牟綜磊 任彥龍

摘要：本文針對高校信息化發(fā)展過程中的安全問題，進行高校信息系統(tǒng)安全防護實踐與研究工作，旨在按照國家及教育行業(yè)安全等級保護要求，通過開展信息系統(tǒng)安全保護工作，推動高校信息安全保障體系的建立和完善，采取系統(tǒng)、規(guī)范及科學的管理和技術(shù)方案，保障高校各業(yè)務(wù)系統(tǒng)高效、安全運轉(zhuǎn)，為構(gòu)建完善的高校信息安全保障體系提供借鑒，增強行業(yè)信息安全保障能力；督促本單位提高縱深防御能力；提高校園信息安全自主防護能力和信息服務(wù)能力。

關(guān)鍵詞：等級保護；安全管理；多層面大縱深防御；健全安全保障體系

引言

隨著高校信息化發(fā)展和智慧校園的推進增速，國內(nèi)各個高校應(yīng)用業(yè)務(wù)系統(tǒng)數(shù)量增多，覆蓋和提供服務(wù)的范圍也不斷擴大，而伴隨著信息化發(fā)展，高校遭受非法入侵、非法攻擊和大規(guī)模網(wǎng)絡(luò)計算機病毒攻擊等各類安全事件的數(shù)量急劇增多，安全威脅和安全風險逐年增大。本文主要探討高校信息安全防護建設(shè)過程中所采取的措施及管理，主要從目前存在問題、具體解決思路、價值體現(xiàn)等各方面展開。教育行業(yè)信息安全涉及當代青年的健康成長，關(guān)系到社會的和諧安定。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展、信息化程度的日益廣泛、信息安全的需求也變得越來越重要。因此，在借鑒國外信息安全領(lǐng)域所先進經(jīng)驗的同時，結(jié)合我國當前的基本國情和高校的實際情況，逐步踐行信息安全保護，是促進教育行業(yè)信息化健康發(fā)展，解決教育行業(yè)信息安全問題的必然選擇。

1、信息系統(tǒng)安全保護制度

信息安全保護是對信息和承載或傳播信息載體按照不同重要性進行分等級保護的一種工作，是國內(nèi)外很多國家都存在的一種信息安全領(lǐng)域的工作，信息安全保護是當今發(fā)達國家保護關(guān)鍵信息通訊的基礎(chǔ)設(shè)施、保護敏感信息安全的常見做法，也是我國近年來在信息安全方面的經(jīng)驗總結(jié)。對信息安全工作，應(yīng)提高認識、立足大局，它不僅是保障重要信息系統(tǒng)安全的重大措施，更是一項關(guān)系國家安全、社會穩(wěn)定、國家利益的重要任務(wù)。

2、國內(nèi)高校信息安全存在的問題

在教育行業(yè)信息化建設(shè)初期，由于資金和體質(zhì)等問題，各單位信息系統(tǒng)的運營缺少有效的安全保護措施和審計機制，存在賬戶濫用、業(yè)務(wù)數(shù)據(jù)被非法讀取的風險。系統(tǒng)使用者信息安全意識的薄弱也是高校行業(yè)信息安全的一大隱患之一。高校信息化建設(shè)的持續(xù)發(fā)展，各個信息系統(tǒng)之間存在業(yè)務(wù)交叉和數(shù)據(jù)交互的現(xiàn)象，導致信息系統(tǒng)具有較強的復雜性和多樣性。一直以來缺乏對這些問題進行規(guī)范化的安全統(tǒng)計、安全分析、統(tǒng)一安全管理。

2.1 安全意識薄弱而帶來的信息安全隱患

高校信息系統(tǒng)不僅要為校務(wù)教學及教師、學生和家長提供服務(wù)，更要注重和保護正常的教學、科研運行及學生、教師等敏感數(shù)據(jù)信息的保護。如果因信息安全問題導致師生的本人信息或科研信息，乃至于師生家屬的私密信息遭到泄露或非法侵犯，將嚴重損害當事人及學校的合法權(quán)益，并影響學校正常教學、公眾形象，甚至引發(fā)與社會公眾的惡性不良關(guān)系、產(chǎn)生公眾對教育工作的誤解或歪曲的可能性，為此系統(tǒng)使用者信息安全意識的薄弱是教育行業(yè)信息化的一大隱患之一。需要不斷針對性的開展安全培訓工作，補全不足。

