魏婷婷

隨著互聯(lián)網(wǎng)和信息化的不斷發(fā)展，高校的信息化建設(shè)進(jìn)入新階段。信息化和網(wǎng)絡(luò)安全的不平衡發(fā)展，使得高校信息安全受到了極大威脅，黑客攻擊、高校網(wǎng)頁被篡改等事件層出不窮。高校網(wǎng)絡(luò)信息化建設(shè)需要綜合考慮人員、職能、環(huán)境等多個(gè)因素，既不能因?yàn)閲?yán)格的網(wǎng)絡(luò)控制影響高校正常的教學(xué)秩序，也不能因?yàn)榫W(wǎng)絡(luò)安全問題導(dǎo)致科研成果泄露等事件發(fā)生，造成高校和國(guó)家的損失。

一、高校網(wǎng)絡(luò)信息安全存在的問題

1.高校信息設(shè)備無法統(tǒng)一管理。

和企業(yè)、政府部門的設(shè)備統(tǒng)一采購不同，高校部門眾多，各學(xué)科對(duì)于設(shè)備的需求千差萬別，造成信息設(shè)備品牌雜、型號(hào)多的現(xiàn)狀。高校信息系統(tǒng)孤島化嚴(yán)重，院系和實(shí)驗(yàn)室往往自成網(wǎng)絡(luò)，設(shè)備歸院系管理，甚至是項(xiàng)目組自行管理，而學(xué)校的設(shè)備科或者信息科無法統(tǒng)一管理設(shè)備。

2.高校人員網(wǎng)絡(luò)安全意識(shí)薄弱。

在開放的環(huán)境下，高校進(jìn)出人員復(fù)雜，師生的電子設(shè)備自由地在學(xué)校內(nèi)外流動(dòng)，極易形成病毒感染和網(wǎng)絡(luò)攻擊的漏洞。在信息化建設(shè)過程中，由于網(wǎng)絡(luò)安全教育缺乏，網(wǎng)絡(luò)安全意識(shí)薄弱，師生更看重信息化帶來的便利性，而忽略了信息化存在的安全風(fēng)險(xiǎn)。

二、高校網(wǎng)絡(luò)信息安全對(duì)教研工作的影響

高校承擔(dān)著國(guó)家大量涉密科研任務(wù)，不管是黑客攻擊或者病毒感染都可能造成機(jī)密信息的泄露。由于高校具有學(xué)術(shù)氛圍寬松、人員流動(dòng)大等特點(diǎn)，科研泄密事件極易發(fā)生，甚至可能會(huì)發(fā)生內(nèi)部人員利用高級(jí)別權(quán)限竊取機(jī)密資料的事件。2017年5月12日，WannaCry勒索病毒通過MS17-010漏洞在全球范圍大爆發(fā)。國(guó)內(nèi)多所高校發(fā)現(xiàn)電腦勒索病毒，電腦中的文件和程序無法打開，嚴(yán)重影響正常的教學(xué)秩序。

對(duì)正處于畢業(yè)季的學(xué)生來說，畢業(yè)設(shè)計(jì)、畢業(yè)論文被病毒攻擊，影響其正常畢業(yè)；對(duì)于教師來說，課件、科研資料被損毀，導(dǎo)致科研和教學(xué)的停滯。而這只是高校遭受網(wǎng)絡(luò)攻擊的冰山一角，據(jù)統(tǒng)計(jì)，高校已經(jīng)超過企業(yè)、政府、醫(yī)院等單位，成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。

三、高校網(wǎng)絡(luò)信息安全防護(hù)措施

當(dāng)前國(guó)際關(guān)系風(fēng)云變幻，網(wǎng)絡(luò)空間紛繁復(fù)雜，人工智能、5G等具有顛覆性的戰(zhàn)略性新技術(shù)突飛猛進(jìn)，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等基礎(chǔ)應(yīng)用持續(xù)深化，數(shù)據(jù)泄露、高危漏洞、網(wǎng)絡(luò)攻擊、智能犯罪等網(wǎng)絡(luò)安全問題也呈現(xiàn)新態(tài)勢(shì)。面對(duì)新的網(wǎng)絡(luò)安全態(tài)勢(shì)，高校必須堅(jiān)持制度管理和技術(shù)保障兩手都要抓，兩手都要硬。制度管理增強(qiáng)人員的網(wǎng)絡(luò)安全意識(shí)，并且從制度上進(jìn)行考核，確保網(wǎng)絡(luò)防范的軟實(shí)力；技術(shù)保障從硬實(shí)力入手，利用設(shè)備和技術(shù)能力建立事前防御、事中控制、事后處理的立體化防御機(jī)制，從而保證信息化在為學(xué)校提供優(yōu)質(zhì)服務(wù)時(shí)發(fā)揮正向作用。

