新形勢(shì)下高校信息安全的管理策略研究

摘 要：目前信息安全形勢(shì)發(fā)生了巨大變化，國家已將信息安全上升法制高度，教育部也在加強(qiáng)教育領(lǐng)域的信息安全指導(dǎo)。而部分高校仍存在信息安全管理隱患，對(duì)此本文從頂層設(shè)計(jì)、網(wǎng)站和漏洞管理、制度保障、隊(duì)伍建設(shè)、意識(shí)教育、監(jiān)測(cè)預(yù)警等提出解決方案，為構(gòu)建高校信息化的安全防御體系提供參考。

關(guān)鍵詞：信息安全；高等院校；管理策略；形勢(shì)分析

DOI：10.16640/j.cnki.37-1222/t.2018.05.196

1 信息安全形勢(shì)分析

隨著外圍環(huán)境的不斷惡化，我國信息安全環(huán)境發(fā)生了較大變化。網(wǎng)絡(luò)空間進(jìn)入以網(wǎng)絡(luò)擴(kuò)軍熱為代表的“后黑客時(shí)代”，有組織的網(wǎng)絡(luò)犯罪持續(xù)升高，針對(duì)重要信息系統(tǒng)的攻擊持續(xù)發(fā)生，關(guān)鍵信息基礎(chǔ)設(shè)施安全威脅日益加劇，云計(jì)算和大數(shù)據(jù)等新技術(shù)應(yīng)用帶來新風(fēng)險(xiǎn)，國家意識(shí)形態(tài)安全受到新沖擊。

近幾年，中共中央高度重視信息安全工作，加緊制定信息安全戰(zhàn)略體系。2014年2月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書記提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”。2015年8月通過的《刑法修正案（九）》對(duì)網(wǎng)絡(luò)服務(wù)提供者增加了刑事責(zé)任的規(guī)定。2017年6月《網(wǎng)絡(luò)安全法》正式實(shí)施，明確網(wǎng)絡(luò)空間主權(quán)、網(wǎng)絡(luò)空間命運(yùn)共同體等內(nèi)容。至此，我國的信息安全戰(zhàn)略地位空前提高。

而教育行業(yè)的信息安全未能隨信息化進(jìn)程的不斷加快而同步發(fā)展，安全事件頻發(fā)。對(duì)安全事件進(jìn)行不完全分析，可分為如下幾類：（1）師生基礎(chǔ)數(shù)據(jù)泄露；（2）學(xué)位、學(xué)歷信息遭篡改；（3）考試成績(jī)、高考志愿、招生錄取信息遭篡改；（4）網(wǎng)站遭篡改、貼反動(dòng)標(biāo)語：2016年國外反動(dòng)黑客組織攻擊教育行業(yè)信息系統(tǒng)21次。（5）系統(tǒng)遭DDOS攻擊；（6）APT攻擊等。目前我國已有教育機(jī)構(gòu)約50萬所，學(xué)生總數(shù)達(dá)到約2.6億人，教師總數(shù)約1800萬人，.edu.cn域名網(wǎng)站約45萬個(gè)，涉及到的人員數(shù)據(jù)約3.8億人次，發(fā)生安全事件后其傳播速度、關(guān)注度和影響力都難以估量。

教育部于2014年指定“科技司”為信息技術(shù)安全工作的分管部門，明確責(zé)任部門，密集發(fā)布信息安全指導(dǎo)意見，部分文件有：教技[2014]4號(hào)《關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》、教技[2015]2號(hào)《教育部 公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》、教技廳函[2016]32號(hào)《關(guān)于啟動(dòng)信息系統(tǒng)安全監(jiān)測(cè)的通知》、教技廳 [2017]3號(hào)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》，以加強(qiáng)教育行業(yè)的信息安全。

2 高校信息安全的管理隱患

高校是教育行業(yè)中融合教學(xué)、科研、社會(huì)服務(wù)、文化傳承的高等學(xué)府，需格外重視信息安全管理工作，目前仍存在頂層設(shè)計(jì)忽視、網(wǎng)站和漏洞管理混亂、人才缺乏和安全意識(shí)缺失等方面的問題。

（1）頂層設(shè)計(jì)忽視安全管理。高校在信息化建設(shè)飛速發(fā)展時(shí)，未能從頂層設(shè)計(jì)上做到信息安全與信息化建設(shè) “同步規(guī)劃、同步建設(shè)、同步運(yùn)行”，信息安全被放到次要位置。[1]或過分依賴軟硬件技術(shù)，忽視信息安全管理，安全防護(hù)缺乏統(tǒng)籌安排。

