智慧校園網絡信息安全問題與對策

金燄

（武漢城市職業學院 湖北省武漢市 430064）

1 引言

隨著大數據、云計算、物聯網、人工智能等新型技術與校園信息化建設的深度融合，智慧校園各類業務系統深度互聯互通，網絡傳輸能力不斷加強，信息數據規模急劇擴大，信息安全問題隨之頻繁出現并成為智慧校園建設的新研究課題。

網絡與信息安全事件大致可分為敏感信息泄露，電信詐騙，勒索病毒、網絡黑客漏洞攻擊、弱口令攻擊、釣魚網站或郵件、木馬、網頁篡改等類型。國家互聯網應急中心發布的《2019年中國互聯網網絡安全報告》顯示，2019年全年捕獲計算機惡意程序樣本數量超過 6,200 萬個，日均傳播次數達 824 萬余次，涉及計算機惡意程序66 萬余個。[1]

我國高校或成為網絡信息安全泄漏的重災區。2015年5月高招期間，有媒體報道國內近千所高校網站存在嚴重的安全問題，可能導致大量學生及教職員工信息泄漏。2017年，某職業技術學院系統的高危漏洞，直接導致系統存儲的4000 余名學生身份信息泄露。2018年江蘇某大學某學院發生大規模學生信息泄露事件，上千名學生信息疑被不法企業用于偷逃稅款。

2 安全問題產生的原因

近些年高校網絡信息安全事件頻發，多數是由于學校管理體制不夠健全、信息化建設規劃不合理、各級管理與應用人員安全素養不足等原因造成。學校信息安全的責任邊界不清，造成信息安全責任落實不到具體責任人，相互推諉造成安全工作出現管理真空；在信息化建設過程中，安全設備一般都是信息化項目建設完成上線后購置部署，軟件系統的漏洞有時候是信息安全問題出現后才進行修補，用戶密碼沒有對強弱進行規定與限制，信息數據也沒有脫敏處理；而各級應用管理人員安全意識淡薄、風險辨識能力不夠、安全信息獲取不及時，也是造成信息安全事件頻發的主要原因。

3 國家法規與安全標準

我國網絡安全頂層設計正在不斷完善中，《網絡安全法》《移動互聯網應用程序信息服務管理規定》《中華人民共和國密碼法》《信息安全技術網絡安全等級保護基本要求》（網絡安全等級保護 2.0）等多項網絡安全相關法律法規、配套制度及有關標準已向社會發布。[1]

為應對以及防范校園網絡信息安全問題，教育部于2018年制定的《教育信息化2.0 行動計劃》中提出“擔當責任，保障安全”的建設要求[2]。如圖1所示，信息系統安全保障是在信息系統整個生命周期中，通過對信息系統的風險分析，制定并執行相應的安全保障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統的保密性、完整性和可用性。[3]

4 解決安全問題的對策

4.1 構建網絡信息安全體系

高校信息安全具有動態性,主要是因為院校信息安全政策、策略的制定在實質上是高校發展過程中的某些決策過程。[4]完整的安全體系不能由一次會議或一次研討來制定完成，其建立過程是循序漸進的，需要不斷地計劃、實施、檢查、改進，周而復始地完善，通過對安全體系文件制定、發布、評審、變更、修訂、審批等流程，增強體系有效性和適用性。

4.2 完善安全管理法規制度

網絡信息安全工作，三分技術，七分管理，因此更需要強化管理職能，加強規章制度建設，落實網絡安全崗位職責。[5]學校制定網絡信息安全的相關管理制度與法規條例，應按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，規定各部門和教職工應承擔的網絡信息安全責任。各級應用人員參照信息系統的安全操作規范實施管理，包括賬號與密碼設置、木馬病毒防范、補丁更新、數據備份、數據加密、臺帳記錄登記等。結合實際工作制定相應網絡信息安全預案，對突發安全事件建立應急預案管理制度和相關操作辦法，并定期組織人員進行演練，以保證信息系統面臨突發事件時能在較短時間內恢復正常使用。

4.3 注重工程項目過程安全

項目建設安全管理的目標是保證整個項目建設過程中系統的安全。項目的生命周期包括規劃組織、需求分析、總體方案設計、概要設計、詳細設計、系統實施、系統測試、運行維護與廢棄等過程。為實現這個目標，信息安全管理必須融合在整個項目建設過程中，與學校的業務需求、環境要求、項目計劃、成本效益等相符。

軟件生命周期融合出一個信息系統安全工程項目，如圖2所示，通過設定安全等級，確認、評估、消除系統已知或未知安全問題，最終評估得到一個可控的安全風險。項目的可行性分析、立項、需求、架構設計、編碼、測試、上線、運行、驗收等關鍵環節，在規定時限內完成各環節的安全管理，做到信息安全的可度量和可控。

4.4 運用落實各項安全技術

高校網絡安全技術體系，通過落實安全技術相關控制要求，實現物理、網絡、主機、應用和數據的所有安全控制，通常采用安全產品加以實現，輔助安全服務以增強安全控制能力。[6]信息系統運維的安全技術包括系統安全防護策略、主機操作系統存儲漏洞掃描與補丁，木馬病毒、數據庫遭受攻擊攻防演練，應用系統漏洞補丁、管理員及普通用戶賬號密碼分級管理與設定等。

