王文泉

摘 ? 要：隨著信息化的發(fā)展，高校信息系統(tǒng)安全越來(lái)越受重視。文章分析高校信息系統(tǒng)特點(diǎn)與安全現(xiàn)狀，指出面臨的問(wèn)題，提出安全防護(hù)策略，以期為高校信息系統(tǒng)的安全防護(hù)提供一些參考性意見(jiàn)。

關(guān)鍵詞：高校信息系統(tǒng);信息系統(tǒng)安全;信息安全

中圖分類號(hào)： TP309 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With the development of information technology， information system security in colleges and universities is causing more and more attention. This paper analyzes the characteristics of information system in colleges and universities， pointing out the present situation of security and problems faced， and puts forward the security protection strategies， in order to provide some reference for the security defense of information system in colleges and universities.

Key words： information system in colleges and universities; information system security; information security

1 引言

高校信息化建設(shè)如火如荼，各種各樣的信息系統(tǒng)大量涌現(xiàn)。信息系統(tǒng)安全在信息安全中占據(jù)重要地位，對(duì)于高校而言更是如此。高校如果出現(xiàn)諸如招生數(shù)據(jù)泄露、官網(wǎng)被掛“反動(dòng)標(biāo)語(yǔ)”等信息安全問(wèn)題，不僅會(huì)造成損失，而且會(huì)影響到學(xué)校聲譽(yù)，帶來(lái)社會(huì)負(fù)面影響。360公司曾在《中國(guó)高校網(wǎng)站安全檢測(cè)報(bào)告》中顯現(xiàn)：中國(guó)每所高校網(wǎng)站平均每天被黑客攻擊113次。從教育行業(yè)漏洞報(bào)告平臺(tái)公布的即時(shí)數(shù)據(jù)來(lái)看，位于漏洞排行榜第一名的上海交通大學(xué)漏洞總數(shù)為1075，漏洞威脅值高達(dá)3517（每個(gè)漏洞分值按風(fēng)險(xiǎn)等級(jí)由低到高為0～10）[1]。由此可見(jiàn)，高校信息系統(tǒng)的安全防護(hù)不容怠慢，其研究工作意義深遠(yuǎn)。

2 高校信息系統(tǒng)特點(diǎn)

高校信息系統(tǒng)不僅包括各職能部門建立的人事、財(cái)務(wù)、教務(wù)、資產(chǎn)管理等業(yè)務(wù)系統(tǒng)，也包括校園官網(wǎng)、招生、就業(yè)、各二級(jí)學(xué)院宣傳主頁(yè)等網(wǎng)站。以深圳信息職業(yè)技術(shù)學(xué)院為例，目前臺(tái)賬中有統(tǒng)計(jì)在冊(cè)的信息系統(tǒng)203個(gè)，按照系統(tǒng)用途，可以將它們大致分為三類：部門（學(xué)校）宣傳網(wǎng)站、業(yè)務(wù)系統(tǒng)和項(xiàng)目（課題）申報(bào)網(wǎng)站，按照建設(shè)類型可以分為兩類：網(wǎng)站群和自主建設(shè)，它們的數(shù)量統(tǒng)計(jì)情況如表1所示。

可以看出，高校信息系統(tǒng)具有以下“雙高”特點(diǎn)。

2.1 項(xiàng)目申報(bào)網(wǎng)站占比高

由表1可以看出，項(xiàng)目申報(bào)網(wǎng)站在三類信息系統(tǒng)（按系統(tǒng)用途分）中數(shù)量最多，占比為63%。這些網(wǎng)站主要用于課程、教學(xué)資源庫(kù)、教學(xué)團(tuán)隊(duì)建設(shè)等教研項(xiàng)目和科研項(xiàng)目的申報(bào)、評(píng)審、驗(yàn)收等，它們伴隨項(xiàng)目周期而建設(shè)，待項(xiàng)目驗(yàn)收通過(guò)后往往便不再需要，使用周期短，但是很多網(wǎng)站在驗(yàn)收通過(guò)后往往被科研團(tuán)隊(duì)遺忘，依舊存活。