（2）網(wǎng)站和漏洞管理混亂。未能意識(shí)網(wǎng)站集中建設(shè)的重要性，存在二級(jí)單位自建網(wǎng)站，服務(wù)器托管在校外等的情況，這種網(wǎng)站存在對(duì)外開放卻無人問津，有高危漏洞卻無人修復(fù)，出現(xiàn)問題卻無人響應(yīng)的重大隱患。多數(shù)高校仍處于以安全漏洞和安全事件中心的被動(dòng)局面，缺少主動(dòng)的漏洞管理流程。

（3）安全管理制度缺失。在信息安全的組織架構(gòu)建設(shè)、制度體系建設(shè)、等級(jí)保護(hù)等方面的工作落實(shí)不夠，雖然針對(duì)校園網(wǎng)、機(jī)房安全、二級(jí)網(wǎng)站等內(nèi)容制定了管理?xiàng)l例，但存在未成體系化，修訂不及時(shí)等問題。未能將等級(jí)保護(hù)納入信息安全管理制度中。

（4）人才缺失和安全意識(shí)缺乏。目前國內(nèi)專業(yè)人才培養(yǎng)仍處于起步階段，高校在引進(jìn)專業(yè)人才上存在一定的困難，而且對(duì)從業(yè)人員又缺少專業(yè)的教育和培訓(xùn)。一些高校師生對(duì)信息安全的重要性及對(duì)信息安全事件造成的危害認(rèn)識(shí)不足，未能樹立正確的網(wǎng)絡(luò)安全觀。

3 高校的信息安全管理策略

2016年04月，習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上提出：面對(duì)復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，需樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。[2]這為高校在新形勢(shì)下制定有效的信息安全管理策略提供較好的方向指引。據(jù)此提出如下策略：

3.1 加強(qiáng)信息安全的頂層設(shè)計(jì)

學(xué)校領(lǐng)導(dǎo)層需認(rèn)清網(wǎng)絡(luò)安全和信息化的關(guān)系是一體之兩翼，必須協(xié)調(diào)一致、齊頭并進(jìn)，將信息安全建設(shè)工作納入學(xué)校長遠(yuǎn)規(guī)劃；認(rèn)清長期的安全持續(xù)管理和服務(wù)重于一次性的安全產(chǎn)品投入，從頂層設(shè)計(jì)上形成完整的安全保障體系。在組織架構(gòu)上，可借鑒美國高校的首席信息官（Chief Information Office，CIO）體制[3]，成立校級(jí)層面的信息安全管理機(jī)構(gòu)，通過統(tǒng)籌協(xié)調(diào)、宏觀規(guī)劃推動(dòng)高校信息安全工作開展。

3.2 有效治理網(wǎng)站亂象

對(duì)外開放的網(wǎng)站是存在信息安全威脅的主體。為加強(qiáng)對(duì)網(wǎng)站亂象的有效治理，建立網(wǎng)站群平臺(tái)，制定全校二級(jí)網(wǎng)站集中管理的體系；定期在學(xué)校范圍內(nèi)對(duì)網(wǎng)站進(jìn)行“地毯式”排查，杜絕非學(xué)校域名且非學(xué)校IP的“兩非網(wǎng)站”存在，對(duì)存在安全隱患長期不修復(fù)、運(yùn)維停止更新服務(wù)、已完成工作使命且無繼續(xù)使用必要的僵尸網(wǎng)站進(jìn)行清理，及時(shí)消除安全隱患。

3.3 漏洞管理流程

建立規(guī)范、閉環(huán)的安全漏洞管理流程能有效增強(qiáng)高校的安全防御能力，流程中應(yīng)包括漏洞發(fā)現(xiàn)、處置、整改、結(jié)果驗(yàn)證等環(huán)節(jié)[4]。

在漏洞發(fā)現(xiàn)上，高校信息化部門需指派安全管理員對(duì)全校信息系統(tǒng)定期進(jìn)行漏洞掃描，并隨時(shí)跟蹤安全漏洞平臺(tái)獲得有關(guān)漏洞動(dòng)態(tài)。在處置和整改上，安全管理員先對(duì)發(fā)現(xiàn)的漏洞進(jìn)行驗(yàn)證，排除誤報(bào)，再對(duì)漏洞的危險(xiǎn)等級(jí)進(jìn)行分析評(píng)判。若為中高危漏洞，應(yīng)立即關(guān)閉該信息系統(tǒng)的對(duì)外訪問，根據(jù)備案情況，將漏洞情況反饋給系統(tǒng)的責(zé)任部門進(jìn)行限期整改；若為低危，限期整改，若未限期整改完則關(guān)閉其對(duì)外訪問。在結(jié)果驗(yàn)證上，信息化部門在收到責(zé)任部門的整改完成信息后，對(duì)整改結(jié)果進(jìn)行檢驗(yàn)，對(duì)通過檢驗(yàn)的恢復(fù)正常運(yùn)行，未通過檢驗(yàn)的則需繼續(xù)整改直到驗(yàn)證通過。

