高校網(wǎng)站HTTPS、IPv6 狀況及安全防護(hù)宏觀策略的思考

鄭宏飛 張意 張峰 趙榮鋒 丁楊

（云南林業(yè)職業(yè)技術(shù)學(xué)院，云南 昆明 650224）

教育行業(yè)的信息安全，在網(wǎng)絡(luò)安全治理框架內(nèi)，國(guó)家對(duì)意識(shí)形態(tài)安全的重視，高校依托信息安全等級(jí)保護(hù)整改與評(píng)測(cè)，加強(qiáng)了網(wǎng)站的安全防護(hù)。但網(wǎng)站B/S 架構(gòu)的屬性，對(duì)使用HTTP 的網(wǎng)站而言，即便通過(guò)等保測(cè)評(píng)，也只是相對(duì)安全，并不能保證客戶在瀏覽器B 端訪問(wèn)網(wǎng)站或信息系統(tǒng)過(guò)程中，信息在網(wǎng)絡(luò)傳輸時(shí)泄露的風(fēng)險(xiǎn)。需要推進(jìn)宏觀的網(wǎng)絡(luò)安全生態(tài)環(huán)境的建設(shè)。

一、信息泄露風(fēng)險(xiǎn)分析

央視315 關(guān)注信息泄露風(fēng)險(xiǎn)多年，進(jìn)行著安全上網(wǎng)習(xí)慣的宣教，IT 行業(yè)及行政機(jī)關(guān)加強(qiáng)著行業(yè)自律與手機(jī)APP 的監(jiān)管，網(wǎng)絡(luò)安全大環(huán)境逐漸改善。教育是百年大計(jì)，科教興國(guó)大戰(zhàn)略，教育行業(yè)如何使用新技術(shù)加強(qiáng)信息安全防護(hù)值得深思。

用戶隱私信息之所以泄露，主要原因，一是B/S 或者C/S 架構(gòu)的瀏覽器、應(yīng)用軟件、手機(jī)APP 程序開(kāi)發(fā)時(shí)有缺陷，二是這些軟件APP 過(guò)度收集用戶信息的權(quán)限，三是明文信息在PC 或者手機(jī)終端被惡意的嗅探類軟件APP，或在網(wǎng)絡(luò)傳輸中使用的“探針盒子”類技術(shù)手段截獲。分析明文信息的獲取隱私。

對(duì)學(xué)校而言，網(wǎng)站或信息系統(tǒng)使用時(shí)，如何保護(hù)好管理員賬號(hào)信息，保護(hù)教職工、學(xué)生的隱私信息，學(xué)校的財(cái)務(wù)、資產(chǎn)、成績(jī)信息，可以從服務(wù)器S 端入手，使用信息加密及加密傳輸技術(shù)，主動(dòng)防止不法分子得到明文信息。

B/S 架構(gòu)網(wǎng)站或信息系統(tǒng)的安全，成熟的技術(shù)之一是在服務(wù)器端采用SSL證書的HTTPS 架設(shè)網(wǎng)站。在終端瀏覽器和Web 服務(wù)器之間建立了SSL 安全加密通道。終端用戶輸入的隱私信息在網(wǎng)絡(luò)上將不是明文傳輸。可以有效地防范WIFI 流量劫持、釣魚網(wǎng)站、中間人攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)、運(yùn)營(yíng)商劫持等安全威脅。這時(shí)，SSL證書是網(wǎng)站的“保護(hù)層”，解決了傳統(tǒng)HTTP網(wǎng)站的數(shù)據(jù)傳輸安全問(wèn)題，加強(qiáng)了網(wǎng)絡(luò)風(fēng)險(xiǎn)防范。但以高?，F(xiàn)狀，HTTPS 替代HTTP 網(wǎng)站進(jìn)程緩慢。

