高校校園網(wǎng)絡(luò)安全管理問(wèn)題及對(duì)策研究

◆楊俊斌 梁 紅

（1.山西警察學(xué)院 山西 030021; 2.中北大學(xué) 山西 030000）

高校校園網(wǎng)絡(luò)安全管理問(wèn)題及對(duì)策研究

◆楊俊斌1梁 紅2

（1.山西警察學(xué)院 山西 030021; 2.中北大學(xué) 山西 030000）

當(dāng)今互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，極大地推動(dòng)著高校信息化建設(shè)。校園網(wǎng)在信息化建設(shè)中占據(jù)重要位置。在學(xué)校的日常教學(xué)辦公也都離不開(kāi)校園網(wǎng)。但是校園網(wǎng)絡(luò)就像一把雙刃劍一樣也帶來(lái)嚴(yán)重的安全威脅，校園網(wǎng)絡(luò)安全問(wèn)題也日益成為高校信息化建設(shè)中焦點(diǎn)問(wèn)題，制約著高校信息化建設(shè)。本文首先提出校園網(wǎng)絡(luò)安全的重要性，然后分析了當(dāng)前校園網(wǎng)絡(luò)安全的現(xiàn)狀，找到了網(wǎng)絡(luò)安全管理上存在的問(wèn)題，最后提出了幾點(diǎn)針對(duì)高校網(wǎng)絡(luò)安全管理方面的建議。

高校校園網(wǎng)；網(wǎng)絡(luò)安全；管理

0 前言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，很多高等院校的都開(kāi)始了自己的校園信息化建設(shè)，極大地提高了學(xué)校日常教學(xué)辦公的效率，使得學(xué)校的各種資源得到了很大程度的利用[1]。然而，校園網(wǎng)絡(luò)也存在著來(lái)嚴(yán)重的安全隱患。最近的發(fā)生的一些安全事故，造成了嚴(yán)重的社會(huì)危害， 給高校的網(wǎng)絡(luò)安全管理敲響了警鐘。所以，如何建設(shè)、管理和維護(hù)好一個(gè)安全可靠的校園網(wǎng)絡(luò)，已經(jīng)成為當(dāng)前各高校信息化建設(shè)中的一個(gè)棘手的問(wèn)題[2]。

1 背景

去年的發(fā)生的徐玉玉事件和今年的爆發(fā)的勒索病毒事件，造成了極大的危害，直接將校園網(wǎng)絡(luò)安全問(wèn)題推到了社會(huì)公眾面前。習(xí)近平總書記在2016年網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話中提出網(wǎng)絡(luò)安全和信息化二者同等重要，要同步推進(jìn)。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》也于今年6月1號(hào)正式實(shí)施，條文中明確規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)具有的權(quán)利和承擔(dān)相應(yīng)的義務(wù)[3]2016年11月7日，教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組召開(kāi)第一次全體會(huì)議，會(huì)上明確提出將安全放在發(fā)展的前面。

2 校園網(wǎng)網(wǎng)絡(luò)信息安全現(xiàn)狀

校園網(wǎng)已經(jīng)成為高等院校信息化建設(shè)中不可或缺的重要組成部分，顛覆了傳統(tǒng)的教學(xué)辦公模式，大大提高了高校的教學(xué)辦公效率。但是高校校園網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀卻不容樂(lè)觀，受到的攻擊千變?nèi)f化，幾乎所有的高校網(wǎng)絡(luò)都受到了不同程度的入侵[4]。

近幾年網(wǎng)絡(luò)入侵大致上可以分為顯形的入侵和隱形的入侵兩大類。

2.1 顯形的入侵

這種入侵造成的危害直接就能看得到，非常容易察覺(jué)。就入侵方式而言，有以下幾種：

（1）篡改網(wǎng)頁(yè)

篡改網(wǎng)頁(yè)是目前高校校園網(wǎng)遭受到的最常見(jiàn)的攻擊，也是最引人注意的。這種方式通常將學(xué)校關(guān)鍵宣傳頁(yè)面內(nèi)容篡改為反動(dòng)反社會(huì)信息，政治影響極壞，非常容易引起領(lǐng)導(dǎo)的重視。如2017年7月19日夜，江蘇某高等職業(yè)院校迎新管理系統(tǒng)網(wǎng)頁(yè)遭篡改。