2.2 安全技術(shù)層面的信息安全隱患

目前，盡管許多高校信息化建設(shè)中已經(jīng)部署了大量的信息安全產(chǎn)品，但隨著信息業(yè)務(wù)的不斷增加，安全設(shè)計上整體設(shè)計中不規(guī)范、不合理，缺乏安全考慮問題更為突出，同時黑客技術(shù)的快速更新，現(xiàn)有安全防護已經(jīng)遠遠滿足不了實際業(yè)務(wù)系統(tǒng)對信息安全防護的需求，導致信息安全問題頻繁暴露，潛在問題更是數(shù)不勝數(shù)。

1）內(nèi)部風險隱患

高校信息系統(tǒng)連接著校內(nèi)各個院系、教務(wù)單位、行政單位與學生宿舍等，高校內(nèi)部網(wǎng)絡(luò)節(jié)點與服務(wù)終端數(shù)量眾多，網(wǎng)絡(luò)連接情況復雜且高校內(nèi)面對學生、教師提供信息化業(yè)務(wù)服務(wù)的各類系統(tǒng)軟件應(yīng)用情景各異。業(yè)務(wù)軟件在開發(fā)過程中難免人為疏忽或不足，自身存在安全漏洞，應(yīng)用設(shè)計缺陷或后門為黑客、病毒等提供了通過合法或非法的形式侵入系統(tǒng)的途徑，進而獲得系統(tǒng)的控制權(quán)限、實現(xiàn)對數(shù)據(jù)的篡改、對系統(tǒng)服務(wù)的控制等活動，使得高校整體信息系統(tǒng)安全的漏洞增加、攻擊路徑增多，需防范的安全范圍更廣，有可能使得高校信息安全面臨的風險不斷增大。

2）來自外部風險隱患

高校信息系統(tǒng)對外連接著Internet和教育網(wǎng)等，隨著黑客技術(shù)的發(fā)展，基礎(chǔ)網(wǎng)絡(luò)建設(shè)中路由、交換及網(wǎng)絡(luò)安全設(shè)備（如：防火墻、交換機等）的設(shè)備選型、部署實施或運維使用等不夠合理，留有安全隱患。高校外部信息系統(tǒng)越來越多的暴露兩大安全威脅之中：1、高校重要業(yè)務(wù)數(shù)據(jù)（如教務(wù)、校務(wù)、財務(wù)人事、科研、考務(wù)等）與教學及學生敏感信息相關(guān)的數(shù)據(jù)，存在被某些不法分子或黑客竊取、篡改的潛在風險；2、高校對外提供服務(wù)的網(wǎng)站尤其是高校官網(wǎng)，存在被某些反動和別有用心的人篡改可能，尤其是國家重大節(jié)日期間，一旦出現(xiàn)了負面新聞，在社會上給學校聲譽和教育行業(yè)會造成極大的破壞和不良影響。

2.3 安全管理層面安全隱患

1）沒有健全的管理體系，缺少相對應(yīng)的約束，從而容易產(chǎn)生個人主觀意識方面的信息安全問題。

2）缺乏行之有效的管理手段和管理制度，致使個別管理員賬號掌握擁有超乎想象的系統(tǒng)操作權(quán)限。

3）沒有制定相應(yīng)的信息安全事件應(yīng)急預(yù)案，或有了應(yīng)急預(yù)案沒有定期進行演練，致使一個小的安全問題，可能演變成大的安全事件。

4）網(wǎng)絡(luò)安全監(jiān)控管理，沒有全面覆蓋的相應(yīng)審計溯源管理措施。

5）自主安全保障能力不足，安全運維人員能力有限、多數(shù)單位需要借助安全服務(wù)商提供全生命周期的安全保障服務(wù)、來協(xié)助完成安全運維。

3、國內(nèi)高校信息安全隱患帶來的影響解析

3.1 基本教育信息的影響

1）教師管理及學生學籍信息的影響：主要涉及學生管理信息、教師管理信息系統(tǒng)等，從個人的角度來看，學生學籍及教師管理等均為高校教育管理重要信息數(shù)據(jù)，一旦其信息被泄露，極有可能被部分不法分子利用，從而成為其牟利犯罪的手段，對學生、教師、家長等產(chǎn)生惡意影響，不僅會損害個人利益，很可能導致家長及社會對教育管理的不滿，引起影響國家和諧穩(wěn)定的事件。

2）公共教育信息的影響：主要指涉及宣傳門戶、招生資源分配、學生資助管理、入學業(yè)務(wù)辦理等信息部分。該部分信息的泄露，可作為敵對國家或敵對勢力攻擊我國政府、制造民族矛盾的工具，從而影響我國的安定團結(jié)和社會穩(wěn)定。

