王改花，傅鋼善，李享陽

1陜西師范大學新聞與傳播學院，西安710062;2陜西省教育廳，西安710061

隨著教育信息化的發(fā)展，尤其是普通高校數(shù)字校園建設的蓬勃發(fā)展，高校信息網(wǎng)絡安全問題已成為目前我國信息網(wǎng)絡安全保護管理工作的重要組成部分。公安部網(wǎng)絡安全保衛(wèi)局每年均會發(fā)布全國信息網(wǎng)絡安全狀況與計算機病毒疫情調(diào)查報告。為進一步落實公安部等四部委《關于印發(fā)＜信息安全等級保護管理辦法＞的通知》［1］精神，教育部在2011年工作要點中提出了“做好教育系統(tǒng)網(wǎng)絡信息安全保障工作”的要求［2］。從目前發(fā)表的文獻來看，關于高校信息網(wǎng)絡安全的調(diào)查甚少，而開展此項調(diào)查工作，對推進高等教育安全防范工作具有重大現(xiàn)實意義。因此，該文從信息網(wǎng)絡安全測評或認證等級、覆蓋范圍、安全事件、安全措施、存在的問題、安全管理等六個方面對陜西省高校信息網(wǎng)絡安全現(xiàn)狀進行分析，最后根據(jù)調(diào)查數(shù)據(jù)，提出了具體的建議。

1 調(diào)查對象與方法

此次問卷調(diào)查對象是陜西省教育系統(tǒng)下屬的普通高校，包括普通高等院校、成人高等學校、獨立學院、廳屬中專學校。截至2011年10月，陜西省普通高等院校共78所、成人高等學校共17所、獨立學院共12所、廳直屬中專學校共4所。

調(diào)查方法是將調(diào)查問卷作為陜西省教育廳辦公室文件(陜教保辦［2011］1號)的附件部分，由各學校信息網(wǎng)絡安全責任部門負責人根據(jù)本學校實際情況如實填寫，并于2011年10月20日前將書面文檔與電子文檔報省教育廳信息與學校保障工作處。

調(diào)查問卷的設計參考了公安部網(wǎng)絡安全保衛(wèi)局發(fā)布的“2010年全國信息網(wǎng)絡安全狀況暨計算機病毒疫情調(diào)查問卷”［3］，并進行了適度修改。調(diào)查內(nèi)容主要包括陜西省高校信息網(wǎng)絡安全的基本情況、測評或認證等級、覆蓋范圍、安全事件、安全措施、存在的問題、安全管理現(xiàn)狀。

調(diào)查時間是2011年10月，共回收問卷80份，有效問卷78份。其中，普通高等院學校62份(占79．5%)、成人高等學校4份(占5．1%)、獨立學院8份(占10．3%)、廳直屬中專學校4份(占5．1%)。

2 調(diào)查結果

2．1 信息網(wǎng)絡安全測評或認證等級現(xiàn)狀

根據(jù)公安部《計算機信息系統(tǒng)安全保護等級劃分準則》將信息系統(tǒng)的安全保護等級分五級［4］。調(diào)查結果顯示，截至2011年10月，陜西省高等教育系統(tǒng)只有35．9%的學校進行過信息網(wǎng)絡安全測評，其中認證等級為一級的占17．9%，二級的占12．8%，三級的占1．3%，四級的占2．6%，五級的占1．3%。可以看出:進行過信息系統(tǒng)安全等級測評的學校相對較少，主要集中在一級與二級，少數(shù)學校的測評等級并不準確，尤其是三級及以上的系統(tǒng)。

2．2 信息網(wǎng)絡安全覆蓋范圍現(xiàn)狀

陜西省高校信息網(wǎng)絡安全的覆蓋范圍不均衡，主要集中在教學領域(占94．9%)，其次是管理領域(占74．4%)，而科研和生活服務領域的覆蓋率相對較低。以上四方面內(nèi)容均覆蓋的學校占37．2%，其中高等院學校占33．3%。數(shù)據(jù)表明，普通高等院校覆蓋范圍與總體情況基本一致，其他類型學校在科研和生活服務方面相對較低(如圖1所示)。

圖1 信息網(wǎng)絡安全覆蓋范圍統(tǒng)計圖

2．3 網(wǎng)絡安全事件現(xiàn)狀

從發(fā)生網(wǎng)絡安全事件的次數(shù)分析，2010-2011年，33．3%的被調(diào)查學校發(fā)生過網(wǎng)絡安全事件，普通高等院校發(fā)生網(wǎng)絡安全事件的頻次明顯高于其他類型學校(如圖2所示)。

