金燄

（武漢城市職業(yè)學(xué)院 湖北省武漢市 430064）

1 引言

隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等新型技術(shù)與校園信息化建設(shè)的深度融合，智慧校園各類業(yè)務(wù)系統(tǒng)深度互聯(lián)互通，網(wǎng)絡(luò)傳輸能力不斷加強(qiáng)，信息數(shù)據(jù)規(guī)模急劇擴(kuò)大，信息安全問題隨之頻繁出現(xiàn)并成為智慧校園建設(shè)的新研究課題。

網(wǎng)絡(luò)與信息安全事件大致可分為敏感信息泄露，電信詐騙，勒索病毒、網(wǎng)絡(luò)黑客漏洞攻擊、弱口令攻擊、釣魚網(wǎng)站或郵件、木馬、網(wǎng)頁篡改等類型。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，2019年全年捕獲計(jì)算機(jī)惡意程序樣本數(shù)量超過 6,200 萬個(gè)，日均傳播次數(shù)達(dá) 824 萬余次，涉及計(jì)算機(jī)惡意程序66 萬余個(gè)。[1]

我國(guó)高?；虺蔀榫W(wǎng)絡(luò)信息安全泄漏的重災(zāi)區(qū)。2015年5月高招期間，有媒體報(bào)道國(guó)內(nèi)近千所高校網(wǎng)站存在嚴(yán)重的安全問題，可能導(dǎo)致大量學(xué)生及教職員工信息泄漏。2017年，某職業(yè)技術(shù)學(xué)院系統(tǒng)的高危漏洞，直接導(dǎo)致系統(tǒng)存儲(chǔ)的4000 余名學(xué)生身份信息泄露。2018年江蘇某大學(xué)某學(xué)院發(fā)生大規(guī)模學(xué)生信息泄露事件，上千名學(xué)生信息疑被不法企業(yè)用于偷逃稅款。

2 安全問題產(chǎn)生的原因

近些年高校網(wǎng)絡(luò)信息安全事件頻發(fā)，多數(shù)是由于學(xué)校管理體制不夠健全、信息化建設(shè)規(guī)劃不合理、各級(jí)管理與應(yīng)用人員安全素養(yǎng)不足等原因造成。學(xué)校信息安全的責(zé)任邊界不清，造成信息安全責(zé)任落實(shí)不到具體責(zé)任人，相互推諉造成安全工作出現(xiàn)管理真空；在信息化建設(shè)過程中，安全設(shè)備一般都是信息化項(xiàng)目建設(shè)完成上線后購(gòu)置部署，軟件系統(tǒng)的漏洞有時(shí)候是信息安全問題出現(xiàn)后才進(jìn)行修補(bǔ)，用戶密碼沒有對(duì)強(qiáng)弱進(jìn)行規(guī)定與限制，信息數(shù)據(jù)也沒有脫敏處理；而各級(jí)應(yīng)用管理人員安全意識(shí)淡薄、風(fēng)險(xiǎn)辨識(shí)能力不夠、安全信息獲取不及時(shí)，也是造成信息安全事件頻發(fā)的主要原因。

3 國(guó)家法規(guī)與安全標(biāo)準(zhǔn)

我國(guó)網(wǎng)絡(luò)安全頂層設(shè)計(jì)正在不斷完善中，《網(wǎng)絡(luò)安全法》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》《中華人民共和國(guó)密碼法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（網(wǎng)絡(luò)安全等級(jí)保護(hù) 2.0）等多項(xiàng)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、配套制度及有關(guān)標(biāo)準(zhǔn)已向社會(huì)發(fā)布。[1]

為應(yīng)對(duì)以及防范校園網(wǎng)絡(luò)信息安全問題，教育部于2018年制定的《教育信息化2.0 行動(dòng)計(jì)劃》中提出“擔(dān)當(dāng)責(zé)任，保障安全”的建設(shè)要求[2]。如圖1所示，信息系統(tǒng)安全保障是在信息系統(tǒng)整個(gè)生命周期中，通過對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性。[3]

