高校移動互聯網信息安全風險評價系統研究及應用

張淋江　劉志龍

摘要：隨著移動互聯網大學生用戶群體的逐漸增多，我國高校在發展和運行中亟需加強移動互聯網安全管理， 建立系統高效的移動互聯網信息安全管理體系，應對移動互聯網應用服務中存在的諸多安全風險。本文結合當前高校移動互聯網安全的新需求，開發基于移動互聯網的信息安全風險評價系統，針對高校存在的不確定移動互聯網安全風險因素，進行收集整理，形成分類、量化、系統的風險評價體系，為高校移動互聯網信息安全風險管理決策提供依據。

Abstract： Along with the increase of college students users of mobile Internet， colleges and universities in China need to strengthen the mobile Internet security management in the development and operation and establish efficient mobile Internet information security management system to deal with the security risks existing in the mobile Internet application services. In this paper， combined with the new requirements of the current mobile Internet security in colleges and universities， the information security risk assessment system based on mobile Internet is developed. The uncertain mobile Internet security risk factors existing in colleges and universities are collected to form a classified， quantitative and systematic risk assessment system， so as to provide basis for mobile Internet information security risk management in colleges and universities.

關鍵詞：高校；移動互聯網；信息安全；評價指標

Key words： colleges and universities；mobile Internet；information security；evaluation index

中圖分類號：TP309 文獻標識碼：A 文章編號：1006-4311（2016）06-0226-03

0 引言

隨著高等教育體制改革不斷深入，我國高校的辦學規模越來越大，在校生的規模位列世界第一。來自百度的監測數據顯示，移動互聯網用戶中近半數為“校園族”，作為“親移動互聯網人群”，學生在移動互聯網用戶中的比例由2012年的35.1%躍升至2015年的49.8%。由此可見，對新鮮事物具有強烈求知欲的高校學生群體成為了移動互聯網應用的最活躍用戶群體。但是由于移動互聯網信息系統具有互聯性、開放性、共享性等特點，并且還存在著技術上的弱點和其它因素，使其經常會受到黑客或者病毒的攻擊，除了信息系統存在著脆弱性之外，我們在安全體制和安全管理等方面也存在著非常嚴重的缺陷。因此，高校在加快計算機網絡信息系統建設的同時，還要重點考慮高校移動互聯網所面臨的威脅，保證高校網絡信息的安全，確保網絡信息的完整性、可用性、保密性。

1 高校移動互聯網信息安全風險現狀分析

隨著智能手機的快速普及，手機上網已滲透到大學生的學習生活中，但帶來的安全問題也越發突出。惡意扣費、個人信息泄露、網銀被盜……在移動互聯網飛速發展的同時，大學生安全意識卻沒能及時同步，手機信息安全正面臨著嚴峻的挑戰。

2014年11月27日，由中國互聯網協會主辦的“2014年移動互聯網產業發展與網絡信息安全研討會”在京舉行，中國互聯網協會秘書長盧衛在致辭中表示，中國在網絡新技術應用不落后，創新創業意識不落后，互聯網應用普惠百姓服務民生不落后，但在信息安全方面存在差距，部分關鍵技術受制于人，是網絡自主可控能力不夠，法治機制有待于進一步完善。中國雖然是互聯網大國，但卻不是互聯網強國，尚屬“發展中國家”。在國際互聯網技術標準中，由中國提出的不到1%；中國還是遭受互聯網攻擊的最大受害者，往往在不知情的情況下遭受監控，暴露出防御體系的薄弱。我國高校信息安全研究最多的領域是傳統互聯網，很少涉及移動終端信息安全風險管理的深入研究，構建基于移動終端的高校信息安全風險體系指導信息安全管理已經刻不容緩。

1.1 系統漏洞

移動互聯網的不斷發展，針對手機的攻擊方式也在不斷變化。360最新發布的調查報告顯示手機系統的安全漏洞是對手機安全的最大威脅。手機漏洞的修復周期長也是一個重要的安全隱患。這主要是由以下幾方面的原因造成的：第一，手機行業尚未形成如Windows系統那樣定期統一推送補丁的機制；第二，不同廠商對系統安全的重視程度也不同，因此廠商修復系統漏洞的周期也長短不一，某些山寨手機廠商甚至從手機出廠之后就從不修補任何手機漏洞；第三，同樣是由于廠商定制開發的原因，使得某些廠商開發的安卓系統沒有辦法隨著原生安卓操作系統一起升級。另外，出于對手機系統升級可能帶來的其他方面問題的擔憂，很多用戶也不愿意主動升級自己的手機操作系統。

