李沐明 袁亞興

(國(guó)家開(kāi)放大學(xué) 信息化部，北京 100039)

習(xí)近平總書(shū)記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上的講話中指出，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”。這一論述，把網(wǎng)絡(luò)安全上升到國(guó)家安全層面，為加快我國(guó)網(wǎng)絡(luò)安全能力建設(shè)指明了方向，提供了遵循。

2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，該法是我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律，是我國(guó)網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑，是依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律重器，為網(wǎng)絡(luò)安全工作提供切實(shí)法律保障。

《網(wǎng)絡(luò)安全法》的實(shí)施使得網(wǎng)絡(luò)安全工作受重視程度得到前所未有的提升，對(duì)網(wǎng)絡(luò)安全工作提出了更高的要求。本文以國(guó)家開(kāi)放大學(xué)為例，對(duì)國(guó)家開(kāi)放大學(xué)面臨的網(wǎng)絡(luò)安全形勢(shì)進(jìn)行分析，為國(guó)家開(kāi)放大學(xué)辦學(xué)體系的網(wǎng)絡(luò)安全工作提供參考和建議。

一、開(kāi)放大學(xué)面臨的網(wǎng)絡(luò)安全形勢(shì)

國(guó)家開(kāi)放大學(xué)（以下簡(jiǎn)稱“國(guó)開(kāi)”）是面向全體社會(huì)成員，以現(xiàn)代信息技術(shù)為支撐，沒(méi)有圍墻的新型大學(xué)。在“互聯(lián)網(wǎng)+”時(shí)代背景下，為適應(yīng)300多萬(wàn)學(xué)生在職學(xué)習(xí)、泛在學(xué)習(xí)、有支持的自主學(xué)習(xí)的需要，國(guó)開(kāi)明確提出了探索“云、路、端”三位一體技術(shù)支撐模式，重在支持、促進(jìn)現(xiàn)代信息技術(shù)與開(kāi)放遠(yuǎn)程教育深度融合，有效實(shí)現(xiàn)教育信息化[1]。建設(shè)先進(jìn)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，對(duì)教育信息化的發(fā)展及應(yīng)用有著重要的支撐作用[2]。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、在線人數(shù)不斷增多、網(wǎng)絡(luò)開(kāi)放程度的不斷增強(qiáng)，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出。

在互聯(lián)網(wǎng)時(shí)代的背景下，移動(dòng)通信、光纖通信技術(shù)的快速發(fā)展使得互聯(lián)網(wǎng)得到了廣泛普及。國(guó)開(kāi)利用路由器、交換機(jī)、服務(wù)器、存儲(chǔ)系統(tǒng)等構(gòu)建了專(zhuān)業(yè)化機(jī)房，該機(jī)房共有2臺(tái)核心交換機(jī)、4臺(tái)數(shù)據(jù)中心匯聚交換機(jī)、4臺(tái)樓層匯聚交換機(jī)?？傆?jì)部署信息系統(tǒng)60余個(gè)，包括教務(wù)管理系統(tǒng)、考試管理系統(tǒng)、科研管理系統(tǒng)、學(xué)分銀行系統(tǒng)和網(wǎng)上學(xué)習(xí)平臺(tái)等。這些信息系統(tǒng)已經(jīng)成為國(guó)家開(kāi)放大學(xué)系統(tǒng)共享招生、教學(xué)、考試、管理、科研必不可少的重要工具，為國(guó)開(kāi)系統(tǒng)內(nèi)辦公自動(dòng)化、教務(wù)管理網(wǎng)絡(luò)化、圖書(shū)館資源數(shù)字化等帶來(lái)了諸多便利。

互聯(lián)網(wǎng)在為高校帶來(lái)便利的同時(shí)，也帶來(lái)了潛在的威脅，比如木馬、病毒和黑客，其可以攻擊、破壞和竊取高校系統(tǒng)信息[3]。鑒于這種現(xiàn)狀，對(duì)國(guó)開(kāi)可能面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析是必要的。

以2018年全年為例，根據(jù)專(zhuān)業(yè)安全監(jiān)測(cè)工具對(duì)國(guó)開(kāi)信息系統(tǒng)及網(wǎng)站進(jìn)行了監(jiān)測(cè)，監(jiān)測(cè)結(jié)果如圖1、2所示。

圖1 安全事件總趨勢(shì)

圖2 漏洞類(lèi)型

從監(jiān)測(cè)結(jié)果來(lái)看，國(guó)開(kāi)的網(wǎng)站系統(tǒng)安全漏洞較多，根據(jù)對(duì)漏洞事件報(bào)告進(jìn)行分析，這些漏洞主要包括SQL注入、web網(wǎng)站可瀏覽目錄及文件、源碼下載、鏈接注入、跨站腳本攻擊以及口令泄露等，由此可見(jiàn)國(guó)開(kāi)所面臨的網(wǎng)絡(luò)安全形勢(shì)依然不容忽視。

