高校網絡存在的安全隱患與應對措施研究*

馬文海

（江蘇警官學院 計算機信息與網絡安全系，江蘇 南京210031）

高校網絡存在的安全隱患與應對措施研究*

馬文海

（江蘇警官學院 計算機信息與網絡安全系，江蘇 南京210031）

隨著大數(shù)據(jù)、云計算、移動互聯(lián)網和物聯(lián)網等新技術在高校領域普及應用，高等教育行業(yè)面臨的網絡安全威脅和信息安全挑戰(zhàn)也越來越嚴重。當前高校網絡安全存在許多隱患，直接影響高校教學、科研和管理健康發(fā)展。應進一步落實網絡安全責任，積極推進網絡安全管理規(guī)范化，加快推進網絡安全技術保障體系建設，深入開展網絡安全宣傳教育，加強高校網絡安全保障隊伍建設，確保高校網絡安全。

保障；高校；網絡；安全

隨著大數(shù)據(jù)、云計算、移動互聯(lián)網和物聯(lián)網等新技術在高校教育、科研和管理等領域廣泛應用，高等教育行業(yè)面臨的網絡安全威脅和信息安全挑戰(zhàn)也越來越嚴重。加強高校網絡安全工作，防范化解高校網絡安全風險，已成為教育信息化一項十分重要而又緊迫的任務。

一、當前高校網絡面臨的安全風險

實現(xiàn)教育現(xiàn)代化是到2020年全面建成小康社會的一項戰(zhàn)略任務。當前，隨著科學技術的迅猛發(fā)展和信息技術的廣泛應用，網絡系統(tǒng)的基礎性、全局性作用日益增強。同時，網絡安全問題也日益凸顯出來，國際上圍繞著信息的獲取、使用和控制的斗爭愈演愈烈，全球范圍內網絡攻擊、網絡竊密和網上違法犯罪等問題日漸突出。網絡安全問題已成為與政治安全、經濟安全、文化安全同等重要，事關國家安全的重大戰(zhàn)略問題。高校網絡安全工作同樣面臨著嚴峻挑戰(zhàn)。

1．高校網絡安全風險潛滋暗長

當前，網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間，是國際戰(zhàn)略在軍事領域的演進，對我國網絡安全提出了嚴峻的挑戰(zhàn)。網絡空間主權已成為中西方博弈焦點。我國網絡安全基礎薄弱，大部門核心技術和硬件設備受制于人，網絡基礎設施和信息安全存在巨大隱患，一旦遭受攻擊，極易導致國家基礎數(shù)據(jù)、公民個人信息被竊取。境內外敵對勢力把互聯(lián)網作為意識形態(tài)滲透的主渠道，大肆進行網絡滲透，企圖搞亂我國內人心，破壞我國家安全。需要警惕的是，互聯(lián)網具有強大的聚焦放大效應和社會動員能力，很容易使各類風險疊加共振，由此產生綜合性風險。高校網站和業(yè)務系統(tǒng)及新媒體是教育宣傳和輿論引導的重要陣地，境內外敵對勢力企圖將高校作為滲透破壞、占領意識形態(tài)高地的突破口，高校網絡和系統(tǒng)也必然是其攻擊重要目標。一旦高校網絡和系統(tǒng)遭到攻擊和非法接入，直接危害高校網絡安全和正常秩序。

2．高校對網絡和應用系統(tǒng)的依賴程度日益加深

近年來，高校信息化建設發(fā)展迅速，大數(shù)據(jù)在教學、科研和管理等方面引發(fā)的創(chuàng)新與變革日益顯現(xiàn)，特別是智慧課堂、智慧校園建設，已經成為推動教育綜合改革、提高教育治理體系和治理能力現(xiàn)代化，促進高等教育內涵式發(fā)展的有效手段。廣大教職員工在高校信息化應用中嘗到了甜頭，各項業(yè)務的開展對高校網絡的依賴程度越來越高，已經成為高校工作正常運轉的重要載體，成為教學、科研、管理和服務不可缺少的重要工具。不可否認的是，隨著網絡對高校的介入越來越深，信息和數(shù)據(jù)的收集也變得越來越便捷,大量的教學、科研和管理信息，都變成了可被存儲、分析的數(shù)據(jù)，一旦被濫用、盜用勢必加劇高校及其教職工的信息風險。據(jù)《中國網民權益保護調查報告》統(tǒng)計，2015年因個人信息泄露等原因，遭受經濟損失1000元以上的，就有大約4500萬網民。此外，計算機病毒、網絡攻擊、垃圾郵件、系統(tǒng)漏洞、網絡竊密、虛假有害信息和網絡違法犯罪等問題日漸突出，如果處置不當，極易造成系統(tǒng)中斷、網絡癱瘓、病毒爆發(fā)或者重要信息數(shù)據(jù)丟失、泄露，給高校工作的正常運轉帶來重大損失。

