高校信息与网络安全面临的威胁与对策
2020-12-15李俊磊
李俊磊
摘 要:新形势下,随着高校信息化的快速发展,各种新兴技术逐步融合校园网络,在网络安全日益严峻的背景下,信息与网络安全问题成为高校校园安全重点关注的领域之一。文章通过对高校信息与网络安全的严峻现状分析,提出了应对策略,只有多维度筑牢安全之网,提高防护能力和水平,才能提升高校信息与网络安全,构建平安校园,保障高校教育事业蓬勃发展。
关键词:校园网络;网络安全;平安校园;网络安全体系
中图分类号: TP309 文献标识码:A
Abstract: Under the new situation, with the rapid development of information technology in Colleges and universities, various emerging technologies are gradually integrated into the campus network. Under the increasingly severe background of network security, the problem of network and information security has become one of the key areas of campus security. Based on the analysis of the current situation of network and information security in colleges and universities, this paper puts forward some countermeasures. Only by building a multi-dimensional safety network and improving the protection ability and level, can we improve the network and information security in Colleges and universities, build a safe campus, and ensure the vigorous development of Education in Colleges and universities.
Key words: campus network; network security; safe campus; network security system
1 引言
随着计算机技术和互联网+的不断发展,各行各业都融入了信息化,特别在教育领域,以教育信息化全面推进教育现代化。为推进高水平大学建设,提升高校管理水平和办事效率,更好地服务师生,大数据、人工智能、云计算、虚拟化、人脸识别等新技术融入校园信息化建设中,校园网络不断升级,在“互联网+教育”[1]模式下,从数字化校园向智慧校园[2]发展,智慧校园如雨后春笋般在各高校兴起。这使校园网络在高校成了必备的办学条件,校园网络渗入高校日常管理的各个方面,推动信息技术在教学科研管理中的全面应用,发挥信息技术在学校教学改革创新中的引领和支撑作用。
但近年来,随着网络安全问题的日益突出,病毒侵害、黑客攻击、数据篡改和丢失、校园贷、网络诈骗和意识形态问题等网络安全隐患在高校频繁出现,不断威胁着学校的信息与网络安全,信息安全专业技术人员短缺,形势十分严峻。高校作为我国各行业人才储备、科研项目承接机构,各业务系统都存储着学校重要信息及大量教职工和学生的个人信息,一旦发生师生数据泄露、科研数据被窃取等安全事件将会造成重大损失。
2 高校校园网普遍存在的安全威胁
随着高校校园网络规模的扩大,校园网络覆盖面接近100%,无线和有线并存,多个网络供应商共存,使得网络监管更是难上加难。信息化建设给高校教育和學生学习生活带来便利的同时,也为高校管理带来了挑战。特别是网络上的不良网贷、网络诈骗、网络黑势力、非法组织发布的各种洗脑视频和不利于大学生身心健康的信息等,正在严重的侵害大学生,同时校园网络也是黑客攻击和病毒泛滥的重灾之地,高校的信息与网络安全形势严峻。常见的威胁主要有五个方面。
