高校信息安全风险分析及对策研究

2019-12-25郭玉龙杨浩杰

网络安全技术与应用 2019年12期

◆郭玉龙杨浩杰

高校信息安全风险分析及对策研究

◆郭玉龙杨浩杰

（铁道警察学院河南 450053）

随着科学技术的快速发展和社会的进步，高校的信息化建设正在快速推进，高校的教学、科研、管理等工作对网络和应用系统的依赖越来越强，信息安全已成为高校普遍关注的重要问题。本文从技术、管理、理念等方面分析了影响高校信息安全的风险因素，研究提升信息安全的策略和方法，旨在为高校信息安全管理提供参考，提升信息安全管理水平。

信息安全；数据管理；信息化

随着计算机技术和网络技术的快速发展，高校普遍都进行了信息化建设，从最初的校园网建设，到后来的数字校园建设，以及近几年在云计算、大数据技术支撑下的智慧校园建设，高校信息化建设逐步深入。随着信息化建设的逐步推进，高校的教学、科研、管理等工作越来越依赖于校园网及各类应用系统的正常稳定运行，校园网及应用系统已成为高校重要的基础设施。各类应用系统中积累和沉淀的数据已成为高校重要的战略资产，通过分析教学、科研、生活等各类业务过程数据可以了解学生的学习状况、思想状况、生活习惯，为科学合理地制定教学方案、完善管理体制提供数据支撑和参考。

在信息化方便各项业务开展，提升办事效率的同时，病毒攻击、数据丢失、隐私泄露等信息安全问题也随之出现。信息化应用程度越高，对信息化依赖程度越强，信息安全问题造成的影响就越大。分析信息安全风险因素，研究防范信息安全事件的策略和方法在当今信息化快速发展的时代将具有重要的理论价值和实践指导意义。

1 高校信息化建设概况

目前大多数高校在初期建设的校园网和数字校园的基础上，正在进行智慧校园建设。基本都建成了覆盖教学楼、办公楼、图书馆、宿舍等主要区域的校园网，并建设有教务管理、财务管理、办公自动化、科研管理等业务管理系统，实现了业务流程的网络化。同时在已有业务系统的基础上，建立了统一的数据交换平台，实现数据的整合和共享。在数据整合和共享的基础上，运用大数据技术，对数据进行深度挖掘和分析，多维度的了解学校的发展状况，为科学决策提供有力的数据支撑。

在信息化建设的过程中，师生普遍对各类应用系统的功能和作用比较关注，对系统的运行和管理状态则很少进行关心，存在重建设轻管理的现象。很多系统部署上线完成以后只要不影响正常访问，就很少再去看后台的运行状态。磁盘空间不足、异常用户登录等比较隐蔽的问题不能及时发现，直到出现明显的问题时才去处理，但很多时候造成的损失已难以弥补。目前高校充分认识到了信息化的重要作用，对信息化建设比较重视，但在建设的过程中，对信息安全问题还存在重视不够的情况。

2 高校信息安全风险因素

信息化建设是一项复杂的系统工程，涉及硬件建设、软件建设、日常使用、运行维护等很多环节，每一个环节出现问题都会导致信息安全事件，从技术、管理、使用等多方面进行分析，主要存在以下安全风险因素：

（1）软硬件故障。服务器、存储、交换机等硬件设备的正常稳定运行是保证业务系统正常运行和数据安全的基础，但由于受供电电压不稳定、温湿度过高或过低、静电干扰等环境因素的影响，不可避免将降低设备运行的稳定性。同时随着设备运行时间的增长，零部件会逐渐老化，性能和稳定性将不可避免的降低。部分软件由于设计的缺陷，可能存在内存泄露、逻辑错误等问题，短期内可能不会出现运行错误，但运行时间较长或者满足特定条件将有可能出现系统故障，造成数据丢失或其他问题。

（2）病毒攻击和破坏。计算机病毒是人为编制的、可以破坏计算机上的正常程序和数据并影响计算机正常运行、能进行自我复制的指令代码。随着计算机和网络技术的快速发展，计算机病毒也在快速的演变和发展。目前计算机和网络深入到了人们生活和工作的每一个角落，影响越来越广泛，很多恶意的个人和组织利用互联网开放性的特征，加紧对互联网进行恶意的攻击和破坏。现在的病毒攻击和破坏出现了很多新的特征，攻击者的目的不再是简单的展示自己的高超技术，而是实现特定的经济或者政治目的，如近几年出现的勒索病毒。现在互联网上的病毒是越来越多，越来越隐蔽，防范和发现的难度越来越大，已成为对计算机和互联网严重的威胁因素。