3．維護高校網絡安全的難度日漸加大

隨著互聯(lián)網和物聯(lián)網的快速發(fā)展和廣泛應用，大數(shù)據(jù)日益成為推動高校領域變革的強勁力量，高校網絡安全的內涵也已經從單純的信息內容的完整性、保密性，擴展到了整個信息系統(tǒng)的可控性，延伸到了數(shù)據(jù)安全、網絡安全、基礎設施安全、信息存儲介質安全等多個方面，安全保密的對象、領域、環(huán)境和手段發(fā)生了深刻變化?？梢哉f，信息技術越先進，信息化程度越高，網絡安全問題就越突出，網絡安全工作遇到的挑戰(zhàn)也就會越嚴峻，維護管理的難度和要求也會越來越高。如何在加快推進高校信息化的同時降低網絡安全風險，是當前高校面臨的一個新課題。

二、我國高校網絡存在的主要安全隱患

1．網絡安全意識談薄

一些高校對網絡安全工作重視不夠，“說起來重要，干起來次要，忙起來不要”的現(xiàn)象還大量存在。不少領導同志缺乏網絡安全意識，敵情意識不強，敏感性不夠，警惕性不高，往往重建設、輕應用、少安全，缺乏統(tǒng)籌考慮、頂層設計。有的領導干部觀念陳舊，認為高校從事的工作涉密不多，只要沒有主動泄密行為，不會產生嚴重后果，存在無安全風險需防要控的錯誤認識。還有的領導干部過于相信信息技術部門和人員技術防范能力，忽視廣大教職工安全紀律教育，致使部分教職工不了解網絡安全基礎知識和基本要求。少數(shù)在職人員缺乏主人翁意識，責任心不夠，對使用的計算機管理不善，在校園網和其他網絡上交叉使用移動存儲介質，而且沒有對其進行計算機病毒檢測處理，導致大量病毒滲入校園網。

2．網絡設備和操作系統(tǒng)存在漏洞隱患

目前高校的網絡設備無論硬件軟件都處于不設防的狀態(tài)，使用的大多是國外企業(yè)生產的產品或者技術，網絡本身不是自主研發(fā)的，很可能會因“后門”造成信息泄露。被廣泛使用的網絡操作系統(tǒng)都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染。如不對操作系統(tǒng)進行及時更新，彌補各種漏洞，計算機即使安裝了防毒軟件也會反復感染。據(jù)360互聯(lián)網安全中心統(tǒng)計，2015年共掃描各類網站231.2萬個，共掃出存有漏洞的網站101.5萬個，占43.9%；掃出存有高危漏洞的網站30.8萬個，占總數(shù)13.3%；被篡改的網站8.4萬個。對21854臺網站服務器進行了網站“后門”檢測，掃描發(fā)現(xiàn)約4097臺服務器存在“后門”，占所有掃描網站服務器的18.7%；共攔截各類網站漏洞攻擊16.5億次，較2014年增長了約135.7%，平均每天攔截漏洞攻擊512.2萬次。目前，高校校園網絕大多數(shù)是依托互聯(lián)網建設的虛擬專網，雖然要求與其他外網嚴格隔離，但目前還未能嚴格實現(xiàn)，其安全隱患不容忽視。

3.惡意軟件程序和病毒危害嚴重

惡意軟件程序是危害網絡安全的頭等威脅。隨著云計算和大數(shù)據(jù)技術的應用，高校各類信息系統(tǒng)權限管理和訪問控制存在諸多風險，數(shù)據(jù)一旦泄露，稍加分析和加工就變成了有用的信息，對個人而言是隱私，而對高校而言則有可能是敏感信息，甚至是機密信息。據(jù)360互聯(lián)網安全中心報告，2015年共攔截惡意程序攻擊855.4億次，比2014年增長49.4%，其中截獲PC端新增惡意軟件程序樣本3.56億個，比2014年增長9.9%。計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和網絡資源，使網絡效率急劇下降，甚至造成計算機和網絡系統(tǒng)癱瘓，是影響高校網絡安全的主要因素。高校網絡“一機兩用”或使用含有涉密信息的存儲介質上互聯(lián)網，極易造成泄密和病毒感染。有的將存放敏感信息的移動硬盤、U盤等存儲介質在校園網和互聯(lián)網上交叉使用，不僅容易導致網上泄密事件，而且極易染上計算機病毒。