二、開(kāi)放大學(xué)網(wǎng)絡(luò)安全問(wèn)題存在的主要原因

在教育行業(yè)中，常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題主要如下：

1.網(wǎng)站遭篡改、暗鏈、掛馬；

2.篡改招生錄取、考試成績(jī)，竊取學(xué)生及學(xué)生家長(zhǎng)個(gè)人隱私信息等數(shù)據(jù)，謀取商業(yè)利益；

3.門(mén)戶等信息系統(tǒng)面臨的內(nèi)容安全風(fēng)險(xiǎn)；

4.教務(wù)和招生等信息系統(tǒng)面臨業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)安全的雙重風(fēng)險(xiǎn)。

對(duì)國(guó)家開(kāi)放大學(xué)而言，以上網(wǎng)絡(luò)安全問(wèn)題同樣存在，存在這些問(wèn)題的原因如下：

1.信息系統(tǒng)數(shù)量過(guò)多，建設(shè)單位水平不一，很難建立完整臺(tái)賬，對(duì)于安全管理比較困難。

2.對(duì)于網(wǎng)站安全重視程度不夠，由于高校網(wǎng)站非盈利的特征，被入侵和篡改頁(yè)面所造成的影響不夠嚴(yán)重，導(dǎo)致一些信息系統(tǒng)的賬號(hào)存在弱口令現(xiàn)象。

3.信息系統(tǒng)的建設(shè)沒(méi)有統(tǒng)一的安全標(biāo)準(zhǔn)和規(guī)范，每個(gè)系統(tǒng)由不同的公司進(jìn)行建設(shè)，建設(shè)方的水平直接決定了該信息系統(tǒng)的網(wǎng)絡(luò)安全水平，部分網(wǎng)站在正式上線前未做安全方面的加固。

4.網(wǎng)絡(luò)黑客攻擊手段多樣，由于數(shù)據(jù)中存在著大量的網(wǎng)絡(luò)設(shè)備（交換機(jī)）、服務(wù)器和安全設(shè)備，這些設(shè)備本身可能存在系統(tǒng)漏洞，這些漏洞一旦被網(wǎng)絡(luò)黑客掌握和利用，學(xué)校的網(wǎng)絡(luò)就有可能受到網(wǎng)絡(luò)攻擊。

三、開(kāi)放大學(xué)網(wǎng)絡(luò)安全管理工作建議

（一）加強(qiáng)網(wǎng)絡(luò)安全工作統(tǒng)籌領(lǐng)導(dǎo)

2016年11月，在教育部網(wǎng)信領(lǐng)導(dǎo)小組會(huì)議上印發(fā)了《教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組各成員單位職責(zé)分工》，教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室設(shè)在科技司，主要成員單位包括辦公廳、政法司、信息中心等。

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)，國(guó)開(kāi)制定了《國(guó)家開(kāi)放大學(xué)網(wǎng)絡(luò)安全管理規(guī)定（試行）》。該規(guī)定明確了國(guó)開(kāi)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組和工作小組職責(zé)與成員組成。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組對(duì)全校的網(wǎng)絡(luò)安全工作進(jìn)行頂層設(shè)計(jì)、制定政策。

在實(shí)際的網(wǎng)絡(luò)安全工作中，應(yīng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則落實(shí)網(wǎng)絡(luò)安全責(zé)任。

對(duì)主管部門(mén)而言，具體責(zé)任為：統(tǒng)籌信息系統(tǒng)建設(shè)；統(tǒng)籌信息系統(tǒng)安全等級(jí)保護(hù)工作；統(tǒng)籌信息系統(tǒng)的應(yīng)急管理；統(tǒng)籌信息系統(tǒng)安全管理。對(duì)運(yùn)維部門(mén)而言，具體責(zé)任為：制定并嚴(yán)格執(zhí)行信息系統(tǒng)的運(yùn)維管理制度；按照安全等級(jí)保護(hù)相關(guān)要求制定信息系統(tǒng)安全策略；及時(shí)溝通解決信息系統(tǒng)軟硬件日常使用中出現(xiàn)的問(wèn)題；配合信息系統(tǒng)主管單位做好信息技術(shù)安全事件的應(yīng)急響應(yīng)處置和整改工作。對(duì)使用部門(mén)而言，具體責(zé)任為：確保依法用網(wǎng)，嚴(yán)格遵守法律法規(guī)要求操作、管理信息系統(tǒng)；確保發(fā)布、轉(zhuǎn)載和鏈接的信息準(zhǔn)確；確保政務(wù)數(shù)據(jù)不泄露、不丟失；確保系統(tǒng)穩(wěn)定，避免人為過(guò)失造成安全事件；確保賬戶安全，杜絕弱口令和明文傳輸現(xiàn)象，嚴(yán)格保密。