圖22010 -2011年發(fā)生網(wǎng)絡安全事件次數(shù)統(tǒng)計圖

從發(fā)生網(wǎng)絡安全事件的類型分析，陜西省高校信息網(wǎng)絡安全事件類型繁多，其中主干網(wǎng)絡中斷和BT下載造成網(wǎng)絡擁堵最為突出，均占41．6%;其次是出現(xiàn)大量木馬及病毒、網(wǎng)頁被篡改、垃圾郵件、DNS不穩(wěn)定等方面。其中，普通高等院校的情況與總體情況基本一致;其他類型學校主要是主干網(wǎng)絡中斷(占同類學校的50%)，其他方面所占比例均低于總體水平，相對普通高等院校表現(xiàn)良好(如圖3所示)。

圖3 網(wǎng)絡安全事件類型統(tǒng)計圖

從網(wǎng)絡安全事件發(fā)現(xiàn)途徑分析，通過技術監(jiān)測手段發(fā)現(xiàn)為主(占73．1%)，其次是通過事后分析發(fā)現(xiàn)、有關部門通知后發(fā)現(xiàn)、通過網(wǎng)絡安全產(chǎn)品報警發(fā)現(xiàn)。其中普通高等院校的情況與總體情況基本一致;在事后分析發(fā)現(xiàn)方面，其他類型學校做的明顯要好于普通高等院校(如圖4所示)。

圖4 網(wǎng)絡安全事件發(fā)現(xiàn)途徑統(tǒng)計圖

調(diào)查數(shù)據(jù)表明，陜西省高校信息網(wǎng)絡安全事件總體狀況良好，但是人為因素造成的網(wǎng)絡安全威脅層出不窮，技術監(jiān)測手段在處理網(wǎng)絡安全事件中起到了重要的作用。獨立學院、成人高等學校、廳直屬中專學?，F(xiàn)狀略優(yōu)于普通高等院校。

2．4 信息網(wǎng)絡安全措施現(xiàn)狀

從網(wǎng)絡安全建設專項資金投入分析，66．7%的學校有專項資金投入，87．5%的獨立學院、成人高等學校、廳直屬中專學校有專項資金投入，61．3%的普通高等院校有專項資金投入。

從采取的網(wǎng)絡安全技術措施分析，各學校對信息網(wǎng)絡安全工作均有所關注，且大部分學校能夠采取多項技術措施來保障本校的信息網(wǎng)絡安全，調(diào)查結果如圖5、圖6所示。

圖5 各層次學校采取的網(wǎng)絡安全技術措施統(tǒng)計圖

由圖5可以看出，各學校信息網(wǎng)絡安全技術水平層次不齊，從采取1種技術措施到采取12種技術措施的學校均有。其中采取6、7、10種技術措施的學校相對較多，分別占14．1%、17．9%、14．1%。普通高等院校的情況與總體情況基本一致，而其他類型學校的網(wǎng)絡安全技術水平差異比較大。

由圖6可以看出，被調(diào)查學校在信息網(wǎng)絡安全方面采用較多的技術和手段是數(shù)據(jù)備份(占85．9%)、防火墻(占85．9%)、防病毒(占78．2%)、制定安全管理規(guī)章制度(占76．9%)、訪問控制(占71．8%);采用較少的技術和手段是數(shù)字證書、定期進行安全風險評估、入侵檢測、加密、系統(tǒng)安全加固、漏洞掃描。普通高等院校的情況與總體情況基本一致;而其他類型學校在制定應急處置預案和措施、定期進行安全風險評估、訪問控制、審計日志方面要明顯低于普通高等院校。

圖6 各層次學校采取的網(wǎng)絡安全技術措施統(tǒng)計圖

調(diào)查數(shù)據(jù)表明，陜西省高校信息網(wǎng)絡安全技術措施水平層次不齊，專項資金投入有待進一步加強。要針對不同學校的現(xiàn)狀，有針對性地加大專項資金投入，完善信息網(wǎng)絡安全保護技術措施，盡可能采取多種技術措施進行信息網(wǎng)絡安全保護。

2．5 信息網(wǎng)絡安全存在的問題

從信息網(wǎng)絡安全存在的問題分析，各學校存在的問題各不相同。主要問題是用戶安全意識和觀念薄弱(占67．9%)，網(wǎng)絡安全管理人員數(shù)量不足、缺乏培訓(占61．5%)，網(wǎng)絡安全保護資金投入不足(占61．5%)。普通高等院校情況與總體情況基本一致，其他類型學校情況與普通高等院校相比要相對樂觀(如圖7所示)。

2．6 信息網(wǎng)絡安全管理現(xiàn)狀

被調(diào)查學校均設有信息網(wǎng)絡安全責任部門。其中60．5%的學校有主管信息網(wǎng)絡安全的專門工作部門(如網(wǎng)絡中心、教育技術/電教中心、信息中心、信息化辦公室)，其余的學校主要由黨政辦公室、教務處、實驗教學中心、辦公室等部門兼管;其中70．1%的普通高等院校有專門的工作部門，僅有12．5%的獨立學院、成人高等學校、廳直屬中專學校有專門的工作部門。調(diào)查數(shù)據(jù)表明，獨立學院、成人高等學校、廳直屬中專學校在這方面做的明顯不足。