2.1 软硬件设备自身的安全缺陷
高校中网络规模越来越大,复杂度越来越高,网络设备、服务器、主机、移动设备和其他电子设备数量庞大,教师教学使用的公共电脑、大学生公共机房和图书阅览室的电脑都是共用的,存在“重使用轻管理”的情况,U盘、移动硬盘等移动存储设备经常到处乱插,增加了感染病毒的风险,且高校网络属于局域网,当其中一台主机受到完全威胁时,整个校园网络的安全性将处于危机之中。另外由于正版软件费用昂贵,大部分高校在安装操作系统和应用软件时,通过网上资源搜索下载并安装盗版、破解版软件,很多软件在安装的过程中就植入木马病毒,有些软件还存在着安全漏洞,很多病毒和攻击就可利用漏洞进行借势发挥。这给校园网络安全也埋下隐患。
2.2 师生的信息与网络安全意识不强
高校所容纳的人员群体特殊,教师和大学生都是知识分子,他们接受了高等教育,素质很高,容易接受新鲜事物,特别是大学生对网络世界更是好奇,加之办公自动化、翻转课堂、MOOC教育[3]的兴起,使得师生在校使用网络的时间和频率显著提升。在开放的网络空间中,虽然学校配置了安全稳定的网络环境,但由于部分人员的信息与网络安全意识偏低,认为在网络上可以为所欲为,肆无忌惮地发表言论、浏览各种网页和从网络平台下载各种不正规的应用软件。高校作为意识形态的重要阵地,用户的网络安全意识淡薄,给高校的政治安全和网络安全带来了严重的威胁[4]。
2.3 网络病毒和非法入侵泛滥
高校中含有的个人隐私数据和重要科研数据非常多,教职工和学生的个人信息价值高,加之数据共享程度高,容易成为黑客的目标。网络犯罪分子可以利用黑客技术计算机病毒无处不在,黑客猖獗,主要有安全漏洞、网络攻击、垃圾邮件、僵尸网络、恶意代码、黑名单等。如果高校网络中的设备不安装杀毒软件或杀毒软件版本更新不及时,就会造成病毒蔓延全校。
2.4 云平台已成为网络攻击的重灾区
随着业务系统不断开发,各高校出现资源分布不均、维护成本高、资源共享率较低、更新速度慢等难题,为解决这些弊端,整合资源,提高硬件资源的利用率,节省成本和空间,高校将视角转向了云平台,购买公有云或自己搭建私有云平台,将数据和信息存储于云端,云的安全性给高校的信息与网络安全带来挑战。国家互联网应急中心(CNCERT)表示在2019年上半年,发生在我国云平台上的网络安全事件或威胁情况相比2018年进一步加剧,云平台已成为网络攻击的重灾区。一方面是因为云上承载业务和数据越来越多、越来越重要,使得针对云的攻击日益增多;另一方面是云用户对网络安全防护重视不够。云平台面临的风险不仅仅是被攻击,安全措施没做到位,还有可能成为攻击者的“帮凶”,并且攻击者开始钟爱利用云主机作为跳板机或控制端来进行网络攻击。因此,高校的云平台网络安全形势令人堪忧。
2.5 网络安全管理人员不足和能力有限
在高校中,信息与网络安全管理人员的地位尴尬,甚至被认为就是“维修工”,发展前景不乐观,导致人员流动性大,存在“引不进、留不住”的困境,大部分高校的网络技术人员配备不足,没有专门的职能部门负责学校的网络安全管理工作,管理人员的经验和能力不足,对网络信息安全事件的应急措施和处理能力都存在隐患,难以应对当前严峻的校园网络安全形势。
3 造成高校信息与网络安全威胁的原因
3.1 单位重视不够,管理机构缺失
高校前期在信息化领域的工作重心主要放在信息化建设,对网络安全认识不足,缺乏足够的关注和警觉,重视力度不够,大多设有信息化建设机构,没有专门机构负责信息与网络安全工作,导致工作无法正常开展。
3.2 网络安全专业人员缺乏
网络安全领域是后起之秀,大部分高校之前都没有开设网络安全专业,培养网络安全人才的机制不成熟,导致全国网络安全专业人才缺口非常大,目前大多数人从事网络安全领域工作的人都是半路出家,通过后期的工作接触和培训才成为专业人员,因此造成高校即使设有机构也出现人员力量严重不足或者是出现兼职人员的情况,导致网络安全管理处于探索阶段,岗位上人员和能力不匹配,技术防护能力难以应对安全挑战。
3.3 高校对信息与网络安全投入不足
随着《中华人民共和国网络安全法》[5]出台,很多高校都开始着手加强网络安全防护的软件和硬件方面的投入,构建了一定的网络安全体系,但是投入存在不足和滞后的现象,并且网络安全是一个常态化持久战,需要不断地关注投入和建设,不能一蹴而就,一劳永逸。目前,有些高校开始盲目自信对网络安全方面的投入缩减甚至终止,这是比较危险的。
