APP下载

职业院校大数据治理中信息安全问题及对策探析

2022-06-06宫海斌

关键词:职教防火墙信息安全

宫海斌

(鞍山职业技术学院 信息技术学院,辽宁 鞍山 114000)

一、应用背景

大数据时代,网络信息安全与数据泄露事件层出不穷,数据安全已经成为阻碍高校智慧校园发展与应用的主要因素之一。《中华人民共和国数据安全法》第四条规定,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力[1]。教育治理能力现代化是近年来省内外教育研究的热点问题,以大数据、云计算、物联网、移动互联、人工智能等为代表的新一代IT 技术已被广泛应用于教育治理领域,并以教育信息化手段构建了教育质量保障与监控诊断体系,推进了教育治理体系和治理能力不断优化,形成了智慧教育新生态。

鞍山市职教城现已入驻中职、高职院校11 所,共开设167 个专业(工种),截至2021 年9 月,全城共有信息点2 344 个,班班通教室395 间,计算机机房61 间,高清录播教室6 间,教师及学生教学用电脑3 953台(不含移动终端)。职教城统筹管理共建云数据中心,涵盖职教城公共、教学资源管理等六大平台及部分直属院校门户网站,构成计算、安全、存储一体化云平台[2]。在“鞍职牵头,八校共进”模式下,已初步建成智慧型职教园区。

二、网络与信息安全趋势分析

2019 年1 月寒假期间,职教城共检测到国内攻击30.092 4 万次,而国外攻击源主要集中在北美地区。2019 年10 月份开学后,伴随着业务量的增多,WEB攻击与安全漏洞事件达到63.396 5万次,其中爬虫事件占39.6%,服务器信息泄露事件占30.2%,漏洞防护事件占20.9%。针对用户环境HTTP,FTP,SMTP,POP3,IMAP 协议检查共发现病毒37种,共1 816 次,其中Backdoor.Win32.Zerot.gen 等高危害级别病毒30种,发现102次。安全风险主要集中在班班通教室、计算机实训室、手机等移动智能终端、门户网站及系统平台等,其主要安全趋势包含:

(1)智能考场、班班通教室易遭受计算机病毒入侵。校园网络一旦遭到攻击,恶意软件通过内部感染对学校的安全架构会造成破坏。例如班班通教室的计算机如遭受感染,轻则运行程序会缓慢、上网受限,重则会间接导致服务器宕机,出现大面积的网络瘫痪。另外,受感染的计算机可能会通过Internet 将数据泄漏给网络犯罪分子,甚至成为“肉机”,攻击网络内其他计算机用户。

(2)智慧课堂中手机等移动智能终端的安全威胁。智能终端手机内会存在大量敏感信息,将面临着更多的安全威胁。近年来,高级持续性威胁多以新型智能手机、Ipad、物联智能终端设备为目标和攻击对象。部分教室监控头设置了弱口令,并映射到外网,存在安全隐患。

(3)门户网站、系统平台易受黑客入侵。近年来混合式教学在职业院校受到广泛重视与推广。师生采用超星学习通、Moodle 等教学平台,通过混合式教学,利用网上优质教学资源,开展学科教学与人才培养,并通过大数据的预警与诊断功能,为教育教学工作提供数据支撑。但部分系统软件平台、物联网平台对于开放在公网上的数据库服务没有进行基本的安全配置检查,将存在root空口令或弱口令的数据库服务器直接映射到互联网上,攻击者通过端口扫描就能很容易获取数据库管理员权限,之后通过提权动作,进一步获取服务器权限,并植入一系列后门服务和木马程序。等保2.0新规落地后,新平台数据库要求二级等保认证。

职教城信息中心会同市信息工程学校研究分析各院校门户网站、职教城公共管理平台、教学资源平台数据,分析各类信息化平台在学校教学、办公、管理中的访问率、使用率、下载率。通过对数据资源有效治理,明确管理权责,不断调整防护策略,修补漏洞,增加安防设备,安全风险大幅下降。2020 年10 月1 日~11 月1 日,共检测到8.935 1 万次攻击,攻击数同比下降14.1%,其中鞍山职业技术学院门户网站主机检测到安全威胁4.046 7万次。