4 解決安全問題的對(duì)策

4.1 構(gòu)建網(wǎng)絡(luò)信息安全體系

高校信息安全具有動(dòng)態(tài)性,主要是因?yàn)樵盒Ｐ畔踩摺⒉呗缘闹贫ㄔ趯?shí)質(zhì)上是高校發(fā)展過程中的某些決策過程。[4]完整的安全體系不能由一次會(huì)議或一次研討來制定完成，其建立過程是循序漸進(jìn)的，需要不斷地計(jì)劃、實(shí)施、檢查、改進(jìn)，周而復(fù)始地完善，通過對(duì)安全體系文件制定、發(fā)布、評(píng)審、變更、修訂、審批等流程，增強(qiáng)體系有效性和適用性。

4.2 完善安全管理法規(guī)制度

網(wǎng)絡(luò)信息安全工作，三分技術(shù)，七分管理，因此更需要強(qiáng)化管理職能，加強(qiáng)規(guī)章制度建設(shè)，落實(shí)網(wǎng)絡(luò)安全崗位職責(zé)。[5]學(xué)校制定網(wǎng)絡(luò)信息安全的相關(guān)管理制度與法規(guī)條例，應(yīng)按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，規(guī)定各部門和教職工應(yīng)承擔(dān)的網(wǎng)絡(luò)信息安全責(zé)任。各級(jí)應(yīng)用人員參照信息系統(tǒng)的安全操作規(guī)范實(shí)施管理，包括賬號(hào)與密碼設(shè)置、木馬病毒防范、補(bǔ)丁更新、數(shù)據(jù)備份、數(shù)據(jù)加密、臺(tái)帳記錄登記等。結(jié)合實(shí)際工作制定相應(yīng)網(wǎng)絡(luò)信息安全預(yù)案，對(duì)突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進(jìn)行演練，以保證信息系統(tǒng)面臨突發(fā)事件時(shí)能在較短時(shí)間內(nèi)恢復(fù)正常使用。

4.3 注重工程項(xiàng)目過程安全

項(xiàng)目建設(shè)安全管理的目標(biāo)是保證整個(gè)項(xiàng)目建設(shè)過程中系統(tǒng)的安全。項(xiàng)目的生命周期包括規(guī)劃組織、需求分析、總體方案設(shè)計(jì)、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)試、運(yùn)行維護(hù)與廢棄等過程。為實(shí)現(xiàn)這個(gè)目標(biāo)，信息安全管理必須融合在整個(gè)項(xiàng)目建設(shè)過程中，與學(xué)校的業(yè)務(wù)需求、環(huán)境要求、項(xiàng)目計(jì)劃、成本效益等相符。

軟件生命周期融合出一個(gè)信息系統(tǒng)安全工程項(xiàng)目，如圖2所示，通過設(shè)定安全等級(jí)，確認(rèn)、評(píng)估、消除系統(tǒng)已知或未知安全問題，最終評(píng)估得到一個(gè)可控的安全風(fēng)險(xiǎn)。項(xiàng)目的可行性分析、立項(xiàng)、需求、架構(gòu)設(shè)計(jì)、編碼、測(cè)試、上線、運(yùn)行、驗(yàn)收等關(guān)鍵環(huán)節(jié)，在規(guī)定時(shí)限內(nèi)完成各環(huán)節(jié)的安全管理，做到信息安全的可度量和可控。

4.4 運(yùn)用落實(shí)各項(xiàng)安全技術(shù)

高校網(wǎng)絡(luò)安全技術(shù)體系，通過落實(shí)安全技術(shù)相關(guān)控制要求，實(shí)現(xiàn)物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的所有安全控制，通常采用安全產(chǎn)品加以實(shí)現(xiàn)，輔助安全服務(wù)以增強(qiáng)安全控制能力。[6]信息系統(tǒng)運(yùn)維的安全技術(shù)包括系統(tǒng)安全防護(hù)策略、主機(jī)操作系統(tǒng)存儲(chǔ)漏洞掃描與補(bǔ)丁，木馬病毒、數(shù)據(jù)庫(kù)遭受攻擊攻防演練，應(yīng)用系統(tǒng)漏洞補(bǔ)丁、管理員及普通用戶賬號(hào)密碼分級(jí)管理與設(shè)定等。