4．安全措施落實不到位

當前，由防火墻、入侵監(jiān)測和病毒防范構建的高校網絡安全體系，已不能從根本上實現(xiàn)對各種不安全因素的防御。少數(shù)單位對高校網絡、涉密信息和上網人員管理不嚴格，安全保密制度不落實。據(jù)中國高等教育學會2015年調研統(tǒng)計，46%高校對信息系統(tǒng)（業(yè)務）或信息資產（數(shù)據(jù)）進行登記和安全普查沒有做到位。大部分高校安全管理投入重點還在硬件上。怎么建設一套符合高校真實需求的安全架構體系，更加均衡的進行合理投入，還沒有深入思考。

5．專業(yè)保障隊伍人少質弱情況突出

網絡安全的管理保障主要依靠專門人才，但全國高校從事網絡安全專門人員投入普遍偏低。據(jù)中國高等教育學會2015年調研統(tǒng)計，在全國106所高校中，38%的學校沒有安全團隊處理網絡安全問題，41%的高校未設網絡安全崗位；71%的高校偏重網絡安全工作的人員不到2人，16%的高校沒有專職網絡安全管理人員。在現(xiàn)有的安全管理人員中，絕大多數(shù)因工作需要兼顧安全工作，真正網絡安全科班出身的人員比例不到10%。

三、加強高校網絡安全的措施

當前，以信息技術為核心的新一輪科技革命和產業(yè)革命方興未艾，互聯(lián)網日益成為創(chuàng)新驅動發(fā)展的先導力量。大數(shù)據(jù)時代，高校網絡安全不僅是傳統(tǒng)的網絡基礎設施安全，還包括信息層面以及執(zhí)行決策層面的安全，即與信息化有關的非傳統(tǒng)安全的綜合。應從維護國家安全和社會穩(wěn)定的高度，重視高校網絡安全風險，正確處理數(shù)據(jù)安全和數(shù)據(jù)應用的矛盾，切實增強安全意識，堅決克服“重建設、輕安全”的問題，建立可信、可靠、可控的高校網絡安全環(huán)境。

1．認真落實網絡安全責任

隨著高等教育信息化的快速發(fā)展和廣泛應用，教學、科研和管理等工作對校園網絡和相關系統(tǒng)的依賴程度日益加深。與此同時，高校網絡安全工作面臨的形勢也日益嚴峻復雜，一旦遭到攻擊和非法接入，不僅危害網絡資源安全，而且影響高校各項工作的正常開展。對此，高校必須充分認識加強網絡安全工作重要性和必要性，堅持積極防御、綜合防范、突出重點的原則，建立健全安全管理機構和人員，加強安全保障體系建設，落實網絡安全工作的責任，確保網絡安全。一是落實領導責任。高校黨政“一把手”是網絡安全工作第一責任人，要切實擔負起領導責任，把這項工作擺上重要議事日程；分管領導要認真抓好各項安全工作措施的落實，切實加強督促檢查。二是落實主管部門的責任。高校信息化與網絡管理中心、保密部門是網絡安全工作的組織者、管理者，既要密切合作，又要明確各自的職責，充分發(fā)揮職能作用。三是落實使用單位的責任。各使用單位要切實加強對教職工和聘用人員的安全教育工作，研究制定適合教學、科研和管理部門的安全管理工作制度，從源頭上杜絕安全問題的發(fā)生。

