馬幸飛

引言：信息科技技術(shù)的高質(zhì)量發(fā)展，帶來(lái)諸多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題。在教育信息化的背景下，高等院校在信息化安全建設(shè)與管理中也存在諸多風(fēng)險(xiǎn)問(wèn)題，其信息化安全管理能力還有待進(jìn)一步提升，與現(xiàn)階段等保2.0的標(biāo)準(zhǔn)存在一定差距，需要高等院校剖析問(wèn)題所在，并制訂及完善相應(yīng)的信息化安全管理制度，以此全面推動(dòng)高等院校網(wǎng)絡(luò)安全建設(shè)。

在信息技術(shù)高速發(fā)展的大背景以及由教育部、財(cái)政部實(shí)施的中國(guó)特色高水平高職學(xué)校和專業(yè)建設(shè)計(jì)劃的大力推進(jìn)下，高校信息化建設(shè)進(jìn)程因勢(shì)加速發(fā)展。多元化的應(yīng)用信息系統(tǒng)和互聯(lián)網(wǎng)產(chǎn)品已滲透至高等教育的方方面面。在增強(qiáng)中國(guó)高等教育水平，順應(yīng)教育新形勢(shì)，推動(dòng)信息交換與資源共享的今天，信息化建設(shè)也產(chǎn)生更廣泛的安全問(wèn)題。諸如此類的問(wèn)題時(shí)時(shí)刻刻威脅民眾與社會(huì)，乃至整個(gè)國(guó)家的利益。因此加強(qiáng)對(duì)高校進(jìn)行全面的信息化安全防護(hù)，保證網(wǎng)絡(luò)信息系統(tǒng)的有序運(yùn)行，成為現(xiàn)階段亟待解決的關(guān)鍵問(wèn)題。

1 等級(jí)保護(hù)2.0標(biāo)準(zhǔn)新要求

等保2.0全稱網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度，其新要求涵蓋安全物理環(huán)境、計(jì)算環(huán)境、管理制度、管理人員等幾方面。較之于等保1.0，更加地注重全面主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計(jì)。另外對(duì)近年來(lái)取得長(zhǎng)足發(fā)展的云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制和移動(dòng)互聯(lián)網(wǎng)的安全等方面也有著明確要求，基本實(shí)現(xiàn)了對(duì)保護(hù)對(duì)象的全覆蓋。

1.1 技術(shù)方面

第一，應(yīng)用的物理環(huán)境，要求機(jī)房?jī)?nèi)應(yīng)該配備電子門禁系統(tǒng)、安全控制系統(tǒng)、錄像監(jiān)測(cè)系統(tǒng)等；機(jī)房分區(qū)實(shí)施管理，并要設(shè)置防雷、斷電設(shè)施裝置，對(duì)電力電纜線路設(shè)置冗余或并聯(lián)，針對(duì)突發(fā)停電的情形要有后備電源保護(hù)措施和緊急預(yù)案；并且應(yīng)配備智能感知和采集系統(tǒng)，設(shè)置機(jī)房?jī)?nèi)對(duì)煙霧、高溫等惡劣環(huán)境的自動(dòng)感知與遠(yuǎn)程告警功能。第二，應(yīng)用的計(jì)算機(jī)環(huán)境，應(yīng)具備數(shù)據(jù)儲(chǔ)存與備份功能，在身份驗(yàn)證中應(yīng)有多重檢驗(yàn)，加強(qiáng)對(duì)審核過(guò)程的權(quán)限控制，在關(guān)鍵環(huán)節(jié)上要做好入侵測(cè)試，并做好攻擊性病毒入侵的安全管理工作，構(gòu)建具有高保密性、高安全性、高應(yīng)用性的校園網(wǎng)絡(luò)數(shù)據(jù)中心，做好信息化管理工作。

1.2 管理方面

根據(jù)技術(shù)層面合理完善安全制度網(wǎng)絡(luò)，建立專業(yè)的網(wǎng)絡(luò)安全機(jī)構(gòu)并配置專項(xiàng)管理力量。定時(shí)對(duì)軟硬件設(shè)施及設(shè)備開(kāi)展全面檢查、記錄備案，對(duì)管理職責(zé)進(jìn)行嚴(yán)格審核，對(duì)特殊人員要簽訂保密合同或者責(zé)任書(shū)等。在運(yùn)維業(yè)務(wù)操作中，對(duì)異地運(yùn)維、運(yùn)維更新、日常監(jiān)控、外部授權(quán)和設(shè)備的更新等要進(jìn)行嚴(yán)格控制與管理，健全審核流程，做好后期的信息登記與備份。外包運(yùn)維服務(wù)應(yīng)明確信息安全維護(hù)的具體要求，做到有據(jù)可依。

