APP下载

基于智慧校园背景的信息安全问题及对策*

2022-11-11李小敏薛栋李雯敏

数字技术与应用 2022年2期
关键词:信息安全网络安全校园

李小敏 薛栋 李雯敏

1.宁夏医科大学;2.国家能源集团西北物资配送中心;3.西安理工大学

在推进知识资源共建共享过程的持续化建设过程中,智慧校园建设成为教育系统改革的重要手段。智慧校园深度融合了传统物理空间与网络虚拟空间,各个高校纷纷建立数据中心实现数据交互,这是大趋势但随之而来的是一系列的信息安全所带来的问题。本文将从智慧校园背景着手,来展开分析信息安全问题,并探讨信息安全防护策略。

随着信息技术的快速发展,高校的信息化也有巨大的飞跃,数据中心的建成成为智慧校园建设的一个重要标志,同时拥有庞大的数据,师生个人信息、科研信息等数据都是非常重要的,国家相关部委多次组织开展护网行动,从高校站群管理、安全漏洞扫描与整改、网络等级保护、安全管理制度建设等方面去推动高校校园信息安全,建立预警中心,对发现的网络漏洞、日常隐患报告、处置措施、整改情况等及时反馈,形成一整套常态化制度确保高校师生日常工作和科研工作能有序开展。本次研究结合高校智慧校园建设情况,对其网络信息安全存在问题和策略进行探讨。

1 智慧校园建设及网络安全现状

智慧校园集成了大数据、云计算、物联网等新技术手段,将教学、科研与信息融为一体,为师生提供一站式服务,与智慧录播室、智慧教室等配合建设,使得校园环境变得智慧型、数据化、网络化。目前各个高校的智慧校园建设架构普遍是以物联网技术为基础,大数据技术为支撑,云计算技术提供业务服务的综合信息系统,将教、学、研、住、行等多维度校园活动情景以虚拟方式呈现,助力科研学习,为教学科研提供基础管理数据,为现实教学活动提供基础“活”数据。

高校信息化的飞速发展,使得信息化透明度越来越高,网络安全问题也就越凸显出来,网络安全的防护遇到的挑战也会越严峻。如Wanna Cry勒索病毒攻击引发的全球危机,主要集中爆发在的危机管理方面,当时的勒索病毒安全事件导致大部分的用户终端被入侵,在校园内呈现为大量的学生论文、科研数据,教师的办公文件以及诸多业务系统的数据库都被加密,给校园工作、学习带来了困扰。目前,对于信息安全,有很多技术比较成熟。防火墙有内部防火墙和外部防火墙,常规方法是在网络边界部署外部防火墙,对其他服务器的访问进行控制,更重要的是对网络边界传输的数据进行有效保护,能够抵御恶意病毒渗透,它是身份认证、加密、数字签名和内容检查的信息安全防范策略。IDS被应用于很多信息安全架构中,不但可以监视网络设备的资料传输,而且能够及时地采取有效措施,比如中断、阻止、隔离一些异常或是针对网络资料传输的伤害性行为,与IPS不同的是,IDS能够积极主动地采取主动反应措施,对网络进行实时监控。“云安全(Cloud Security)”是通过使用云计算技术与大数据技术为依托的信息安全技术,采用了并行处理、网格计算、机器学习等技术,通过大量异常访问数据分析存在的安全问题,并上报结果,根据设定的安全控制策略采取相应的策略进行处理。上网行为管理系统能够记录用户上网行为,支持审计网站、软件、邮件等应用的访问记录,及时发现并追溯违法违规行为,对邮件、办公协同等应用进行审计,一旦发现违规内容,立即告警,防止信息泄密。

2 高校信息安全存在的问题

(1)基础设施建设欠缺。智慧校园的建成是靠着强大的基础设施支撑,但现阶段国内许多高校网络基础设施建设迟缓,部分高校是由于资金不足,没有智慧校园所需的基础硬件设施,存在网络设备老化、链路不稳、无路由和核心交换机的冗余备份机制等,这些问题可能引发网络传输层的安全问题。校园网基础网络建设是高校信息化建设的基础,离开了基础设施的支撑,智慧校园建设便是空谈。