3.4 制定系統(tǒng)的信息安全管理制度

可參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)要求，建立崗位和人員管理制度，確定安全管理策略，落實(shí)安全管理措施，形成高效、系統(tǒng)、完整的信息安全管理體系。管理措施需需包括人員安全管理、系統(tǒng)運(yùn)維管理、系統(tǒng)建設(shè)管理。系統(tǒng)運(yùn)維管理可包括環(huán)境和資產(chǎn)安全管理、設(shè)備和介質(zhì)安全管理、日常運(yùn)行維護(hù)、集中安全管理、事件處置與應(yīng)急響應(yīng)、災(zāi)難備份、安全監(jiān)測(cè)等。

《網(wǎng)絡(luò)安全法》明確規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)。因此，高校需建立等級(jí)保護(hù)制度和程序，補(bǔ)齊等保短板，增強(qiáng)信息安全防護(hù)能力。對(duì)于已上線信息系統(tǒng)，應(yīng)盡快完成等級(jí)保護(hù)定級(jí)備案和測(cè)評(píng)工作，對(duì)照標(biāo)準(zhǔn)深入查找薄弱環(huán)節(jié)并迅速整改；對(duì)于新建系統(tǒng)，需制定在正式上線前應(yīng)完成定級(jí)備案和測(cè)評(píng)整改的工作流程。

3.5 加強(qiáng)隊(duì)伍建設(shè)和意識(shí)教育

充分認(rèn)識(shí)到人才在信息安全建設(shè)工作中的作用，可以通過組建結(jié)構(gòu)化人才隊(duì)伍和加強(qiáng)培訓(xùn)以進(jìn)行隊(duì)伍建設(shè)。結(jié)構(gòu)化，是指人才隊(duì)伍不僅局限在高校信息化相關(guān)部門，而是擴(kuò)充到所有責(zé)任單位，確保每個(gè)責(zé)任單位都有一名信息化干事和信息化分管領(lǐng)導(dǎo)監(jiān)督管理本單位的信息安全工作，與信息化部門協(xié)作完成安全防護(hù)。專業(yè)培訓(xùn)，既要包含專業(yè)理論和技術(shù)知識(shí)又要包含政策法規(guī)學(xué)習(xí)，“雙管齊下”方能提高專業(yè)素養(yǎng)。

信息化部門可聯(lián)合保衛(wèi)處、宣傳部、學(xué)生處等部門，利用新生教育、網(wǎng)絡(luò)安全宣傳周等契機(jī)，對(duì)全校師生進(jìn)行信息安全教育。注重法律法規(guī)教育，提醒師生要清楚個(gè)人在網(wǎng)絡(luò)虛擬環(huán)境下的權(quán)利、義務(wù)和責(zé)任；注重安全知識(shí)和防御技能教育，全面提高學(xué)校及師生個(gè)人的網(wǎng)絡(luò)安全防范能力。

3.6 加強(qiáng)監(jiān)測(cè)預(yù)警水平

為全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)的要求，需健全信息安全值守制度，形成7*24小時(shí)值班制度；制定信息安全演練方案，針對(duì)不同情況采取不同級(jí)別的演練等級(jí)，在演練中不斷優(yōu)化應(yīng)急處置流程；加強(qiáng)基礎(chǔ)網(wǎng)絡(luò)的技術(shù)防護(hù)，將部署的安全設(shè)備能夠有效利用；對(duì)重要信息系統(tǒng)采取“前臺(tái)靜態(tài)呈現(xiàn)、前后臺(tái)分離部署”的防護(hù)策略，同時(shí)進(jìn)行定期巡檢，一旦發(fā)現(xiàn)異常需快速反應(yīng)。

4 總結(jié)

由于信息安全存在攻防高度不對(duì)稱的特點(diǎn)，黑客防不勝防，一旦存在出現(xiàn)防護(hù)短板就會(huì)產(chǎn)生災(zāi)難性后果，信息安全只是“相對(duì)”安全。在此情況下，對(duì)高校信息安全管理者提出了更高要求，需不斷加強(qiáng)自身的技術(shù)能力，保持警惕狀態(tài)，同時(shí)可形成安全共同體，建立多方聯(lián)動(dòng)的安全防護(hù)體系，為構(gòu)建安全、穩(wěn)定、和諧的校園網(wǎng)絡(luò)環(huán)境不斷努力。

參考文獻(xiàn)：

[1]羅南.高校信息安全風(fēng)險(xiǎn)分析[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，

2016，12（10X）：24-25.

[2]習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話[EB/OL].

[3]陳明.美國高校信息安全管理體系及其啟示[J].科技信息，2012

（33）：131-132.

[4]吳海燕.安全漏洞管理流程：你必須知道的幾個(gè)要素[J].中國教育網(wǎng)絡(luò)，2017（07）：51-52.

作者簡(jiǎn)介：劉明月（1989-），女，山東濟(jì)寧人，碩士研究生，科員，助理工程師。