劉佳

摘要 目前各個高校正在積極推進(jìn)教育信息化的相關(guān)工作。智慧校園、私有云技術(shù)、校園大數(shù)據(jù)分析等頗具前瞻性的新名詞在高校信息化建設(shè)的推進(jìn)過程中不斷涌現(xiàn)。然而近幾年來，黑客入侵、信息泄露等災(zāi)難性事故在高校頻發(fā)，高校網(wǎng)絡(luò)信息安全面臨嚴(yán)峻挑戰(zhàn)。高校學(xué)生的個人信息泄露受到社會的廣泛關(guān)注，本文通過對高校網(wǎng)絡(luò)數(shù)據(jù)安全問題與策略研究提出自己的觀點和看法，希望為各個高校解決網(wǎng)絡(luò)數(shù)據(jù)安全問題提供有效參考。

【關(guān)鍵詞】數(shù)據(jù)安全 加密存儲 備份與恢復(fù)

在高校信息化建設(shè)過程中，大家往往重視各類應(yīng)用系統(tǒng)的建設(shè)，關(guān)注的是數(shù)據(jù)中心平臺、教學(xué)資源平臺的建設(shè)。而對于數(shù)據(jù)安全卻不夠重視。導(dǎo)致了黑客入侵、信息泄露等災(zāi)難性事故在高校頻發(fā)，這里非常有代表性的是被南京郵電大學(xué)錄取的18歲山東女孩“徐玉玉”事件，本文針對對目前高校的網(wǎng)絡(luò)數(shù)據(jù)安全問題和防范策略進(jìn)行一些分析和探討，希望給大家一些啟示，引起大家的反思，并為各高校網(wǎng)絡(luò)安全建設(shè)提供參考。

1 當(dāng)前高校面臨的數(shù)據(jù)安全威脅分析

目前國內(nèi)高校各類應(yīng)用系統(tǒng)建設(shè)蓬勃發(fā)展，學(xué)校的日常管理和教學(xué)工作的開展對信息化手段的依賴程度越來越高，迎新報到系統(tǒng)、一卡通系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生綜合管理、智能水控電控系統(tǒng)等應(yīng)用平臺幾乎涵蓋了學(xué)生日常教學(xué)、生活的方方面面。幾萬甚至幾十萬條跟教師、學(xué)生密切相關(guān)的個人信息和重要數(shù)據(jù)在校園中各類應(yīng)用系統(tǒng)中流動、整合。但由于網(wǎng)絡(luò)安全防御手段跟不上教育信息化發(fā)展的節(jié)奏。校園網(wǎng)絡(luò)信息安全面臨嚴(yán)峻的挑戰(zhàn)，特別是近幾年，拒絕服務(wù)攻擊（DDOS）、病毒入侵、信息泄露、網(wǎng)站被篡改等災(zāi)難性事故頻發(fā)，嚴(yán)重威脅著高校各類信息業(yè)務(wù)的正常開展，高校師生的個人隱私安全。2016年8月，剛剛被南京郵電大學(xué)錄取的18歲山東女孩徐玉玉，因個人信息數(shù)據(jù)泄露，遭受異常精準(zhǔn)的電信詐騙，花季少女就此隕落。2017年5月，“勒索病毒”（ WANNACRYPT）瘋狂攻擊全球上百個國家，無數(shù)珍貴資料被病毒加密鎖定，國內(nèi)各個高校更是成為受病毒攻擊的重災(zāi)區(qū)，一卡通財務(wù)數(shù)據(jù)、高?？蒲袛?shù)據(jù)、畢業(yè)答辯數(shù)據(jù)紛紛被病毒鎖定。各個高校的應(yīng)用系統(tǒng)主機(jī)被遠(yuǎn)程種下木馬成為“肉雞”。我們花費大量資金采購的防火墻和防病毒軟件在這些入侵和攻擊下形同虛設(shè)。面對復(fù)雜的網(wǎng)絡(luò)威脅，以往我們使用的獨立安全產(chǎn)品堆砌起來的網(wǎng)絡(luò)防御體系搖搖欲墜，只有咬牙切齒花費不菲的金錢購買比特幣進(jìn)行解鎖。某高校的迎新網(wǎng)站，通過密碼找回功能居然能輕松的獲取到該高校全部錄取新生的相關(guān)信息。諸如此類的信息泄露、數(shù)據(jù)安全問題在我們高校層出不窮。面對復(fù)雜的網(wǎng)絡(luò)數(shù)據(jù)安全隱患，依靠單一的防火墻、防病毒軟件、行為審計構(gòu)建的安全系統(tǒng)已逐漸失去效力。特別是高校私有云平臺的建設(shè)以及數(shù)據(jù)集中共享平臺的搭建對于高校網(wǎng)絡(luò)數(shù)據(jù)安全提出了更高的要求。我們必須清醒的認(rèn)識到：網(wǎng)絡(luò)空間的攻防之間進(jìn)行的是一場深入、多層次的較量。要充分的認(rèn)識到安全與發(fā)展的關(guān)系。即安全和信息化發(fā)展是一體之雙翼、驅(qū)動之雙輪，安全是發(fā)展的保障，發(fā)展是安全的目的。