1.2 手機病毒

高校學生接受新事物比較快，喜好隨意下載各種手機軟件，更容易感染手機病毒。2014年8月2日，名為“XX神器”的手機病毒開始通過網絡大面積傳播。電信運營商及時發現并采取應急措施，阻攔威脅短信千萬余條，盡管如此，仍有上百萬手機在半天內受到感染手機支付類病毒呈現出一種融合化的發展動向。由于支付類病毒智能化程度提升，“仿冒”的銀行APP、電商、支付類APP散布在各大中小型的電子市場，一旦點擊下載，就會觸發進入黑客操控的支付流程。手機支付類病毒正走向高危化、智能化，融合社會工程學等多種特征的發展趨勢。很多網上支付工具都會與手機進行綁定，用于發送驗證碼和交易信息通知。2013年以來，以攔截和竊取交易短信為目標的手機木馬迅速泛濫，最典型的是名為“隱身大盜”的安卓木馬家族。此類木馬運行后會監視受害者短信，將銀行、支付平臺等發來的短信攔截掉，然后將這些短信聯網上傳或轉發到黑客手機中。黑客利用此木馬配合受害者身份信息，可重置受害者支付賬戶。

1.3 信息泄露

在新一代4G移動網絡中，安卓智能手機容易受到手機病毒、惡意程序和廣告程序的攻擊，手機中的機密數據更容易被黑客竊取，對于手機機密數據的處理是嚴防手機信息泄露的重要措施，調查顯示，移動互聯網導致安全威脅疊加。2014年，31.3%的用戶遭遇過個人信息泄露，移動端受攻擊的概率大大高于傳統PC機。而大數據的發展降低削弱了個人信息的可控性，信息泄露事件頻發。造成手機信息泄露的重要原因，一個是應用商店有諸多存在風險的應用程序，另外一個是安卓操作系統存在漏洞。據悉，2014年，中國5.27億手機網民中，有67.7%的用戶使用安卓操作系統。由于安卓操作系統是開源的，并且容易出現漏洞，不良軟件開發者可以利用系統漏洞或在應用程序中植入木馬，上架審核不嚴的應用商店任其在網絡上占有“一地”，普通用戶稍有不慎，就容易被感染，造成手機信息泄露。

2 高校移動互聯網信息安全風險評價系統

我國高校正在逐步推進數字化校園的建設。由于高校在校學生大多是通過手機、平板電腦等移動終端訪問互聯網，所以很多院校的校園網一卡通、教務、資產、檔案等管理系統同時支持手機頁面訪問，PC平臺逐步轉向移動終端，移動終端信息安全防范問題逐漸轉變為高校信息化推進過程中不可忽視的問題。由于移動互聯網網絡環境的復雜性，經常會受到來自校內外的各種網絡攻擊，參照國家信息安全風險評價指南，在高校移動互聯網信息安全進行項目深入調研的基礎上，提出高校移動互聯網信息安全風險評價指標體系，研發高校移動互聯網信息安全風險評價系統，為高校進行移動互聯網信息安全風險評價提供了技術平臺。

2.1 平臺開發環境

高校移動互聯網信息安全風險評價系統以Visual Studio.NET為開發工具，以Asp.net為開發語言、SQL Server為數據庫、IIS7.0為后臺服務器進行系統設計。

2.2 調查問卷與資料查詢

通過文獻搜集、實際調研、問卷調查、專家座談等多種靈活有效的方法來分析和總結出基于移動互聯網高校信息安全的構成要素、評價標準，進而形成高校移動互聯網信息安全評價指標設計的理論依據。

2.3 高校移動互聯網信息安全風險評價系統設計

2.3.1 模塊設計

高校移動互聯網信息安全風險評價系統主要包括用戶信息管理、評價指標、評價信息查詢、評價文檔導出、公告管理等功能模塊。

用戶信息管理包括系統管理員、評價用戶和查詢用戶三種角色。系統管理員權限主要包括用戶管理、權限管理和角色管理三個子模塊；評價用戶權限包括評價指標調用、評價結果查詢、評價結果導出，評價用戶可以是學校管理員、各院系職能部門等人員，系統管理員賦予相應的評價權限；查詢用戶權限為查詢評價信息與導出，不能進行指標調用評價。

評價指標主要包括指標分類、指標庫設置和指標分配三個模塊；評價信息查詢模塊主要包括評價結果查詢和評價結果統計兩個個子模塊；評價文檔導出模塊主要包括評價結果和評價統計兩個子模塊；公告管理模塊主要包括信息發布和信息管理兩個子模塊。

2.3.2 評價模塊

重點介紹評價指標、評價信息查詢、評價文檔導出三個評價核心模塊。

評價指標設置主要包括指標分類、指標庫設置和指標分配模塊。其中，評價指標分類子模塊主要完成將評價指標一級分類和二級分類的功能；評價指標庫設置子模塊主要完成評價指標庫建立和評價問卷題目庫的建立的功能；評價指標分配子模塊主要完成將評價指標打包分別分配給不同角色用戶的功能。

評價結果查詢模塊主要包括評價結果和統計兩個查詢子模塊。評價結果查詢子模塊主要完成對學校移動互聯網信息安全風險評價歷史和結果查詢的功能；評價結果統計子模塊主要完成將移動互聯網信息安全風險評價結果以柱狀圖的形式顯示出來的功能。

評價結果導出兩個子模塊，包括評價結果和統計結果導出。評價結果導出子模塊主要完成將學校移動互聯網信息安全風險評價的文檔導出的功能；統計結果評價導出子模塊主要完成將統計分析結果文檔導出的功能。