4.4.1 門戶安全技術(shù)

門戶安全技術(shù)主要防范頁面篡改、網(wǎng)頁掛馬、管理員及用戶賬號(hào)密碼泄漏、SQL 注入、后臺(tái)數(shù)據(jù)泄露，內(nèi)容缺乏過濾及審核機(jī)制等安全問題。通過不斷提升技術(shù)管理手段，加裝WEB 防火墻、加強(qiáng)系統(tǒng)及應(yīng)用補(bǔ)丁升級(jí)等，確保門戶的完整性、可用性、保密性，從而保障門戶安全。

4.4.2 數(shù)據(jù)安全技術(shù)

運(yùn)用數(shù)據(jù)安全技術(shù)，做好數(shù)據(jù)及應(yīng)用系統(tǒng)安全工作，確保數(shù)據(jù)的機(jī)密性、完整性、可用性。通過雙機(jī)備份、差異備份、整體備份，加密存儲(chǔ)等方式確保數(shù)據(jù)與應(yīng)用系統(tǒng)安全。部署數(shù)據(jù)存儲(chǔ)加密產(chǎn)品、服務(wù)器密碼機(jī)或其他密碼模塊，對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

4.4.3 等級(jí)保護(hù)測(cè)評(píng)

等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)等保對(duì)象安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

如表1所示，首先根據(jù)系統(tǒng)的風(fēng)險(xiǎn)侵害程度進(jìn)行評(píng)估，設(shè)定該系統(tǒng)的保護(hù)級(jí)別，并按照等級(jí)保護(hù)要求完成信息系統(tǒng)安全加固工作，定期對(duì)已備案的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，從而保證信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)控制維持在較高水平，并不斷增強(qiáng)系統(tǒng)的穩(wěn)定性和安全性。

信息系統(tǒng)安全建設(shè)整改前，信息系統(tǒng)運(yùn)營(yíng)使用單位可以選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，掌握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確安全建設(shè)整改需求。信息系統(tǒng)安全建設(shè)整改后，信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)再選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，檢測(cè)系統(tǒng)安全保護(hù)狀況與標(biāo)準(zhǔn)要求的符合性，進(jìn)一步查找安全隱患和問題，并進(jìn)行風(fēng)險(xiǎn)分析，為進(jìn)一步整改提供依據(jù)。

4.4.4 物理設(shè)備區(qū)域門禁

重點(diǎn)物理設(shè)備區(qū)域憑權(quán)限進(jìn)入，網(wǎng)絡(luò)設(shè)施設(shè)備區(qū)域應(yīng)配置監(jiān)控設(shè)備、門禁設(shè)備，控制、鑒別人員進(jìn)出資格。部署基于密碼技術(shù)的電子門禁系統(tǒng)，對(duì)重要物理區(qū)域出入人員的身份進(jìn)行鑒別，并對(duì)電子門禁系統(tǒng)進(jìn)出記錄等數(shù)據(jù)進(jìn)行完整性。部署基于密碼技術(shù)的視頻監(jiān)控系統(tǒng)，對(duì)視頻監(jiān)控音像記錄等數(shù)據(jù)進(jìn)行完整性保護(hù)。

4.4.5 密碼技術(shù)

密碼技術(shù)能夠保護(hù)信息系統(tǒng)安全的前提是正確使用子安全可靠的密碼技術(shù)，密碼相關(guān)標(biāo)準(zhǔn)除了滿足互聯(lián)互通需求外，更是密碼技術(shù)安全性的基本保證。

部署智能密碼鑰匙、智能IC 卡其他具備身份鑒別功能的密碼產(chǎn)品，對(duì)登錄的用戶進(jìn)行身份鑒別。部署可信計(jì)算密碼支撐平臺(tái)、簽名驗(yàn)簽服務(wù)器或服務(wù)器密碼機(jī)，實(shí)現(xiàn)可信計(jì)算能力，建立從系統(tǒng)到應(yīng)用的信任鏈，保護(hù)重要信息的完整性，保證計(jì)算環(huán)境的安全可信。

