高校网络安全管理的问题及对策研究
2018-05-14张亮
摘 要:高校校园网络是高校信息化建设的基础,丰富的网络教育资源为高校师生提供信息交流的平台,同时高校网络在建设管理过程中也存在着一定的安全问题。本文介绍了高校网络安全中存在的一些薄弱环节,并从管理和技术等方面提出了一些解决的措施。
关键词:网络安全;管理;技术
习近平总书记说,没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全已成为信息时代国家安全的战略基石,网络安全牵一发动全身,随着网络规模的扩大,面临的威胁和安全风险也与日俱增。高校校园网络的安全关系学校信息化的发展和师生的利益,因此网络安全管理问题及对策的研究应当作为校园网络安全建设的研究重点。
1 高校网络安全薄弱环节
现在的高校网络安全管理工作存在着一定的薄弱环节,一是对网络安全不重视,尤其是校内二级单位和师生,由于高校网站的公益性,被入侵和篡改网页造成的损失不太明显,网站安全往往得不到重视,弱口令、信息泄露随处可见。二是网站和系统建设和管理不统一,高校内部网站数量多,建设单位杂,管理层级多,安全管理困难。三是网站和系统日常维护缺失,高校网站重建设、重功能,日常安全维护较差,各类安全漏洞长期得不到修复。四是服务器普遍存在漏洞,维护团队安全技术能力普遍不足,甚至有的维护团队就是由学生担任。
高校网络安全是一个系统性的安全,网络安全要从体制机制、工作队伍、技术、信息化资源和服务等方面进行统筹协调,针对高校网络安全的薄弱环节,从网络的管理安全和技术安全等方面共同推动高校网络安全工作不断完善。
2 网络管理安全
网络管理安全包括管理机构、管理制度、人员管理、运维管理和建设管理等。完善校园网络的管理安全应从制度、体系和教育培训等方面着手。
2.1 完善校园网络安全的各类规章制度
以《中华人民共和国网络安全法》为根本准则,在国家和行业法规的基础上系统性的制定学校网络信息安全政策和操作层面的规定。校内各单位应建立完善的信息系统及网站的信息发布与审核制度。强化组织领导和制度建设,加强网络信息安全监控与应急处置工作部署,落实敏感时期24小时值守,提高应急处置水平。建立有针对性的安全事件应急响预案,并定时进行应急演练。
2.2 构建高校网络安全的分级防护体系
网络安全应遵循统一领导,分级管理。首先要提高领导的网络安全意识和对网络安全的重视程度。其次要实行分级网格化的责任机制,充分调动各方力量,在校内二级单位设置网络信息安全责任人和网络安全管理员。还要设立学校层面的网络安全领导小组,设立网络安全和信息化工作的统筹与协调负责机构。建立全校内网络安全制度体系,坚持技术安全与内容安全“两手抓,两手都要硬”。
2.3 开展人员的安全教育和培训
将网络安全宣传教育纳入学校的日常工作中,切实提升师生的网络安全意识。强化宣传教育,线上线下联动,多管齐下。师生的责任主要是守法用网,并加强自我保护,提升师生个人终端设备和个人信息的防护。全校师生应开展宣传教育,增强网络安全防护意识,加强个人信息安全防护措施,个人计算机应及时进行升级软件、增打补丁、安装运行防病毒木马软件,防止信息泄露、毁损、丢失。从管理、技术、监控、舆情方面明确个人岗位职责,不定期组织网络信息安全工作人员参加专业的网络安全培训,提高专业技术能力。同时组织开展校内各单位安全管理员和负责人培训经及面向校内师生的安全培训。
3 网络技术安全
网络的技术安全主要包括网络安全、主机安全、应用安全、数据安全和物理安全等。要从技术方面保障网络信息安全,需要不断丰富安全技术手段,提高防御能力。
3.1 完善校园网安全防护措施
使用集中监控软件对校园网进行实时监控。清理放置在校外的信息服务系统,清理整顿网络域名和校内互联网IP地址。采用防火墙和IPS阻断网络基础性攻击,运用WAF监控阻断进入的校园网的攻击,在校园网出口部署使用SSL VPN授权用户访问内网,实现校园网访问安全。同时结合杀毒软件等实现边界和内网相结合的多层次环境安全防护。另外要加强容灾备份,网络设备尽量使用国产品牌,以防国外产品中的隐藏的漏洞隐患。
3.2 加强网站和信息系统的安全管理
所有网站和信息系统上线前进行安全检测,上线后每月开展安全漏洞扫描。网站群系统在我国高校已应用广泛,推进网站群技术的建设模式,将分散的二级网站集中统一管理,实现统一的安全防护和运维。同时实行上网管理认证技术,实行实名认证,可采取后台实名前台匿名形式,防止黑客利用网络对应用系统进行攻击。加强网络行为审计,保证对上网用户的可管可控,实现对不良上网行为的审计,对网络和邮件不良信息及时封堵避免传播。网络设备和安全设备有日志服务器,保存日志六个月,实现统一分析,发现异常更准确,出现问题有据可查。
3.3 切实做好等级保护测评工作
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程。根据系统信息等级保护中所规定的技术要求和管理要求,对照等级保护标准检查各信息系統,及时对发现的问题进行相应的整改,达到各级的安全保护能力要求,同时制定计划,对重要信息安全系统进行测评,查缺补漏,保障系统的安全运行。
4 结语
对于高校而言,网络安全是一个系统性的工作,涉及到学校、校内各单位以及每个师生的切身利益,网络安全工作任重而道远,需要从学校发展的战略高度来进行系统性规划和部署,切实做好校园网络的管理和技术安全工作,使学校的教育信息化水平再上一个新的台阶。
作者简介:张亮(1983-),男,山东新泰人,硕士,工程师,研究方向为管理信息系统及数据库、网络管理。