高校網(wǎng)絡空間的安全風險評估及對策研究

李青

[摘 要]隨著信息化技術的飛速發(fā)展，高校管理與信息化已密不可分，但網(wǎng)絡空間安全問題也日益突顯。在構建安全智慧校園的進程中，高校有必要對校園網(wǎng)絡空間安全問題進行分析評估，并結合已頒布實施的《中華人民共和國網(wǎng)絡安全法》，探討高校加強網(wǎng)絡空間安全體系建設的可行性辦法。

[關鍵詞]高校；網(wǎng)絡空間；網(wǎng)絡安全法；風險

doi：10.3969/j.issn.1673 - 0194.2018.04.066

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2018）04-0-02

隨著信息通信技術的不斷進展，互聯(lián)網(wǎng)和信息化浪潮遍及全球，形成了獨立于陸地、海洋、航空、航天之外的第5維空間——網(wǎng)絡空間（Cyberspace）。教育行業(yè)在“互聯(lián)網(wǎng)+”的時代背景下有了跨越式發(fā)展。《教育信息化十年發(fā)展規(guī)劃（2011-2020）》中提到：“高等教育信息化是促進高等教育改革創(chuàng)新和提高質量的有效途徑，是教育信息化發(fā)展的創(chuàng)新前沿”。網(wǎng)絡技術在高校教學、科研等工作中發(fā)揮著重要的作用。網(wǎng)絡的最大特點就是開放性，使高校網(wǎng)絡空間安全問題日益突出。

1 高校信息安全的內涵及重要性

2014年，國家成立了由習近平總書記親自掛帥的網(wǎng)絡安全和信息化領導小組。2017年6月1日，國家正式施行《中華人民共和國網(wǎng)絡安全法》，這部法律的出臺奠定了網(wǎng)絡安全和網(wǎng)絡強國的法律基礎，將信息安全工作提到了前所未有的高度。

信息安全主要由三方面組成，即完整性、可用性和保密性。高校信息安全是指在高校網(wǎng)絡空間中運行的各類軟硬件及數(shù)據(jù)能夠被有效保護，不會被攻擊者破壞并泄露數(shù)據(jù)，使各系統(tǒng)服務和網(wǎng)絡服務能夠穩(wěn)定運行。信息安全的實質是防止內部數(shù)據(jù)泄露、被篡改，防止應用系統(tǒng)被攻克。高校人員眾多，會有很多科研數(shù)據(jù)，一旦發(fā)生信息安全事故，極易造成規(guī)模化的教學秩序混亂，因此信息安全建設是高校信息化發(fā)展的重要前提。

2 高校信息安全存在的問題

教育部官方網(wǎng)站的數(shù)據(jù)顯示，截至2016年，我國共有高等院校2 879所，在校學生約3 700萬人。高校師生在享受網(wǎng)絡帶來便捷的同時，也時常發(fā)生一些信息安全問題，成為高校管理的一大難題。

2.1 從師生角度分析，存在的問題

（1）病毒與木馬。計算機病毒會破壞計算機的信息資源，導致系統(tǒng)無法正常運行。有不少用戶計算機不安裝防病毒軟件、防火墻，一旦感染病毒，不僅會危害計算機安全，還會消耗學校網(wǎng)絡資源，造成網(wǎng)絡擁塞，影響全校整體用戶。

（2）賬號和密碼被盜取。高校擁有各類應用系統(tǒng)，如校園門戶平臺、郵件系統(tǒng)、OA系統(tǒng)、財務系統(tǒng)等，賬號和密碼是用戶在網(wǎng)絡中的鑰匙，也是不法分子主要瞄準的盜取對象。許多用戶為了方便使用，設置的密碼過于簡單，如果賬戶被盜用，用戶一般無法快速知曉，不法分子就會繼續(xù)潛伏使用。由于現(xiàn)在很多高校普遍使用單點登陸技術，不法分子一旦成功盜取密碼，就可以訪問用戶的所有系統(tǒng)，從而會帶來極大的危害。

