随着国家对信息化产业的重视，信息化技术不断升级创新，高校教育信息化也得到了大力发展。无论是学校的多媒体教学，科技信息查询服务，还是无纸化办公等，都能看到信息化技术的影子。高校网络作为信息传播的通道，不仅是学校信息化平台建设的基础，更是学校可持续科学发展的重要保障。

高校网络安全现状

信息化技术在高校普及的同时，也出现了许多问题，其中最突出的是网络安全问题，比如拒绝服务攻击、系统漏洞攻击、网页篡改等，对高校正常教学办公，科学研究工作造成的影响和破坏难以估量。

在2017年6月1日，《中华人民共和国网络安全法》正式实施，提出“保障网络安全，维护网络空间主权和国家安全、社会公共利益”，“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性”。

因此，高校作为校园网络建设、运营、提供服务的主体，必须承担起应有的社会和法律责任，加强和保障网络安全，促进校园网络稳定运行。

高校校园网络存在的安全风险

1.高校各信息系统网络安全防护能力水平不一

高校网络应用和管理系统的网络安全防护能力有异，高校的网络应用和管理系统大多是由不同的服务商建设，服务商的水平直接决定了该系统的网络全安防护水平，其安全防护能力参差不齐，最低安全防护能力决定了全校信息平台整体的安全水平，缺乏统一的网络安全体系建设，存在较大安全隐患。

2.网络安全问题重视程度不够

一是因为国家对学校投入的资源有限，所以学校方面更加重视教育教学资源的投入，总认为网络安全对于学校而言不像企业研发或政府机密部门那么重要，网络安全防护等级较低，学校没有什么值得盗取的。

二是学校在安全问题的处置上，大都是事后补漏，不能及时对网络安全态势做出判断和响应，预防措施不足。

三是高校对网络安全防护相关的软硬件设备认识不足，即使拥有了设备也无法充分发挥设备的作用，大多数高校目前都缺乏成熟的网络安全体系和网络安全专业管理人员，对于网络安全防护的认识滞后于互联网络行业的发展。

3.高校网站是网络安全事件并发的重灾区

一是高校网站建设和管理相分离，数量体积庞大，建设需求杂，给安全管理带来难度；二是网站重复建设，维护不到位，存在“僵尸”网站；三是鉴于高校的公益性，即使网站被入侵或网页被篡改，造成的损失也不大，网站系统存在弱口令和信息泄漏的风险；四是网站服务器普遍存在漏洞，安全维护技术力量不足，漏洞修复不及时，经常成为攻击的突破口。

4.师生缺乏对网络安全知识的认识

在互联网时代，网络应用随处可见，成为人们工作生活中不可或缺的工具。在高校，网络的使用普及率更高，但大部分人对网络安全知识却知之甚少。在2017年5月，暴发了全球性的永恒之蓝事件，我国大部门高校中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。此次事件说明，如果平时我们养成良好的上网习惯，学习网络安全知识，那么事前必定能够起到一定防范作用，事后也能降低甚至避免造成的损失。高校师生对于网络安全认识的匮乏，俨然已成为高校网络安全的隐患。

高校网络安全风险防控策略

1.遵循科学原则，合理规划网络安全防护体系

作好网络安全防护体系顶层设计，将有助于提高学校网络整体安全防护能力，降低运行成本，具体可遵循以下几个原则使规划更为科学合理：

等级保护原则，安全体系建设必须严格遵循相关部门信息系统的安全等级定级办法，按照各应用系统相对应的防护能力进行建设；

体系化设计原则，通过安全集成的形式完善技术体系建设和管理体系建设；

技管并重原则，采取技术和管理相结合的安全防护措施，将各种安全技术与运行管理机制、正确安全观引导、技术培训、安全规章制度建设相结合；

安全域划分原则，可根据现有网络结构和管理模式，在充分保障安全的基础上，进行可操作、方便易用的区域划分，以较小的代价完成安全域划分和网络梳理。

2.应重视网络安全技术体系设计，加强管理体系建设

网络安全技术体系设计主要包括以下几个方面：

（1）安全技术环境设计。首先应进行安全区域边界设计，如在外网出口位置部署应用安全防护系统，用于阻止和降低Web安全带来的风险，其次还应注重内网主机防病毒能力，部署防病毒服务器，负责制定终端主机防病毒策略，如在内网建立全网统一的升级服务器。

