鲁学亮 刘臻

摘要：随着高校信息化的深入推进，网络信息安全问题日益突出，针对高校网站和信息系统的攻击事件不断发生，高校由于信息网络安全防护能力薄弱，逐渐成为的网络安全的重灾区，因此给高校造成了严重的损失。针对高校信息化的特点，本文结合北京師范大学网络安全实际工作，提出分级分类的安全防护体系。

关键词：网络安全;高校;信息化

中图分类号：TP311      文献标识码：A      文章编号：1009-3044（2018）31-0043-02

1 前言

高校信息化与网络安全，是辩证统一的关系。要处理好发展和安全的关系，以网络安全保障学校发展，以发展促安全，两者必须齐头并进、协调一致。2016年4月19日，习近平总书记在“网络安全和信息化工作座谈会”上指出：网络安全和信息化是相辅相成的。网络安全是全社会的共同责任。要构建网络与信息安全保障体系，加强顶层设计和统筹协调，加强对各地区各部门网络安全工作的指导和协调，实现全国网络安全“整体一盘棋”【1】。

2 高校网络安全现状

2.1 高校网络安全是一个系统性的安全

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的领域【2】。高校网络安全是一个系统性的安全，涉及IT环境中的各个环节。人是整个系统中的操作主体，类型多样，包括管理者、老师、IT工作人员、学生。组织是管理和责任主体，层级较多，相对独立，包括学校层、职能部门、院系、非实体学术机构。IT系统要素和环节较多，包括应用系统和网站、数据库、操作系统和平台、网络和物理环境。

2.2 高校网络安全的薄弱环节

近年来高校网络和信息技术的快速普及，网站作为一种快捷、高效的信息发布通道和一种新型传播媒体，被各高校广泛的使用，教育行业的网站数量快速的增长，除了学校官方主页外，很多二级单位和职能部处，甚至教师个人也都建立了自己的网站。单位网站建设和应用，在一定程度上提高了单位的信息化水平，同时也提高工作效率和工作质量。但是随着各单位内部网站数量的快速增加，建设与管理问题也越来越多。

1） 校内各单位对网络安全问题认识严重不足，各单位在网络建设过程中只注重前期建设，不考虑系统长期运维服务，网站的安全问题无人重视。

2） 信息化人员严重缺失，各单位网站或信息建设完成后，系统长期处于无人维护状态，或由学生或公司人员维护，存在重大安全隐患。

3） 网络和信息系统安全维护缺失，重大安全漏洞出现后，长期无人处理。

4） 校内网站和信息系统数量巨大，缺乏统一备案管理，信息化部门监控困难。

根据不完全统计：FZHK组织攻击高校网站的情形95%以上属于校内院系、研究所或者馆、社、中心、产业等直属附属单位的网站。

3 构建分级分类的网络安全防护体系

3.1 构建高校网络安全的分级防护体系

1） 建立完善的网络安全组织领导体系

设立学校层面的网络安全领导小组。教育部在2016年11月成立了以部长担任组长的网络安全和信息化领导小组。目前很多高校也纷纷成立了以高校党委书记或校长任组长的网络安全与信息领导小组组长，作为学校网络安全和信息化工作的统筹与协调机构。教育部成立网信领导小组的同时，设立网络安全和信息化领导小组办公室（简称“网信办”）。目前各个高校也都分别设立信息化工作办公室，网络安全与信息化管理处（办），或者成立领导小组办公室，赋予原有信息化工作机构在网络安全方面的统筹和管理职能。

2） 院系与职能部处，实行分级网格化责任机制，充分调动校内各方力量在校内二级单位设置网信工作负责人，由院系一把手担任。

根据各二级单位规模，设置1至2名网络安全管理员，具体负责执行日常管理、监控等工作。

学校网信工作人员每人分管数个单位网站的安全工作，对所负责网站和系统进行安全监控和监督整改;（责任网格化）

公司驻场人员协助信息网络中心，联络和支持院系二级单位网管员，提供安全技术支持。

3.2 构建高校网络安全的分类防护体系

1） 按网络安全需求分类定级保护，根据面向的对象、承载的业务、受破坏后的侵害程度对信息系统（含网站）进行分类定级。按照等保相关要求，对三级系统每年一次测评，二级系统每两年一次测评。测评根据各信息系统的等级选取测评指标，主要根据业务信息安全等级（S）和系统服务安全等级（A），以及综合安全等级（G）选取各系统测评指标，共66个安全指标类，以及175个安全要求项。