3）教學及校務(wù)管理信息的影響：主要指涉及學校日常教學、行政、科研等各類信息的總和。影響安全的這類信息包括學生數(shù)據(jù)庫，教師工資數(shù)據(jù)庫，學校經(jīng)費、資產(chǎn)及辦學條件數(shù)據(jù)庫等管理信息，這些重要數(shù)據(jù)信息為學校教育教學管理工作決策和指導方向提供了不可替代的數(shù)據(jù)支撐作用，敵對勢力可通過這些信息了解我國人才培養(yǎng)配置、學科發(fā)展情況、同時通過對這些信息的扭曲、渲染，進而從黨的執(zhí)政能力、人權(quán)等方面來攻擊我國政府，影響我國的國際形象和地位。

3.2 信息系統(tǒng)自身安全的影響

信息系統(tǒng)安全是保障高校各類業(yè)務(wù)平穩(wěn)運行的必要條件。學校各業(yè)務(wù)系統(tǒng)在校園網(wǎng)環(huán)境下平穩(wěn)、有序、安全的運行，各系統(tǒng)間相互協(xié)調(diào)、配合共同支撐學校的各項業(yè)務(wù)有條不紊的運行。因此，任何一個非法操作、攻擊或侵入，都可能對整個高校的信息系統(tǒng)造成眾多的連鎖反應(yīng)。如：病毒導致網(wǎng)絡(luò)擁塞、癱瘓，黑客攻擊使數(shù)據(jù)被篡改、教師及學生重要信息被竊取等問題，輕則影響學校業(yè)務(wù)和校園生活的正常進行，重則甚至引發(fā)群體事件，危害社會安定、危及國家安全的嚴重后果。

4、國內(nèi)高校安全等級保護管理的具體實施思路

4.1 定期安全培訓，提高對信息安全重要性的認識

首先要加強人員信息安全意識培訓，促使系統(tǒng)使用者和管理者認識安全意識在信息安全工作中的重要性和必要性。可通過組織開展人員安全培訓、安全政策推送貫宣，來提高信息化從業(yè)人員的安全意識。增強人員的安全義務(wù)與責任感。

4.2 立足安全等級保護，增強信息安全自主保障能力

4.2.1 完善安全技術(shù)措施

基于安全等級保護的安全防護旨在進行多層面大縱深進行防御，從不同等級安全域出發(fā)，考慮多個不同層次安全域如何共同保護，其核心思想是采取多維度、多層次的縱深安全措施來保障信息系統(tǒng)及數(shù)據(jù)資源的安全?！岸嗑S分層防御”是立體防御思想的主要表現(xiàn)之一，從不同等級安全域出發(fā)，考慮多個不同層次安全域如何共同保護，在每一個層次都實施信息安全策略和安全機制，將系統(tǒng)的安全風險降至最低，確保系統(tǒng)安全、可靠。

（1） 基于物理環(huán)境的安全

物理安全為光纜等網(wǎng)絡(luò)鏈路設(shè)施，交換、路由等網(wǎng)絡(luò)硬件設(shè)備，磁盤、磁帶等數(shù)據(jù)存儲介質(zhì)，以及承載核心網(wǎng)絡(luò)設(shè)備的機房環(huán)境等方面的安全防護。防止它們受到自然災(zāi)害或人為的破壞。

（2） 基于網(wǎng)絡(luò)的安全

網(wǎng)絡(luò)層面的安全是指，在物理環(huán)境安全的基礎(chǔ)上，為使信息系統(tǒng)安全運行所提供的網(wǎng)絡(luò)方面的支持和保障。為確保信息系統(tǒng)的安全平穩(wěn)運行，需要提供有效的網(wǎng)絡(luò)服務(wù)，并確保數(shù)據(jù)在傳輸過程中的完整性、可用性及保密性等。網(wǎng)絡(luò)的拓撲結(jié)構(gòu)應(yīng)根據(jù)訪問控制原則及應(yīng)用需求進行合理設(shè)計，為避免單一節(jié)點故障需實現(xiàn)鏈路的冗余，對端口要進行訪問控制，同時要采取網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)防病毒、網(wǎng)絡(luò)安全審計等安全措施。

（3） 基于系統(tǒng)的安全

實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全運行，需建立備份冗余機制，運維管理應(yīng)確保實現(xiàn)細粒度的訪問控制、日志審計。及時修復系統(tǒng)補丁、升級病毒庫，來提高系統(tǒng)的防御能力，并采用最小化系統(tǒng)配置原則來優(yōu)化配置，減少系統(tǒng)自身的安全隱患。