基于等保2.0高校信息化安全建設(shè)，符合安全教育的硬性標(biāo)準(zhǔn)，是保障教育信息化建設(shè)安全的重大措施，是貫徹落實(shí)國(guó)家信息安全保護(hù)的具體表現(xiàn)。實(shí)踐證明，高校在進(jìn)行等級(jí)保護(hù)實(shí)施的過(guò)程中不斷提升信息系統(tǒng)安全防護(hù)能力，進(jìn)一步加強(qiáng)了對(duì)信息化安全基礎(chǔ)設(shè)施、信息系統(tǒng)建設(shè)與管理中的薄弱環(huán)節(jié)進(jìn)行保護(hù)。能夠?qū)π畔⒒ㄔO(shè)進(jìn)行合理、有效的引導(dǎo)，確保信息系統(tǒng)安全穩(wěn)健運(yùn)行，打造安全的教育環(huán)境，減少安全風(fēng)險(xiǎn)，防止安全事件發(fā)生。

2 高校信息化安全現(xiàn)狀分析

2.1 技術(shù)方面

高?，F(xiàn)階段應(yīng)用的信息安全防護(hù)設(shè)備主要是通過(guò)對(duì)外界病毒攻擊的特征進(jìn)行對(duì)等防御。對(duì)于像0DAY的病毒往往沒(méi)有防御能力，而教育行業(yè)是走在信息發(fā)布前端的行業(yè)，也就成為了外界病毒攻擊的重災(zāi)區(qū)，傳統(tǒng)的安全設(shè)備難以對(duì)其進(jìn)行有效防御。

（1）系統(tǒng)漏洞威脅

在信息化安全管理中，漏洞是其中一個(gè)關(guān)鍵的影響因素。由于硬件、軟件自身的不足，或者設(shè)計(jì)者的疏忽，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)在未經(jīng)許可下被訪問(wèn)，甚至盜取用戶信息。如果不及時(shí)進(jìn)行補(bǔ)漏或者更新完善，導(dǎo)致漏洞長(zhǎng)期存在，成為潛伏危險(xiǎn)，便會(huì)為網(wǎng)絡(luò)黑客創(chuàng)造入侵機(jī)會(huì)。一旦入侵，損失慘重。

（2）病毒感染和木馬傳播

病毒與木馬通常是通過(guò)程序惡意植入，進(jìn)而損壞、清除用戶計(jì)算機(jī)中的重要文件。而被惡意植入的計(jì)算機(jī)也可通過(guò)網(wǎng)絡(luò)繼續(xù)散播病毒。由于現(xiàn)在病毒和木馬的隱蔽性較強(qiáng)，不易被人立刻察覺(jué)，因此無(wú)法及時(shí)與全面地估算其損害的強(qiáng)度與損失。

（3）網(wǎng)絡(luò)垃圾廣告與郵件

現(xiàn)階段網(wǎng)絡(luò)垃圾廣告與郵件泛濫成災(zāi)。一些不法分子通過(guò)此類方式散播、傳遞病毒信息與不良信息。此類垃圾信息在一定程度上影響師生的生活質(zhì)量，并浪費(fèi)院校的網(wǎng)絡(luò)資源。除此之外，垃圾郵件可能具有夾帶攻擊性病毒的風(fēng)險(xiǎn)，嚴(yán)重破壞計(jì)算機(jī)安全，無(wú)法有效保證師生的應(yīng)用安全。

2.2 管理方面

高校信息化安全建設(shè)不僅要為全校師生提供各種應(yīng)用服務(wù)，還要為諸多外來(lái)訪客提供臨時(shí)訪問(wèn)許可，用戶數(shù)量龐大，用戶信息素養(yǎng)與使用需求各不相同。諸多用戶對(duì)互聯(lián)網(wǎng)安全問(wèn)題認(rèn)識(shí)不高，安全意識(shí)淡薄，大量存在使用單一密碼和弱密碼，對(duì)違規(guī)網(wǎng)絡(luò)、惡意軟件等不良信息的識(shí)別能力薄弱，造成信息被盜用、網(wǎng)上欺詐時(shí)有發(fā)生。對(duì)高校信息化安全管理帶來(lái)一定的難度。