2） 按网络安全要素分类统筹管理。网络安全技术要素：物理安全、网络安全、主机安全、应用安全、数据安全。网络安全管理要素：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。

3） 按网络安全事件管理分类

事前：将系统正常运维期间，定义为事前，即在安全事件发生前为安全事件响应做好准备。根据威胁态势，建立符合用户信息化环境的安全保障措施。建立高效、可执行的网络安全应急响应预案，并定期进行网络安全应急演练。

事中：通过各种途径包括自主安全监测、第三方信息共享、上级部门通报、互联网漏洞平台等方式获知安全事件，并根据学校制定的预案对事件进行处理，最大程度降低事件带来的风险并尽快恢复正常业务。

事后：找出事件的根源并进行安全加固，以避免攻击者使用相同手段攻击系统，再次发生安全事件。同时将发生安全问题的相关设备和系统还原到事件发生前的正常状态。相关人员总结经验教训，提高技能。持续不断的监测评估攻击事件可能带来的后续安全风险。

4 安全技术防护体系

4.1 防护策略

实行“全生命周期安全管理”，建立学校信息资产数据库，对学校网站和信息系统的安全漏洞实行动态管理，网站和信息系统漏洞动态实时通报二级单位系统管理人员。

“自查和统查结合”，提供安全监测公共服务和加固服务，分配漏扫功能给二级单位，各单位随时自行排查安全漏洞。

“边防与内防相结合”，采用SOC（安全管理平台）、IT运维监控、防火墙、WAF（web应用防火墙）、IPS（入侵检测系统）、堡垒主机、VPN、杀毒软件等实现边界和内网相结合的两层次环境安全防护。

4.2 平台建设

统筹公共平台建设，建立“三横、三纵、一代”的公共平台。“三横”是横向“三层次公共平台”，依次按使用难度由简到繁提供网站群平台、网站共享空间、虚拟主机三个层次的公共运管平台。“三纵”是对网站与信息系统实行“分级、分类、分离”的运营管理模式。 “一代”是对未采用学校公共平台的网站，统一通过“反向代理”平台对外发布。

4.3 容灾备份策略

灾备系统是网络安全的最后一道防线，因此需要根据业务系统的重要程度、业务特点、数据类型来规划不同的容灾备份方案。高校可根据学校情况，利用同城多校区或异地多校区的条件，在不同校区数据中心机房建立重要业务系统的双活数据中心或灾备中心，确保数据在发生安全风险时可恢复。

5 总结

1） 建立和完善高校网络安全的长效机制，开展持续性、常 态性的网络安全宣传和教育。网络安全是一个系统性的工作，涉及学校、校内各单位以及每个师生的网络安全，事关学校发展和所有师生的切身利益，需要从学校发展的战略高度来进行系统性规划和部署。将网络安全宣传教育纳入学校的日常工作中，要求各单位、各院系每学期開展专门的网络安全培训，由网络安全负责人和网管员传达中央网信办及学校的网络安全工作精神，并提交学习反馈，切实提升全校师生的网络安全意识。

2） 建立健全高校网络安全考核与评价机制。切实落实网络安全“一把手负责制”。将网络安全指标纳入各单位、院系负责人年度述职中，与相关人员的业绩薪酬挂钩。开展校内网站评比，并将网络安全作为最核心评价要素。网站安全不达标的网站，即使其他方面突出，也将一票否决。

参考文献：

[1] 习近平.在网络安全和信息化工作座谈会上的讲话， http：//www.cac.gov.cn/2016-04/25/c_1118731366.htm.

[2] 杜翔，浅析企业网络安全建设[J].企业导报，2014（5）：142-144.