4 高校信息与网络安全的应对策略
教育信息化是国家信息化重要组成部分,而高校信息与网络安全工作关系着教育信息化的稳步推进和教育事业的改革发展,对于高校信息与网络安全工作“防患于未然”其实远比事后“救火”要更有效。只有多措并举提升网络安全防护能力,才能切实筑牢网络安全屏障。
4.1 夯实信息与网络安全责任,层层抓落实
高校要认真贯彻落实总书记、国家以及各级关于网络安全的重要指示精神,高校各级领导干部和全校上下应深刻认识“没有网络安全就没有国家安全”“网络安全为人民,网络安全靠人民”的理念。确保学校信息和网络安全,单靠一个人或一个部门是无法做到的,必要全校都参与,上下齐心,群防共治。由于高校业务系统多,管理起来比较复杂,而且使用者和管理者往往责任划分不清,为此落实“谁主管谁负责,谁运行谁负责,谁使用谁负责”[6]的网络安全责任体系,压实网络安全工作主体责任,可以与各二级学院和部门签署《信息与网络安全责任书》,落实信息与网络安全责任。将网络安全责任落实到岗、落实到人,化责任为动力,做到领导到位、人员到位、责任到位、措施到位。
4.2 制定和完善制度体系,打牢信息与网络安全基础
在很多时候,信息与网络安全受到威胁并不是由于外部侵袭造成的,而往往由于内部疏于管理,安全意识淡薄等内因造成。高校应建立安全机制,完善网络信息安全保障体系,制定针对网络安全的相关制度,从制度上明确信息与网络安全管理工作的责任和具体工作流程,制定《校园网管理办法》《校园网运行与信息安全应急工作预案》《网络安全事件应急预案》《网络安全监测与处置办法》等校园网络管理规定,建立完善信息发布、审核和管理制度,确保日常信息与网络安全管理工作依法依规落地执行。同时,由于高校的数据共享程度非常高,应明确数据管理主体,规定数据共享规則,制定《信息系统数据管理办法》,明确数据提供者、数据管理者、数据使用者和平台管理者,每个角色在数据流转和使用的过程中遵循数据共享规范和标准。建立标准化接口,规范信息交换共享,严格控制共享条件。
4.3 严管信息发布,加强舆情监测
在目前各高校的宣传媒体平台多样化、存在“易建难维护”甚至脱离管理的状况,应加强信息发布的审批和监督力度,形成宣传部门、保卫部门、学工部门和网络信息技术和安全部门人员协同的舆情监督体系,对每个平台实行负责人实名制,建立网站和信息平台建设、信息发布审批流程,对信息发布的权限,发布流程进行明确,防范不合规的信息发布,同时加强对学校贴吧、微信群、QQ群、BBS、公众号、网站等进行舆情重点监测,杜绝反动、邪教、色情、毒品、赌博等敏感信息的出现。
4.4 积极开展信息系统等级保护工作,建立应用系统和网站台账
按照《中华人民共和国网络安全法》及“等保2.0”要求,推动网络安全等级保护测评工作常态化,认真落实网络安全等级保护制度,依据“消化存量、控制增量”的原则,对已上线的信息系统实施等级保护进行定级、备案、测评和整改工作,同时对正在建设的系统按照等保要求进行建设,对新系统在招标环节加入等保测评要求。对所有部署在学校服务器上的应用系统进行定期排查,实行实名登记和管理,填写网站备案表,建立详细的校内对外服务信息系统台账,对学校的所有信息应用系统(网站)进行全面检查、清理,对僵尸系统进行关停并注销域名,对各应用系统和无线网络的弱密码账号进行修改,增强密码复杂度,同时便于管理可搭建网站群统一管理平台,对分散系统进行集中管理。
4.5 加强校园网络安全软硬件建设,落实技防保障
从高校的软硬方面着手,不断完善网络安全防护体系,构建“防火墙+WAF+漏洞扫描+渗透+行为审计+态势感知+一键断网”[7]的技防体系,在互联网出口处部署流量控制设备及下一代防火墙,升级网络负载均衡设备;在服务器前端部署入侵防御系统、WAF设备对Web应用服务提供安全监测和防御,部署网页防篡改系统;在校内教学内部署服务器防病毒系统,实现管理的主机可管可控,桌面设备都安装杀毒软件。全面构筑信息安全防护屏障,安装网络身份认证网关、上网行为审计系统、堡垒机、入网规范管理平台。部署数据中心虚拟化防护墙、数据库审计系统、流量分析监控攻击系统、漏洞扫描系统等信息安全防护设备。同时,为了能够对校园网络有动态认识以及对网络情况进行提前预警,可增加全网安全态势感知系统,通过对各类网络安全和信息化设备日志的采集,对整体网络状况的研判、分析、决策和及时响应,通过流量分析技术实现完整的网络攻击溯源取证,提升网络安全隐患监测能力和应急处置能力。对遇到安全事件时,可实现一键断网,阻断网络安全事件的蔓延。