（4） 基于應(yīng)用的安全策略

在對數(shù)據(jù)信息進行操作時，尤其是存儲、傳輸和處理時，需要采取相應(yīng)的安全措施。雖然某些安全措施在支持其運行的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)庫管理系統(tǒng)安全中已經(jīng)考慮并做了配置，然而“守土有責、守土負責、守土盡責”，因此應(yīng)用軟件系統(tǒng)層也應(yīng)給予重視。在應(yīng)用系統(tǒng)層面應(yīng)重點關(guān)注系統(tǒng)身份鑒別能力，訪問控制手段，安全審計粒度，信息的完整性、保密性及抗抵賴性的防護，自身容錯能力及資源控制，編碼安全等方面的安全控制能力。

（5） 基于數(shù)據(jù)應(yīng)急處置的安全策略

制定應(yīng)急處置策略的主要目的是為在發(fā)生突發(fā)或緊急情況時，采取及時有效的安全措施。對核心業(yè)務(wù)的數(shù)據(jù)加強防護，敏感和重要業(yè)務(wù)數(shù)據(jù)應(yīng)采用加密技術(shù)保護數(shù)據(jù)的傳輸安全，采用加密技術(shù)保護數(shù)據(jù)的存儲安全。重要業(yè)務(wù)數(shù)據(jù)的訪問應(yīng)當與PKI/CA體系結(jié)合，實現(xiàn)抗抵賴機制，可依托數(shù)字認證系統(tǒng)，在信息系統(tǒng)中實現(xiàn)身份認證、授權(quán)管理和責任認定等。

4.2.2 借力安全保障服務(wù)

目前國內(nèi)多數(shù)高校信息安全保護工作建設(shè)還處于完善階段，為此各單位應(yīng)按照PDCA原則持續(xù)改進工作機制，在信息系統(tǒng)安全預(yù)警、安全監(jiān)控、風險分析、安全加固、安全審計、應(yīng)急響應(yīng)等方面進行持續(xù)化保障，更好地確保系統(tǒng)穩(wěn)定運行。爭取通過全生命周期的信息安全保障服務(wù)，來保證安全等級保護建設(shè)能持續(xù)進行，使整個教育行業(yè)信息環(huán)境達到持續(xù)的安全。

4.3 管理與技術(shù)并用，全方位提高信息安全管理能力

安全管理在信息安全防護要素中具有重要的地位，但安全不是局部的，所謂“三分技術(shù)、積分管理”，技術(shù)措施和安全產(chǎn)品只是基礎(chǔ)，安全管理才是關(guān)鍵，單靠各高校安全產(chǎn)品的堆砌，無法解決信息安全潛在風險，需要根據(jù)各單位的現(xiàn)有的組織架構(gòu)、現(xiàn)行的安全政策、具體的操作流程等因地制宜；系統(tǒng)責權(quán)不明、用戶管理混亂、管理制度不健全或缺乏可操作性等都會帶來安全風險。為此安全管理方面要優(yōu)化安全管理組織結(jié)構(gòu)，完善信息安全管理制度，制定信息系統(tǒng)建設(shè)和運維的管理流程，規(guī)范人員安全管理。

5、國內(nèi)高校安全等級保護管理價值體現(xiàn)

5.1 貫徹落實國家及行業(yè)對信息安全合規(guī)性要求

在中央網(wǎng)信辦第一次會議中，習近平主席提出了“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢、成長治之業(yè)?！蓖瑫r為保護信息系統(tǒng)的安全，我國將安全等級保護工作作為信息安全保障的一項基本制度，對提高基礎(chǔ)網(wǎng)絡(luò)的建設(shè)標準和重要信息系統(tǒng)安全防護要求有著重要的作用，國家一直在大力推行此項制度的建立與實施，黨中央、國務(wù)院對信息安全等級保護工作非常重視，開展好安全防護工作是有效落實《信息安全等級保護管理辦法》的通知（公通字〔2007〕43號）和《關(guān)于印送<關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見>的函》（公信安[2009]1429號）等有關(guān)要求必要工作之。