（1）技術(shù)人員稀缺

術(shù)業(yè)有專攻，因此專業(yè)的事情需要專業(yè)的人員進(jìn)行維護(hù)，但大部分高等院校缺乏專業(yè)管理人才。首先，教師缺乏相關(guān)的設(shè)備應(yīng)用與管理經(jīng)驗(yàn)。其次，專業(yè)人才引入力度不足，培養(yǎng)方式相對(duì)滯后，與新時(shí)代教育信息化的要求不符。最后，諸多高等院校缺乏網(wǎng)絡(luò)安全管理實(shí)踐基地，導(dǎo)致諸多青年大學(xué)生缺乏實(shí)踐機(jī)會(huì)，無(wú)法全面適應(yīng)多變的網(wǎng)絡(luò)環(huán)境。

（2）管理制度缺失

現(xiàn)階段，高等院校均制訂相應(yīng)的網(wǎng)絡(luò)信息安全管理制度，不過(guò)此類制度的先進(jìn)性與新時(shí)代校園建設(shè)不符，在教育新時(shí)代運(yùn)行中不易貫徹執(zhí)行。同時(shí)，諸多二級(jí)機(jī)構(gòu)的信息安全管理者也是身兼數(shù)職，并未樹(shù)立全面的信息化安全管理意識(shí)，并且由于工作人員調(diào)整頻繁，不利于安全工作的整體開(kāi)展。與此同時(shí)，缺乏應(yīng)急演練與攻防實(shí)戰(zhàn)。在處置安全突發(fā)情況中，往往反應(yīng)滯后，處置不得當(dāng)。

3 基于等保2.0高校信息化安全建設(shè)策略

諸多高校已初步建立校園網(wǎng)絡(luò)信息安全管理體系，但該體系主要以被動(dòng)防護(hù)為主，缺乏主動(dòng)防御能力，且傳統(tǒng)校園信息化安全防護(hù)設(shè)備缺乏全方面的資源協(xié)同能力，通過(guò)人工管理大量的安全數(shù)據(jù)，工作效率低下、反應(yīng)緩慢，已不能應(yīng)付當(dāng)前日益變化的網(wǎng)絡(luò)安全威脅。在等保2.0背景下，高等院校應(yīng)轉(zhuǎn)“被動(dòng)”為“主動(dòng)”，全面開(kāi)展安全管理。

3.1 技術(shù)方面

信息化安全建設(shè)應(yīng)根據(jù)等保2.0基本要求，進(jìn)行整體、合理規(guī)劃。目前高校均有多條出口鏈路。辦公教學(xué)區(qū)網(wǎng)絡(luò)出口一般都會(huì)采用教育網(wǎng)加運(yùn)營(yíng)商多鏈路方式實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡，而宿舍區(qū)采用學(xué)校監(jiān)管運(yùn)營(yíng)商自主經(jīng)營(yíng)方式。經(jīng)過(guò)長(zhǎng)期的實(shí)踐，信息化安全建設(shè)已逐步形成如下信息安全體系拓?fù)浣Y(jié)構(gòu)，如圖一。

（1）校園出口區(qū)

其中出口防火墻設(shè)備作為第一道安全防線，首次部署時(shí)應(yīng)嚴(yán)格控制出入規(guī)則和對(duì)外開(kāi)放端口，對(duì)國(guó)家安全機(jī)構(gòu)和組織提供的威脅地址設(shè)置黑名單。辦公區(qū)因流量相對(duì)較小，可串接部署上網(wǎng)行為管理設(shè)備，制訂流量策略、實(shí)施應(yīng)用管控，對(duì)敏感字符實(shí)現(xiàn)過(guò)濾。通過(guò)認(rèn)證軟件實(shí)現(xiàn)實(shí)名認(rèn)證，明確責(zé)任到每一個(gè)用戶。

（2）服務(wù)器區(qū)

