高校網站HTTPS、IPv6 狀況及安全防護宏觀策略的思考

鄭宏飛 張意 張峰 趙榮鋒 丁楊

（云南林業職業技術學院，云南 昆明 650224）

教育行業的信息安全，在網絡安全治理框架內，國家對意識形態安全的重視，高校依托信息安全等級保護整改與評測，加強了網站的安全防護。但網站B/S 架構的屬性，對使用HTTP 的網站而言，即便通過等保測評，也只是相對安全，并不能保證客戶在瀏覽器B 端訪問網站或信息系統過程中，信息在網絡傳輸時泄露的風險。需要推進宏觀的網絡安全生態環境的建設。

一、信息泄露風險分析

央視315 關注信息泄露風險多年，進行著安全上網習慣的宣教，IT 行業及行政機關加強著行業自律與手機APP 的監管，網絡安全大環境逐漸改善。教育是百年大計，科教興國大戰略，教育行業如何使用新技術加強信息安全防護值得深思。

用戶隱私信息之所以泄露，主要原因，一是B/S 或者C/S 架構的瀏覽器、應用軟件、手機APP 程序開發時有缺陷，二是這些軟件APP 過度收集用戶信息的權限，三是明文信息在PC 或者手機終端被惡意的嗅探類軟件APP，或在網絡傳輸中使用的“探針盒子”類技術手段截獲。分析明文信息的獲取隱私。

對學校而言，網站或信息系統使用時，如何保護好管理員賬號信息，保護教職工、學生的隱私信息，學校的財務、資產、成績信息，可以從服務器S 端入手，使用信息加密及加密傳輸技術，主動防止不法分子得到明文信息。

B/S 架構網站或信息系統的安全，成熟的技術之一是在服務器端采用SSL證書的HTTPS 架設網站。在終端瀏覽器和Web 服務器之間建立了SSL 安全加密通道。終端用戶輸入的隱私信息在網絡上將不是明文傳輸。可以有效地防范WIFI 流量劫持、釣魚網站、中間人攻擊、網絡監聽、運營商劫持等安全威脅。這時，SSL證書是網站的“保護層”，解決了傳統HTTP網站的數據傳輸安全問題，加強了網絡風險防范。但以高校現狀，HTTPS 替代HTTP 網站進程緩慢。

二、高校網站風險及HTTPS、IPv6 狀況

（一）高校網站風險現狀

以國家計算機網絡應急處理技術協調中心云南分中心發布的云南省互聯網網絡安全2019 年第五期月報為例，四月份境外高危攻擊主要針對銀行業，云南處理了仿冒三個銀行的11 個仿冒網站。自主監測93 起常規網絡安全事件，針對的是行政事業國企等單位，其中漏洞74 起，網頁篡改16 起，信息泄露3 起；除直接處理的敏感事件外有一般事件66 起，涉及學校17 起，在一般事件中占比26%，教育行業安全風險堪比銀行業。分析原因，除了網站平臺自身漏洞之外，其他多是由于賬號泄露導致的風險，如果采用HTTPS 則能更有效加以防范。

（二）高校HTTPS、IPv6 近兩年發展狀況

行業對比，HTTPS 最為普及的是銀行業，基本普及了有隱私信息的網站采用HTTPS。主要是宣傳主站采用HTTP，交易子站采用HTTPS。

2019 年，高校網站HTTPS 及IPv6 的普及率不高。截至2019 年7 月，統計39 所985 高校，采用HTTPS 架設官網主站的學校20 所，比例為51%；116所211 高校，HTTPS 學校主站35 所，比例為30%。大多數省份網站HTTPS 普及率低，云南省近100 所高校，沒有一家使用HTTPS 架設主站，網站潛在風險明顯。

IPv6 的普及率高校抽樣，北京26 所985、211 大學，一半高校的主站DNS 解析不到IPv6 地址。浙江37 所本科高校，有9 所能夠解析到IPv6 地址，僅占比24%。云南唯一211 高校，主站DNS 解析不到IPv6 地址。在政府機關抽樣，云南省工業和信息化廳、教育廳，北京市教委、市經濟和信息化局，浙江省政府、經信廳、教育廳均解析不到IPv6 地址。四大ISP 均是HTTPS 主戰，并能解析到IPv6 地址。

經過兩年建設發展，高校網站HTTPS 及IPv6 有長足進步，截至2021 年8 月，抽樣20 所云南傳統本科高校主站，HTTPS 占比提升至70%，IPv6 提升至60%，其中云南唯一211 高校及一流大學還是HTTP 主站。抽樣10 所云南傳統高職高專主站HTTPS 和IPv6 占比均提升至40%。

三、高校網站安全防護策略思考

高校網站安全防護是一個系統化工程，需要高瞻遠矚，高屋建瓴。需要既抓行業的宏觀，又抓學校的微觀。以下主要探討網站信息安全防護三個宏觀網絡安全生態環境的建設問題。

（一）加強教育行業或地區證書機構CA 的建設，有力支撐HTTPS 網站的普及

HTTPS 網站，需要數字證書來保障身份驗證與SSL 的傳輸加密，離不開證書機構CA，但現有的CA 第一類是數據高風險行業，如中國電信CA 認證體系（CTCA）、中國金融認證中心（CFCA）、海關CA、商務部CA 等7 余家，第二類是地方性的電子商務上網認證中心，北京CA、上海CA 等26 余家，第三類是商業性CA。

教育行業沒有CA，地方性CA 主要支持本地的電子商務、稅務等電子政務。高校要用有公信力的CA，多是第三類，甚至工信部也使用了商業CA。從網絡安全可控角度，有必要政策引導，企業參與，加快更多行業CA 或者地方CA 應用的發展，拉低商業CA 證書的價格，這樣才會有更多高校，特別是二本、三本、二專院校自愿使用CA 證書架設HTTPS 網站，提升網站或信息系統安全。

（二）ISP 營運商及各級行政主管需要著力加快IPv6 的部署建設

IPv6 從技術上比IPv4 有先天的安全優勢。IPv6 的規模部署是國家網絡安全的一項戰略。

2017 至今，中央兩辦、工信部、教育部發文“推進IPv6 規模部署行動計劃”、“IPv6 網絡就緒專項行動”等。幾大互聯網營運商進度緩慢，現有進校推廣IPv6 較多的是教育科研網。省級教育主管部門、工業與信息化廳推進IPv6 部署的配套政策、保障措施和方法不多。很多學校處于觀望狀態。

加快IPv6 部署進程需要政策著力引導，督促營運商以降流量資費，惠及終端用戶的有效力度，齊抓共舉，高風險行業先行。

科教興國落實處，學校能得到了營運商提供的IPv6 的地址段，在各行業中率先使用了IPv6，可更加有效的培養IPv6 的技術和營運人才，助力推進IPv6 部署使用。

（三）提高國產正版軟件的在教學中的利用率

國家大力推進軟件正版化工作，但源頭上，推進國產正版化軟件的舉措不多。在學校教學中與網絡信息安全息息相關的基礎操作系統和數據庫等系統軟件，大多還是圍繞微軟產品系列開展教學。

從網站安全防護及自主可控的角度，基礎操作系統或數據庫平臺大多依賴于國外廠商的軟件，存在有意漏洞、暗門的風險。只有從源頭上，政策引導、企業參與，培育、推進國產系統軟件的發展，教育行業采取政策性措施讓國產系統軟件逐漸走進課堂，從娃娃抓起，從課堂抓起，以各種認證、考試，技能大賽作為推手，提高國產軟件在教育行業及教學中的使用率，助力推進網絡安全的國家戰略。