4.4.1 門戶安全技術

門戶安全技術主要防范頁面篡改、網頁掛馬、管理員及用戶賬號密碼泄漏、SQL 注入、后臺數據泄露，內容缺乏過濾及審核機制等安全問題。通過不斷提升技術管理手段，加裝WEB 防火墻、加強系統及應用補丁升級等，確保門戶的完整性、可用性、保密性，從而保障門戶安全。

4.4.2 數據安全技術

運用數據安全技術，做好數據及應用系統安全工作，確保數據的機密性、完整性、可用性。通過雙機備份、差異備份、整體備份，加密存儲等方式確保數據與應用系統安全。部署數據存儲加密產品、服務器密碼機或其他密碼模塊，對存儲的重要數據進行機密性和完整性保護。

4.4.3 等級保護測評

等級測評是測評機構依據國家網絡安全等級保護制度規定，受有關單位委托，按照有關管理規范和技術標準，對等保對象安全等級保護狀況進行檢測評估的活動。

如表1所示，首先根據系統的風險侵害程度進行評估，設定該系統的保護級別，并按照等級保護要求完成信息系統安全加固工作，定期對已備案的信息系統進行等級保護測評，從而保證信息系統運行風險控制維持在較高水平，并不斷增強系統的穩定性和安全性。

信息系統安全建設整改前，信息系統運營使用單位可以選擇測評機構進行等級測評，掌握信息系統安全狀況，排查系統安全隱患和薄弱環節，明確安全建設整改需求。信息系統安全建設整改后，信息系統運營使用單位應當再選擇測評機構進行等級測評，檢測系統安全保護狀況與標準要求的符合性，進一步查找安全隱患和問題，并進行風險分析，為進一步整改提供依據。

4.4.4 物理設備區域門禁

重點物理設備區域憑權限進入，網絡設施設備區域應配置監控設備、門禁設備，控制、鑒別人員進出資格。部署基于密碼技術的電子門禁系統，對重要物理區域出入人員的身份進行鑒別，并對電子門禁系統進出記錄等數據進行完整性。部署基于密碼技術的視頻監控系統，對視頻監控音像記錄等數據進行完整性保護。

4.4.5 密碼技術

密碼技術能夠保護信息系統安全的前提是正確使用子安全可靠的密碼技術，密碼相關標準除了滿足互聯互通需求外，更是密碼技術安全性的基本保證。

部署智能密碼鑰匙、智能IC 卡其他具備身份鑒別功能的密碼產品，對登錄的用戶進行身份鑒別。部署可信計算密碼支撐平臺、簽名驗簽服務器或服務器密碼機，實現可信計算能力，建立從系統到應用的信任鏈，保護重要信息的完整性，保證計算環境的安全可信。

4.4.6 安全認證技術

部署證書認證系統提供的電子認證服務，為用戶配置智能密碼鑰匙、智能IC 卡、移動智能終端密碼模塊等具備身份鑒別功能的密碼產品，對系統用戶身份進行管理。部署安全認證網關系統，對訪問應用服務器的用戶進行身份鑒別和權限控制，對客戶端與服務器端、應用系統之間傳輸的數據進行機密性和完整性保護。部署簽名驗簽服務器、服務器密碼機或其他密碼模塊，對存儲的日志記錄進行完整性保護。部署簽名驗簽服務器、電子簽章系統、時間戳服務器等密碼產品，對收發的數據及相關操作記錄進行簽名，保證數據原發行為或數據接收行為的不可否認性。

4.5 培養提高人員安全素養

制定網絡與信息安全培訓規劃，選拔出具有網絡與信息系統管理經驗與專業技能的人員從事網絡與信息安全管理工作。安全崗位人員要將網絡信息安全意識、責任意識、保密意識相結合，落實安全崗位責任與考核機制，逐步實現網絡安全管理人員和技術人員持證上崗。通過定期開展信息化應用能力培訓等方式整體提升領導干部、管理人員、技術人員、教師隊伍的網絡信息安全意識與防范意識，提升師生員工信息素養和應用能力水平。在互聯網辦公、內網辦公、移動辦公三個方面，做出相關安全要求，輔以相應網絡安全案例來剖析網絡安全問題根源，共同探討如何建立良好的網絡安全習慣。同時線上線下相結合，通過網絡安全案例的現場互動體驗、虛擬課堂、在線答題等方式進行網絡信息安全培訓。

表1：網絡安全等級保護工作級別劃分

5 總結

網絡信息安全是一項體系化的綜合性工作，涵蓋運維管理、安全技術、制度規范、人員培養等多個維度。網絡信息安全體系建設過程是循序漸進的，需要各級領導重視，明確職責，并落實監督考核；網絡和信息系統要做好安全技術防護、落實等保、定期巡查等工作；各級系統用戶要盡力提升安全素養以做到能保護其個人隱私。網絡安全體系框架的構建，將為高校智慧校園建設提供可借鑒的網絡安全體系架構模型，為高校信息化建設保駕護航。[7]