高校信息系統安全防護策略研究

王文泉

摘 ? 要：隨著信息化的發展，高校信息系統安全越來越受重視。文章分析高校信息系統特點與安全現狀，指出面臨的問題，提出安全防護策略，以期為高校信息系統的安全防護提供一些參考性意見。

關鍵詞：高校信息系統;信息系統安全;信息安全

中圖分類號： TP309 ? ? ? ? ?文獻標識碼：A

Abstract： With the development of information technology， information system security in colleges and universities is causing more and more attention. This paper analyzes the characteristics of information system in colleges and universities， pointing out the present situation of security and problems faced， and puts forward the security protection strategies， in order to provide some reference for the security defense of information system in colleges and universities.

Key words： information system in colleges and universities; information system security; information security

1 引言

高校信息化建設如火如荼，各種各樣的信息系統大量涌現。信息系統安全在信息安全中占據重要地位，對于高校而言更是如此。高校如果出現諸如招生數據泄露、官網被掛“反動標語”等信息安全問題，不僅會造成損失，而且會影響到學校聲譽，帶來社會負面影響。360公司曾在《中國高校網站安全檢測報告》中顯現：中國每所高校網站平均每天被黑客攻擊113次。從教育行業漏洞報告平臺公布的即時數據來看，位于漏洞排行榜第一名的上海交通大學漏洞總數為1075，漏洞威脅值高達3517（每個漏洞分值按風險等級由低到高為0～10）[1]。由此可見，高校信息系統的安全防護不容怠慢，其研究工作意義深遠。

2 高校信息系統特點

高校信息系統不僅包括各職能部門建立的人事、財務、教務、資產管理等業務系統，也包括校園官網、招生、就業、各二級學院宣傳主頁等網站。以深圳信息職業技術學院為例，目前臺賬中有統計在冊的信息系統203個，按照系統用途，可以將它們大致分為三類：部門（學校）宣傳網站、業務系統和項目（課題）申報網站，按照建設類型可以分為兩類：網站群和自主建設，它們的數量統計情況如表1所示。

可以看出，高校信息系統具有以下“雙高”特點。

2.1 項目申報網站占比高

由表1可以看出，項目申報網站在三類信息系統（按系統用途分）中數量最多，占比為63%。這些網站主要用于課程、教學資源庫、教學團隊建設等教研項目和科研項目的申報、評審、驗收等，它們伴隨項目周期而建設，待項目驗收通過后往往便不再需要，使用周期短，但是很多網站在驗收通過后往往被科研團隊遺忘，依舊存活。

2.2 自主建設系統占比高

由表1可以看出，依托網站群模板建設的系統與自主建設的系統比例為112：91，高校自主建設的信息系統占比高、幾乎追平網站群系統。將各用途的信息系統在網站群和自主建設兩種建設類型上作出統計，如圖1所示。可以看出，項目申報網站中自主建設的占比將近40%，因為有項目經費，很多網站為教師個人或者項目團隊自行搭建，這就會導致各系統技術水平層次不齊;部門的宣傳網站一旦建立，長時間運行，也多為靜態頁面，然而其中自主建設的占比約為30%;業務系統無法依托網站群建設，所以均為自主建設。

3 高校信息系統安全現狀

3.1 缺乏系統全生命周期監管

大量系統建設完成后直接上線運行，缺乏風險評估和滲透測試。帶病上線，必然會帶來安全風險隱患，這也是大量系統自主建設的后果。根據上一部分的討論，項目申報網站具有“使用周期短、存活周期不一定短”的特點，如果一個網站被長時間遺忘，淪為僵尸網站，必然容易被黑客攻擊、利用。有的“雙非”系統，業務與學校相關，但是卻不知道責任人是誰，一旦出現安全問題，相當被動。一個信息系統，從上線到運行，再到退出，必須建立完善的系列監管機制。

3.2 管理人員安全意識薄弱

針對信息安全，目前還是廣泛存在“說起來重要，做起來次要，忙起來不要”的現象。很多系統上線后鮮有人維護，即便被發現有安全漏洞隱患，依舊置之不理。以深圳信息職業技術學院為例，信息系統安全監管部門會針對有漏洞的系統向責任部門發出“信息安全整改通知書”，根據反饋來看，整改率僅為41%;待到這些風險系統被上級監管部門通報批評后，系統所有者往往追悔莫及。造成這一現狀的主要原因，是管理人員乃至上級領導嚴重缺乏信息安全意識。

3.3 管理制度缺失

無規矩不成方圓，系統亂象的背后是缺乏規范管理。統計表明，70%以上的信息安全問題是由管理不善造成的，而這些安全問題中的95%是可以通過科學的信息安全管理制度來避免的[2]。信息安全制度、流程不健全，就會導致責任不明確、不落實。

4 高校信息系統安全防護策略

數量多、技術參差不齊、生命周期不同、意識缺乏、制度缺失、權責不清……面對高校信息系統如此嚴峻的安全威脅形勢，可以從五個方面實施信息系統安全防護策略。

4.1 增強信息安全意識

信息安全工作，人是第一位的。美國國家安全局發布的信息安全保障技術框架（Information Assurance Technical Framework，IATF）提出深度防御戰略的三個核心要素，其中居于首位的就是：人[3]。人員意識上來了，工作總能想辦法做到位。構建高校信息系統安全防護體系，首要的是，加強宣傳教育，組織專業培訓，開展信息安全員、系統管理員層級培訓，自頂向下培養起基本的信息安全意識，同時提高管理人員技術水平，使其掌握常規安全防范措施。