圖7 網(wǎng)絡安全存在的問題統(tǒng)計圖

被調(diào)查學校責任部門專業(yè)技術人員平均數(shù)量為5人，最少1人，最多14人。其中普通高等院校專業(yè)技術人員平均數(shù)量為5人，其他類型學校專業(yè)技術人員平均數(shù)量為3人。

從信息網(wǎng)絡安全管理制度分析，29．5%的學校已經(jīng)制定并實現(xiàn)了相應的制度;47．4%的學校正在規(guī)劃并初步實現(xiàn)相應的制度;16．7%的學校正在規(guī)劃，但并沒有實現(xiàn)相應的制度;僅有6．4%的學校暫無這方面的規(guī)劃。

從網(wǎng)絡安全管理人員分析，91%的學校設立了網(wǎng)絡管理員崗位;61．5%的學校設立了系統(tǒng)管理員崗位;52．6%的學校設立了安全管理員崗位;其中69．2%的學校有專職安全管理員(非兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等)。各類學校情況與總體情況基本一致(如圖8所示)。

圖8 安全管理崗位統(tǒng)計圖

調(diào)查數(shù)據(jù)表明，陜西省高校信息網(wǎng)絡安全管理現(xiàn)狀還處于發(fā)展階段，安全管理問題不容忽視，仍然存在一些問題，如部分學校沒有專門的工作部門，專業(yè)技術人員不足，沒有專職網(wǎng)絡安全管理人員，安全管理制度不健全等。

2．7 各變量之間相關性分析

①“安全管理制度”與“安全技術措施”、“安全管理人員”呈正相關，與“安全事件發(fā)生頻率”、“網(wǎng)絡安全存在的問題”呈負相關，相關系數(shù)分別為0．471(且雙側顯著性水平為0．000＜0．05，很顯著)、0．300(且雙側顯著性水平為0．008＜0．05，很顯著)、-0．334(且雙側顯著性水平為0．003＜0．05，很顯著)、-0．268(且雙側顯著性水平為0．018＜0．05，很顯著)。即該學校信息網(wǎng)絡安全管理制度越完善，其采取的安全技術措施手段就越多，專職安全管理人員數(shù)量越多，發(fā)生安全事件的次數(shù)越少，網(wǎng)絡安全存在的問題也越少。

②“專項資金投入”與“安全管理人員”之間的相關系數(shù)為0．245(且雙側顯著性水平為0．031＜0．05，很顯著)，二者呈輕度正相關，與其他幾個變量沒有顯著關系。即有專項資金投入的學校，其專職安全管理人員數(shù)量越多。

③“安全技術措施”與“安全事件發(fā)現(xiàn)途徑”呈正相關，與“網(wǎng)絡安全存在的問題”呈負相關，相關系數(shù)分別為0．366(且雙側顯著性水平為0．001＜0．05，很顯著)、-0．235(且雙側顯著性水平為0．039＜0．05，很顯著)。即該學校采取的信息網(wǎng)絡安全技術措施越多，其發(fā)現(xiàn)安全事件的途徑越多，網(wǎng)絡安全存在的問題越少。

以上數(shù)據(jù)表明，安全管理制度是關鍵，直接影響網(wǎng)絡安全的各個方面;專項資金投入是保障，會影響網(wǎng)絡安全管理人員隊伍，從而間接地影響信息網(wǎng)絡安全;安全技術措施是核心，是技術保障，會直接影響網(wǎng)絡安全的實際情況。因此，當務之急是要盡快規(guī)劃并實施安全管理措施，增加專項資金投入，從而完善安全技術措施，進一步改善信息網(wǎng)絡安全現(xiàn)狀。

3 建議與對策

目前陜西省高校信息網(wǎng)絡安全整體上基本良好，但是仍然存在一些問題。如:一半以上的學校未進行網(wǎng)絡安全等級的定級、備案和測評工作，部分學校采取的信息網(wǎng)絡安全技術措施不夠全面、沒有制定安全管理制度、沒有專職網(wǎng)絡安全管理人員、用戶安全意識和觀念薄弱、網(wǎng)絡安全保護資金投入不足等。由此引發(fā)了一些網(wǎng)絡安全事件，對高校信息網(wǎng)絡安全造成了威脅，信息網(wǎng)絡安全現(xiàn)狀不容忽視。如何提高陜西省高校信息網(wǎng)絡安全，建議從以下幾方面入手:

3．1 落實高校信息網(wǎng)絡安全測評工作

全面開展教育系統(tǒng)信息系統(tǒng)的定級、備案和測評工作［5］。組建信息安全等級保護專家組，開展教育信息系統(tǒng)定級咨詢、風險評估、等級測評和系統(tǒng)安全監(jiān)測等工作。尤其要對第三級及以上信息系統(tǒng)進行重測，對于定級不準確的，應重新定級和備案［6］;對于安全等級較低的學校，要給予指導性建議，責令其盡快整改，達到最基本標準。

3．2 落實高校信息網(wǎng)絡安全管理制度建設

“三分技術，七分管理”是網(wǎng)絡安全的要領。因此，定期開展信息網(wǎng)絡安全高級管理培訓，增強主管部門領導的信息安全保護意識，對于目前還沒有建立專門責任部門的學校要盡快建立專門的責任部門，落實信息安全責任制，獨立學院、成人高等學校、廳直屬中專學校在這方面要尤其加強;增加專項資金投入，把信息網(wǎng)絡安全建設、運維經(jīng)費列入學校的財政預算;落實專職網(wǎng)絡安全管理人員崗位，建立全省信息安全管理人才培訓基地，并積極開展網(wǎng)絡安全管理人員的相關技術培訓，實現(xiàn)信息安全崗位持證上崗;建立并落實信息網(wǎng)絡安全監(jiān)督檢查評估機制，定期對各項制度的落實情況進行自查和監(jiān)督檢查［7］，從而建立健全高校信息網(wǎng)絡管理保障體系。

3．3 完善高校信息網(wǎng)絡安全技術措施

嚴格參照《信息系統(tǒng)安全等級保護基本要求》［8］、《信息系統(tǒng)安全等級保護實施指南》［9］、《信息系統(tǒng)等級保護安全設計技術要求》［10］等標準規(guī)范要求，結合高等教育信息系統(tǒng)特點和網(wǎng)絡安全需求，制定全省教育系統(tǒng)統(tǒng)一的網(wǎng)絡運行、網(wǎng)絡安全、數(shù)據(jù)安全等規(guī)章制度和技術保障措施。各單位根據(jù)實際情況，分步驟、分層次地完善信息安全技術保障措施建設工作，落實相應的物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等安全保護技術措施，盡可能采取多種技術措施進行信息網(wǎng)絡安全保護，尤其要加強入侵檢測、加密、系統(tǒng)安全加固、漏洞掃描、數(shù)字證書等技術，從而建立并完善信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)的安全防護能力和水平。

3．4 加大對高校信息網(wǎng)絡安全的政策支持

建立和完善高等教育系統(tǒng)信息網(wǎng)絡安全檢查評估機制和激勵機制。開展數(shù)字化校園示范工程，定期對校園網(wǎng)信息網(wǎng)絡安全進行績效考評，把信息網(wǎng)絡安全工作納入各學校教育信息化評估指標，切實推進高校信息網(wǎng)絡安全工作。

3．5 提高網(wǎng)絡用戶的安全意識

信息網(wǎng)絡安全并不是網(wǎng)絡管理人員個人的事情，信息網(wǎng)絡安全存在的主要問題是用戶安全意識和觀念薄弱。因此，積極地采取措施提高網(wǎng)絡用戶的安全意識與普及網(wǎng)絡安全常識是當務之急。

［1］公安部等關于印發(fā)《信息安全等級保護管理辦法》的通知［EB/OL］．http://www．gov．cn/gzdt/2007-07/24/content_694380．htm

［2］教育部2011年工作要點［EB/OL］．http://www．moe．edu．cn/publicfiles/business/htmlfiles/moe/moe_164/2011 02/114836．html

［3］國家計算機病毒應急處理中心．2010年全國信息網(wǎng)絡安全狀況暨計算機病毒疫情調(diào)查問卷［EB/OL］．http://www．a(chǎn)ntivirus-china．org．cn/

［4］GB17859-1999，計算機信息系統(tǒng)安全保護等級劃分準則［S］

［5］教育部辦公廳關于進一步加強網(wǎng)絡信息系統(tǒng)安全保障工作的通知［EB/OL］．http://dengbao．moe．edu．cn

［6］陜西省教育廳關于開展教育信息系統(tǒng)安全等級保護工作的通知［EB/OL］．http://www．sndjbh．net/tzgg/80．html

［7］關于印發(fā)《陜西省信息安全等級保護安全建設整改工作指導意見》的通知［EB/OL］．http://www．sndjbh．net/tzgg/95．html

［8］GBT22239-2008，信息安全技術信息系統(tǒng)安全等級保護基本要求［S］

［9］GBT25058-2010，信息系統(tǒng)安全等級保護實施指南［S］

［10］GBT25070-2010，信息系統(tǒng)等級保護安全設計技術要求［S］