（一）加強(qiáng)人員和制度管理

1.堅(jiān)持黨管網(wǎng)絡(luò)安全的原則，強(qiáng)化高校信息化領(lǐng)導(dǎo)工作。

信息化和網(wǎng)絡(luò)安全工作是一項(xiàng)政治性和原則性極強(qiáng)的專業(yè)工作，必須深刻認(rèn)識(shí)到其對(duì)高校教學(xué)和科研保駕護(hù)航的重要作用。高校要堅(jiān)持黨管網(wǎng)絡(luò)安全的原則，從思想上統(tǒng)一工作要求，確保網(wǎng)絡(luò)安全工作順利推進(jìn)。

2.建立各項(xiàng)規(guī)章制度，實(shí)行規(guī)范化管理。

信息化和網(wǎng)絡(luò)安全工作的正常運(yùn)行需要通過規(guī)章制度進(jìn)行合理有效的規(guī)范。結(jié)合高校網(wǎng)絡(luò)環(huán)境的實(shí)際情況，需要制定和完善網(wǎng)絡(luò)安全管理制度、敏感時(shí)期的網(wǎng)絡(luò)信息監(jiān)控規(guī)范以及突發(fā)事件的處置預(yù)案。同時(shí)建立高校網(wǎng)絡(luò)安全工作制度，實(shí)行信息化工作的規(guī)范化管理，強(qiáng)化過程管理，落實(shí)責(zé)任到人的原則。

3.建立培訓(xùn)考核機(jī)制，提高教師業(yè)務(wù)能力和安全意識(shí)。

制度的執(zhí)行離不開一支精干的網(wǎng)絡(luò)安全保障隊(duì)伍，隊(duì)伍的業(yè)務(wù)素質(zhì)又決定了網(wǎng)絡(luò)安全工作能達(dá)到的高度。高校要將新人的崗前培訓(xùn)和員工的定期培訓(xùn)結(jié)合，系統(tǒng)學(xué)習(xí)規(guī)章制度和高科技防護(hù)技能，通過培訓(xùn)固化網(wǎng)絡(luò)安全意識(shí)，了解信息泄露的途徑，掌握相關(guān)的防范措施。同時(shí)建立考核機(jī)制，在每次培訓(xùn)后進(jìn)行考核，確保教師在業(yè)務(wù)能力和安全意識(shí)方面雙達(dá)標(biāo)。

（二）建立技術(shù)領(lǐng)域立體化防御機(jī)制

1.事前防御。

事前防御指利用技術(shù)手段部署安全設(shè)備來防御外部攻擊，通過建立物理安全、網(wǎng)絡(luò)通信安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等多維度的措施來保護(hù)高校網(wǎng)絡(luò)。

物理安全是整個(gè)網(wǎng)絡(luò)安全的前提，除了需要考慮水、電、火等侵害外，對(duì)于機(jī)密信息，物理訪問控制是第一道屏障，也是最重要的一道屏障。高校必須在有關(guān)場(chǎng)所配置電子門禁系統(tǒng)，控制、鑒別進(jìn)出人員。電子門禁系統(tǒng)的另一個(gè)重要作用是記錄進(jìn)出人員，一旦發(fā)生安全事件，可以進(jìn)行事件追溯。機(jī)密信息網(wǎng)絡(luò)和學(xué)校內(nèi)網(wǎng)通過網(wǎng)閘進(jìn)行隔離，以確保不會(huì)有病毒由校內(nèi)網(wǎng)向機(jī)密信息網(wǎng)絡(luò)傳播。

網(wǎng)絡(luò)通信安全方面，在校內(nèi)網(wǎng)與互聯(lián)網(wǎng)的邊界、校內(nèi)網(wǎng)的各個(gè)部門之間部署防火墻，通過防火墻對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行掃描，從而識(shí)別和過濾網(wǎng)絡(luò)攻擊。對(duì)于一些特定的服務(wù)或業(yè)務(wù)，可以在防火墻上利用白名單機(jī)制使得其只能與特定的IP地址進(jìn)行通訊，并且只針對(duì)該IP地址的請(qǐng)求開放端口，從而防止來自入侵者的網(wǎng)絡(luò)通信。

主機(jī)安全方面，高校應(yīng)該定期對(duì)主機(jī)進(jìn)行補(bǔ)丁更新，以解決系統(tǒng)漏洞問題，同時(shí)在主機(jī)上安裝防病毒軟件，實(shí)時(shí)更新病毒特征碼，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的監(jiān)控、報(bào)警和實(shí)時(shí)清除。

