高校網絡信息安全的挑戰與防護

魏婷婷

隨著互聯網和信息化的不斷發展，高校的信息化建設進入新階段。信息化和網絡安全的不平衡發展，使得高校信息安全受到了極大威脅，黑客攻擊、高校網頁被篡改等事件層出不窮。高校網絡信息化建設需要綜合考慮人員、職能、環境等多個因素，既不能因為嚴格的網絡控制影響高校正常的教學秩序，也不能因為網絡安全問題導致科研成果泄露等事件發生，造成高校和國家的損失。

一、高校網絡信息安全存在的問題

1.高校信息設備無法統一管理。

和企業、政府部門的設備統一采購不同，高校部門眾多，各學科對于設備的需求千差萬別，造成信息設備品牌雜、型號多的現狀。高校信息系統孤島化嚴重，院系和實驗室往往自成網絡，設備歸院系管理，甚至是項目組自行管理，而學校的設備科或者信息科無法統一管理設備。

2.高校人員網絡安全意識薄弱。

在開放的環境下，高校進出人員復雜，師生的電子設備自由地在學校內外流動，極易形成病毒感染和網絡攻擊的漏洞。在信息化建設過程中，由于網絡安全教育缺乏，網絡安全意識薄弱，師生更看重信息化帶來的便利性，而忽略了信息化存在的安全風險。

二、高校網絡信息安全對教研工作的影響

高校承擔著國家大量涉密科研任務，不管是黑客攻擊或者病毒感染都可能造成機密信息的泄露。由于高校具有學術氛圍寬松、人員流動大等特點，科研泄密事件極易發生，甚至可能會發生內部人員利用高級別權限竊取機密資料的事件。2017年5月12日，WannaCry勒索病毒通過MS17-010漏洞在全球范圍大爆發。國內多所高校發現電腦勒索病毒，電腦中的文件和程序無法打開，嚴重影響正常的教學秩序。

對正處于畢業季的學生來說，畢業設計、畢業論文被病毒攻擊，影響其正常畢業；對于教師來說，課件、科研資料被損毀，導致科研和教學的停滯。而這只是高校遭受網絡攻擊的冰山一角，據統計，高校已經超過企業、政府、醫院等單位，成為網絡攻擊的重災區。

三、高校網絡信息安全防護措施

當前國際關系風云變幻，網絡空間紛繁復雜，人工智能、5G等具有顛覆性的戰略性新技術突飛猛進，大數據、云計算、物聯網等基礎應用持續深化，數據泄露、高危漏洞、網絡攻擊、智能犯罪等網絡安全問題也呈現新態勢。面對新的網絡安全態勢，高校必須堅持制度管理和技術保障兩手都要抓，兩手都要硬。制度管理增強人員的網絡安全意識，并且從制度上進行考核，確保網絡防范的軟實力；技術保障從硬實力入手，利用設備和技術能力建立事前防御、事中控制、事后處理的立體化防御機制，從而保證信息化在為學校提供優質服務時發揮正向作用。

（一）加強人員和制度管理

1.堅持黨管網絡安全的原則，強化高校信息化領導工作。

信息化和網絡安全工作是一項政治性和原則性極強的專業工作，必須深刻認識到其對高校教學和科研保駕護航的重要作用。高校要堅持黨管網絡安全的原則，從思想上統一工作要求，確保網絡安全工作順利推進。

2.建立各項規章制度，實行規范化管理。

信息化和網絡安全工作的正常運行需要通過規章制度進行合理有效的規范。結合高校網絡環境的實際情況，需要制定和完善網絡安全管理制度、敏感時期的網絡信息監控規范以及突發事件的處置預案。同時建立高校網絡安全工作制度，實行信息化工作的規范化管理，強化過程管理，落實責任到人的原則。

3.建立培訓考核機制，提高教師業務能力和安全意識。

制度的執行離不開一支精干的網絡安全保障隊伍，隊伍的業務素質又決定了網絡安全工作能達到的高度。高校要將新人的崗前培訓和員工的定期培訓結合，系統學習規章制度和高科技防護技能，通過培訓固化網絡安全意識，了解信息泄露的途徑，掌握相關的防范措施。同時建立考核機制，在每次培訓后進行考核，確保教師在業務能力和安全意識方面雙達標。