4.2 統一管理、規范建設

參照等級保護安全框架[4]，明確信息系統建設流程及其相關安全工作如圖2所示。

當校內二級部門申請建設一個新的信息系統時，信息安全監管部門主要作出兩項判斷：一是否能夠放到網站群建設和統一管理。所有宣傳網站必須放到網站群建設，項目申報網站盡可能放到網站群;二是所有項目相關系統、網站和職能部門業務系統，必須留出經費，用做定級論證、風險檢測等相關安全工作。

系統開發階段，要特別注意規范代碼書寫，遵守編程安全原則，避免產生漏洞。比如針對XSS攻擊，系統要對用戶提交的內容進行可靠的輸入驗證，包括對URL、查詢關鍵字、HTTP頭、REFER、POST數據等，僅接受指定長度范圍內、采用適當格式與所預期的字符的內容提交，對其他一律過濾;盡量采用POST而非GET方式提交表單等。

系統開發完成后、上線前，還需要進行全面的安全檢查，包括滲透測試、服務器掃描等。對于存在安全隱患的，堅持整改完畢、復測安全后再上線運行。

針對系統下線，建立完善的退出機制。下線可以分為永久下線與臨時下線兩種情況[5]。對于網站使用周期結束，或者常年無人管理的僵尸網站，二級部門和信息安全監管部門建立信息互通，對系統作永久下線處理。對于例行安全檢測之后，發現存在安全隱患或者已經發生重大安全事故的系統，立刻進行整改，并且切斷外網訪問權限，這種情況稱之為臨時下線。臨時下線的系統，經復測安全后方可再行上線運行。

4.3 加強日常防護

第一，強化基礎性工作是加強信息安全保障工作的主要原則之一，信息系統日常安全防護常規工作可以按時間跨度上“六步工作法”展開：（1）每天巡檢;（2）每周更新、升級;（3）每月漏掃;（4）每季度審計;（5）每半年滲透測試;（6）每年風險評估、等保測評。

第二，要形成7×24小時值守制度，采取系統+人工的方式，對重要系統作監測，及時發現網頁篡改、暗鏈、無法訪問等風險隱患，并觸發預警和斷網等聯動處置。

第三，如果發生信息系統安全事件，要立即響應，分析和鑒定事件產生的原因，收集證據，記錄處理過程，總結經驗教訓。而在這之前，要做好應急預案和數據備份。

4.4 完善信息系統安全管理制度

針對第4.2節的討論，從上線到下線，建立起基于“閉環”的信息系統全生命周期管理制度。嚴格把控系統申請外網訪問權限，做到“開通前有申請、結束后有交代”，及時做好備案和關閉工作，同時建立、健全臨時下線機制。為應對各種突發事件，制定《信息系統安全應急預案》，建立、健全信息系統安全應急處理保障體系，并且定期演練和完善。當所有規章制度，都具有了“閉環”特征，執行起來才行之有效、不留后遺癥。

4.5 探索多維信息系統安全監管機制

“有法可依”后還要“有法必依”“執法必嚴”。制度一旦確立，落到實處才能產生效益，對于拒不履行安全義務的部門和個人，加大懲罰力度;探索將信息系統安全納入部門、個人績效考核等新形勢下多維度的信息系統安全監管機制，將有利于提升整體信息安全水平。

5 結束語

《中華人民共和國網絡安全法》自2017年6月1日施行。《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》為“等保2.0”新標準，于2019年12月1日起正式實施。高校信息系統安全防護工作迫在眉睫，其策略研究意義深遠。只有全面提升信息安全意識，加強日常防護，統一和規范管理，所有制度、流程都“閉環”起來，多方聯動，才能切實保障信息系統安全運行。

參考文獻

[1] 全國高校漏洞排行榜[EB/OL].https：//src.sjtu.edu.cn/rank/firm/.2020-06-02.

[2] 傅川，陳云.高校信息系統安全體系研究與實踐[J].中山大學學報（自然科學版）， 2009， 48（3）： 25-28.

[3] 朱勝濤，溫哲，位華，等.注冊信息安全專業人員培訓教材[M]. 北京： 北京師范大學出版社， 2019： 1.

[4] 國家市場監督管理總局，中國國家標準化管理委員會.信息安全技術 網絡安全等級保護基本要求： 附錄C 等級保護安全框架和關鍵技術使用要求： GB/T 22239-2019[S].北京： 中國標準出版社， 2019： 4.

[5] 胡進娟.高校網站安全防護體系化構建策略研究[J].無線互聯科技，2019（24）： 30-31.

[6] 耿娟平.高校網站安全分析及對策研究[J].北華航天工業學院學報， 2018， 28（1）： 11-13.

[7] 劉振昌，陳詩明，焦寶臣，等. 高校網站安全管理模式的探索與實踐[J].華東師范大學學報（自然科學版）， 2015（S1）： 224-231.