通過(guò)部署WEB防火墻有效阻止網(wǎng)絡(luò)帶來(lái)的各種攻擊，初次部署時(shí)刻采用全部禁止方式，針對(duì)實(shí)際情況逐步開(kāi)放端口和相應(yīng)操作規(guī)則。部署統(tǒng)一防病毒軟件，進(jìn)行統(tǒng)一的病毒查殺與管理。如使用虛擬化服務(wù)器，可在內(nèi)部安裝虛擬防火墻，實(shí)現(xiàn)東西向病毒隔離。嚴(yán)格限制對(duì)外發(fā)布的信息系統(tǒng)，可通過(guò)反向代理設(shè)備進(jìn)行資源統(tǒng)一發(fā)布，該設(shè)備一般帶有一鍵斷網(wǎng)功能，可在信息安全突發(fā)事件時(shí)進(jìn)行一鍵斷網(wǎng)，第一時(shí)間減少因威脅事件帶來(lái)的負(fù)面影響。所有服務(wù)器、信息系統(tǒng)和數(shù)據(jù)庫(kù)采用強(qiáng)密碼策略，并強(qiáng)制定期更改，盡量避免使用默認(rèn)用戶名。

（3）安全旁路區(qū)

根據(jù)信息系統(tǒng)訪問(wèn)和管理需求，采用vpn方式進(jìn)行訪問(wèn)與管理，所有服務(wù)器都應(yīng)該通過(guò)堡壘機(jī)進(jìn)行訪問(wèn)，留存用戶的操作記錄，以供發(fā)現(xiàn)威脅時(shí)進(jìn)行溯源。通過(guò)部署IDS或態(tài)勢(shì)感知工具來(lái)主動(dòng)收集、分類、處理系統(tǒng)漏洞和威脅數(shù)據(jù)信息，利用大數(shù)據(jù)分析技術(shù)，通過(guò)對(duì)網(wǎng)絡(luò)域中導(dǎo)致網(wǎng)絡(luò)安全狀況改變的各種原因進(jìn)行分析處理，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)非正常訪問(wèn)，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)情況做出預(yù)估與評(píng)估，形成合理的威脅信息共享體系，以保障網(wǎng)絡(luò)運(yùn)營(yíng)的安全穩(wěn)定性。

3.2 管理方面

高校信息化安全管理不應(yīng)拘泥于技術(shù)應(yīng)用層面，還可以在使用過(guò)程中，不斷完善對(duì)安全運(yùn)維管理體系的建設(shè)。通過(guò)建立一個(gè)全面的、針對(duì)性的安全管理體系，依托高質(zhì)量的技術(shù)進(jìn)行后期維護(hù)與跟蹤。建立高等院校的網(wǎng)絡(luò)信息化安全管理制度及相關(guān)文檔，做為學(xué)校網(wǎng)絡(luò)管理的實(shí)踐基礎(chǔ)，使學(xué)校安全工作可運(yùn)行、可監(jiān)測(cè)，使學(xué)校管理工作更加正規(guī)性、過(guò)程式。學(xué)校必須及早設(shè)立信息安全專人專崗，做好信息系統(tǒng)各類常規(guī)運(yùn)維工作的同時(shí)，定期做好數(shù)據(jù)庫(kù)和重要信息系統(tǒng)的數(shù)據(jù)災(zāi)備、操作系統(tǒng)漏洞修復(fù)工作。以及時(shí)發(fā)現(xiàn)潛在危險(xiǎn)情況。加強(qiáng)與外界交流學(xué)習(xí)，與專門的安全科技組織協(xié)作，為高校提供安全技術(shù)咨詢及保障等服務(wù)。

（1）人員管理

加大網(wǎng)絡(luò)信息化安全團(tuán)隊(duì)的構(gòu)建，打造各級(jí)政府多部門協(xié)同管理網(wǎng)絡(luò)信息化安全共同體，并建立高效的聯(lián)防聯(lián)控。在管理、技能、監(jiān)控、輿情等方面強(qiáng)化員工的網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，并明確個(gè)人崗位職責(zé)，制定相應(yīng)培訓(xùn)制度，定期舉辦或參加專業(yè)人員相應(yīng)的安全技術(shù)培訓(xùn)，有效推進(jìn)高等院校的信息安全管理能力。同時(shí)建設(shè)二級(jí)信息安全管理隊(duì)伍，開(kāi)展安全技術(shù)培訓(xùn)，以健全學(xué)校內(nèi)部有效的安全管理機(jī)制。與此同時(shí)，網(wǎng)絡(luò)信息化安全教育普及全校師生，并定期開(kāi)展安全管理教育。