（二）落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度

《網(wǎng)絡(luò)安全法》的實(shí)施，對(duì)網(wǎng)絡(luò)安全工作有一定的指導(dǎo)作用，其中有三大基本制度，分別是網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、用戶信息保護(hù)制度、網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。

在落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度方面，應(yīng)做好以下五個(gè)方面的工作。

1.制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

2.對(duì)本單位的信息系統(tǒng)進(jìn)行定級(jí)備案，并按要求做好整改測(cè)評(píng)；

3.采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

4.采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

5.采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施。

（三）健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系

《網(wǎng)絡(luò)安全法》第五章將監(jiān)測(cè)預(yù)警與應(yīng)急處置工作制度化、法制化，明確國(guó)家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期演練。這為建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制提供了法律依據(jù)，為深化網(wǎng)絡(luò)安全防護(hù)體系，實(shí)現(xiàn)全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)提供了法律保障。

通過(guò)構(gòu)建網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系，加強(qiáng)對(duì)各部門(mén)門(mén)戶網(wǎng)站、重要信息系統(tǒng)的常態(tài)化監(jiān)測(cè)，通過(guò)電話、短信、電子郵件等方式，及時(shí)通知漏洞，并跟蹤核查整改結(jié)果。網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警流程如圖3所示。

圖3 網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警流程

（四）提高教職工網(wǎng)絡(luò)安全意識(shí)

用戶上網(wǎng)缺乏必要的安全意識(shí)和電腦知識(shí)，導(dǎo)致系統(tǒng)漏洞百出，木馬病毒泛濫，這是大多網(wǎng)絡(luò)安全事故產(chǎn)生的真正原因。因此，要使網(wǎng)絡(luò)安全有序運(yùn)行必須首先提高用戶計(jì)算機(jī)水平并認(rèn)識(shí)到安全的重要性及可能給個(gè)人和學(xué)校帶來(lái)的危害，掌握電腦防毒防黑技巧，同時(shí)強(qiáng)化網(wǎng)絡(luò)法制教育，并把網(wǎng)絡(luò)安全作為一項(xiàng)長(zhǎng)期性工作緊抓不懈[4]。具體操作中，可把電腦安全設(shè)置的方法步驟和注意事項(xiàng)等做成視頻或文檔等形式放在網(wǎng)上或張貼在公告欄，也可就計(jì)算機(jī)基礎(chǔ)知識(shí)和網(wǎng)絡(luò)安全問(wèn)題定期做一些技術(shù)講座和培訓(xùn)，甚至可將網(wǎng)絡(luò)安全、網(wǎng)絡(luò)法律教育等納入課堂教學(xué)中，從而引導(dǎo)和規(guī)范用戶的上網(wǎng)行為，減少安全事故的發(fā)生。通過(guò)開(kāi)展網(wǎng)絡(luò)安全宣傳教育活動(dòng)，讓教職工深入了解網(wǎng)絡(luò)安全法規(guī)、網(wǎng)絡(luò)安全管理規(guī)定以及學(xué)校面臨的網(wǎng)絡(luò)安全形勢(shì)。

（五）建立應(yīng)急響應(yīng)制度

及時(shí)成立信息安全應(yīng)急響應(yīng)小組，對(duì)信息安全事件進(jìn)行應(yīng)急響應(yīng)。對(duì)信息安全事件的應(yīng)急響應(yīng)進(jìn)行協(xié)調(diào)、處置和管理。一旦發(fā)生安全事件，運(yùn)維或使用部門(mén)應(yīng)第一時(shí)間采取斷網(wǎng)等有效措施進(jìn)行處置，保留現(xiàn)場(chǎng)，報(bào)告至本部門(mén)安全負(fù)責(zé)人及網(wǎng)絡(luò)安全工作小組，確定安全事件級(jí)別。網(wǎng)絡(luò)安全事件處置流程圖如圖4所示。

