大數(shù)據(jù)時(shí)代高校信息化安全建設(shè)研究

朱圣才

摘要：高校信息化建設(shè)歷經(jīng)校園網(wǎng)、數(shù)字校園、智慧校園三個(gè)階段的發(fā)展，在信息化建設(shè)道路上取得了一定成果。高校信息化建設(shè)安全問(wèn)題也隨之越來(lái)越復(fù)雜，特別是隨著大數(shù)據(jù)時(shí)代的到來(lái)，高校信息化安全建設(shè)問(wèn)題更加突出，文章從高校信息化安全現(xiàn)狀出發(fā)，對(duì)高校信息化安全問(wèn)題、安全建議進(jìn)行分析研究，旨在對(duì)大數(shù)據(jù)時(shí)代高校信息化安全進(jìn)行闡述，進(jìn)而為高校信息化建設(shè)提供參考，保障高校網(wǎng)絡(luò)安全與信息化建設(shè)同步落實(shí)。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)信息安全；高校信息化安全

中圖分類號(hào)：TP302 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）36-0051-02

2016年4月19日，習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表講話，指出“網(wǎng)絡(luò)安全和信息化是相輔相成的”，“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)”，“各方面齊抓共管，切實(shí)維護(hù)網(wǎng)絡(luò)安全”。同年11月7日，第十二屆人大常委會(huì)第二十四次會(huì)議通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

2017年6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施，標(biāo)志著我國(guó)第一部規(guī)范網(wǎng)絡(luò)空間安全管理方面的基礎(chǔ)性法律正是落到生根，是我國(guó)網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑，是依法治國(guó)、化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要法律武器，同時(shí)也為網(wǎng)絡(luò)安全工作提出了更高、更廣的要求。

高校信息化同樣需要處理好安全和發(fā)展的關(guān)系，落實(shí)網(wǎng)絡(luò)安全和信息化是相輔相成，需要安全和發(fā)展同步推進(jìn)，在高校信息化建設(shè)的同時(shí)部署信息化安全工作。

1 高校信息化安全現(xiàn)狀

1.1 信息化安全投入有限、重視程度不夠

高校信息化已經(jīng)成為高校發(fā)展建設(shè)的重要組成部分，是評(píng)價(jià)一所高校的重要指標(biāo)之一，高校信息化經(jīng)歷了一個(gè)高速的發(fā)展時(shí)期，在基礎(chǔ)設(shè)施建設(shè)和人才隊(duì)伍建設(shè)等方面已經(jīng)取得了一定成果，深刻改變著教學(xué)、管理、科研等傳統(tǒng)活動(dòng)。高校信息化經(jīng)歷了校園網(wǎng)建設(shè)、數(shù)字校園建設(shè)和智慧校園建設(shè)三個(gè)基本階段，從整個(gè)高校信息化建設(shè)歷程可以看出，高校信息化建設(shè)基本都是在圍繞功能運(yùn)轉(zhuǎn)，高校信息化安全工作在高校整個(gè)信息化建設(shè)中投入相對(duì)較低，并且高校信息化建設(shè)基本都是圍繞應(yīng)用系統(tǒng)安全開(kāi)展，例如，防火墻、WAF、IPS、IDS等等。

高校信息化作為學(xué)校的一項(xiàng)基礎(chǔ)性工作，已經(jīng)在一定程度上得到了高校領(lǐng)導(dǎo)的重視，然而，高校網(wǎng)絡(luò)信息安全工作是在黨的十八大以后，逐步發(fā)展提到了一個(gè)新高度，從中央到地方，從地方到行業(yè)，需要一個(gè)過(guò)程，并且高校網(wǎng)絡(luò)與信息安全工作的發(fā)展取決于高校領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)與信息安全工作的認(rèn)知度與重視度。

1.2 個(gè)人信息泄露比較嚴(yán)重、隱私得不到保障

《網(wǎng)絡(luò)安全法》明確：個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

大數(shù)據(jù)時(shí)代產(chǎn)生的各類數(shù)據(jù)包含了大量的個(gè)人隱私，高校是教師和學(xué)生的信息集中地，極易造成個(gè)人信息泄露，影響比較惡劣。不法分子可以利用網(wǎng)絡(luò)技術(shù)手段和系統(tǒng)已知漏洞對(duì)學(xué)生個(gè)人信息進(jìn)行攻擊，獲取學(xué)生個(gè)人信息，然后進(jìn)行倒賣(mài)，對(duì)學(xué)生和學(xué)生家長(zhǎng)進(jìn)行詐騙，嚴(yán)重危害學(xué)生的個(gè)人利益；不法分子還可以通過(guò)社會(huì)工程學(xué)梳理學(xué)生個(gè)人信息進(jìn)行一定程度的攻擊。