(2)校园网用户安全意识不足。高校师生的信息化素养也是参差不齐的,对于信息安全的认识更是不全面,许多人对于网络的认知还停留在用来学习、工作、交流、打游戏等,关于信息泄露、病毒入侵等信息安全知识知之甚少。1)学生群体信息安全意识薄弱,容易被伪装的病毒网站或黑客软件欺骗从而遭受侵害;2)终端主机面临的风险,比如服务器没有进行二次登录认证、系统服务的账号管理没有进行三权分立、大量的弱口令、非法访问控制、恶意入侵等。安全意识不足都有可能导致信息泄露,计算机病毒风险,如很多人都习惯到网上下载一些盗版软件,这种软件很多都携带流氓软件,甚至计算机病毒。

(3)管理经验的欠缺。1)缺乏信息安全专业管理人员,在平时的网络安全维护中,对于比较专业的攻击手段,如某一个业务系统存在SQL注入、C&C通信、暴力破解、恶意扫描等安全事件无法及时处理,造成数据泄露与篡改等信息安全问题,并且无法在短时间内有效地解决安全事件;2)没有建立健全完善的网络安全管理制度,智慧校园信息安全管理体系和管理人员监管制度缺乏;3)没有建立完善适用的网络安全应急预案,不能快速处理网络安全突发事件。

3 高校信息安全对策探析

国际标准化组织(International Organization for Standardization,ISO)根据多方数据研究分析得出结论,信息安全是为数据处理系统而建立的技术和管理的安全保护。面对互联网跨时区、跨行政区域的广大应用范围、庞大数据的存储基数、参与主体的复杂流动、虚拟空间的创新技术等带来的挑战,应以先进的网络技术,强化关键信息基础设施安全并加大投入,做好软硬件在“监控-识别-防护-预警-响应-处置”各环节的安全对抗,形成流程闭环。

3.1 技术层面

(1)注重物理安全的重要性。物理安全主要关注三大方面:环境、设备和介质等安全。1)要系统正常工作所需的环境条件,包含机房设施环境条件、机房安全等级、机房场地的选择、机房的装饰、机房的建设和计算机的安全防护等方面。严格执行GB50174-93《电子计算机机房设计规范》、GA/T390-2002《计算机信息系统安全等级保护通用技术要求》、GB2887-2000《电子计算机场地通用规范》、GB9361-88《计算站场地安全要求》等标准。2)机房要做防火、防水、防电源掉电、防盗以及防物理、防震、化学和生物灾害、防振动冲击、防温度湿度冲击等措施。3)要控制湿度、地震、噪音、雷击、冲击与振动、腐蚀、电气干扰、洁净度、虫害等。4)要根据高校实际情况以及未来发展思路设计合理的网络结构,将学校的各种资源、数据和服务流程整合起来。5)对加强机房安全的管理,不仅加强机房的设施安全,对网络设备进行定期维护与更换,也要注重机房进入出管理,防范网络宕机这样的严重事件发生。

(2)采用一体化网络安全设备有效管理。要通过态势感知系统、外部防火墙、内部防火墙、漏扫评估系统、行为感知系统、数据备份系统等网络安全设备进行统一管理。1)依照国家法律法规、网络安全等级规范以及学校的业务需求,设计实用合理的安全拓扑,通过边界安全防御、数据库审计、日志审计、漏洞扫描和评估、主机和网络病毒防护、主机加固、Web防护、身份认证等安全技术措施的施行,使信息安全建设符合国家安全建设方面的要求,同时也要加强数据中心的安全建设,使数据流转过程中所有环节都在安全措施防护下进行,防止数据泄密。2)对服务器和数据库进行及时更新与打补丁,对服务器进行二次密码校验。所以,我们应在网络使用过程中,应该定期对操作系统和数据库进行扫描升级,做到居安思危。3)在网络终端中安装杀毒软件,提高防御能力。从现阶段网络使用情况来看,计算机病毒无法彻底消除,可以选用一些终端杀毒软件,不仅给服务器安装,也要给整个网络的用户终端安装,从而进一步加强网络安全策略。4)采用信息加密技术,提高数据库的安全性。目前各个高校都在建立数据中心,形成了信息节点多、网络结构复杂、内外网络通、数据量大、应用类型多的现状,为此,可以使用数据库审计系统对数据库的操作进行管理。即使黑客入侵,也会大大减少数据被盗用的概率,从而保证数据安全,使得业务系统正常运行。5)依靠网络安全态势感知平台的建成,多维度采集门户网站、办公业务系统、办公区域的安全数据,加强对信息系统的全天候实时监控,从而实现对现场环境、主设备、网络设施、业务应用和用户行为等的方面监测和报警,尽可能早地监测到设备故障、黑客攻击、病毒入侵、误操作等安全事件,以便及时对安全事件进行预判与处置,提升学校安全风险处置能力。

