鄭宏飛 張意 張峰 趙榮鋒 丁楊
(云南林業(yè)職業(yè)技術(shù)學(xué)院,云南 昆明 650224)
教育行業(yè)的信息安全,在網(wǎng)絡(luò)安全治理框架內(nèi),國(guó)家對(duì)意識(shí)形態(tài)安全的重視,高校依托信息安全等級(jí)保護(hù)整改與評(píng)測(cè),加強(qiáng)了網(wǎng)站的安全防護(hù)。但網(wǎng)站B/S 架構(gòu)的屬性,對(duì)使用HTTP 的網(wǎng)站而言,即便通過(guò)等保測(cè)評(píng),也只是相對(duì)安全,并不能保證客戶在瀏覽器B 端訪問(wèn)網(wǎng)站或信息系統(tǒng)過(guò)程中,信息在網(wǎng)絡(luò)傳輸時(shí)泄露的風(fēng)險(xiǎn)。需要推進(jìn)宏觀的網(wǎng)絡(luò)安全生態(tài)環(huán)境的建設(shè)。
央視315 關(guān)注信息泄露風(fēng)險(xiǎn)多年,進(jìn)行著安全上網(wǎng)習(xí)慣的宣教,IT 行業(yè)及行政機(jī)關(guān)加強(qiáng)著行業(yè)自律與手機(jī)APP 的監(jiān)管,網(wǎng)絡(luò)安全大環(huán)境逐漸改善。教育是百年大計(jì),科教興國(guó)大戰(zhàn)略,教育行業(yè)如何使用新技術(shù)加強(qiáng)信息安全防護(hù)值得深思。
用戶隱私信息之所以泄露,主要原因,一是B/S 或者C/S 架構(gòu)的瀏覽器、應(yīng)用軟件、手機(jī)APP 程序開(kāi)發(fā)時(shí)有缺陷,二是這些軟件APP 過(guò)度收集用戶信息的權(quán)限,三是明文信息在PC 或者手機(jī)終端被惡意的嗅探類軟件APP,或在網(wǎng)絡(luò)傳輸中使用的“探針盒子”類技術(shù)手段截獲。分析明文信息的獲取隱私。
對(duì)學(xué)校而言,網(wǎng)站或信息系統(tǒng)使用時(shí),如何保護(hù)好管理員賬號(hào)信息,保護(hù)教職工、學(xué)生的隱私信息,學(xué)校的財(cái)務(wù)、資產(chǎn)、成績(jī)信息,可以從服務(wù)器S 端入手,使用信息加密及加密傳輸技術(shù),主動(dòng)防止不法分子得到明文信息。
B/S 架構(gòu)網(wǎng)站或信息系統(tǒng)的安全,成熟的技術(shù)之一是在服務(wù)器端采用SSL證書的HTTPS 架設(shè)網(wǎng)站。在終端瀏覽器和Web 服務(wù)器之間建立了SSL 安全加密通道。終端用戶輸入的隱私信息在網(wǎng)絡(luò)上將不是明文傳輸。可以有效地防范WIFI 流量劫持、釣魚網(wǎng)站、中間人攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)、運(yùn)營(yíng)商劫持等安全威脅。這時(shí),SSL證書是網(wǎng)站的“保護(hù)層”,解決了傳統(tǒng)HTTP網(wǎng)站的數(shù)據(jù)傳輸安全問(wèn)題,加強(qiáng)了網(wǎng)絡(luò)風(fēng)險(xiǎn)防范。但以高?,F(xiàn)狀,HTTPS 替代HTTP 網(wǎng)站進(jìn)程緩慢。
以國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理技術(shù)協(xié)調(diào)中心云南分中心發(fā)布的云南省互聯(lián)網(wǎng)網(wǎng)絡(luò)安全2019 年第五期月報(bào)為例,四月份境外高危攻擊主要針對(duì)銀行業(yè),云南處理了仿冒三個(gè)銀行的11 個(gè)仿冒網(wǎng)站。自主監(jiān)測(cè)93 起常規(guī)網(wǎng)絡(luò)安全事件,針對(duì)的是行政事業(yè)國(guó)企等單位,其中漏洞74 起,網(wǎng)頁(yè)篡改16 起,信息泄露3 起;除直接處理的敏感事件外有一般事件66 起,涉及學(xué)校17 起,在一般事件中占比26%,教育行業(yè)安全風(fēng)險(xiǎn)堪比銀行業(yè)。分析原因,除了網(wǎng)站平臺(tái)自身漏洞之外,其他多是由于賬號(hào)泄露導(dǎo)致的風(fēng)險(xiǎn),如果采用HTTPS 則能更有效加以防范。
行業(yè)對(duì)比,HTTPS 最為普及的是銀行業(yè),基本普及了有隱私信息的網(wǎng)站采用HTTPS。主要是宣傳主站采用HTTP,交易子站采用HTTPS。
2019 年,高校網(wǎng)站HTTPS 及IPv6 的普及率不高。截至2019 年7 月,統(tǒng)計(jì)39 所985 高校,采用HTTPS 架設(shè)官網(wǎng)主站的學(xué)校20 所,比例為51%;116所211 高校,HTTPS 學(xué)校主站35 所,比例為30%。大多數(shù)省份網(wǎng)站HTTPS 普及率低,云南省近100 所高校,沒(méi)有一家使用HTTPS 架設(shè)主站,網(wǎng)站潛在風(fēng)險(xiǎn)明顯。