高校個(gè)人信息泄露的案例非常之多，通過(guò)搜索關(guān)鍵詞可以拿到很多學(xué)生的敏感信息，最為常見(jiàn)是那種以Excel表格和Word文檔的形式，在學(xué)校網(wǎng)站上可以任意下載，涉及數(shù)量之大、包含信息之多、危害程度之重都是巨大的。

1.3 數(shù)據(jù)審計(jì)不完善、安全事件無(wú)法追溯

數(shù)據(jù)安全中涉及的數(shù)據(jù)具有易復(fù)制的特性，所有針對(duì)數(shù)據(jù)的安全事件發(fā)生后，無(wú)法進(jìn)行有效的追溯和審計(jì)。目前多數(shù)高校基本都是采用保存日志60天的方式進(jìn)行審計(jì)，沒(méi)有進(jìn)行深度內(nèi)容分析和事務(wù)安全關(guān)聯(lián)分析來(lái)識(shí)別、監(jiān)視和保護(hù)靜止的數(shù)據(jù)、移動(dòng)的數(shù)據(jù)以及使用中的數(shù)據(jù)，沒(méi)有完善的事前、事中、事后保護(hù)機(jī)制，特別是敏感數(shù)據(jù)保護(hù)機(jī)制，無(wú)法實(shí)現(xiàn)數(shù)據(jù)的合規(guī)使用，保障數(shù)據(jù)資產(chǎn)的可控、可信、可用。

2 高校信息化安全問(wèn)題

2.1 系統(tǒng)陳舊、運(yùn)維不夠

高校的信息化建設(shè)過(guò)程經(jīng)過(guò)20余年的建設(shè)與發(fā)展，使得大量的信息系統(tǒng)沉淀在校園網(wǎng)內(nèi)帶病運(yùn)行。造成這種現(xiàn)狀的原因是早期開(kāi)發(fā)的各類信息系統(tǒng)過(guò)于陳舊，明文傳輸、明文存儲(chǔ)較為普遍，并且系統(tǒng)漏洞較多，加之無(wú)人運(yùn)維，常見(jiàn)的SQL注入漏洞、文件上傳漏洞、弱口令、第三方中間件漏洞等，這些安全漏洞均會(huì)造成服務(wù)器權(quán)限被獲取，數(shù)據(jù)庫(kù)被脫等網(wǎng)絡(luò)與信息安全事件，危害非常之大。從目前教育部、教委等教育主管部門(mén)的漏洞通報(bào)來(lái)看，多數(shù)安全漏洞及安全事件都發(fā)生在老舊系統(tǒng)之中。

由于信息系統(tǒng)過(guò)于陳舊，這類信息系統(tǒng)多數(shù)由當(dāng)時(shí)校內(nèi)學(xué)生開(kāi)發(fā)，或者外包給校外集成商開(kāi)發(fā)。當(dāng)時(shí)的校內(nèi)學(xué)生已經(jīng)畢業(yè)離開(kāi)學(xué)校，校外集成商由于沒(méi)有及時(shí)簽署相應(yīng)的運(yùn)維合同，久而久之，系統(tǒng)的開(kāi)發(fā)團(tuán)隊(duì)也無(wú)法追溯，使得這類信息系統(tǒng)的運(yùn)維遠(yuǎn)遠(yuǎn)跟不上現(xiàn)有技術(shù)的發(fā)展。

2.2 信息系統(tǒng)數(shù)量龐大、信息安全人員不足

根據(jù)各高校域名梳理發(fā)現(xiàn)，高校對(duì)外提供服務(wù)的域名少則幾百個(gè)，多則上千個(gè)，系統(tǒng)數(shù)量之龐大是校內(nèi)信息化管理人員都沒(méi)有預(yù)估到的，盡管各高校采取各類手段對(duì)校內(nèi)信息系統(tǒng)進(jìn)行管理，但是數(shù)量龐大的信息系統(tǒng)給校內(nèi)運(yùn)維帶來(lái)了一定程度的困難。