（二）建立技術領域立體化防御機制

1.事前防御。

事前防御指利用技術手段部署安全設備來防御外部攻擊，通過建立物理安全、網絡通信安全、主機安全、應用安全、數據安全等多維度的措施來保護高校網絡。

物理安全是整個網絡安全的前提，除了需要考慮水、電、火等侵害外，對于機密信息，物理訪問控制是第一道屏障，也是最重要的一道屏障。高校必須在有關場所配置電子門禁系統，控制、鑒別進出人員。電子門禁系統的另一個重要作用是記錄進出人員，一旦發生安全事件，可以進行事件追溯。機密信息網絡和學校內網通過網閘進行隔離，以確保不會有病毒由校內網向機密信息網絡傳播。

網絡通信安全方面，在校內網與互聯網的邊界、校內網的各個部門之間部署防火墻，通過防火墻對流經的網絡流量進行掃描，從而識別和過濾網絡攻擊。對于一些特定的服務或業務，可以在防火墻上利用白名單機制使得其只能與特定的IP地址進行通訊，并且只針對該IP地址的請求開放端口，從而防止來自入侵者的網絡通信。

主機安全方面，高校應該定期對主機進行補丁更新，以解決系統漏洞問題，同時在主機上安裝防病毒軟件，實時更新病毒特征碼，實現對網絡病毒的監控、報警和實時清除。

在應用安全方面，從制度上規定主機不允許安裝和工作無關的軟件或應用。相關軟件都必須利用用戶名和密碼登錄，并且從技術上確保密碼的強度，以及密碼必須定期修改。機密部門主機之間交換文件時，只允許傳送文本和圖片，不允許發送可執行文件，以確保機密部門的網絡不被病毒感染。

數據安全包括兩個方面，一是在傳輸過程中不產生數據泄露，二是阻止黑客竊取機密信息。機密信息在傳輸過程中利用非對稱加密傳輸的方式，在發送端進行加密，在接收端進行解密。這樣即使黑客攔截了網絡包，但是由于不知道密碼也難以進行解密。機密人員在校外利用虛擬專用網（VPN）訪問機密信息。VPN產品兼具了高度的安全性和使用的靈活性，同時支持安全和加密協議，簡化了與遠程用戶認證、授權和記賬相關的設備和處理，防止非法用戶對網絡資源或私有信息的訪問。

2.事中控制。

事中控制是指在發生網絡攻擊或者數據泄漏時，利用部署的網絡設備及時地發現安全事件，并且主動阻斷，在極端情況下，通過向管理員或者責任人手機發短信等方式發出預警，請求人工干預。

傳統的事中控制一般部署IDS入侵檢測設備或者IPS入侵防御設備。IDS設備一般旁路部署在區域交換機上，依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能地發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。IPS設備一般串行部署，和IDS設備相似，也是根據預先設定的策略，對流經的每個報文進行深度檢測（協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等），從而發現攻擊行為。IPS設備可以進一步根據該攻擊的威脅級別立即采取抵御措施。抵御措施包括：向管理中心告警，丟棄該報文，切斷此次應用會話，切斷此次TCP連接等。

由于當前網絡環境的復雜性和攻擊手法的多樣性，單純利用單個網絡安全檢測設備來發現和阻斷網絡攻擊的風險極大，所以大數據安全態勢感知平臺作為一種更全面的安全防御解決方案越來越多地得到了應用。大數據安全態勢感知平臺是通過收集和分析網絡行為、安全日志、審計數據、其他網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。

大數據安全態勢感知平臺采集的數據源一般分為三層，分別是外網邊界的安全設備、內網之間的安全設備、辦公區主機和服務器。因為一次網絡攻擊會涉及多個攻擊階段，同時逃避多個層次的檢測可能性較小，而且在多層數據源上采集信息，能夠還原整個攻擊鏈。

所以，大數據安全態勢感知平臺作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，在不影響網絡性能的情況下能對網絡進行監測和防范。

3.事后處理。

事后處理類似圍棋中的復盤，一方面是為了解決攻擊造成的傷害，另一方面是能夠追溯攻擊源和攻擊途徑，從而發現當前網絡的漏洞并進行改進。溯源必須依賴大數據安全態勢感知平臺，而且要求平臺接入更多與關聯場景相關的數據源。按照MITREATT&CK的原則，一次網絡攻擊涉及七個階段，那么需要在每個階段接入相應數據源，才能還原整個攻擊鏈，從而明確被攻擊的原因。

在實踐中，高校可利用（如表1所示）數據源和告警信息順利還原攻擊過程。

表1

綜上所述，隨著高校信息化建設進一步推進，網絡安全的風險會愈加凸顯。正確認識技術與制度的關系，找準制度創新和技術創新的契合點，確保網絡安全防范的軟實力和硬實力的同步提升，才能保證高校網絡信息安全。