郑宏飞 张意 张峰 赵荣锋 丁杨

（云南林业职业技术学院，云南 昆明 650224）

教育行业的信息安全，在网络安全治理框架内，国家对意识形态安全的重视，高校依托信息安全等级保护整改与评测，加强了网站的安全防护。但网站B/S 架构的属性，对使用HTTP 的网站而言，即便通过等保测评，也只是相对安全，并不能保证客户在浏览器B 端访问网站或信息系统过程中，信息在网络传输时泄露的风险。需要推进宏观的网络安全生态环境的建设。

一、信息泄露风险分析

央视315 关注信息泄露风险多年，进行着安全上网习惯的宣教，IT 行业及行政机关加强着行业自律与手机APP 的监管，网络安全大环境逐渐改善。教育是百年大计，科教兴国大战略，教育行业如何使用新技术加强信息安全防护值得深思。

用户隐私信息之所以泄露，主要原因，一是B/S 或者C/S 架构的浏览器、应用软件、手机APP 程序开发时有缺陷，二是这些软件APP 过度收集用户信息的权限，三是明文信息在PC 或者手机终端被恶意的嗅探类软件APP，或在网络传输中使用的“探针盒子”类技术手段截获。分析明文信息的获取隐私。

对学校而言，网站或信息系统使用时，如何保护好管理员账号信息，保护教职工、学生的隐私信息，学校的财务、资产、成绩信息，可以从服务器S 端入手，使用信息加密及加密传输技术，主动防止不法分子得到明文信息。

B/S 架构网站或信息系统的安全，成熟的技术之一是在服务器端采用SSL证书的HTTPS 架设网站。在终端浏览器和Web 服务器之间建立了SSL 安全加密通道。终端用户输入的隐私信息在网络上将不是明文传输。可以有效地防范WIFI 流量劫持、钓鱼网站、中间人攻击、网络监听、运营商劫持等安全威胁。这时，SSL证书是网站的“保护层”，解决了传统HTTP网站的数据传输安全问题，加强了网络风险防范。但以高校现状，HTTPS 替代HTTP 网站进程缓慢。

二、高校网站风险及HTTPS、IPv6 状况

（一）高校网站风险现状

以国家计算机网络应急处理技术协调中心云南分中心发布的云南省互联网网络安全2019 年第五期月报为例，四月份境外高危攻击主要针对银行业，云南处理了仿冒三个银行的11 个仿冒网站。自主监测93 起常规网络安全事件，针对的是行政事业国企等单位，其中漏洞74 起，网页篡改16 起，信息泄露3 起；除直接处理的敏感事件外有一般事件66 起，涉及学校17 起，在一般事件中占比26%，教育行业安全风险堪比银行业。分析原因，除了网站平台自身漏洞之外，其他多是由于账号泄露导致的风险，如果采用HTTPS 则能更有效加以防范。

（二）高校HTTPS、IPv6 近两年发展状况

行业对比，HTTPS 最为普及的是银行业，基本普及了有隐私信息的网站采用HTTPS。主要是宣传主站采用HTTP，交易子站采用HTTPS。

2019 年，高校网站HTTPS 及IPv6 的普及率不高。截至2019 年7 月，统计39 所985 高校，采用HTTPS 架设官网主站的学校20 所，比例为51%；116所211 高校，HTTPS 学校主站35 所，比例为30%。大多数省份网站HTTPS 普及率低，云南省近100 所高校，没有一家使用HTTPS 架设主站，网站潜在风险明显。

IPv6 的普及率高校抽样，北京26 所985、211 大学，一半高校的主站DNS 解析不到IPv6 地址。浙江37 所本科高校，有9 所能够解析到IPv6 地址，仅占比24%。云南唯一211 高校，主站DNS 解析不到IPv6 地址。在政府机关抽样，云南省工业和信息化厅、教育厅，北京市教委、市经济和信息化局，浙江省政府、经信厅、教育厅均解析不到IPv6 地址。四大ISP 均是HTTPS 主战，并能解析到IPv6 地址。

经过两年建设发展，高校网站HTTPS 及IPv6 有长足进步，截至2021 年8 月，抽样20 所云南传统本科高校主站，HTTPS 占比提升至70%，IPv6 提升至60%，其中云南唯一211 高校及一流大学还是HTTP 主站。抽样10 所云南传统高职高专主站HTTPS 和IPv6 占比均提升至40%。

三、高校网站安全防护策略思考

高校网站安全防护是一个系统化工程，需要高瞻远瞩，高屋建瓴。需要既抓行业的宏观，又抓学校的微观。以下主要探讨网站信息安全防护三个宏观网络安全生态环境的建设问题。

（一）加强教育行业或地区证书机构CA 的建设，有力支撑HTTPS 网站的普及

HTTPS 网站，需要数字证书来保障身份验证与SSL 的传输加密，离不开证书机构CA，但现有的CA 第一类是数据高风险行业，如中国电信CA 认证体系（CTCA）、中国金融认证中心（CFCA）、海关CA、商务部CA 等7 余家，第二类是地方性的电子商务上网认证中心，北京CA、上海CA 等26 余家，第三类是商业性CA。

教育行业没有CA，地方性CA 主要支持本地的电子商务、税务等电子政务。高校要用有公信力的CA，多是第三类，甚至工信部也使用了商业CA。从网络安全可控角度，有必要政策引导，企业参与，加快更多行业CA 或者地方CA 应用的发展，拉低商业CA 证书的价格，这样才会有更多高校，特别是二本、三本、二专院校自愿使用CA 证书架设HTTPS 网站，提升网站或信息系统安全。

（二）ISP 营运商及各级行政主管需要着力加快IPv6 的部署建设

IPv6 从技术上比IPv4 有先天的安全优势。IPv6 的规模部署是国家网络安全的一项战略。

2017 至今，中央两办、工信部、教育部发文“推进IPv6 规模部署行动计划”、“IPv6 网络就绪专项行动”等。几大互联网营运商进度缓慢，现有进校推广IPv6 较多的是教育科研网。省级教育主管部门、工业与信息化厅推进IPv6 部署的配套政策、保障措施和方法不多。很多学校处于观望状态。

加快IPv6 部署进程需要政策着力引导，督促营运商以降流量资费，惠及终端用户的有效力度，齐抓共举，高风险行业先行。

科教兴国落实处，学校能得到了营运商提供的IPv6 的地址段，在各行业中率先使用了IPv6，可更加有效的培养IPv6 的技术和营运人才，助力推进IPv6 部署使用。

（三）提高国产正版软件的在教学中的利用率

国家大力推进软件正版化工作，但源头上，推进国产正版化软件的举措不多。在学校教学中与网络信息安全息息相关的基础操作系统和数据库等系统软件，大多还是围绕微软产品系列开展教学。

从网站安全防护及自主可控的角度，基础操作系统或数据库平台大多依赖于国外厂商的软件，存在有意漏洞、暗门的风险。只有从源头上，政策引导、企业参与，培育、推进国产系统软件的发展，教育行业采取政策性措施让国产系统软件逐渐走进课堂，从娃娃抓起，从课堂抓起，以各种认证、考试，技能大赛作为推手，提高国产软件在教育行业及教学中的使用率，助力推进网络安全的国家战略。