2 高校網(wǎng)絡(luò)數(shù)據(jù)安全防御策略探討

2.1 提高認(rèn)識、制度保障

筆者曾與多個高校負(fù)責(zé)教育信息化的網(wǎng)絡(luò)中心主任、信息中心主任進(jìn)行過安全方面的交流和探討，發(fā)現(xiàn)各個高校普遍存在“領(lǐng)導(dǎo)重視不夠、資金投入不足、網(wǎng)絡(luò)中心人員不夠、缺少數(shù)據(jù)安全的技術(shù)支持、信息部門統(tǒng)籌協(xié)調(diào)困難、全員安全意識和安全技能薄弱”等現(xiàn)象。各個高校要建立、健全網(wǎng)絡(luò)與信息安全組織領(lǐng)導(dǎo)機(jī)構(gòu)，全面實施信息安全等級保護(hù)制度，從思想上高度重視，逐步加大網(wǎng)絡(luò)信息與數(shù)據(jù)安全的經(jīng)費投入和專職網(wǎng)絡(luò)安全人員培訓(xùn)力度。建立、健全網(wǎng)絡(luò)信息與數(shù)據(jù)安全應(yīng)急預(yù)案，逐步加強(qiáng)網(wǎng)絡(luò)與信息安全隊伍建設(shè)和全體網(wǎng)絡(luò)使用人員培訓(xùn)。全校有線無線要真正落實實名準(zhǔn)入制度，加快教育行業(yè)信息安全標(biāo)準(zhǔn)規(guī)范建設(shè)。

2.2 做好網(wǎng)絡(luò)數(shù)據(jù)的安全隔離

目前高校的網(wǎng)絡(luò)運維機(jī)構(gòu)一般稱“信息中心”或“網(wǎng)絡(luò)中心”。是高校負(fù)責(zé)信息系統(tǒng)日常運行、技術(shù)維護(hù)和相應(yīng)的安全管理保障部門。各高校網(wǎng)絡(luò)用戶的賬號和密碼的規(guī)范管理也由該部門負(fù)責(zé)。網(wǎng)絡(luò)運維部門應(yīng)該按照“誰主管、誰負(fù)責(zé)，誰運營、誰負(fù)責(zé)、誰使用、誰負(fù)責(zé)，”的原則。及時對數(shù)據(jù)中心的服務(wù)器操作系統(tǒng)進(jìn)行漏洞修補(bǔ)，操作系統(tǒng)應(yīng)遵循最小化安裝的原則，關(guān)閉防火墻上的非必須端口，合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，通過采用VPN技術(shù)，對重要數(shù)據(jù)進(jìn)行內(nèi)網(wǎng)和外網(wǎng)隔離。對于較難發(fā)現(xiàn)的Web應(yīng)用漏洞要引入第三方評測機(jī)構(gòu)，納入學(xué)校的信息等級保護(hù)并到公安機(jī)關(guān)備案。提高黑客入侵的難度和入侵成本。

2.3 加強(qiáng)數(shù)據(jù)的訪問控制

數(shù)據(jù)訪問控制是指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。簡而言之就是保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)資源，防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)資源。事實上各類高校應(yīng)用系統(tǒng)中用戶的弱密碼是導(dǎo)致信息泄露的一個重要原因。尤其是在各個高校建立了統(tǒng)一門戶和統(tǒng)一身份認(rèn)證之后，用戶的弱密碼將導(dǎo)致各個校園應(yīng)用系統(tǒng)中用戶的所有數(shù)據(jù)被窮舉之后輕易得到。建議在數(shù)據(jù)訪問控制時采用動態(tài)口令認(rèn)證的方式。動態(tài)口令系統(tǒng)中每個正確的動態(tài)口令可與校園統(tǒng)一身份認(rèn)證平臺進(jìn)行動態(tài)認(rèn)證，只使用一次，并與用戶的手機(jī)短信進(jìn)行綁定發(fā)送，統(tǒng)一身份認(rèn)證平臺記錄所有用戶在某個時段內(nèi)的認(rèn)證結(jié)果，如果出現(xiàn)某一個用戶多次認(rèn)證失敗時，系統(tǒng)將對該用戶進(jìn)行鎖定，避免了被窮舉攻擊的可能。