（3）数据泄露。数据已成为一个组织重要的战略资源，但很多高校对数据的重要性认识不足，对数据安全的重视程度不够，造成了很多网络安全事件或者其他事故。网络诈骗很多都是从数据泄露开始的，犯罪分子首先收集个人的一些基本信息，然后利用已掌握的信息骗取信任，进行进一步的精准诈骗。高校的学生信息数据、科研数据、财务数据等属于重要的资产，一旦出现泄漏或者破坏，将造成严重的后果，需要进行重点防护。

（4）管理不规范。高校的信息化建设需要有设备厂商、运维人员、管理人员、教职工、学生的共同参与，每一个环节出现问题都会导致全校的网络安全隐患。很多高校在网络安全管理方面的制度还不够完善，或者制度执行不到位，不能对信息化的参与人员形成有效的约束。高校的信息化建设涉及校园网、各类业务管理系统、教学平台、科研平台、学生及教职工个人电脑等很多要素，难以部署统一的防病毒软件和应用统一的安全策略，这进一步增加了安全管理的难度。

（5）缺乏安全意识。安全意识缺失，对网络安全工作重视不够是造成很多网络安全问题的重要因素。在进行信息化建设时，领导和教职工更多的是关注系统的功能和性能，对信息安全工作经常不够重视，甚至认为信息安全工作是技术方面的事，主要由信息管理部门负责，与自己无关。事实上很多信息安全事故都是由普通用户引起的，比如有些教职工使用的密码太过简单，被轻易破解，被恶意登录获取只有内部教职工才可以看到的信息，造成信息泄露，甚至可能以此为突破口进一步对网络或应用系统进行渗透。

3 高校信息安全防范策略

设备故障、病毒攻击和破坏、安全意识淡薄等很多因素都可以引起信息安全问题，综合技术、管理、意识等多方面的因素，应从以下几方面加强对信息安全的管理，防范信息安全风险。

（1）部署安全防护设备。必要的安全设备是阻止网络攻击和扫描，防范网络安全风险的重要支撑。针对应用系统和数据的重要程度可以划分不同的安全域，不同的安全域之间需要部署防火墙、入侵防护等安全设备对进出的数据进行检测和过滤。通常在校园网出口处需要部署防火墙或其他安全设备，对进出校园网的数据进行检测和过滤，避免病毒轻易进入到校园内网，防止对内网计算机进行破坏。内网服务器需要部署在单独的安全域内，并在服务器区和校园网之间部署安全设备，对进出服务器区的数据进行过滤和监测，防止内网上恶意用户对服务器进行破坏。互联网、校园内网、服务器区是最基本的安全域划分方法，为了进行更精细化的管理，可以划分为更多的安全区域。

（2）加强网络安全管理。防火墙、入侵防护等安全设备部署完成后需要根据网络的运行状况及时进行调整，以适应最新的网络安全态势。病毒和攻击的手段时刻都会发生变化，需要不断的升级规则库，优化安全防护规则和策略。要经常查看各类安全设备的运行状态和日志，发现潜在的安全风险并及时处理，避免风险进一步扩大。

（3）做好冗余备份。对重要的设备和数据要进行冗余备份，避免出现安全问题后造成数据永久的丢失和损坏。不可能保证系统和数据的绝对安全，进行冗余备份是风险发生后的补救措施。对冗余备份的设备和数据要经常进行恢复测试，避免安全事件发生后备份数据失效。

（4）提高网络安全意识。高校领导需要充分重视网络安全工作，从人员、资金、制度等方面的给予充分的保障。网络管理人员要有责任心，密切关注网络安全状态，及时调整优化网络安全防护策略。教职工和学生要规范、文明的使用网络，不浏览不健康网站，不安装来源不明软件，不随意连接未知的无线网络，妥善保管自己的账号、密码等个人信息，避免自己计算机遭到病毒攻击和破坏。