2.2 自主建設(shè)系統(tǒng)占比高

由表1可以看出，依托網(wǎng)站群模板建設(shè)的系統(tǒng)與自主建設(shè)的系統(tǒng)比例為112：91，高校自主建設(shè)的信息系統(tǒng)占比高、幾乎追平網(wǎng)站群系統(tǒng)。將各用途的信息系統(tǒng)在網(wǎng)站群和自主建設(shè)兩種建設(shè)類型上作出統(tǒng)計(jì)，如圖1所示?？梢钥闯?，項(xiàng)目申報(bào)網(wǎng)站中自主建設(shè)的占比將近40%，因?yàn)橛许?xiàng)目經(jīng)費(fèi)，很多網(wǎng)站為教師個(gè)人或者項(xiàng)目團(tuán)隊(duì)自行搭建，這就會(huì)導(dǎo)致各系統(tǒng)技術(shù)水平層次不齊;部門的宣傳網(wǎng)站一旦建立，長(zhǎng)時(shí)間運(yùn)行，也多為靜態(tài)頁(yè)面，然而其中自主建設(shè)的占比約為30%;業(yè)務(wù)系統(tǒng)無(wú)法依托網(wǎng)站群建設(shè)，所以均為自主建設(shè)。

3 高校信息系統(tǒng)安全現(xiàn)狀

3.1 缺乏系統(tǒng)全生命周期監(jiān)管

大量系統(tǒng)建設(shè)完成后直接上線運(yùn)行，缺乏風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試。帶病上線，必然會(huì)帶來(lái)安全風(fēng)險(xiǎn)隱患，這也是大量系統(tǒng)自主建設(shè)的后果。根據(jù)上一部分的討論，項(xiàng)目申報(bào)網(wǎng)站具有“使用周期短、存活周期不一定短”的特點(diǎn)，如果一個(gè)網(wǎng)站被長(zhǎng)時(shí)間遺忘，淪為僵尸網(wǎng)站，必然容易被黑客攻擊、利用。有的“雙非”系統(tǒng)，業(yè)務(wù)與學(xué)校相關(guān)，但是卻不知道責(zé)任人是誰(shuí)，一旦出現(xiàn)安全問(wèn)題，相當(dāng)被動(dòng)。一個(gè)信息系統(tǒng)，從上線到運(yùn)行，再到退出，必須建立完善的系列監(jiān)管機(jī)制。

3.2 管理人員安全意識(shí)薄弱

針對(duì)信息安全，目前還是廣泛存在“說(shuō)起來(lái)重要，做起來(lái)次要，忙起來(lái)不要”的現(xiàn)象。很多系統(tǒng)上線后鮮有人維護(hù)，即便被發(fā)現(xiàn)有安全漏洞隱患，依舊置之不理。以深圳信息職業(yè)技術(shù)學(xué)院為例，信息系統(tǒng)安全監(jiān)管部門會(huì)針對(duì)有漏洞的系統(tǒng)向責(zé)任部門發(fā)出“信息安全整改通知書(shū)”，根據(jù)反饋來(lái)看，整改率僅為41%;待到這些風(fēng)險(xiǎn)系統(tǒng)被上級(jí)監(jiān)管部門通報(bào)批評(píng)后，系統(tǒng)所有者往往追悔莫及。造成這一現(xiàn)狀的主要原因，是管理人員乃至上級(jí)領(lǐng)導(dǎo)嚴(yán)重缺乏信息安全意識(shí)。

3.3 管理制度缺失

無(wú)規(guī)矩不成方圓，系統(tǒng)亂象的背后是缺乏規(guī)范管理。統(tǒng)計(jì)表明，70%以上的信息安全問(wèn)題是由管理不善造成的，而這些安全問(wèn)題中的95%是可以通過(guò)科學(xué)的信息安全管理制度來(lái)避免的[2]。信息安全制度、流程不健全，就會(huì)導(dǎo)致責(zé)任不明確、不落實(shí)。

4 高校信息系統(tǒng)安全防護(hù)策略

數(shù)量多、技術(shù)參差不齊、生命周期不同、意識(shí)缺乏、制度缺失、權(quán)責(zé)不清……面對(duì)高校信息系統(tǒng)如此嚴(yán)峻的安全威脅形勢(shì)，可以從五個(gè)方面實(shí)施信息系統(tǒng)安全防護(hù)策略。

