魏婷婷

随着互联网和信息化的不断发展，高校的信息化建设进入新阶段。信息化和网络安全的不平衡发展，使得高校信息安全受到了极大威胁，黑客攻击、高校网页被篡改等事件层出不穷。高校网络信息化建设需要综合考虑人员、职能、环境等多个因素，既不能因为严格的网络控制影响高校正常的教学秩序，也不能因为网络安全问题导致科研成果泄露等事件发生，造成高校和国家的损失。

一、高校网络信息安全存在的问题

1.高校信息设备无法统一管理。

和企业、政府部门的设备统一采购不同，高校部门众多，各学科对于设备的需求千差万别，造成信息设备品牌杂、型号多的现状。高校信息系统孤岛化严重，院系和实验室往往自成网络，设备归院系管理，甚至是项目组自行管理，而学校的设备科或者信息科无法统一管理设备。

2.高校人员网络安全意识薄弱。

在开放的环境下，高校进出人员复杂，师生的电子设备自由地在学校内外流动，极易形成病毒感染和网络攻击的漏洞。在信息化建设过程中，由于网络安全教育缺乏，网络安全意识薄弱，师生更看重信息化带来的便利性，而忽略了信息化存在的安全风险。

二、高校网络信息安全对教研工作的影响

高校承担着国家大量涉密科研任务，不管是黑客攻击或者病毒感染都可能造成机密信息的泄露。由于高校具有学术氛围宽松、人员流动大等特点，科研泄密事件极易发生，甚至可能会发生内部人员利用高级别权限窃取机密资料的事件。2017年5月12日，WannaCry勒索病毒通过MS17-010漏洞在全球范围大爆发。国内多所高校发现电脑勒索病毒，电脑中的文件和程序无法打开，严重影响正常的教学秩序。

对正处于毕业季的学生来说，毕业设计、毕业论文被病毒攻击，影响其正常毕业；对于教师来说，课件、科研资料被损毁，导致科研和教学的停滞。而这只是高校遭受网络攻击的冰山一角，据统计，高校已经超过企业、政府、医院等单位，成为网络攻击的重灾区。

三、高校网络信息安全防护措施

当前国际关系风云变幻，网络空间纷繁复杂，人工智能、5G等具有颠覆性的战略性新技术突飞猛进，大数据、云计算、物联网等基础应用持续深化，数据泄露、高危漏洞、网络攻击、智能犯罪等网络安全问题也呈现新态势。面对新的网络安全态势，高校必须坚持制度管理和技术保障两手都要抓，两手都要硬。制度管理增强人员的网络安全意识，并且从制度上进行考核，确保网络防范的软实力；技术保障从硬实力入手，利用设备和技术能力建立事前防御、事中控制、事后处理的立体化防御机制，从而保证信息化在为学校提供优质服务时发挥正向作用。

（一）加强人员和制度管理

1.坚持党管网络安全的原则，强化高校信息化领导工作。

信息化和网络安全工作是一项政治性和原则性极强的专业工作，必须深刻认识到其对高校教学和科研保驾护航的重要作用。高校要坚持党管网络安全的原则，从思想上统一工作要求，确保网络安全工作顺利推进。

2.建立各项规章制度，实行规范化管理。

信息化和网络安全工作的正常运行需要通过规章制度进行合理有效的规范。结合高校网络环境的实际情况，需要制定和完善网络安全管理制度、敏感时期的网络信息监控规范以及突发事件的处置预案。同时建立高校网络安全工作制度，实行信息化工作的规范化管理，强化过程管理，落实责任到人的原则。

3.建立培训考核机制，提高教师业务能力和安全意识。

制度的执行离不开一支精干的网络安全保障队伍，队伍的业务素质又决定了网络安全工作能达到的高度。高校要将新人的岗前培训和员工的定期培训结合，系统学习规章制度和高科技防护技能，通过培训固化网络安全意识，了解信息泄露的途径，掌握相关的防范措施。同时建立考核机制，在每次培训后进行考核，确保教师在业务能力和安全意识方面双达标。

