2.4 二级单位安全意识不高,安全人员技术力量薄弱
各高校二级单位网络安全意识不高,“重建设轻维护”的思想比较普遍。一些信息系统只有管理(使用)人员,而没有配备相应的运维人员,难以及时处置安全漏洞。另外,由于二级单位多数没有配备专业的安全技术人员,或安全技术人员的技术力量有限,导致有部分信息系统整体安全情况堪忧,同一网站曾多次接到漏洞通报,在漏洞整改方面存在“头痛医头脚痛医脚”的情况。
3 高校信息化发展的一点安全建议
3.1 加强关键信息基础设施安全防护
《网络安全法》中明确提出了关键信息基础设施的运行安全,高校涉及的关键信息基础设施主要为门户网站和一些数据量超大的重要信息系统,因此要尽快建立关键信息基础设施网络安全监测预警体系和信息通报制度,保障校园关键信息基础设施安全。
3.2 建立信息系统备案审核机制
(1) 完善信息系统备案机制:对于高校范围内新建信息系统,由基层党委(党组)部门提出申请,宣传部门与信息化部门负责审核。明确信息系统的主管单位、负责人、管理员、运维人员以及开发语言、系统架构、域名、端口等信息。
建立校内信息系统定期审核备案(如年审)制度。定期对各部门的信息系统进行清查,对信息发生过变更的信息系统及时更新备案;对不再使用的及时报备,并落实关停;对未通过审核备案的,予以关停或限制访问。
(2) 加强新建信息系统上线前的安全审查:明确新建的校内重要信息系统(校级系统、包含重要数据的系统)必须通过第三方安全测评机构测评和专家论证后方可上线运行;一般信息系统必须通过信息化安全部门安全检测后方可上线运行。
(3) 借助信息化手段完善信息系统备案流程:建设校内信息系统备案系统,通过完善的申请、审批、管理工作流,为信息系统的申请、建设、上线、运行、乃至服务使命结束等环节提供支撑,保障信息系统建设过程的可追溯性,使运维工作更加规范、可控。
(4) 建立网站群平台,加大网站群平台的推广与应用:网站群平台进一步丰富网站群平台及站群模板,并加以推广。推动二级单位网站的集中建设、运维与管理,提高系统安全性与可维护性。
3.3 建立数据安全防泄露机制
(1) 建立严格的信息发布审核机制:对高校来讲,多数数据泄露是信息发布造成的个人数据泄露,因此建立严格的信息发布审核机制是关键,对信息發布内容进行严格的流程控制,确保正常发布的信息不涉及数据泄露,尤其是文件类型的数据泄露。
(2) 使用安全有效的数据加密技术:安全有效的数据加密技术是数据安全的关键,同时也是应对黑客攻击数据的重要手段,无论是传统的数据安全还是大数据时代的数据安全,数据加密技术都是保证数据安全的一把利剑,它可以做到网络信息安全建设目的中“看不懂”。
(3) 建立及时有效的应急响应机制:无论安全做到什么程度,都无法保障绝对的安全,网络安全是整体的而不是割裂的、是动态的而不是静态的、是开放的而不是封闭的、是相对的而不是绝对的、是共有的而不是孤立的,建立及时有效的应急响应机制,才能够在安全事件(事故)发生后第一时间对安全事件进行处理、修复等相关工作,能够最小化程度减小安全事件(事故)、数据泄露等造成的危害。
(4) 落实数据信息资产化:数据资产化是将所有数据作为一种资产,对于一个单位来讲,或者说是一种国有资产,我们这样理解对于领导者来数据保护会更加有说服力,数据泄露就是国有资产的一种流失。
4 结束语
高校信息化安全建设是高校信息化建设的重要组成部分,是高校信息化体系中不可缺失的一员,也是落实中央网络安全和信息化是一体之两翼、驱动之双轮的必要手段,高校在信息化建设过程中务必坚持安全与发展同步规划、同步运行、同步实施。
参考文献:
[1] 李春兰,周增国,庞有军,高校信息化建设进程中的问题与对策分析[J],中国教育信息化,2010(17).
[2] 冉德玲,高校信息化建设初探[J],电脑知识与技术,2014(24).
[3] 程序,大数据时代下高校网络安全探析[J],科技经济导刊,2017(21).
[4] 张晓燕,大数据时代高校数据安全探析[J],教育,2016(7).