4.1 增強(qiáng)信息安全意識(shí)

信息安全工作，人是第一位的。美國(guó)國(guó)家安全局發(fā)布的信息安全保障技術(shù)框架（Information Assurance Technical Framework，IATF）提出深度防御戰(zhàn)略的三個(gè)核心要素，其中居于首位的就是：人[3]。人員意識(shí)上來(lái)了，工作總能想辦法做到位。構(gòu)建高校信息系統(tǒng)安全防護(hù)體系，首要的是，加強(qiáng)宣傳教育，組織專業(yè)培訓(xùn)，開(kāi)展信息安全員、系統(tǒng)管理員層級(jí)培訓(xùn)，自頂向下培養(yǎng)起基本的信息安全意識(shí)，同時(shí)提高管理人員技術(shù)水平，使其掌握常規(guī)安全防范措施。

4.2 統(tǒng)一管理、規(guī)范建設(shè)

參照等級(jí)保護(hù)安全框架[4]，明確信息系統(tǒng)建設(shè)流程及其相關(guān)安全工作如圖2所示。

當(dāng)校內(nèi)二級(jí)部門申請(qǐng)建設(shè)一個(gè)新的信息系統(tǒng)時(shí)，信息安全監(jiān)管部門主要作出兩項(xiàng)判斷：一是否能夠放到網(wǎng)站群建設(shè)和統(tǒng)一管理。所有宣傳網(wǎng)站必須放到網(wǎng)站群建設(shè)，項(xiàng)目申報(bào)網(wǎng)站盡可能放到網(wǎng)站群;二是所有項(xiàng)目相關(guān)系統(tǒng)、網(wǎng)站和職能部門業(yè)務(wù)系統(tǒng)，必須留出經(jīng)費(fèi)，用做定級(jí)論證、風(fēng)險(xiǎn)檢測(cè)等相關(guān)安全工作。

系統(tǒng)開(kāi)發(fā)階段，要特別注意規(guī)范代碼書(shū)寫，遵守編程安全原則，避免產(chǎn)生漏洞。比如針對(duì)XSS攻擊，系統(tǒng)要對(duì)用戶提交的內(nèi)容進(jìn)行可靠的輸入驗(yàn)證，包括對(duì)URL、查詢關(guān)鍵字、HTTP頭、REFER、POST數(shù)據(jù)等，僅接受指定長(zhǎng)度范圍內(nèi)、采用適當(dāng)格式與所預(yù)期的字符的內(nèi)容提交，對(duì)其他一律過(guò)濾;盡量采用POST而非GET方式提交表單等。

系統(tǒng)開(kāi)發(fā)完成后、上線前，還需要進(jìn)行全面的安全檢查，包括滲透測(cè)試、服務(wù)器掃描等。對(duì)于存在安全隱患的，堅(jiān)持整改完畢、復(fù)測(cè)安全后再上線運(yùn)行。

針對(duì)系統(tǒng)下線，建立完善的退出機(jī)制。下線可以分為永久下線與臨時(shí)下線兩種情況[5]。對(duì)于網(wǎng)站使用周期結(jié)束，或者常年無(wú)人管理的僵尸網(wǎng)站，二級(jí)部門和信息安全監(jiān)管部門建立信息互通，對(duì)系統(tǒng)作永久下線處理。對(duì)于例行安全檢測(cè)之后，發(fā)現(xiàn)存在安全隱患或者已經(jīng)發(fā)生重大安全事故的系統(tǒng)，立刻進(jìn)行整改，并且切斷外網(wǎng)訪問(wèn)權(quán)限，這種情況稱之為臨時(shí)下線。臨時(shí)下線的系統(tǒng)，經(jīng)復(fù)測(cè)安全后方可再行上線運(yùn)行。

4.3 加強(qiáng)日常防護(hù)

第一，強(qiáng)化基礎(chǔ)性工作是加強(qiáng)信息安全保障工作的主要原則之一，信息系統(tǒng)日常安全防護(hù)常規(guī)工作可以按時(shí)間跨度上“六步工作法”展開(kāi)：（1）每天巡檢;（2）每周更新、升級(jí);（3）每月漏掃;（4）每季度審計(jì);（5）每半年滲透測(cè)試;（6）每年風(fēng)險(xiǎn)評(píng)估、等保測(cè)評(píng)。