4.6 加强培训,提高师生的网络安全意识和技能
各高校应建立行之有效的教育技术培训体系,将网络安全培训常态化,对全校师生进行全覆盖培训,以提高师生的网络安全意识和网络安全防护技能[8]。重视从事信息化和网络安全人员的培训和技能提升工作,积极组织参加各类信息化、网络安全会议和培训工作,逐步实现全员参与专业培训,不断提升岗位人员的业务素质和技术水平。同时,组织多种新媒体方式宣传网络安全知识,组织大学生网络安全知识竞赛,特别利用好国家网络安全周把宣传教育工作做好做实,普及信息与网络安全知识,让网络安全意识融入师生生活,提高网络安全防护技能,内化于心,外化于形,提高用网治网水平,构筑清朗的校园网络空间,在师生中形成共建网络文明的良好氛围。
4.7 规范远程运维,避免有机可乘
为提高工作效率,各运维公司在对服务器设备进行运维时,大部分运维工程师会要求通过远程控制软件完成远程服务,由于有些工程师几乎不熟甚至素未谋面,建立远程后,运维工程师拥有了相对的操作权限,如果没有全程监管,不排除存在安全隐患,因此需要规范远程运维,对远程访问端口(3389、22等端口)进行管理,可以通过管理手段,强制要求所有对服务器的远程访问都通过“堡垒机”进行,做到信息服务人员远程维护可控可查,保障核心服务器区的基本安全。
4.8 自建团队与外包服务相结合,加强人防值守
俗话说“三分靠技术,七分靠管理”,在信息与网络安全工作上应加大人员投入,加强信息与网络安全管理力度。目前绝大多数高校由于自身人员紧缺,导致没有足够的人力和精力投入安全管理工作,可以通过采购网络安全服务,建立三层架构安全防护人员组织(校内网络安全运维人员、校外专家、外包服务安全驻场团队),加强日常信息与网络安全的定期巡检与舆情监控,形成信息与网络安全周报。在国内重要和特殊时期,严格落实7×24小时网络安全在岗值守制度,确保人员的实时响应。
4.9 与兄弟院校建立网络安全联盟,共享威胁情报
各高校的信息与网络安全工作具有共性和个性并存,有时出现的网络安全问题具有普遍性,不同高校具有自身的优势,因此通过建立网络安全联盟,共享威胁情报,形成网络安全研讨会议机制,定期召开网络安全专题分享会,高校间应加强合作,携手共进,共同推进高校信息与网络安全管理事业取得突破性发展。
5 结束语
在大数据时代,高校提高和完善高校的教学环境,为全校师生提供安全的网络空间,是高校必须要做好的一件大事。高校的信息与网络安全工作关系着教育信息化的稳步推进和教育事业的改革发展,校园网络安全影响学校的教学科研、日常工作以及学生学习生活。各高校应加强校园网的信息与网络安全管理,多措并举提升网络安全防护能力,全校共同参与,校园信息和网络安全人人有责,共同保障校园网络安全,坚守网络安全这一片净土。
基金项目:
1.广东省教育学会课题(项目编号:19GGZ052);
2.广东省司法行政研究课题(项目编号:GDSFT20071)。
参考文献
[1] 南旭光,张培.“互联网+”教育:现实争论与实践逻辑[J].电化教育研究,2016(9):55-60+75.
[2] 杨萍,姚宇翔,史贝贝,等.智慧校园建设研究综述[J].现代教育技术,2019(1):18-24.
[3] 謝怡宁.基于翻转课堂及MOOC的教学模式研究[J].黑龙江教育学院学报,2018(3):35-37.
[4] 杨钰琳,杨翠翠.大学生网络安全教育现状及对策研究[J].网络空间安全,2020(3):85-89.
[5] 王春晖.《网络安全法》六大法律制度解析[J].南京邮电大学学报(自然科学版),2017(1):1-17.
[6] 高静.高校网络安全体系框架研究[J].信息与电脑(理论版), 2018:22.193-194.
[7] 王宁邦.高校智慧图书馆信息安全体系构建[J].西华大学学报(自然科学版),2019(6):57-66.
[8] 曹伟杰.浅谈高校网络安全现状存在问题及对策研究[J].科技创新与应用,2017(31):126,128.