在有限的高校信息化團(tuán)隊(duì)建設(shè)過(guò)程中，信息安全團(tuán)隊(duì)建設(shè)在信息化隊(duì)伍中的人數(shù)為數(shù)不多，還有很多高校信息安全團(tuán)隊(duì)是由原來(lái)的信息化團(tuán)隊(duì)中抽取出來(lái)，處理信息安全工作，人員數(shù)量和專業(yè)性都有待進(jìn)一步提高。

2.3 校內(nèi)制度規(guī)范不健全、安全工作開(kāi)展依據(jù)不足

高校信息化建設(shè)過(guò)程中，“重功能輕規(guī)范”的思想比較普遍，在信息化高速發(fā)展的過(guò)程中，信息化建設(shè)審批流程簡(jiǎn)單，同時(shí)，以信息化建設(shè)服務(wù)教學(xué)、科研為目的，信息化建設(shè)過(guò)程中沒(méi)有形成完善的制度、規(guī)范，主觀意愿較強(qiáng)，導(dǎo)致校內(nèi)制度規(guī)范不健全，網(wǎng)絡(luò)安全工作開(kāi)展依據(jù)不足。

部分人員對(duì)于安全漏洞的危害性認(rèn)識(shí)得不夠，存在漏洞修復(fù)配合不及時(shí)、對(duì)管控措施（如臨時(shí)關(guān)停外網(wǎng)訪問(wèn)）不理解等情況，由于沒(méi)有官方的文件支撐，對(duì)網(wǎng)絡(luò)安全工作的落實(shí)執(zhí)行存在一定程度的影響。

2.4 二級(jí)單位安全意識(shí)不高，安全人員技術(shù)力量薄弱

各高校二級(jí)單位網(wǎng)絡(luò)安全意識(shí)不高，“重建設(shè)輕維護(hù)”的思想比較普遍。一些信息系統(tǒng)只有管理（使用）人員，而沒(méi)有配備相應(yīng)的運(yùn)維人員，難以及時(shí)處置安全漏洞。另外，由于二級(jí)單位多數(shù)沒(méi)有配備專業(yè)的安全技術(shù)人員，或安全技術(shù)人員的技術(shù)力量有限，導(dǎo)致有部分信息系統(tǒng)整體安全情況堪憂，同一網(wǎng)站曾多次接到漏洞通報(bào)，在漏洞整改方面存在“頭痛醫(yī)頭腳痛醫(yī)腳”的情況。

3 高校信息化發(fā)展的一點(diǎn)安全建議

3.1 加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)

《網(wǎng)絡(luò)安全法》中明確提出了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全，高校涉及的關(guān)鍵信息基礎(chǔ)設(shè)施主要為門(mén)戶網(wǎng)站和一些數(shù)據(jù)量超大的重要信息系統(tǒng)，因此要盡快建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系和信息通報(bào)制度，保障校園關(guān)鍵信息基礎(chǔ)設(shè)施安全。

3.2 建立信息系統(tǒng)備案審核機(jī)制

（1） 完善信息系統(tǒng)備案機(jī)制：對(duì)于高校范圍內(nèi)新建信息系統(tǒng)，由基層黨委（黨組）部門(mén)提出申請(qǐng)，宣傳部門(mén)與信息化部門(mén)負(fù)責(zé)審核。明確信息系統(tǒng)的主管單位、負(fù)責(zé)人、管理員、運(yùn)維人員以及開(kāi)發(fā)語(yǔ)言、系統(tǒng)架構(gòu)、域名、端口等信息。

建立校內(nèi)信息系統(tǒng)定期審核備案（如年審）制度。定期對(duì)各部門(mén)的信息系統(tǒng)進(jìn)行清查，對(duì)信息發(fā)生過(guò)變更的信息系統(tǒng)及時(shí)更新備案；對(duì)不再使用的及時(shí)報(bào)備，并落實(shí)關(guān)停；對(duì)未通過(guò)審核備案的，予以關(guān)停或限制訪問(wèn)。

（2） 加強(qiáng)新建信息系統(tǒng)上線前的安全審查：明確新建的校內(nèi)重要信息系統(tǒng)（校級(jí)系統(tǒng)、包含重要數(shù)據(jù)的系統(tǒng)）必須通過(guò)第三方安全測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)和專家論證后方可上線運(yùn)行；一般信息系統(tǒng)必須通過(guò)信息化安全部門(mén)安全檢測(cè)后方可上線運(yùn)行。