2．積極推進網絡安全管理規(guī)范化

一要嚴格入網設備的管理。入網設備包括計算機、交換機、服務器、路由器、防火墻、移動終端、信息采集儀、移動存儲介質及其它網絡設備。對這些入網設備，要實現(xiàn)“實名制”和“戶口式”管理，確定專人負責并建立工作日志，定期對網絡設備進行檢查。要嚴格把住入網、出網兩個關口。入網前，要嚴格實施安全檢查，并進行注冊，嚴防無安全保障的設備接入校園網。出網前，要嚴格進行清理檢查，并予以注銷。二要嚴格各類信息系統(tǒng)（網站）的運行管理。對各類信息系統(tǒng)（網站），要嚴格執(zhí)行登記、備案制度，明確管理單位，落實責任人。所有信息系統(tǒng)都應當具備應用日志安全審計功能，能夠對每個用戶的登錄、訪問行為進行安全監(jiān)測和責任審計，對數(shù)據(jù)異常、違規(guī)操作、越權訪問等進行追蹤溯源。三要嚴格執(zhí)行信息安全等級保護制度。貫徹落實國家信息安全等級保護制度的相關法律法規(guī)、標準規(guī)范及《教育行業(yè)信息系統(tǒng)安全保護定級工作指南》的相關要求，定期對各類信息系統(tǒng)(網站)進行安全等級測評和風險評估，落實安全保護技術措施和安全制度，提高信息系統(tǒng)的整體保護能力。四是建立信息管理制度。對系統(tǒng)內信息采取必要的技術防范措施，防止信息被非法竊取、篡改和破壞，嚴禁將敏感隱私數(shù)據(jù)和工作秘密數(shù)據(jù)上互聯(lián)網和校園網進行傳輸、處理和存儲。五是建立網絡安全應急處置和報告機制。制定網絡安全應急預案，明確應急處置流程，落實應急處置技術支撐隊伍，定期開展安全應急演練。發(fā)生安全事件后，應立即采取措施降低損害程度，防止擴大范圍，保存相關記錄。

3．加快推進網絡安全技術保障體系建設

要在校園網部署終端安全入網管控、網絡行為審計、數(shù)據(jù)庫審計、網絡攻擊和入侵監(jiān)測、病毒監(jiān)測、異常流量監(jiān)測等專用安全設備，采集相關日志和監(jiān)測數(shù)據(jù)，開展基于大數(shù)據(jù)的關聯(lián)分析，實現(xiàn)安全威脅的主動發(fā)現(xiàn)和準確定位，嚴防數(shù)據(jù)被篡改、丟失和信息泄露等安全事件發(fā)生。同時，對高校門戶網站、網上辦事大廳等應用系統(tǒng)實施定期安全檢測、風險評估、安全加固和日常安全監(jiān)控，防止網頁篡改、數(shù)據(jù)竊取等黑客攻擊，確保門戶網站和網上辦事大廳等系統(tǒng)的安全。

4．深入開展網絡安全宣傳教育

采取多種形式，開展網絡安全知識普及教育，增強國家網絡主權、數(shù)據(jù)主權以及個人隱私權的維護意識，嚴格遵守法律和社會公德，不能以自己的自由侵犯他人的權利。教育廣大師生掌握一般性網絡安全技能，學會電腦等設備常用安全設置，處理常見網絡故障和安全問題，防范一般性網絡威脅，積極維護綠色網絡環(huán)境，與破壞網絡秩序的行為作斗爭。要開展網絡安全培訓工作，推進“網絡安全知識進校園”行動，舉辦學生網絡安全知識競賽，為教育信息化健康發(fā)展營造安全穩(wěn)定的網絡環(huán)境。要加強對網絡有害行為和不良信息監(jiān)管力度，防止暴力色情等有害信息在校園網中傳播。

5．加強高校網絡安全保障隊伍建設

防范化解網絡安全風險，人才是核心。沒有網絡安全人才就難以保障網絡安全。目前，從中央到地方，從教育主管部門到高校對網絡安全學科建設和人才培養(yǎng)越來越重視，投入也越來越大，但對高校自身網絡安全人才引進和培養(yǎng)還遠不適應教育信息化的需要，必須解放思想，創(chuàng)新機制，加大高校網絡安全人才培養(yǎng)，加快建立一支與形勢任務發(fā)展相適應的網絡安全管理專業(yè)隊伍。

[1]360互聯(lián)網安全中心.2015年中國互聯(lián)網安全報告[EB/OL].2016-03-01.

[2]中國教育網絡編輯部.2015高校網絡安全調研報告[J].中國教育網絡,2015(11):56-59.

（編輯：王曉明）

TP393

B

1673-8454（2016）19-0025-03

2015年江蘇警官學院科學研究基金重點項目“大數(shù)據(jù)時代公安信息化研究”（2105SJYSZ02）。