（二）建立技术领域立体化防御机制

1.事前防御。

事前防御指利用技术手段部署安全设备来防御外部攻击，通过建立物理安全、网络通信安全、主机安全、应用安全、数据安全等多维度的措施来保护高校网络。

物理安全是整个网络安全的前提，除了需要考虑水、电、火等侵害外，对于机密信息，物理访问控制是第一道屏障，也是最重要的一道屏障。高校必须在有关场所配置电子门禁系统，控制、鉴别进出人员。电子门禁系统的另一个重要作用是记录进出人员，一旦发生安全事件，可以进行事件追溯。机密信息网络和学校内网通过网闸进行隔离，以确保不会有病毒由校内网向机密信息网络传播。

网络通信安全方面，在校内网与互联网的边界、校内网的各个部门之间部署防火墙，通过防火墙对流经的网络流量进行扫描，从而识别和过滤网络攻击。对于一些特定的服务或业务，可以在防火墙上利用白名单机制使得其只能与特定的IP地址进行通讯，并且只针对该IP地址的请求开放端口，从而防止来自入侵者的网络通信。

主机安全方面，高校应该定期对主机进行补丁更新，以解决系统漏洞问题，同时在主机上安装防病毒软件，实时更新病毒特征码，实现对网络病毒的监控、报警和实时清除。

在应用安全方面，从制度上规定主机不允许安装和工作无关的软件或应用。相关软件都必须利用用户名和密码登录，并且从技术上确保密码的强度，以及密码必须定期修改。机密部门主机之间交换文件时，只允许传送文本和图片，不允许发送可执行文件，以确保机密部门的网络不被病毒感染。

数据安全包括两个方面，一是在传输过程中不产生数据泄露，二是阻止黑客窃取机密信息。机密信息在传输过程中利用非对称加密传输的方式，在发送端进行加密，在接收端进行解密。这样即使黑客拦截了网络包，但是由于不知道密码也难以进行解密。机密人员在校外利用虚拟专用网（VPN）访问机密信息。VPN产品兼具了高度的安全性和使用的灵活性，同时支持安全和加密协议，简化了与远程用户认证、授权和记账相关的设备和处理，防止非法用户对网络资源或私有信息的访问。

2.事中控制。

事中控制是指在发生网络攻击或者数据泄漏时，利用部署的网络设备及时地发现安全事件，并且主动阻断，在极端情况下，通过向管理员或者责任人手机发短信等方式发出预警，请求人工干预。

传统的事中控制一般部署IDS入侵检测设备或者IPS入侵防御设备。IDS设备一般旁路部署在区域交换机上，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能地发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。IPS设备一般串行部署，和IDS设备相似，也是根据预先设定的策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），从而发现攻击行为。IPS设备可以进一步根据该攻击的威胁级别立即采取抵御措施。抵御措施包括：向管理中心告警，丢弃该报文，切断此次应用会话，切断此次TCP连接等。

由于当前网络环境的复杂性和攻击手法的多样性，单纯利用单个网络安全检测设备来发现和阻断网络攻击的风险极大，所以大数据安全态势感知平台作为一种更全面的安全防御解决方案越来越多地得到了应用。大数据安全态势感知平台是通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

大数据安全态势感知平台采集的数据源一般分为三层，分别是外网边界的安全设备、内网之间的安全设备、办公区主机和服务器。因为一次网络攻击会涉及多个攻击阶段，同时逃避多个层次的检测可能性较小，而且在多层数据源上采集信息，能够还原整个攻击链。

所以，大数据安全态势感知平台作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，在不影响网络性能的情况下能对网络进行监测和防范。

3.事后处理。

事后处理类似围棋中的复盘，一方面是为了解决攻击造成的伤害，另一方面是能够追溯攻击源和攻击途径，从而发现当前网络的漏洞并进行改进。溯源必须依赖大数据安全态势感知平台，而且要求平台接入更多与关联场景相关的数据源。按照MITREATT&CK的原则，一次网络攻击涉及七个阶段，那么需要在每个阶段接入相应数据源，才能还原整个攻击链，从而明确被攻击的原因。

在实践中，高校可利用（如表1所示）数据源和告警信息顺利还原攻击过程。

表1

综上所述，随着高校信息化建设进一步推进，网络安全的风险会愈加凸显。正确认识技术与制度的关系，找准制度创新和技术创新的契合点，确保网络安全防范的软实力和硬实力的同步提升，才能保证高校网络信息安全。