3.2 信息安全管理方面

(1)建立健全的网络安全管理制度。我们都知道:技术、管理三七开。制定网络安全事件应急预案、业务系统管理办法、站群分级管理办法等,任何人务必不打折扣执行网络安全管理规章制度。为了减少网络安全突发事件,应要求各用户在使用网络过程中,依据所在岗位的工作属性要求,着手建立适应自身体系的网络安全管理制度,能够对网络安全突发事件采取有效措施。信息安全事件是无法避免的,我们在做好信息安全防护的同时也要考虑到数据备份与恢复,在安全事件发生第一时间进行恢复,就需要对数据中心建立备份策略,把信息安全事件对业务造成的伤害降到最低。

(2)加强对信息安全等级工作的重视。等级保护最关键的优势是能对信息系统进行区分重点系统重点监管、次重点系统次重点监管。对系统用户实行分级管理,并且对信息安全事件实行分等级响应、处置。等级保护有五个步骤:等级、备案、安全建设整改、等级测评和监督检查。对服务器的安全优先级进行划分,实施不同等级的防护,分析评估敏感数据,统计跟踪异常行为,根据发现的敏感数据及异常行为实施安全建设的整改工作,这样可以有效提高重要信息系统的安全保护能力。

(3)组织健全信息安全追踪报告机制。1)不论单位个人均应落实好网络与信息安全通报预警的及时性与准确性,提前落实保障应急响应准备,确保在网络安全事件发生的第一时间准确监测发现到、采取有效措施妥善处置、事后落实核查整改及通报制度。2)要求建立全天候值班制度,制定详实的值班值守职责,落实到每一位值班人员,值守人员要做到及时信息报送,一旦有重大网络安全事件发生应第一时间报告上级领导,坚持做到有情况报情况,无情况报平安。

(4)加强信息安全培训力度。随着经济的飞速发展,各种安全事件“花样百出”,商业泄密案“触目惊心”,售卖私人信息“铺天盖地”,这些“血淋淋”安全事件告诉我们,很多信息安全事故造成的最根本的原因是意识薄弱。威胁信息安全的原因无处不在。比如将系统登陆密码或者通行证口令随意写在便签上,贴在工位或者电脑显示器旁显眼的地方;临时有事离开时不关机、不锁屏;轻易登录来自陌生人的邮件或者点击无法知晓来源地链接;设置容易破解的弱口令,将个人生日、手机号、或者纯数字作为口令,甚至有的人员压根未设置任何口令,任何人都可以开机直接进入,这样容易导致在丢失自己的笔记本电脑的情况下机密信息泄露;参加重要会议资料或者会议记录随意在会场丢弃。为了防范这种情况的发生,国际公认的更为有效杜绝的方式是通过培训、观摩或者实操等促进员工的信息安全意识和增强安全防范技能提高。1)加强网络安全专业人员的培训,严格按照高校网络安全管理制度执行,并将网络安全责任落实到人;2)加强全校师生的信息安全知识培训,提高全体师生的信息素养和安全意识,提高师生网络信息安全风险意识、敏感性和警惕性。通过大数据分析,不断推进网络安全培训服务的智能化,做到培训目标精准管理和智慧服务。

4 结语

高校在开展智慧校园建设中,会面临诸多的信息安全问题和严峻的挑战,如何保障高校信息系统和网络信息安全,提高师生的网络安全意识,是高校信息化发展中迫切需要关注和解决的重要问题。应在“网络强国”战略思想指导下,建立全方位的网络空间,采取一系列措施应对网络安全隐患,进一步加强学校信息化领导力建设,提升全体师生的信息素养和网络安全素养与技能,使信息安全治理和智慧校园建设双向并行,使得高校网络信息安全可靠性和安全性可持续发展。

猜你喜欢

信息安全网络安全校园
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
保护信息安全要滴水不漏
高校信息安全防护
保护个人信息安全刻不容缓
信息安全