（2）掛馬

掛馬就是攻擊者通過(guò)各種攻擊手段，網(wǎng)站管理員口令和密碼，然后登錄后臺(tái)系統(tǒng)向網(wǎng)站頁(yè)面加入惡意的鏈接。當(dāng)訪問(wèn)者訪問(wèn)網(wǎng)站是就會(huì)被自動(dòng)轉(zhuǎn)向惡意的網(wǎng)站或者誘導(dǎo)下載病毒木馬等。因?yàn)楦咝５木W(wǎng)絡(luò)的訪問(wèn)量比較高，網(wǎng)站的權(quán)重也高，而且高校的網(wǎng)絡(luò)安全防護(hù)相對(duì)較弱，所以攻擊者經(jīng)常會(huì)選擇在高校網(wǎng)站上掛馬，以謀取不正當(dāng)利益。

（3）暗鏈

暗鏈顧名思義就是看不見(jiàn)的網(wǎng)站鏈接，攻擊者經(jīng)常在高校網(wǎng)站中做大量的非常隱蔽且短時(shí)間不容易被搜索引擎發(fā)現(xiàn)的鏈接，這些鏈接通常是指向賭博、色情網(wǎng)站，以提高其網(wǎng)站的 SEO排名，誤導(dǎo)瀏覽者點(diǎn)擊。

（4）網(wǎng)站后門

網(wǎng)站后門是開(kāi)發(fā)者為了方變修改程序的bug故意在程序開(kāi)發(fā)初期而設(shè)置的，后門程序通常可以繞開(kāi)網(wǎng)站安全性控制而獲得系統(tǒng)的控制權(quán)。目前幾乎所有的高校網(wǎng)站都留有后門。攻擊者一旦獲得這些后門信息，如同拿到了通往網(wǎng)站控制的密道鑰匙，前臺(tái)做的各種防御措施顯得無(wú)能為力。

2.2 隱形的攻擊

除了上述能看見(jiàn)的攻擊，現(xiàn)在隱形的攻擊危害也日益突出。私密信息遭到泄露但是管理人員卻完全沒(méi)有發(fā)現(xiàn)，用戶信息一旦流入到壞人手里，后果不堪設(shè)想。目前常見(jiàn)的隱形的網(wǎng)絡(luò)攻擊有以下幾種：

（1）信息泄露：在互聯(lián)網(wǎng)+時(shí)代，人們?cè)谧?cè)使用網(wǎng)銀、社交、網(wǎng)購(gòu)、支付平臺(tái)的時(shí)候，通常要提供個(gè)人真實(shí)信息。但是各個(gè)平臺(tái)對(duì)于這些信息的監(jiān)管水平是參差不齊的。

（2）用戶信息竊取

用戶個(gè)人信息除了企業(yè)內(nèi)部人員造成的信息泄露，還存在外部的攻擊，導(dǎo)致用戶信息遭竊取。例如山東徐玉玉案中，攻擊者入侵了“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”，并在網(wǎng)站植入木馬病毒，獲取了網(wǎng)站后臺(tái)登錄權(quán)限，盜取了大量考生報(bào)名信息，并將這些用戶信息賣給了電信詐騙犯。

（3）APT 攻擊威脅

APT是近年來(lái)出現(xiàn)的一種高級(jí)的攻擊威脅，APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集，然后利用先進(jìn)的攻擊手段進(jìn)行長(zhǎng)期持續(xù)的攻擊[5]。隨著社交工程攻擊手段的不斷豐富，黑客經(jīng)常會(huì)給高校內(nèi)部職工發(fā)送釣魚郵件來(lái)實(shí)施APT攻擊。

3 校園網(wǎng)安全管理存在的問(wèn)題

校園網(wǎng)絡(luò)安全不僅僅是技術(shù)上有漏洞，更重要的是管理上存在問(wèn)題。校園網(wǎng)安全管理出現(xiàn)問(wèn)題的原因具體歸納為以下幾個(gè)方面。