（2）制度管理

安全管理制度的制定是高等院校信息化安全管理的重要保障，依據(jù)制度方可使安全管理工作有效開(kāi)展。高等院校需結(jié)合實(shí)際應(yīng)用情況，合理制定安全管理制度，并實(shí)行內(nèi)部責(zé)任制，強(qiáng)化安全管理認(rèn)知，進(jìn)而改善高等院校的信息化安全管理能力。

以制度為標(biāo)準(zhǔn)，開(kāi)展應(yīng)急管理，提升指揮能力。信息化安全管理需以問(wèn)題為中心，以主動(dòng)化解事件，重視協(xié)同應(yīng)用與管理預(yù)警，采用科學(xué)的檢測(cè)策略，制訂可行的考評(píng)手段，全面減少應(yīng)用風(fēng)險(xiǎn)，防患于未然。同時(shí)也應(yīng)該重視聯(lián)動(dòng)管理的應(yīng)急機(jī)制建設(shè)，嚴(yán)格執(zhí)行國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，對(duì)安全事故實(shí)施分級(jí)或分類管控。在事前做好應(yīng)對(duì)預(yù)案，并進(jìn)行緊急演練；事中迅速反饋情況，利用包括安全監(jiān)測(cè)、信息共享、聯(lián)系第三方、現(xiàn)場(chǎng)通報(bào)等的多渠道及時(shí)了解安全信息，以減少經(jīng)營(yíng)風(fēng)險(xiǎn)；事后總結(jié)經(jīng)驗(yàn)教訓(xùn)，及時(shí)發(fā)現(xiàn)問(wèn)題根源，防止再次出現(xiàn)，并借鑒經(jīng)驗(yàn)教訓(xùn)，不斷對(duì)后續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)價(jià)。

3.3 網(wǎng)絡(luò)安全意識(shí)方面

全面提高師生樹(shù)立正確的網(wǎng)絡(luò)安全意識(shí)認(rèn)知，信息安全不僅僅是安全運(yùn)維管理人員的問(wèn)題，也關(guān)乎著每一個(gè)用戶，是一項(xiàng)長(zhǎng)期的、系統(tǒng)的工作，在技術(shù)層面和管理層面要并駕齊驅(qū)，以技術(shù)促進(jìn)管理，第一，在管理的同時(shí)不斷提升技術(shù)；第二，對(duì)內(nèi)部安全不容忽視，用戶關(guān)注的重點(diǎn)在外界因素，例如信息入侵、病毒攻擊等，而忽視設(shè)備軟硬件、操作人員本身的安全風(fēng)險(xiǎn)，如內(nèi)部操作失誤、信息泄露等；第三，風(fēng)險(xiǎn)可視化、可控化，信息化安全需要通過(guò)硬件與軟件的加持，才得以運(yùn)作，其中攜帶諸多風(fēng)險(xiǎn)因子，而此類風(fēng)險(xiǎn)因子又是長(zhǎng)期存在的，信息化安全管理在于降低風(fēng)險(xiǎn)傷害，而不是杜絕所有風(fēng)險(xiǎn)，因此在管理中要做到可視化與可控化，發(fā)現(xiàn)問(wèn)題及時(shí)發(fā)現(xiàn)并處理。

4 結(jié)語(yǔ)

在教育信息化時(shí)代，高校信息安全直接關(guān)乎教育工作的井然開(kāi)展，也是學(xué)校未來(lái)信息化水平提升的重要保障?；诖?，本文以高校信息化安全建設(shè)問(wèn)題為背景，通過(guò)研究并分析了該安全問(wèn)題，總結(jié)現(xiàn)階段高校面臨的信息化安全困境，以此建立等保2.0的防護(hù)管理體系。通過(guò)信息化安全管理體系的建設(shè)，促使全校師生樹(shù)立正確的網(wǎng)絡(luò)安全意識(shí)，為安全校園的建設(shè)保駕護(hù)航。

本文系無(wú)錫商業(yè)職業(yè)技術(shù)學(xué)院校級(jí)課題《基于等保2.0高校信息化安全建設(shè)研究》（KJXJ22418）。

（作者單位：無(wú)錫商業(yè)職業(yè)技術(shù)學(xué)院數(shù)據(jù)與信息化中心）