4.4.6 安全認(rèn)證技術(shù)

部署證書認(rèn)證系統(tǒng)提供的電子認(rèn)證服務(wù)，為用戶配置智能密碼鑰匙、智能IC 卡、移動(dòng)智能終端密碼模塊等具備身份鑒別功能的密碼產(chǎn)品，對(duì)系統(tǒng)用戶身份進(jìn)行管理。部署安全認(rèn)證網(wǎng)關(guān)系統(tǒng)，對(duì)訪問應(yīng)用服務(wù)器的用戶進(jìn)行身份鑒別和權(quán)限控制，對(duì)客戶端與服務(wù)器端、應(yīng)用系統(tǒng)之間傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。部署簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)或其他密碼模塊，對(duì)存儲(chǔ)的日志記錄進(jìn)行完整性保護(hù)。部署簽名驗(yàn)簽服務(wù)器、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器等密碼產(chǎn)品，對(duì)收發(fā)的數(shù)據(jù)及相關(guān)操作記錄進(jìn)行簽名，保證數(shù)據(jù)原發(fā)行為或數(shù)據(jù)接收行為的不可否認(rèn)性。

4.5 培養(yǎng)提高人員安全素養(yǎng)

制定網(wǎng)絡(luò)與信息安全培訓(xùn)規(guī)劃，選拔出具有網(wǎng)絡(luò)與信息系統(tǒng)管理經(jīng)驗(yàn)與專業(yè)技能的人員從事網(wǎng)絡(luò)與信息安全管理工作。安全崗位人員要將網(wǎng)絡(luò)信息安全意識(shí)、責(zé)任意識(shí)、保密意識(shí)相結(jié)合，落實(shí)安全崗位責(zé)任與考核機(jī)制，逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全管理人員和技術(shù)人員持證上崗。通過定期開展信息化應(yīng)用能力培訓(xùn)等方式整體提升領(lǐng)導(dǎo)干部、管理人員、技術(shù)人員、教師隊(duì)伍的網(wǎng)絡(luò)信息安全意識(shí)與防范意識(shí)，提升師生員工信息素養(yǎng)和應(yīng)用能力水平。在互聯(lián)網(wǎng)辦公、內(nèi)網(wǎng)辦公、移動(dòng)辦公三個(gè)方面，做出相關(guān)安全要求，輔以相應(yīng)網(wǎng)絡(luò)安全案例來剖析網(wǎng)絡(luò)安全問題根源，共同探討如何建立良好的網(wǎng)絡(luò)安全習(xí)慣。同時(shí)線上線下相結(jié)合，通過網(wǎng)絡(luò)安全案例的現(xiàn)場(chǎng)互動(dòng)體驗(yàn)、虛擬課堂、在線答題等方式進(jìn)行網(wǎng)絡(luò)信息安全培訓(xùn)。

表1：網(wǎng)絡(luò)安全等級(jí)保護(hù)工作級(jí)別劃分

5 總結(jié)

網(wǎng)絡(luò)信息安全是一項(xiàng)體系化的綜合性工作，涵蓋運(yùn)維管理、安全技術(shù)、制度規(guī)范、人員培養(yǎng)等多個(gè)維度。網(wǎng)絡(luò)信息安全體系建設(shè)過程是循序漸進(jìn)的，需要各級(jí)領(lǐng)導(dǎo)重視，明確職責(zé)，并落實(shí)監(jiān)督考核；網(wǎng)絡(luò)和信息系統(tǒng)要做好安全技術(shù)防護(hù)、落實(shí)等保、定期巡查等工作；各級(jí)系統(tǒng)用戶要盡力提升安全素養(yǎng)以做到能保護(hù)其個(gè)人隱私。網(wǎng)絡(luò)安全體系框架的構(gòu)建，將為高校智慧校園建設(shè)提供可借鑒的網(wǎng)絡(luò)安全體系架構(gòu)模型，為高校信息化建設(shè)保駕護(hù)航。[7]