圖4 網(wǎng)絡(luò)安全事件處置流程圖

四、未來(lái)保障網(wǎng)絡(luò)安全的對(duì)策

（一）加大整改力度，加強(qiáng)網(wǎng)站規(guī)范管理

按照教育部對(duì)網(wǎng)絡(luò)安全工作的通知要求，對(duì)部分暫停開(kāi)放的信息系統(tǒng)（網(wǎng)站）進(jìn)行整改，統(tǒng)一對(duì)各部門(mén)及校辦企業(yè)網(wǎng)站進(jìn)行整合，加強(qiáng)規(guī)范管理，關(guān)閉或刪除不必要的網(wǎng)站、應(yīng)用、服務(wù)、端口和鏈接。

（二）完善應(yīng)急預(yù)案，加大機(jī)房監(jiān)控力度

繼續(xù)開(kāi)展有針對(duì)性的網(wǎng)絡(luò)安全專(zhuān)題應(yīng)急演練，進(jìn)一步完善專(zhuān)業(yè)應(yīng)急預(yù)案，保證應(yīng)急預(yù)案的可操作性和可實(shí)施性，增強(qiáng)學(xué)校應(yīng)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置能力。同時(shí)加大機(jī)房監(jiān)控力度，加強(qiáng)電源系統(tǒng)、空調(diào)系統(tǒng)的監(jiān)控，確保機(jī)房供電、溫度、濕度符合標(biāo)準(zhǔn)。加強(qiáng)機(jī)房?jī)?nèi)網(wǎng)絡(luò)設(shè)備的巡檢，組織開(kāi)展網(wǎng)絡(luò)安全隱患排查和治理。

（三）開(kāi)展專(zhuān)題培訓(xùn)，提升安全防護(hù)能力

組織開(kāi)展網(wǎng)絡(luò)安全宣傳教育，面向網(wǎng)絡(luò)安全管理人員和技術(shù)人員開(kāi)展專(zhuān)題培訓(xùn)，切實(shí)增強(qiáng)教職工的網(wǎng)絡(luò)安全意識(shí)，提高本單位網(wǎng)絡(luò)安全管理人員的管理水平，提升本單位網(wǎng)絡(luò)安全技術(shù)人員的防護(hù)能力。

（四）加強(qiáng)網(wǎng)絡(luò)監(jiān)控，確保業(yè)務(wù)系統(tǒng)安全運(yùn)行

整理、梳理上網(wǎng)設(shè)備，控制互聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備，對(duì)上網(wǎng)行為進(jìn)行監(jiān)控，提高網(wǎng)絡(luò)信息系統(tǒng)的防攻擊、防病毒、防竊密等安全防護(hù)工作。提高服務(wù)器安全配置管理登記，及時(shí)更新系統(tǒng)安全補(bǔ)丁，強(qiáng)化信息業(yè)務(wù)系統(tǒng)數(shù)據(jù)的備份，確保業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行，為教育信息化建設(shè)做好技術(shù)保障。

隨著互聯(lián)網(wǎng)應(yīng)用范圍的推廣和高校信息化建設(shè)的推進(jìn)，網(wǎng)絡(luò)信息安全問(wèn)題日益突出。層出不窮的信息泄露和網(wǎng)絡(luò)攻擊，給高校的發(fā)展帶來(lái)了一定的影響。網(wǎng)絡(luò)安全的核心是信息系統(tǒng)安全，包括信息安全和系統(tǒng)安全。在保障學(xué)校網(wǎng)絡(luò)安全過(guò)程中，首先要保障的是學(xué)校信息系統(tǒng)的安全，無(wú)論是信息系統(tǒng)的管理人員還是運(yùn)維人員，都應(yīng)該充分重視網(wǎng)絡(luò)安全，遵守網(wǎng)絡(luò)安全管理制度。隨著網(wǎng)絡(luò)技術(shù)的不斷更新發(fā)展，網(wǎng)絡(luò)安全管理是一個(gè)不斷完善的過(guò)程，它需要一支高素質(zhì)的人才隊(duì)伍來(lái)構(gòu)建安全、可靠的校園網(wǎng)系統(tǒng)，從而保障好學(xué)校的網(wǎng)絡(luò)安全工作，確保不發(fā)生網(wǎng)絡(luò)安全事故[5]。對(duì)國(guó)家開(kāi)放大學(xué)這樣依靠互聯(lián)網(wǎng)系統(tǒng)進(jìn)行體系辦學(xué)的模式尤其重要。

由于校園網(wǎng)絡(luò)具有開(kāi)放性和多樣性的特點(diǎn)，僅采用單方面安全措施的校園網(wǎng)無(wú)法滿足安全需要。未來(lái)需要構(gòu)建能夠?qū)崿F(xiàn)多層防護(hù)的網(wǎng)絡(luò)安全保障體系，保障業(yè)務(wù)信息系統(tǒng)平穩(wěn)運(yùn)行，為教育信息化建設(shè)保駕護(hù)航。