2.3.3 評價指標

設計高校移動互聯網信息安全評價一級指標，包括移動終端系統漏洞、用戶安全措施、運營商安全措施、高校移動業務安全措施、外部風險，它們的分值比例分別為10%，30%，20%，20%和20%。系統漏洞主要是針對用戶移動終端安卓、IOS等系統的漏洞進行綜合評價；用戶安全措施主要是針對自身的防范意識進行調查統計評價，加強自身防范很重要，所以分值很高；運營商安全措施指參與校園網運營的如移動、聯通運營商的網絡安全狀況進行統計評價；高校移動業務安全措施包括如教務系統、一卡通等通過移動終端訪問或支付的校園網移動業務信息安全狀況調查評價；外部風險包括內外網遭受的網絡攻擊狀況調研。

高校移動互聯網信息安全評價結果=移動終端系統漏洞評價分值*10%+用戶安全措施評價分值*30%+運營商安全措施評價分值*20%+高校移動業務安全措施評價分值*20%+外部風險*20%。每個二級指標中都會設計相應的打分題目，打分題目一般設計五個選項，每個選項賦予1到5分不等的分值，根據打分分值最終得到具體的分數，然后通過系統內部公式處理，得到各類一級指標的得分，依據相應權值，算出最終評價分值，系統自動對應確定安全評價級別，分值越高對應的級別越高，評價級別分為5級，根據分項選擇和等級結果，系統會提示輸出相應的建議方案。如圖1。

3 高校移動互聯網的信息安全風險評價系統應用效果

①應用評價系統對具體高校的互聯網信息安全進行評估，依據評估結果和建議，及時采取相關措施提高高校移動互聯應用的安全性。河南牧業經濟學院無線網實現了三個校區無線WIFI全覆蓋，部署了無線上網身份認證系統和上網行為管理系統，并研發了適合智能終端訪問的App應用，如學校主頁、網絡學習空間、校內辦公網、移動圖書館、校園一卡通系統、教務管理系統、學校微信公眾號、各類QQ、微信、微博、論壇等社交群等，為全校師生通過移動互聯網訪問學校資源提供了平臺。應用研發的移動互聯網信息安全風險評價系統對河南牧業經濟學院的移動互聯網應用的信息安全風險進行評估，對3萬多師生的移動互聯網應用訪問情況進行分析，有72%的學生使用了移動智能終端訪問學校的移動互聯網應用，有55%的學生訪問學校移動互聯網應用的密碼為弱密碼、學校的APP應用缺乏入侵檢測系統和相應的安全控制策略、有47%的學生智能終端沒有安裝防護軟件、有63%的學生智能終端沒有設置開機密碼、有39%的學生智能終端系統沒有及時升級或無法升級等問題，針對存在的這些問題，已經通過系統評價建議反饋給學生，并依據評價建議增加了安全防護設備，大大提高了移動互聯網應用的安全性，通過評價系統可以及時掌握移動互聯網應用信息安全情況，為高校移動互聯網應用提供重要的安全保障。

②為高校各部門防范移動互聯網應用中的安全風險提供重要依據，以降低移動互聯網應用中的安全威脅因素。高校領導層通過高校移動互聯網信息安全風險評價系統快速監控學校各級職能部門上報的信息安全數據，重點監控風險高發部門，并責令其提出整改措施，增加安全防護設備，通過一年的使用情況來看，移動互聯網應用中的各類安全風險事件降低了60%左右，大大提高了移動互聯網應用的安全性。

③依據移動互聯網信息安全風險評估報告中體現出來的信息安全薄弱環節，加強安全教育和引導，提高廣大師生在移動互聯網應用中的安全風險防范意識。高校各級職能部門負責人可以從高校移動互聯網信息安全風險評價系統中認識到管理薄弱環節，提高風險意識，加強自身制度建設和人員管理，加強師生信息安全教育和防范意識，防范風險，實現移動互聯網應用中的信息安全風險監控的常態化。

4 結束語

隨著移動互聯網技術的快速發展和廣泛應用，基于移動互聯網的信息系統安全問題變得愈加復雜。結合目前高校移動互聯網安全的新需求，開發基于移動互聯網的信息安全風險評價系統，針對高校存在的不確定移動互聯網安全風險因素，進行收集整理，形成分類、量化、系統的風險評價數據信息，為高校移動互聯網信息安全風險管理決策提供理論依據和技術平臺。

參考文獻：

[1]周婕，王麗.信息系統安全評價技術研究[J].計算機與數字工程，2013（11）.

[2]陳昱.移動互聯網的信息安全風險及對策[J].黑龍江科學，2015（06）：91-92.

[3]李志岡.移動互聯網環境下的高校信息公開研究[D].黑龍江大學，2014.

[4]朱會龍.網絡安全風險評價關鍵技術研究[J].網絡安全技術與應用，2014（03）：62-65.

[5]董潔.網絡信息安全面臨的問題及對策[J].赤峰學院學報（自然科學版），2011（3）：41-43.

[6]畢海英，賈煒，等.信息技術安全性評價“通用準則”系列標準在中國的應用[J].中國信息安全，2014（08）：100-103.