（3）個人信息泄露。用戶的個人信息一旦泄露，不法分子便可以精準地開展具有很強目的性的犯罪行為，如網(wǎng)絡詐騙、篡改破壞數(shù)據(jù)，嚴重威脅個人信息安全。

2.2 從學校角度分析存在的問題

（1）不重視安全問題。網(wǎng)絡信息安全問題沒有引起校方重視，一方面，高校沒有認識到安全問題的重要性，也沒有認識到信息安全事故的危害性，缺少相應的安全培訓，認為是否發(fā)生安全事故是一種“運氣”。另一方面，部分師生認為高校的信息安全是學校網(wǎng)絡部門的責任，與自己無關，在業(yè)務運行方面則重服務輕安全，例如抱怨在校外通過VPN訪問校內資源太麻煩。

（2）缺乏完善的安全制度。不少高校在信息化規(guī)劃、運營服務等方面的制度存在較多空白，或是長期滯后，這樣不僅容易出現(xiàn)信息安全風險，而且無法將信息安全落到實處。高校各部門、院系在信息安全建設上各自為戰(zhàn)，缺少統(tǒng)一制度體系引領，各院系的不平衡發(fā)展將直接影響全校的信息化發(fā)展進程，導致安全事件發(fā)生的頻率往往要高于那些不重視信息安全的部門院系。

（3）專業(yè)安全人員缺失。高校的崗位設置中會有網(wǎng)絡技術部門，但是普遍缺少專職的信息安全管理崗位。網(wǎng)絡技術部門內部也分為多個職能崗位，每個崗位的技術人員會從自身業(yè)務的需求考慮信息安全問題，其本身已經(jīng)將體系化的安全建設工作進行了分割，對于各院系而言，更談不上能基于學校總體層面的信息安全要求去開展建設工作。

（4）設施配備滯后。高校的各類軟硬件技術發(fā)展很快，但相關設備卻發(fā)展滯后。在保障基礎的信息安全前提下，高校并非要緊跟技術潮流，采購部署新設施，因為安全水平并不是僅僅依賴設施的先進程度和多寡來決定，但保障信息安全的設施是必須配備的，如防火墻、入侵防御設備、網(wǎng)絡病毒防御系統(tǒng)、各類審計設備和正版軟件等。

（5）缺少資金保障。中國高等教育學會教育信息化分會發(fā)布的《2015高校網(wǎng)絡信息安全調研報告》顯示，全國有47.76%的高校每年在網(wǎng)絡信息安全方面的總投入少于40萬，其中有13.43%的高校無資金投入。隨著校園業(yè)務應用信息化的普及，校園數(shù)據(jù)信息資產不斷增長，但安全防護投入未見顯著增長。如果網(wǎng)絡安全防護未跟上信息化建設步伐，整體防護水平必然下降，這也將大大延緩高校整體信息化的速度。

3 加強高校信息安全管理的策略

《網(wǎng)絡安全法》是我國第一部針對網(wǎng)絡安全領域規(guī)范化管理的法律，將網(wǎng)絡信息安全規(guī)范提升到國家法律層面，就高校而言，讀透《網(wǎng)絡安全法》是十分必要的。本文將從高校管理工作角度出發(fā)，結合高校當前工作狀況，探討加強高校信息安全管理的策略。

3.1 制度建設與落實并重

由于高校網(wǎng)絡具有系統(tǒng)龐大、邏輯關系復雜的特點，高校可從技術和管理兩方面著手建立制度體系，技術方面涉及物理、網(wǎng)絡、主機、應用和數(shù)據(jù)安全，管理方面涉及安全、機構、人員、系統(tǒng)建設和系統(tǒng)運維，以制度形式確立，落實責任人、分管人，并簽訂安全責任書。同時，高校要積極引進信息安全人員，加強內部信息管理人員專業(yè)培訓。《網(wǎng)絡安全法》做了明確要求：“網(wǎng)絡運營者應當制訂網(wǎng)絡安全事件應急預案，及時處置計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險”。這些法律要求使高校必須重視網(wǎng)絡安全問題，除了加強制定符合高校特點的安全管理制度外，還必須加強落實，將行政規(guī)范落實到具體的工作中。