二、高校網(wǎng)站風(fēng)險(xiǎn)及HTTPS、IPv6 狀況

（一）高校網(wǎng)站風(fēng)險(xiǎn)現(xiàn)狀

以國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理技術(shù)協(xié)調(diào)中心云南分中心發(fā)布的云南省互聯(lián)網(wǎng)網(wǎng)絡(luò)安全2019 年第五期月報(bào)為例，四月份境外高危攻擊主要針對(duì)銀行業(yè)，云南處理了仿冒三個(gè)銀行的11 個(gè)仿冒網(wǎng)站。自主監(jiān)測(cè)93 起常規(guī)網(wǎng)絡(luò)安全事件，針對(duì)的是行政事業(yè)國(guó)企等單位，其中漏洞74 起，網(wǎng)頁(yè)篡改16 起，信息泄露3 起；除直接處理的敏感事件外有一般事件66 起，涉及學(xué)校17 起，在一般事件中占比26%，教育行業(yè)安全風(fēng)險(xiǎn)堪比銀行業(yè)。分析原因，除了網(wǎng)站平臺(tái)自身漏洞之外，其他多是由于賬號(hào)泄露導(dǎo)致的風(fēng)險(xiǎn)，如果采用HTTPS 則能更有效加以防范。

（二）高校HTTPS、IPv6 近兩年發(fā)展?fàn)顩r

行業(yè)對(duì)比，HTTPS 最為普及的是銀行業(yè)，基本普及了有隱私信息的網(wǎng)站采用HTTPS。主要是宣傳主站采用HTTP，交易子站采用HTTPS。

2019 年，高校網(wǎng)站HTTPS 及IPv6 的普及率不高。截至2019 年7 月，統(tǒng)計(jì)39 所985 高校，采用HTTPS 架設(shè)官網(wǎng)主站的學(xué)校20 所，比例為51%；116所211 高校，HTTPS 學(xué)校主站35 所，比例為30%。大多數(shù)省份網(wǎng)站HTTPS 普及率低，云南省近100 所高校，沒(méi)有一家使用HTTPS 架設(shè)主站，網(wǎng)站潛在風(fēng)險(xiǎn)明顯。

IPv6 的普及率高校抽樣，北京26 所985、211 大學(xué)，一半高校的主站DNS 解析不到IPv6 地址。浙江37 所本科高校，有9 所能夠解析到IPv6 地址，僅占比24%。云南唯一211 高校，主站DNS 解析不到IPv6 地址。在政府機(jī)關(guān)抽樣，云南省工業(yè)和信息化廳、教育廳，北京市教委、市經(jīng)濟(jì)和信息化局，浙江省政府、經(jīng)信廳、教育廳均解析不到IPv6 地址。四大ISP 均是HTTPS 主戰(zhàn)，并能解析到IPv6 地址。

經(jīng)過(guò)兩年建設(shè)發(fā)展，高校網(wǎng)站HTTPS 及IPv6 有長(zhǎng)足進(jìn)步，截至2021 年8 月，抽樣20 所云南傳統(tǒng)本科高校主站，HTTPS 占比提升至70%，IPv6 提升至60%，其中云南唯一211 高校及一流大學(xué)還是HTTP 主站。抽樣10 所云南傳統(tǒng)高職高專主站HTTPS 和IPv6 占比均提升至40%。

三、高校網(wǎng)站安全防護(hù)策略思考

高校網(wǎng)站安全防護(hù)是一個(gè)系統(tǒng)化工程，需要高瞻遠(yuǎn)矚，高屋建瓴。需要既抓行業(yè)的宏觀，又抓學(xué)校的微觀。以下主要探討網(wǎng)站信息安全防護(hù)三個(gè)宏觀網(wǎng)絡(luò)安全生態(tài)環(huán)境的建設(shè)問(wèn)題。

（一）加強(qiáng)教育行業(yè)或地區(qū)證書機(jī)構(gòu)CA 的建設(shè)，有力支撐HTTPS 網(wǎng)站的普及

HTTPS 網(wǎng)站，需要數(shù)字證書來(lái)保障身份驗(yàn)證與SSL 的傳輸加密，離不開(kāi)證書機(jī)構(gòu)CA，但現(xiàn)有的CA 第一類是數(shù)據(jù)高風(fēng)險(xiǎn)行業(yè)，如中國(guó)電信CA 認(rèn)證體系（CTCA）、中國(guó)金融認(rèn)證中心（CFCA）、海關(guān)CA、商務(wù)部CA 等7 余家，第二類是地方性的電子商務(wù)上網(wǎng)認(rèn)證中心，北京CA、上海CA 等26 余家，第三類是商業(yè)性CA。