IPv6 的普及率高校抽樣,北京26 所985、211 大學(xué),一半高校的主站DNS 解析不到IPv6 地址。浙江37 所本科高校,有9 所能夠解析到IPv6 地址,僅占比24%。云南唯一211 高校,主站DNS 解析不到IPv6 地址。在政府機(jī)關(guān)抽樣,云南省工業(yè)和信息化廳、教育廳,北京市教委、市經(jīng)濟(jì)和信息化局,浙江省政府、經(jīng)信廳、教育廳均解析不到IPv6 地址。四大ISP 均是HTTPS 主戰(zhàn),并能解析到IPv6 地址。
經(jīng)過(guò)兩年建設(shè)發(fā)展,高校網(wǎng)站HTTPS 及IPv6 有長(zhǎng)足進(jìn)步,截至2021 年8 月,抽樣20 所云南傳統(tǒng)本科高校主站,HTTPS 占比提升至70%,IPv6 提升至60%,其中云南唯一211 高校及一流大學(xué)還是HTTP 主站。抽樣10 所云南傳統(tǒng)高職高專主站HTTPS 和IPv6 占比均提升至40%。
高校網(wǎng)站安全防護(hù)是一個(gè)系統(tǒng)化工程,需要高瞻遠(yuǎn)矚,高屋建瓴。需要既抓行業(yè)的宏觀,又抓學(xué)校的微觀。以下主要探討網(wǎng)站信息安全防護(hù)三個(gè)宏觀網(wǎng)絡(luò)安全生態(tài)環(huán)境的建設(shè)問(wèn)題。
HTTPS 網(wǎng)站,需要數(shù)字證書來(lái)保障身份驗(yàn)證與SSL 的傳輸加密,離不開(kāi)證書機(jī)構(gòu)CA,但現(xiàn)有的CA 第一類是數(shù)據(jù)高風(fēng)險(xiǎn)行業(yè),如中國(guó)電信CA 認(rèn)證體系(CTCA)、中國(guó)金融認(rèn)證中心(CFCA)、海關(guān)CA、商務(wù)部CA 等7 余家,第二類是地方性的電子商務(wù)上網(wǎng)認(rèn)證中心,北京CA、上海CA 等26 余家,第三類是商業(yè)性CA。
教育行業(yè)沒(méi)有CA,地方性CA 主要支持本地的電子商務(wù)、稅務(wù)等電子政務(wù)。高校要用有公信力的CA,多是第三類,甚至工信部也使用了商業(yè)CA。從網(wǎng)絡(luò)安全可控角度,有必要政策引導(dǎo),企業(yè)參與,加快更多行業(yè)CA 或者地方CA 應(yīng)用的發(fā)展,拉低商業(yè)CA 證書的價(jià)格,這樣才會(huì)有更多高校,特別是二本、三本、二專院校自愿使用CA 證書架設(shè)HTTPS 網(wǎng)站,提升網(wǎng)站或信息系統(tǒng)安全。
IPv6 從技術(shù)上比IPv4 有先天的安全優(yōu)勢(shì)。IPv6 的規(guī)模部署是國(guó)家網(wǎng)絡(luò)安全的一項(xiàng)戰(zhàn)略。
2017 至今,中央兩辦、工信部、教育部發(fā)文“推進(jìn)IPv6 規(guī)模部署行動(dòng)計(jì)劃”、“IPv6 網(wǎng)絡(luò)就緒專項(xiàng)行動(dòng)”等。幾大互聯(lián)網(wǎng)營(yíng)運(yùn)商進(jìn)度緩慢,現(xiàn)有進(jìn)校推廣IPv6 較多的是教育科研網(wǎng)。省級(jí)教育主管部門、工業(yè)與信息化廳推進(jìn)IPv6 部署的配套政策、保障措施和方法不多。很多學(xué)校處于觀望狀態(tài)。
加快IPv6 部署進(jìn)程需要政策著力引導(dǎo),督促營(yíng)運(yùn)商以降流量資費(fèi),惠及終端用戶的有效力度,齊抓共舉,高風(fēng)險(xiǎn)行業(yè)先行。
科教興國(guó)落實(shí)處,學(xué)校能得到了營(yíng)運(yùn)商提供的IPv6 的地址段,在各行業(yè)中率先使用了IPv6,可更加有效的培養(yǎng)IPv6 的技術(shù)和營(yíng)運(yùn)人才,助力推進(jìn)IPv6 部署使用。
國(guó)家大力推進(jìn)軟件正版化工作,但源頭上,推進(jìn)國(guó)產(chǎn)正版化軟件的舉措不多。在學(xué)校教學(xué)中與網(wǎng)絡(luò)信息安全息息相關(guān)的基礎(chǔ)操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件,大多還是圍繞微軟產(chǎn)品系列開(kāi)展教學(xué)。
從網(wǎng)站安全防護(hù)及自主可控的角度,基礎(chǔ)操作系統(tǒng)或數(shù)據(jù)庫(kù)平臺(tái)大多依賴于國(guó)外廠商的軟件,存在有意漏洞、暗門的風(fēng)險(xiǎn)。只有從源頭上,政策引導(dǎo)、企業(yè)參與,培育、推進(jìn)國(guó)產(chǎn)系統(tǒng)軟件的發(fā)展,教育行業(yè)采取政策性措施讓國(guó)產(chǎn)系統(tǒng)軟件逐漸走進(jìn)課堂,從娃娃抓起,從課堂抓起,以各種認(rèn)證、考試,技能大賽作為推手,提高國(guó)產(chǎn)軟件在教育行業(yè)及教學(xué)中的使用率,助力推進(jìn)網(wǎng)絡(luò)安全的國(guó)家戰(zhàn)略。