3.2 技術與管理并重

“互聯(lián)網(wǎng)+教育”已逐步在高校中普及，要保障這些應用的正常運行，需要配備相應的安全政策和技術手段。《網(wǎng)絡安全法》中要求：“建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網(wǎng)絡安全、穩(wěn)定運行”。在此基礎上，高校需調研當前的網(wǎng)絡安全水平，通過建立等級保護體系，系統(tǒng)進行安全風險評估。在管理過程中，高校要建立網(wǎng)絡系統(tǒng)安全配置基線，規(guī)定操作系統(tǒng)、數(shù)據(jù)庫、中間件、Web應用等系統(tǒng)的入網(wǎng)安全必須項。同時，高校要建立服務器準入門檻，施行申請、審核、準入管理流程；固定管理人員、加強安全檢測；校外開發(fā)人員由專人申請，通過校內VPN訪問校內資源。

3.3 運行監(jiān)管與應急并重

運行在網(wǎng)絡空間內的是信息數(shù)據(jù)，需重視數(shù)據(jù)的安全管理。因此高校應對新建系統(tǒng)進行合規(guī)性和安全檢測，對已有系統(tǒng)進行安全漏洞掃描，與上級部門、高校安全工作組、公測平臺建立聯(lián)系，第一時間獲取學校信息系統(tǒng)的安全測評情況，完善風險評估和應急工作機制，制訂安全事件應急預案。《網(wǎng)絡安全法》指出：“網(wǎng)絡運營者應當嚴格保密收集的用戶信息，并建立健全的用戶信息保護制度”。高校作為校園網(wǎng)的運營者，需要嚴控審查校園數(shù)據(jù)流通，對數(shù)據(jù)進行必要的脫敏處理，并對應急預案進行分級處理，將應急措施明確到具體的責任部門及人員。此外，高校每年要進行安全演練，并結合網(wǎng)絡安全狀況對網(wǎng)絡安全事件應急預案進行修訂。

4 結 語

高校網(wǎng)絡空間安全是一項長期且艱難的工作，涉及面越來越廣，眾多因素和變量導致其始終處于一種“不確定的狀態(tài)”，要在這種不確定下實現(xiàn)安全，只能維持一種動態(tài)、可控、可接受的風險管理狀態(tài)。信息化是提升高校核心競爭力的必要途徑之一，而信息安全是信息化建設中的重要部分，因此需要高校常抓不懈，抓住《網(wǎng)絡安全法》的出臺契機，自查學校網(wǎng)絡空間安全現(xiàn)狀，通過策略、保護、檢測、響應的安全模型，努力為師生提供一個安全、穩(wěn)定、可靠的網(wǎng)絡空間，為提升學校核心競爭力，創(chuàng)建一流高校提供強有力的保障。

主要參考文獻

[1]馬新科.大安全觀下高校網(wǎng)絡信息安全建設[J].中國科技信息，2016（12）.

[2]王江.淺談高校網(wǎng)絡信息安全問題與對策[J].中小企業(yè)管理與科技，2016（11）.

[3]胡修龍.校園網(wǎng)網(wǎng)絡信息安全防護體系的研究[J].科技與創(chuàng)新，2016（24）.

[4]吳世忠，李斌.信息安全保障導論[M].北京：機械工業(yè)出版社，2014.

[5]施駿棟.虛實之間：大學生在網(wǎng)絡空間中的自我呈現(xiàn)——以高校BBS論壇網(wǎng)絡互動平臺為例[J].三峽大學學報：人文社會科學版，2017（1）.

[6]朱富麗.高校網(wǎng)絡學習空間的建設與推廣——以河南牧業(yè)經(jīng)濟學院為例[J].數(shù)字教育，2016（4）.

[7]張靜.打造高校圖書館的形象經(jīng)濟——論網(wǎng)絡時代高校圖書館的知識公共空間建設策略[J].科技情報開發(fā)與經(jīng)濟，2014（11）.