3.1 領(lǐng)導(dǎo)缺乏重視

在實(shí)際校園網(wǎng)建設(shè)的過(guò)程中，高校領(lǐng)導(dǎo)往往只注重校園網(wǎng)絡(luò)的實(shí)用性和便捷性，而對(duì)校園網(wǎng)絡(luò)安全問(wèn)題并不重視，大部分高校都沒(méi)有建立一套完整的校園網(wǎng)絡(luò)安全管理制度。在網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí)，往往沒(méi)有制度保障，無(wú)章可循。

3.2 責(zé)任沒(méi)有落實(shí)到人

校園網(wǎng)安全建設(shè)職責(zé)沒(méi)有落實(shí)到個(gè)人，問(wèn)題出現(xiàn)時(shí)建設(shè)方和管理方都不愿意承擔(dān)責(zé)任，互相扯皮、“甩鍋”。

3.3 教職工安全意識(shí)差

由于校園相關(guān)管理人員（教職工、和學(xué)生）缺乏強(qiáng)有力的網(wǎng)絡(luò)安全防范意識(shí)，認(rèn)為網(wǎng)絡(luò)安全防范與自己無(wú)關(guān)，應(yīng)該是網(wǎng)絡(luò)中心的事情，這也導(dǎo)致校園網(wǎng)網(wǎng)絡(luò)安全存諸多隱患。在校園網(wǎng)網(wǎng)絡(luò)建設(shè)過(guò)程中，網(wǎng)絡(luò)構(gòu)建的工作人員將注意點(diǎn)放到網(wǎng)絡(luò)的高效性方面，而在一定程度上忽視了網(wǎng)絡(luò)系統(tǒng)的安全性。

3.4 專業(yè)技術(shù)缺乏

負(fù)責(zé)高校校園網(wǎng)絡(luò)安全管理的工作人員，大部分是非專業(yè)出身，缺乏網(wǎng)絡(luò)安全管理的技術(shù)和應(yīng)對(duì)突發(fā)網(wǎng)絡(luò)安全事故的經(jīng)驗(yàn)，不具備專業(yè)管理技能。而高校的薪資待遇低和職務(wù)升遷渺茫是吸引不到高級(jí)的網(wǎng)絡(luò)安全管理人才的一個(gè)重要原因。

4 校園網(wǎng)安全管理建設(shè)建議

針對(duì)于校園網(wǎng)安全管理出現(xiàn)問(wèn)題的原因，提出以下幾點(diǎn)建議。

4.1 領(lǐng)導(dǎo)重視

學(xué)校領(lǐng)導(dǎo)應(yīng)該從行政要求，法律義務(wù)層面來(lái)重視安全問(wèn)題。可以成立網(wǎng)絡(luò)安全管理與信息化建設(shè)工作領(lǐng)導(dǎo)小組，讓校領(lǐng)導(dǎo)擔(dān)任小組組長(zhǎng)，各職能部門和系部的一把手做組員都參與到校園網(wǎng)安全建設(shè)的工作中來(lái)。只有領(lǐng)導(dǎo)重視了，才能投入更多人力、物力和財(cái)力去進(jìn)行網(wǎng)絡(luò)安全管理建設(shè)。

4.2 完善規(guī)章制度，責(zé)任落實(shí)到人

除了國(guó)家頒布的網(wǎng)絡(luò)安全法外，各高校應(yīng)根據(jù)自身的情況建立相應(yīng)的責(zé)任落實(shí)到個(gè)人的高校網(wǎng)絡(luò)安全管理機(jī)構(gòu)，設(shè)置嚴(yán)格的校園網(wǎng)絡(luò)安全管理制度和法規(guī)，將責(zé)任具體到個(gè)人；嚴(yán)格網(wǎng)站備案、漏洞管理和安全事件的應(yīng)急處置，制定網(wǎng)絡(luò)建設(shè)管理的獎(jiǎng)懲制度。

4.3 提高教職工安全意識(shí)