三、攻击案例及管理策略制定

1.城内网络攻防演练

攻击方模拟境外分子通过控制国内IP 对网站进行后门、SQL、跨站脚本攻击等,攻击会造成服务器内存资源耗尽,网站瘫痪。或者选择防护较弱的二级网页进行攻击篡改,攻击可以有一定的预伏期。

防守方及时启动上限应急预案,并及时向上级相关部门沟通、汇报;被攻击网站截图,如必要可断网,避免事态影响扩大;填写故障处理记录,搜集防火墙、网站日志、被攻击网站源代码并上传至相关技术部门;在上级部门许可下,将存在问题的系统平台服务器关闭,并以书面材料形式向上级部门汇报。

防守方针对黑客入侵采取的主要策略有:为防火墙、WEB 防火墙重新配置了策略,将网页防篡改、入侵检测、趋势杀毒等软件的安全等级提高;除职教城、鞍职院门户网站外,将职教城内其他相关软件平台系统全部映射到内网;统一更换核心交换机及各应用系统后台的密码,并设置为高强度的密码;关闭无用的端口,只开放80 端口。删除不必要的管理账号;开启堡垒机高等级防护权限,所有核心操作均需通过堡垒机验证;做好职教城信息系统的备份与数据恢复准备,防备万一。

2.“辽宁护网”网络攻防实战演习

2018 年9 月,职教城参加了辽宁省公安厅总队组织的“辽宁护网2018”网络攻防实战演习,演习为期15 天。参赛双方为30 支攻击战队,模拟黑客组织利用网络攻击武器攻击网站。在7 天内,共发起十四余万次攻击,发现危险漏洞694 个,获得网站权限152 个,64 次侵入核心内网,防守方88 家被攻陷,占参演目标的77.2%。

职教城采取的主要防守策略有:在互联网出口防火墙上限制外网用户端口访问策略;在互联网出口防火墙上删除无关的端口映射;在互联网出口防火墙上临时关闭L2TP VPN;在网页防篡改上限制网站所在的服务器文件读写权限;每天更改相关服务器的密码;在Web 应用防火墙上过滤特殊符号;在Web应用防火墙上出现特殊访问时,随时更改用户访问网站的策略;在Web应用防火墙上过滤外网用户访问网站后台的权力;发现攻击行为随时调整网站防护策略;随时监控Web应用防火墙和互联网出口防火墙数据包是否有异常;发现网站有漏洞马上联系并配合网站工程师修补漏洞。

四、数据治理方法与实施对策

(1)加强教育系统党组织对网络安全和信息化工作的领导。建立“信息化工作领导小组—信息技术管理科或信息化专家委员会—各直属院校及单位”三层管理架构。明确“一把手”为网络安全工作的第一负责人,建立网络安全和信息化统筹协调的领导体制,要改变单纯的“技防”思路,提升安全意识,加强“人防”。

(2)制定鞍山市职教城网络与信息安全应急预案,定期开展应急演练,推进等级保护定级备案工作。制定相关制度和应急预案,根据职教城内发生的网络信息安全事件严重程度启动相应级别的预案,组织协调各直属单位落实应急预案,共同做好处置工作。职教城根据各直属院校办学规模、社会影响力(国家示范校)、业务类型三个维度,分析受到破坏后造成的危害程度,将各校信息系统定级划分为1~2 级,加强信息系统统筹管理,减少网站的少散乱问题。建设统一的数据中心,在职教城内统一规划网站群,避免基础设施的重复建设,并于2019 年9 月份完成了职教城统一门户网站等级保护定级二级备案工作。