在應(yīng)用安全方面，從制度上規(guī)定主機(jī)不允許安裝和工作無關(guān)的軟件或應(yīng)用。相關(guān)軟件都必須利用用戶名和密碼登錄，并且從技術(shù)上確保密碼的強(qiáng)度，以及密碼必須定期修改。機(jī)密部門主機(jī)之間交換文件時(shí)，只允許傳送文本和圖片，不允許發(fā)送可執(zhí)行文件，以確保機(jī)密部門的網(wǎng)絡(luò)不被病毒感染。

數(shù)據(jù)安全包括兩個(gè)方面，一是在傳輸過程中不產(chǎn)生數(shù)據(jù)泄露，二是阻止黑客竊取機(jī)密信息。機(jī)密信息在傳輸過程中利用非對(duì)稱加密傳輸?shù)姆绞?，在發(fā)送端進(jìn)行加密，在接收端進(jìn)行解密。這樣即使黑客攔截了網(wǎng)絡(luò)包，但是由于不知道密碼也難以進(jìn)行解密。機(jī)密人員在校外利用虛擬專用網(wǎng)（VPN）訪問機(jī)密信息。VPN產(chǎn)品兼具了高度的安全性和使用的靈活性，同時(shí)支持安全和加密協(xié)議，簡(jiǎn)化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理，防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。

2.事中控制。

事中控制是指在發(fā)生網(wǎng)絡(luò)攻擊或者數(shù)據(jù)泄漏時(shí)，利用部署的網(wǎng)絡(luò)設(shè)備及時(shí)地發(fā)現(xiàn)安全事件，并且主動(dòng)阻斷，在極端情況下，通過向管理員或者責(zé)任人手機(jī)發(fā)短信等方式發(fā)出預(yù)警，請(qǐng)求人工干預(yù)。

傳統(tǒng)的事中控制一般部署IDS入侵檢測(cè)設(shè)備或者IPS入侵防御設(shè)備。IDS設(shè)備一般旁路部署在區(qū)域交換機(jī)上，依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能地發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。IPS設(shè)備一般串行部署，和IDS設(shè)備相似，也是根據(jù)預(yù)先設(shè)定的策略，對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等），從而發(fā)現(xiàn)攻擊行為。IPS設(shè)備可以進(jìn)一步根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施。抵御措施包括：向管理中心告警，丟棄該報(bào)文，切斷此次應(yīng)用會(huì)話，切斷此次TCP連接等。

由于當(dāng)前網(wǎng)絡(luò)環(huán)境的復(fù)雜性和攻擊手法的多樣性，單純利用單個(gè)網(wǎng)絡(luò)安全檢測(cè)設(shè)備來發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)極大，所以大數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)作為一種更全面的安全防御解決方案越來越多地得到了應(yīng)用。大數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)是通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

大數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)采集的數(shù)據(jù)源一般分為三層，分別是外網(wǎng)邊界的安全設(shè)備、內(nèi)網(wǎng)之間的安全設(shè)備、辦公區(qū)主機(jī)和服務(wù)器。因?yàn)橐淮尉W(wǎng)絡(luò)攻擊會(huì)涉及多個(gè)攻擊階段，同時(shí)逃避多個(gè)層次的檢測(cè)可能性較小，而且在多層數(shù)據(jù)源上采集信息，能夠還原整個(gè)攻擊鏈。

所以，大數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和防范。

3.事后處理。

事后處理類似圍棋中的復(fù)盤，一方面是為了解決攻擊造成的傷害，另一方面是能夠追溯攻擊源和攻擊途徑，從而發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)的漏洞并進(jìn)行改進(jìn)。溯源必須依賴大數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)，而且要求平臺(tái)接入更多與關(guān)聯(lián)場(chǎng)景相關(guān)的數(shù)據(jù)源。按照MITREATT&CK的原則，一次網(wǎng)絡(luò)攻擊涉及七個(gè)階段，那么需要在每個(gè)階段接入相應(yīng)數(shù)據(jù)源，才能還原整個(gè)攻擊鏈，從而明確被攻擊的原因。

在實(shí)踐中，高校可利用（如表1所示）數(shù)據(jù)源和告警信息順利還原攻擊過程。

表1

綜上所述，隨著高校信息化建設(shè)進(jìn)一步推進(jìn)，網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)會(huì)愈加凸顯。正確認(rèn)識(shí)技術(shù)與制度的關(guān)系，找準(zhǔn)制度創(chuàng)新和技術(shù)創(chuàng)新的契合點(diǎn)，確保網(wǎng)絡(luò)安全防范的軟實(shí)力和硬實(shí)力的同步提升，才能保證高校網(wǎng)絡(luò)信息安全。