5.2 構(gòu)建具有學校特色的信息安全管理框架

為實現(xiàn)信息系統(tǒng)的安全管理，結(jié)合我校實際情況，要從系統(tǒng)建設(shè)前、建設(shè)中以及建設(shè)后三階段切實把好安全關(guān)。具體包括系統(tǒng)需求分析階段考慮系統(tǒng)應(yīng)用范圍、涉及信息的敏感性、系統(tǒng)需要定級的等級等；在系統(tǒng)建設(shè)中要做好安全方案設(shè)計、運行平臺的配置分析、滲透測試、漏洞掃描等；系統(tǒng)通過測試試運行時要在封閉環(huán)境內(nèi)先做好測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評等；正式上線運行后，做到日常運行期間的安全監(jiān)測、漏洞發(fā)現(xiàn)和安全加固等。構(gòu)建一套具備高校自身特色且符合信息安全實際情況的管理體系，實現(xiàn)信息系統(tǒng)安全持續(xù)優(yōu)化。

5.3 提升學校信息系統(tǒng)健壯性

通過安全保護工作的開展，實現(xiàn)“以管促查、以管促改、以管促建”，增強學校各級人員的安全意識，落實安全主體責任，清晰了解各信息系統(tǒng)定級備案情況，深入分析系統(tǒng)潛在風險、系統(tǒng)運行現(xiàn)狀，全面排查系統(tǒng)安全漏洞，完善防護措施，建設(shè)可視、可管、可控、可查的安全監(jiān)控網(wǎng)絡(luò)體系，加強綜合防御能力，預(yù)防和減少網(wǎng)絡(luò)安全事件的發(fā)生，切實提升重要網(wǎng)絡(luò)與信息系統(tǒng)的健壯性、保障業(yè)務(wù)安全穩(wěn)定運行。

5.4 提高學校信息服務(wù)水平

通過制定各類應(yīng)急響應(yīng)預(yù)案，并定期組織演練，來加強、提高對于信息安全突發(fā)事件處理的水平。減少因信息安全產(chǎn)生的不良影響。全面維護學生、家長利益、提高信息系統(tǒng)安全服務(wù)能力、提高用戶滿意度，給學校教學及校務(wù)、科研工作等提供更好更便捷的信息服務(wù)。

5.5 促進學校信息化業(yè)務(wù)健康發(fā)展

高校信息系統(tǒng)的安全直接關(guān)系著高校教學管理和科研工作的正常運行，一旦網(wǎng)絡(luò)、系統(tǒng)服務(wù)癱瘓或數(shù)據(jù)丟失，將會給高校帶來巨大的災(zāi)難和難以彌補的損失。如果信息系統(tǒng)被不法分子攻擊利用，用于傳播反動言論等非法行為，則更加會對學校的聲譽造成極大的破壞，因此加強信息系統(tǒng)的安全防護水平和安全管理水平，能夠有效保證高校各個業(yè)務(wù)系統(tǒng)高可用性，進而促進高校信息化業(yè)務(wù)良性健康發(fā)展。

6、結(jié)束語

教育行業(yè)信息系統(tǒng)承載著未來國家各行各業(yè)的重要數(shù)據(jù)，它的安全狀況對教學管理、校務(wù)管理、學科實驗、乃至社會秩序及穩(wěn)定、未來國家的發(fā)展都具有重要意義。安全防護工作的開展可全面普查高校信息安全的可能存在的風險，統(tǒng)計和分析本單位信息安全的建設(shè)狀況，指導和管理本單位信息安全未來發(fā)展。通過安全整改促使本單位全面落實安全等級保護工作，提高信息系統(tǒng)安全建設(shè)整體水平，使其更好地為教職工和學生及家長服務(wù)，維護社會秩序和國家安全，為該行業(yè)在社會發(fā)展中發(fā)揮更大的作用提供基礎(chǔ)保障。因此，各高校在信息安全保護建設(shè)工作中統(tǒng)籌管理、應(yīng)科學合理的規(guī)劃，以國家信息安全等級保護規(guī)范為依據(jù)，遵循主動防御、分級管理、梯次防御等基本建設(shè)原則，有效開展信息安全等級保護建設(shè)，構(gòu)建多維度、多層次、大縱深的可視、可管、可控、可查的網(wǎng)絡(luò)信息安全體系。

參考文獻：

[1] 蔣建.《數(shù)字校園網(wǎng)絡(luò)立體化安全防護的研究》. 2015.

[2] 尹曙明.《基于防火墻與入侵檢測的安全防御體系研究與設(shè)計》. 2005.

[3] 邵玉蘭，曹亞君.《高校教務(wù)管理系統(tǒng)的安全風險及策略研究》. 2013.

[4] 王大萌，王智，劉環(huán)鵬.《信息安全等級保護管理系統(tǒng)的建設(shè)與推廣》. 2014.

[5] 羅國富，王乙明.《校園網(wǎng)絡(luò)安全防范體系研究與應(yīng)用》2012.

作者單位：北京建筑大學