高职院校信息安全现状与防范举措浅析

2018-10-15张涟漪

武汉工程职业技术学院学报 2018年3期

张涟漪

(武汉工程职业技术学院湖北武汉：430080)

随着互联网的不断发展壮大，信息技术和产业空前繁荣，网络信息走入千家万户，与工作、生活紧密相连，21世纪已经全面步入信息时代。高职院校信息化的进程与时俱进，网站建设、在线教学、OA，以及各类管理系统、宣传媒介逐年增加。然而，与便捷、高效的新技术一同到来的还有网络信息安全隐患。据普华永道《2017 年全球信息安全状况调查》显示，仅2016 年，中国内地及香港企业检测到的信息安全事件平均数就高达2577起，较2014 年飞升969%，是2015 年的两倍[1]。随着信息化的进一步普及，针对重要信息系统的攻击和关键信息技术设施的安全威胁也在日益加剧。

1 高职院校信息安全现存问题

1.1 对信息安全重视程度不够

信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。高职院校体量比本科院校小，涉及信息面相对窄、数据量也更少，比较容易形成规范化管理，但现有信息流动手段、被获取的手段越来越高级，部分师生既没有掌握防护技术，还对信息安全风险缺乏警惕性，更对信息盗取的危害性认识不足；再加上高职院校领导于此不够重视，造成了网络信息安全问题频发。有数据表明，2018年单月单周某省教育系统即发现网络安全风险68起，其中66起是高危风险。

中央网信办、教育部、工信部、公安部、新闻出版广电总局、共青团中央等六部门联合印发了《国家网络安全宣传周活动方案》，从2014年起，每年9月第三周是“中国国家网络安全宣传周”，各高职院校均有宣传，但往往流于形式；大多数师生完全不了解针对网站信息系统的攻击有相当一部分不是独指某个院校，而是大面积投放暗箭，哪有漏洞哪中招；校内网使用者引入网络病毒、个人电脑成“肉机”而不自知；笔者甚至曾经在某些高职院校网站的表彰公示中见过同时暴露学生姓名和身份证号的情况。而学生大都好奇心重，喜欢扫描各种二维码，一方面导致泄漏私人信息，另一方面智能终端再接入校园内网时也容易成为外网攻击的突破口。

1.2 信息安全管理人员缺乏

《中国信息安全行业发展前景预测与投资战略规划分析报告》显示，2019年，中国信息安全行业规模将达到千亿量级。预计到2020年，我国重要行业信息系统和信息基础设施需要各类网络安全人才140万人，现有的从业人员和该专业刚毕业或即将毕业的学生远达不到这个数量。2017年5月12日，WannaCry蠕虫病毒通过MS17-010漏洞在全球范围爆发，我国多所高校遭遇了网络勒索病毒攻击，被加密锁定的文件难以破解，造成了巨大的损失。根据教育部科技发展中心高等教育信息化状况2016年调研的数据[2](如图1)，绝大多数高校并未形成CIO(Chief Information Officer，首席信息官)职能与管理模式，高职院校跟随本科院校亦步亦趋，主管信息安全的负责部门和责任人并非专职，有些甚至是行政部门、非计算机专业或网络安全专业的人员代管，专业技术水平参差不齐，除了信息安全工作还要忙于其他行政管理的工作，业不专精，也形成了一定程度的信息安全隐患。

图1 高校负责信息安全的最高职位统计[2]

1.3 信息管理设备更新不及时

信息管理设备包括系统服务器、数据中心、灾备系统、安防设备、供电保护等等，要具备良好的可持续访问性和不间断的网络资源提供，不应因断电或者其他软硬件故障而停止提供服务。它们不同于其他可使用年限很长的固定资产，不仅使用期间需要不断维护，还得根据网络信息技术的发展及时升级。现阶段，计算机软硬件和相关设备更新速度极快，高职院校在资金上不如本科院校充足，信息设备使用年限长，数据备份系统短缺，防护手段相对滞后；管理采买设备的人员专业知识缺乏，对设备本身和供应方认知不足，购回不适宜教学应用、相对落后的设备，随时面临必须付费升级或淘汰的窘境；审批购置设备的管理者非专业人员，未能及时意识到设备更换必要性，故障设备勉强运行，导致网络中断、硬件损坏、数据丢失、防火墙失效、信息系统被外网恶意攻击、主页被非法组织替换等状况时有发生。