高校應(yīng)加強(qiáng)對(duì)教職工的網(wǎng)絡(luò)安全培訓(xùn)和網(wǎng)絡(luò)道德法制教育，加強(qiáng)“校園網(wǎng)絡(luò)安全，人人有責(zé)”的意識(shí)，通過(guò)校園廣播、大型講座、宣傳手冊(cè)、公告欄或信息安全競(jìng)賽等各種途經(jīng)來(lái)使其掌握一定的網(wǎng)絡(luò)安全知識(shí)和技能，以便在以后的工作和生活中能正確安全的使用網(wǎng)絡(luò)，并自覺(jué)地對(duì)學(xué)校的網(wǎng)絡(luò)安全管理工作進(jìn)行監(jiān)督。

4.4 專人專管

必須有專職負(fù)責(zé)學(xué)校網(wǎng)絡(luò)信息安全的崗位及人員，在不同的崗位上各負(fù)其責(zé)。當(dāng)前高校缺乏相應(yīng)的網(wǎng)絡(luò)安全管理人才，可以利用學(xué)校相關(guān)專業(yè)技術(shù)的優(yōu)勢(shì)，吸納信息安全專業(yè)的老師來(lái)做兼職管理、培養(yǎng)對(duì)安全有興趣的勤工助學(xué)的學(xué)生等，或者花重金引進(jìn)安全意識(shí)好、安全技能高的人才，建立專業(yè)的技術(shù)團(tuán)隊(duì)。也可適當(dāng)?shù)淖屚獠抗镜膶I(yè)技術(shù)團(tuán)隊(duì)進(jìn)駐學(xué)校來(lái)進(jìn)行相應(yīng)的支持和服務(wù)，或定期派出網(wǎng)絡(luò)安全管理人員出去參加網(wǎng)絡(luò)安全培訓(xùn)。

5 總結(jié)

雖然當(dāng)前的網(wǎng)絡(luò)安全防范技術(shù)已足夠先進(jìn)，但層出不窮的網(wǎng)絡(luò)安全事件時(shí)刻提醒我們要做的還很多。對(duì)待網(wǎng)絡(luò)安全問(wèn)題應(yīng)遵循“管理為主、技術(shù)為輔”的原則，建立一個(gè)網(wǎng)絡(luò)安全動(dòng)態(tài)防控體系。各高校應(yīng)搭乘等級(jí)保護(hù)評(píng)測(cè)的順風(fēng)車，建立一套成熟的網(wǎng)絡(luò)安全應(yīng)急處理機(jī)制。業(yè)務(wù)建設(shè)方應(yīng)把安全作為校園網(wǎng)建設(shè)的基本需求，貫穿到整個(gè)信息系統(tǒng)的生命周期中。只要大家共同努力，使用合理的網(wǎng)絡(luò)管理措施，就一定能構(gòu)建一個(gè)安全和諧的網(wǎng)絡(luò)通道。

[1]李小志．高校校園網(wǎng)絡(luò)安全分析及解決方案[J]．現(xiàn)代教育技術(shù)，2008．

[2]覃國(guó)銳．高校校園網(wǎng)絡(luò)安全管理存在的問(wèn)題及對(duì)策[J]．柳州師專學(xué)報(bào)，2009．

[3]佚名．中華人民共和國(guó)網(wǎng)絡(luò)安全法[J]．新疆農(nóng)墾科技，2017．

[4]張惠平．淺談高校校園網(wǎng)絡(luò)安全分析及防護(hù)策略[J]．中國(guó)公共安全：學(xué)術(shù)版，2008．

[5]徐豪．高校網(wǎng)絡(luò)安全管理問(wèn)題與對(duì)策研究[J]．?dāng)?shù)字技術(shù)與應(yīng)用，2016．

學(xué)科建設(shè)：山西省“1331工程”重點(diǎn)學(xué)科建設(shè)計(jì)劃經(jīng)費(fèi)資助（英文縮寫為“1331KSC”）。

項(xiàng)目：2017年山西警察學(xué)院青年課題“基于大數(shù)據(jù)的社會(huì)安全管控及預(yù)防（輿情方向）應(yīng)用研究”（2017yqn011）。