(3)制定信息安全保护制度,加强源头数据安全保护。制定信息安全保护制度,提出以数据安全治理为中心的安全防护方案及治理模式[3],对采集的基础数据进行数据脱敏,通过数据去隐私化或数据变形,保护个人数据信息隐私。个人应养成定期备份工作信息的习惯,熟悉数据备份策略、重要文档加密,必要时可采用低格、焚毁、消磁等技术手段销毁数据。学校、单位数据保护中建议只访问授权的信息资产,设置三铁一器,保管含敏感信息的硬拷贝和纸质文件;机密文件不许照相、复印,使用电子白板后应立即擦除上面的机密与敏感信息;打印含敏感信息的文档,打印人必须立即取走打印件并及时清除打印机内存信息;办公邮箱设置复杂密码,对敏感的电子邮件信息要加密、定期删除;严密和机密信息必须使用碎纸机销毁,利用消磁等技术手段彻底销毁含有严密和机密信息的硬盘、U 盘、移动硬盘、软盘等电子存储介质。

(4)加强“以应用为导向”的目标管理激励评价机制。制定网络与信息安全目标管理考核机制,落实关键信息基础设施安全防护责任,制定责任清单,落实党委监管责任。打破“物理隔离+好人假定+规定推演”模式,通过发布信息化通报、下发整改通知单及时曝光问题,解决隐患。关注网站全生命周期安全管理流程,做好设备资产梳理、基线核查、漏洞扫描与基线加固、安全渗透测试、重点时段实时监测、安全通告及应急响应等服务,职教园区内备案的二级信息系统和门户网站每2 年至少开展一次测评活动。

(5)建设一个中心三重防护,加强人防+技防能力。职教城统筹管理,建立云数据安全管理中心,统一监管集中管控。加强安全通信网络、安全区域边界、安全计算环境建设。指导城内各直属院校网络用户保证自身IP 地址及上网账号的安全性,避免发生泄露的情况;将子网细分为教学网络、办公网络、服务器网络、监控网络、无线网络等,方便运维与管理;严格执行“一机一账号”管理制度,通过MAC 地址绑定与个人实名认证,对电脑与手机用户通过上网行为进行管理。重点做好“蠕虫”式勒索软件感染的防控工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,加强后门木马排查,开展网站子站和内容管理系统的专项检测,注重系统间、业务间关联风险的评估。加强读网、看网值班制度(7×24),网站等信息系统在重大关键时段关停。通过定期召开网络安全专题会议与培训会、参加全国网络安全知识与技能竞赛等活动,全面提升风险防范能力与水平。

图2 职教城一个中心三重防护主干安全体系

五、结语

面对智慧校园背景下职业院校大数据治理中信息安全问题,应加强信息化专业学科建设,创新开展网络安全人才培养及网络安全学科专业建设,依托高校平台,打造网络安全人才复合通道,构建人才成长的立交桥。联合网信、网安等部门加大网站及新媒体平台的监管力度,从源头上加强网络安全宣传教育与网络舆情工作。建立党委领导下的网络与信息安全责任制度,出台鞍山市职教城教育系统网络安全事件应急预案,明确安全主体责任,通过不断健全考核评价和监督问责机制,提高园区内各院校应对网络安全事件的能力。制定园区内学校关键信息基础设施认定规则,组织各院校定期开展关键信息基础设施现场检查检测和安全评估,以机制建设推进关键信息基础设施保障工作。加强值班值网工作,提高通报整改质量,强化数据统计分析能力[4]。配合课程思政推进网络思想政治与法治教育,推进师生网络安全教育。增强网络安全意识和语言规范意识,遵守网络行为规范,注意网络信息传播安全,养成文明网络生活方式。建立舆情管理制度,持续推进网络与信息安全监测预警。

通过教育治理,提升高校数据治理能力与网络信息安全管理能力,强化信息安全管理工作者的法制观念。通过教育大数据驱动教育治理体系和治理能力持续优化,探索新型职业院校信息化服务模式及教育模式,改善教育教学管理质量,创新教育教学方法,推进数据辅助决策。

猜你喜欢

职教防火墙信息安全
关于构建铁路职教管理信息系统的研究
培养“工匠之师”,赋能广东职教
构建防控金融风险“防火墙”
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
中英越洋握手 职教领跑未来
高校信息安全防护
保护个人信息安全刻不容缓
在舌尖上筑牢抵御“僵尸肉”的防火墙
下一代防火墙要做的十件事