1.4 管理制度执行不到位

有数据表明，2017年各高职院校的信息管理制度基本制定完成，内容还在不断完善[3]。然而，很多情况下落实不力、未能有效执行。近几年国家对高职院校的发展给予鼓励，多个校区并存、在校师生不断增加，办公和学习环境逐步扩充，原有的网络通信环境满足不了使用需求，来不及进行更安全详尽的网络规划就必须投入使用；购置信息系统产品时不考虑专业人员意见，买回存在程序漏洞或异常脚本的软件系统，为病毒渗入和网络攻击大开方便之门；加上移动终端的普及，私接路由器的事件屡见不鲜，终端使用者对网络资源滥用、无知无觉的被挂马、下载病毒。管理人员可以对服务器层面的系统进行维护升级防病毒，但却不可能顾及到所有接入的个人终端，各种令行禁止不易扩展到全校，更给整个校园网信息安全的管控增加了难度，提高了安全风险。

2 信息安全防范举措

信息安全保障不局限于防火墙、入侵检测、防病毒等产品以及黑客入侵等技术领域范畴，它综合了技术、管理和人三个要素[3]。根据前述分析，更大程度上在于要建立综合的信息化组织管理体系，明晰岗位职责和规章制度，并严格执行；加强相关人员的安全意识和技能培养，提高专业水平。

2.1 提升校级信息安全等级

校内一切信息系统的应用都以校园网络为依托，校园网的稳固是一切应用的前提。学校管理者必须认识到加强网络安全建设的重要性和必要性，它并非一次投入、永久生效，而是一个长期建设和保持安全有效的管理过程。高职院校对此应增加资金投入，在明确使用系统类别、了解内容的前提下，选择合适的软硬件设施和经济有效的防控方案。其中，防火墙的升级加固、断电保护的设置、以及存储数据的加密维护与灾备尤为重要。建设过程必须有信息安全专业人员参与部署，信息系统生命周期中有专人实时管控，定期备份和维护，对其应用过程中出现的各类问题，例如安全隐患、僵尸系统、漏洞等，及时排查、快速解决清理，最大可能的杜绝来自外网的病毒渗入与攻击侵害。

2.2 提升师生的信息安全意识

针对非专业人员使用的系统，在显眼处注明使用事项，例如何种信息不可发布、不可上传等。利用新生教育、网络安全宣传周等活动，面向全校师生开设网络安全讲座，教会非专业人员基础的系统防护方法、选择安全软件的方法、识别不良网站、拒绝陌生邮件，定期对自己使用的终端机进行杀毒和升级防护；宣传强调《网络安全法》，警示各类骗局、提升私人密码强度、不随意登录公共wifi，不断提升安全防范意识。

加强所有接入校内网的各类终端的管理，台式机绑定IP地址，移动设备使用实名制登录。办公用机和教学用机则由专业人员根据使用需求和安全级别决定型号类别后再购买。贯彻执行信息管理制度，并不断完善；明确接入校园网的规定，禁止私设路由和wifi热点。教学信息化建设现在已经成为各学校纳入绩效考核的一部分，与此共生的信息安全防范如能加入，将使信息安全意识更加深入人心。

加强专业人员队伍建设，信息安全专业人员不能仅仅只在信息或网络中心，可联合保卫处、宣传部、学生工作部等部门，派专人参加包含专业理论、技术法规和政策法规的专业培训，以达到协同工作、完成校园安全防护的目的。

2.3 落实等级保护制度要求

信息安全等级保护是我国信息安全保障工作的基本制度和方法，其核心是对业务系统的安全分等级进行建设、运维和管理[3]。自2017年以来国家和教育部均对此作出了要求，要求各高校开展等级保护定级备案和等级测评工作。在级别划分上，大多数高校属于第二级：“信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害。”由于定级的规范多、程序复杂，且由具备资质的第三方进行测评，费用高周期长，现在主动参与定级的高校并不多。从长远角度来看，它又是信息安全防范重要举措，对信息化整体的提升和优化有重要意义，因而各高校务必从最主要的信息系统开始，逐步将等保定级落实，让信息安全防护更上一层楼。