（3） 借助信息化手段完善信息系統(tǒng)備案流程：建設(shè)校內(nèi)信息系統(tǒng)備案系統(tǒng)，通過(guò)完善的申請(qǐng)、審批、管理工作流，為信息系統(tǒng)的申請(qǐng)、建設(shè)、上線、運(yùn)行、乃至服務(wù)使命結(jié)束等環(huán)節(jié)提供支撐，保障信息系統(tǒng)建設(shè)過(guò)程的可追溯性，使運(yùn)維工作更加規(guī)范、可控。

（4） 建立網(wǎng)站群平臺(tái)，加大網(wǎng)站群平臺(tái)的推廣與應(yīng)用：網(wǎng)站群平臺(tái)進(jìn)一步豐富網(wǎng)站群平臺(tái)及站群模板，并加以推廣。推動(dòng)二級(jí)單位網(wǎng)站的集中建設(shè)、運(yùn)維與管理，提高系統(tǒng)安全性與可維護(hù)性。

3.3 建立數(shù)據(jù)安全防泄露機(jī)制

（1） 建立嚴(yán)格的信息發(fā)布審核機(jī)制：對(duì)高校來(lái)講，多數(shù)數(shù)據(jù)泄露是信息發(fā)布造成的個(gè)人數(shù)據(jù)泄露，因此建立嚴(yán)格的信息發(fā)布審核機(jī)制是關(guān)鍵，對(duì)信息發(fā)布內(nèi)容進(jìn)行嚴(yán)格的流程控制，確保正常發(fā)布的信息不涉及數(shù)據(jù)泄露，尤其是文件類型的數(shù)據(jù)泄露。

（2） 使用安全有效的數(shù)據(jù)加密技術(shù)：安全有效的數(shù)據(jù)加密技術(shù)是數(shù)據(jù)安全的關(guān)鍵，同時(shí)也是應(yīng)對(duì)黑客攻擊數(shù)據(jù)的重要手段，無(wú)論是傳統(tǒng)的數(shù)據(jù)安全還是大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全，數(shù)據(jù)加密技術(shù)都是保證數(shù)據(jù)安全的一把利劍，它可以做到網(wǎng)絡(luò)信息安全建設(shè)目的中“看不懂”。

（3） 建立及時(shí)有效的應(yīng)急響應(yīng)機(jī)制：無(wú)論安全做到什么程度，都無(wú)法保障絕對(duì)的安全，網(wǎng)絡(luò)安全是整體的而不是割裂的、是動(dòng)態(tài)的而不是靜態(tài)的、是開(kāi)放的而不是封閉的、是相對(duì)的而不是絕對(duì)的、是共有的而不是孤立的，建立及時(shí)有效的應(yīng)急響應(yīng)機(jī)制，才能夠在安全事件（事故）發(fā)生后第一時(shí)間對(duì)安全事件進(jìn)行處理、修復(fù)等相關(guān)工作，能夠最小化程度減小安全事件（事故）、數(shù)據(jù)泄露等造成的危害。

（4） 落實(shí)數(shù)據(jù)信息資產(chǎn)化：數(shù)據(jù)資產(chǎn)化是將所有數(shù)據(jù)作為一種資產(chǎn)，對(duì)于一個(gè)單位來(lái)講，或者說(shuō)是一種國(guó)有資產(chǎn)，我們這樣理解對(duì)于領(lǐng)導(dǎo)者來(lái)數(shù)據(jù)保護(hù)會(huì)更加有說(shuō)服力，數(shù)據(jù)泄露就是國(guó)有資產(chǎn)的一種流失。

4 結(jié)束語(yǔ)

高校信息化安全建設(shè)是高校信息化建設(shè)的重要組成部分，是高校信息化體系中不可缺失的一員，也是落實(shí)中央網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪的必要手段，高校在信息化建設(shè)過(guò)程中務(wù)必堅(jiān)持安全與發(fā)展同步規(guī)劃、同步運(yùn)行、同步實(shí)施。

參考文獻(xiàn)：

[1] 李春蘭，周增國(guó)，龐有軍，高校信息化建設(shè)進(jìn)程中的問(wèn)題與對(duì)策分析[J]，中國(guó)教育信息化，2010（17）.

[2] 冉德玲，高校信息化建設(shè)初探[J]，電腦知識(shí)與技術(shù)，2014（24）.

[3] 程序，大數(shù)據(jù)時(shí)代下高校網(wǎng)絡(luò)安全探析[J]，科技經(jīng)濟(jì)導(dǎo)刊，2017（21）.

[4] 張曉燕，大數(shù)據(jù)時(shí)代高校數(shù)據(jù)安全探析[J]，教育，2016（7）.