2.4 做到數(shù)據(jù)的加密存儲與加密傳輸

數(shù)據(jù)加密技術(shù)是一種主動安全防御策略，這里講的加密包括了數(shù)據(jù)存儲的加密和在數(shù)據(jù)傳輸過程中使用加密技術(shù)，數(shù)據(jù)加密能用很小的代價即可為信息提供相當(dāng)大的安全保護(hù)。主要的加密技術(shù)有對稱加密和非對稱加密兩種。從加密技術(shù)應(yīng)用的邏輯位置看，有三種方式分別是鏈路加密，節(jié)點加密，端對端加密。不論哪種方式，在網(wǎng)絡(luò)傳輸和存儲中用密文代替明文，這樣即使發(fā)生入侵或信息泄露，黑客也要花費較大的力氣去進(jìn)行數(shù)據(jù)解密。一旦攻擊和入侵的成本遠(yuǎn)遠(yuǎn)大于收益，它就會望而止步了。

2.5 及時做好重要信息和數(shù)據(jù)的安全備份并保留網(wǎng)絡(luò)安全產(chǎn)品的相關(guān)日志

在當(dāng)前的網(wǎng)絡(luò)空間攻防過程中，國內(nèi)的網(wǎng)絡(luò)防御與國外的黑客組織在技術(shù)層面的較量中暫時處于弱勢，這就要求我們在網(wǎng)絡(luò)安全的日常維護(hù)過程中要注重各類重要信息及數(shù)據(jù)的安全備份。特別是高校的人事、學(xué)工、一卡通、財務(wù)等重要數(shù)據(jù)，要做到異地備份。這樣即便遭遇了類似“勒索病毒”的感染，也可通過備份數(shù)據(jù)進(jìn)行恢復(fù)。特別需要引起重視的是最新實施的《網(wǎng)絡(luò)安全法》明確規(guī)定，各類防火墻、路由設(shè)備、服務(wù)器日志文件要保留6個月以上。清晰完整的日志留存能保證我們在網(wǎng)絡(luò)遭到攻擊后，能迅速準(zhǔn)確的明晰黑客的攻擊手段，定位黑客的攻擊來源，避免事態(tài)的進(jìn)一步擴(kuò)大。

3 結(jié)語

除本文以上介紹的數(shù)據(jù)安全策略外我們要清醒的認(rèn)識到網(wǎng)絡(luò)數(shù)據(jù)安全絕不單單是高校信息運維部門的事情，關(guān)系到我們所有師生的切身利益。在日常使用過程中我們要提高全員的安全意識，培養(yǎng)一定的安全技能，保護(hù)好個人密碼，定期掃描和更新補(bǔ)丁，不要隨意點擊和打開來歷不明的郵件，在使用移動終端（手機(jī)、平板）的過程中，不要隨意連接免費Wi-Fi，不要輕易使用來歷不明的APP應(yīng)用。手機(jī)二手出賣或丟棄時要使用徹底的格式化軟件進(jìn)行個人數(shù)據(jù)的清除。我們要充分認(rèn)識數(shù)據(jù)安全的重要性。習(xí)總書記更是將有網(wǎng)絡(luò)安全上升到國家安全的層次。在計算機(jī)網(wǎng)絡(luò)技術(shù)水平高速發(fā)展的今天，數(shù)據(jù)安全問題的解決不能依靠單一的技術(shù)手段，只有提高全校師生的安全意識，多種手段和技術(shù)共同應(yīng)用、全員參與，才能保障我們的網(wǎng)絡(luò)數(shù)據(jù)安全。

參考文獻(xiàn)

[1]候艷.高校網(wǎng)絡(luò)安全存在的問題研究[J].電腦與電信2015，10： 53-53.

[2]王軍，論高校數(shù)據(jù)安全[J].信息系統(tǒng)工程，2012，08： 76.

[3]賀斌，高校網(wǎng)絡(luò)安全存在的問題與完善策略探析[J].信息通信，2014，10：9.

[4]吳比，計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全策略的研究[J].信息與電腦，2011，02： 10.

[5]錢程，淺談高校數(shù)據(jù)安全管理與備份[J].中國新技術(shù)新產(chǎn)品，2012，16： 21.

[6]李江，數(shù)字化校園中典型安全問題分析及防御對策[J].中國電化教育，2009.

[7]嚴(yán)曉峰，張德馨.大數(shù)據(jù)研究[J].計算機(jī)技術(shù)與發(fā)展，2013 （08）： 45-47.

[8]林勇.論職業(yè)院校虛擬化環(huán)境下數(shù)據(jù)中心的安全[J]，電腦迷，2018 （01）： 57-58.

[9]許孝巖，高校計算中心網(wǎng)絡(luò)安全管理探討[J]，青島理工大學(xué)學(xué)報.2015，36 （04）： 79-81+86.