教育行業(yè)沒(méi)有CA，地方性CA 主要支持本地的電子商務(wù)、稅務(wù)等電子政務(wù)。高校要用有公信力的CA，多是第三類，甚至工信部也使用了商業(yè)CA。從網(wǎng)絡(luò)安全可控角度，有必要政策引導(dǎo)，企業(yè)參與，加快更多行業(yè)CA 或者地方CA 應(yīng)用的發(fā)展，拉低商業(yè)CA 證書的價(jià)格，這樣才會(huì)有更多高校，特別是二本、三本、二專院校自愿使用CA 證書架設(shè)HTTPS 網(wǎng)站，提升網(wǎng)站或信息系統(tǒng)安全。

（二）ISP 營(yíng)運(yùn)商及各級(jí)行政主管需要著力加快IPv6 的部署建設(shè)

IPv6 從技術(shù)上比IPv4 有先天的安全優(yōu)勢(shì)。IPv6 的規(guī)模部署是國(guó)家網(wǎng)絡(luò)安全的一項(xiàng)戰(zhàn)略。

2017 至今，中央兩辦、工信部、教育部發(fā)文“推進(jìn)IPv6 規(guī)模部署行動(dòng)計(jì)劃”、“IPv6 網(wǎng)絡(luò)就緒專項(xiàng)行動(dòng)”等。幾大互聯(lián)網(wǎng)營(yíng)運(yùn)商進(jìn)度緩慢，現(xiàn)有進(jìn)校推廣IPv6 較多的是教育科研網(wǎng)。省級(jí)教育主管部門、工業(yè)與信息化廳推進(jìn)IPv6 部署的配套政策、保障措施和方法不多。很多學(xué)校處于觀望狀態(tài)。

加快IPv6 部署進(jìn)程需要政策著力引導(dǎo)，督促營(yíng)運(yùn)商以降流量資費(fèi)，惠及終端用戶的有效力度，齊抓共舉，高風(fēng)險(xiǎn)行業(yè)先行。

科教興國(guó)落實(shí)處，學(xué)校能得到了營(yíng)運(yùn)商提供的IPv6 的地址段，在各行業(yè)中率先使用了IPv6，可更加有效的培養(yǎng)IPv6 的技術(shù)和營(yíng)運(yùn)人才，助力推進(jìn)IPv6 部署使用。

（三）提高國(guó)產(chǎn)正版軟件的在教學(xué)中的利用率

國(guó)家大力推進(jìn)軟件正版化工作，但源頭上，推進(jìn)國(guó)產(chǎn)正版化軟件的舉措不多。在學(xué)校教學(xué)中與網(wǎng)絡(luò)信息安全息息相關(guān)的基礎(chǔ)操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件，大多還是圍繞微軟產(chǎn)品系列開(kāi)展教學(xué)。

從網(wǎng)站安全防護(hù)及自主可控的角度，基礎(chǔ)操作系統(tǒng)或數(shù)據(jù)庫(kù)平臺(tái)大多依賴于國(guó)外廠商的軟件，存在有意漏洞、暗門的風(fēng)險(xiǎn)。只有從源頭上，政策引導(dǎo)、企業(yè)參與，培育、推進(jìn)國(guó)產(chǎn)系統(tǒng)軟件的發(fā)展，教育行業(yè)采取政策性措施讓國(guó)產(chǎn)系統(tǒng)軟件逐漸走進(jìn)課堂，從娃娃抓起，從課堂抓起，以各種認(rèn)證、考試，技能大賽作為推手，提高國(guó)產(chǎn)軟件在教育行業(yè)及教學(xué)中的使用率，助力推進(jìn)網(wǎng)絡(luò)安全的國(guó)家戰(zhàn)略。