（2）安全通信网络设计。首先应做好流量管控，实现对网络流量的全面透析与管控，优化网络带宽，为网络管理者提供网络的可见性，帮助组织构建可视、可控、可优化的高效网络，其次应保护通信完整性，通过对重要敏感字段进行强加密来保障通信传输的保密性和安全性。

（3）部署综合运维审计平台，通过收集所有服务器（如 syslog、NetBIOS等）、网络设备、应用系统的日志，对日志进行智能关联分析。

网络安全管理体系建设，主要从以下几方面加强：

（1）设立安全管理机构。承担学校网络信息化建设与运行维护工作。

（2）贯彻和落实国家相关政策规定，制定适合本校实际情况的网络安全管理制度。

（3）设置网络安全专业技术人员岗位，专职从事学校网络安全管理工作。

（4）加强网络安全体系系统运维管理工作，如网络运行环境管理、资产管理、介质管理、设备管理、监控与安全管理、系统安全管理等。

3.安全服务体系与网络安全态势感知监测预警平台建设

安全服务体系包括但不限于以下内容：

（1）渗透测试，以模拟攻击、反应分析的方式确定软件安全漏洞存在性，能够直观的让管理人员知道自己网络所面临的问题。

（2）风险评估，通过第三方对现有系统进行全方位的评估服务，一般通过现场访谈、工具扫描、手工检查等手段进行，根据评估结果制定分险分析和风险管理规划。

（3）安全扫描，采用扫描工具对信息系统进行安全扫描，发现漏洞，出具扫描报告，并根据扫描报告给出整改建议。

（4）安全加固，根据系统情况制定相应测试方案、加固方案与回退方案，通过安装补丁、修改安全配置、增加安全机制等方法，增强信息系统抵抗风险的能力，从而提高整个系统的安全性。

在建立安全服务体系的基础上，教育管理部门可以统筹协调全省乃至全国高校搭建教育行业网络安全态势感知监测预警平台，进一步强化安全服务体系。安全监测预警技术是通过对某一类事情的异常跟踪发现特定的问题并加以组织，同时能及时上报发现的潜在威胁和脆弱环节相应的特征和特点。

4.教育管理部门主导，推进站群云服务平台建设

站群云服务是通过云服务技术提供网站群建设空间的服务。国家可加大对高校网络安全防护的专项资源投入，由教育管理部门主导，社会企业共同参与，推进高校站群云服务集群及安全防护体系建设。这样将有利于提高网站安全性，降低分散建设成本，从根本上解决各高校站点管理不到位，安全投入不足，系统漏洞修补不及时等问题。

5.普及网络安全知识，强化网络安全意识

只有注重对全校师生网络安全知识的普及，提高其安全防范意识，才能做到安全有效的防范，因此需要不时对高校师生进行网络安全意识教育和相关安全技术科普。其内容包括本单位的信息安全方针、信息安全方面的基础知识、安全技术、相关的安全责任要求、法律责任和惩戒措施等。教育科普的形式有，网上问卷有奖调查，召开信息安全学习大会，部门网络安全知识学习会议，学校网络安全公开课等。

结语

高校网络安全问题将伴随高校信息化建设发展全过程，维护好高校网络空间安全，需要通过国家持续加大对教育事业网络安全专项资源投入，教育管理部门主导，高校不断加强自身安全体系建设，社会企业共同参与，多方协作共同努力。