第二，要形成7×24小時(shí)值守制度，采取系統(tǒng)+人工的方式，對(duì)重要系統(tǒng)作監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)頁(yè)篡改、暗鏈、無(wú)法訪問(wèn)等風(fēng)險(xiǎn)隱患，并觸發(fā)預(yù)警和斷網(wǎng)等聯(lián)動(dòng)處置。

第三，如果發(fā)生信息系統(tǒng)安全事件，要立即響應(yīng)，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)。而在這之前，要做好應(yīng)急預(yù)案和數(shù)據(jù)備份。

4.4 完善信息系統(tǒng)安全管理制度

針對(duì)第4.2節(jié)的討論，從上線到下線，建立起基于“閉環(huán)”的信息系統(tǒng)全生命周期管理制度。嚴(yán)格把控系統(tǒng)申請(qǐng)外網(wǎng)訪問(wèn)權(quán)限，做到“開(kāi)通前有申請(qǐng)、結(jié)束后有交代”，及時(shí)做好備案和關(guān)閉工作，同時(shí)建立、健全臨時(shí)下線機(jī)制。為應(yīng)對(duì)各種突發(fā)事件，制定《信息系統(tǒng)安全應(yīng)急預(yù)案》，建立、健全信息系統(tǒng)安全應(yīng)急處理保障體系，并且定期演練和完善。當(dāng)所有規(guī)章制度，都具有了“閉環(huán)”特征，執(zhí)行起來(lái)才行之有效、不留后遺癥。

4.5 探索多維信息系統(tǒng)安全監(jiān)管機(jī)制

“有法可依”后還要“有法必依”“執(zhí)法必嚴(yán)”。制度一旦確立，落到實(shí)處才能產(chǎn)生效益，對(duì)于拒不履行安全義務(wù)的部門和個(gè)人，加大懲罰力度;探索將信息系統(tǒng)安全納入部門、個(gè)人績(jī)效考核等新形勢(shì)下多維度的信息系統(tǒng)安全監(jiān)管機(jī)制，將有利于提升整體信息安全水平。

5 結(jié)束語(yǔ)

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》自2017年6月1日施行。《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為“等保2.0”新標(biāo)準(zhǔn)，于2019年12月1日起正式實(shí)施。高校信息系統(tǒng)安全防護(hù)工作迫在眉睫，其策略研究意義深遠(yuǎn)。只有全面提升信息安全意識(shí)，加強(qiáng)日常防護(hù)，統(tǒng)一和規(guī)范管理，所有制度、流程都“閉環(huán)”起來(lái)，多方聯(lián)動(dòng)，才能切實(shí)保障信息系統(tǒng)安全運(yùn)行。

參考文獻(xiàn)

[1] 全國(guó)高校漏洞排行榜[EB/OL].https：//src.sjtu.edu.cn/rank/firm/.2020-06-02.

[2] 傅川，陳云.高校信息系統(tǒng)安全體系研究與實(shí)踐[J].中山大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2009， 48（3）： 25-28.

[3] 朱勝濤，溫哲，位華，等.注冊(cè)信息安全專業(yè)人員培訓(xùn)教材[M]. 北京： 北京師范大學(xué)出版社， 2019： 1.

[4] 國(guó)家市場(chǎng)監(jiān)督管理總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求： 附錄C 等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)使用要求： GB/T 22239-2019[S].北京： 中國(guó)標(biāo)準(zhǔn)出版社， 2019： 4.

[5] 胡進(jìn)娟.高校網(wǎng)站安全防護(hù)體系化構(gòu)建策略研究[J].無(wú)線互聯(lián)科技，2019（24）： 30-31.

[6] 耿娟平.高校網(wǎng)站安全分析及對(duì)策研究[J].北華航天工業(yè)學(xué)院學(xué)報(bào)， 2018， 28（1）： 11-13.

[7] 劉振昌，陳詩(shī)明，焦寶臣，等. 高校網(wǎng)站安全管理模式的探索與實(shí)踐[J].華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2015（S1）： 224-231.