高校網(wǎng)絡(luò)信息安全研究
——以三門峽職業(yè)技術(shù)學(xué)院為例

吳海軍

（三門峽職業(yè)技術(shù)學(xué)院 現(xiàn)代教育技術(shù)中心，河南 三門峽 472000）

0 引言

信息，是通信系統(tǒng)傳輸和處理的對象，泛指人類社會傳播的一切內(nèi)容。人們通過獲得、識別自然界和社會的信息來區(qū)別不同事物，得以認識和改造世界。在一切通信和控制系統(tǒng)中，信息是一種普遍聯(lián)系的內(nèi)容形式。

從某種意義上說，信息就是一種資源，對我們有非常重要的意義，具有共享性、普遍性、可處理性等多種特性。信息安全的實質(zhì)是要保護信息在傳輸過程中免受各種類型的破壞和干擾，這就是信息的安全性。根據(jù)國際上通用的定義，信息的安全性主要指的是信息的可用性、完整性、保密性以及可靠性。［1］信息安全是任何國家和政府、任何部門和行業(yè)都非常重視的問題，是一個不容小視的國家戰(zhàn)略性問題。但是，具體到不同的行業(yè)和部門來說，在信息安全方面的要求和工作重點還是有區(qū)別的。

1 網(wǎng)絡(luò)信息安全的工作重點

以三門峽職業(yè)技術(shù)學(xué)院為例，2018年學(xué)院持續(xù)推進智慧校園建設(shè)，制訂了《三門峽職業(yè)技術(shù)學(xué)院智慧校園V2.0建設(shè)方案》，以“一站、七平臺、四中心”為總體建設(shè)目標［2］，重點以“智慧三職”院APP為抓手，在整體建設(shè)方案設(shè)計過程中，網(wǎng)絡(luò)及信息安全工作始終是貫穿智慧校園建設(shè)的重點。

1.1 科學(xué)統(tǒng)籌，確立校園信息安全工作總體目標

按照“依法依規(guī)、技術(shù)保障、以查促防”的總體要求，堅持分級管理、責(zé)任明確、完善建設(shè)的原則，全面提高業(yè)務(wù)主管部門乃至全校師生的網(wǎng)絡(luò)與信息安全意識，建立信息安全管理專職團隊，制訂和實施網(wǎng)絡(luò)安全建設(shè)管理規(guī)范，加強基礎(chǔ)設(shè)施、硬件配備和安全系統(tǒng)的防范措施，定期排查網(wǎng)絡(luò)與信息安全風(fēng)險和隱患，不斷提高對惡意攻擊、非法入侵、有害信息傳播的預(yù)防和應(yīng)急響應(yīng)能力，進一步提高網(wǎng)絡(luò)與信息系統(tǒng)的安全保密防護能力，切實為信息化環(huán)境下的學(xué)院教育教學(xué)改革與發(fā)展提供可靠的安全保障。

1.2 明責(zé)定制，建立健全網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)體系和管理制度

為加強網(wǎng)絡(luò)與信息安全管理工作，學(xué)院成立了以主管校長為組長，現(xiàn)代教育技術(shù)中心主任為辦公室主任，各職能部門、院部負責(zé)人為成員的教育信息化試點建設(shè)領(lǐng)導(dǎo)小組，分工明確，責(zé)任具體到人。領(lǐng)導(dǎo)小組的重要職能與工作內(nèi)容之一就是全面負責(zé)校園網(wǎng)絡(luò)與信息安全保障工作?，F(xiàn)代教育技術(shù)中心組織了技術(shù)支撐團隊和專職管理隊伍，總體負責(zé)該項工作的推進與管理。同時，學(xué)院與市政府網(wǎng)絡(luò)信息安全管理部門、市公安部門建立了縱向銜接、橫向協(xié)調(diào)的組織保障系統(tǒng)。

學(xué)院制訂了《三門峽職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)及信息安全管理制度》，在校園網(wǎng)絡(luò)安全、網(wǎng)絡(luò)信息和網(wǎng)站安全、網(wǎng)絡(luò)信息系統(tǒng)安全、數(shù)據(jù)保密、應(yīng)急處置等方面做了嚴格規(guī)定，另外還制訂了《三門峽職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)及信息安全責(zé)任書》《三門峽職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等多項安全管理規(guī)章制度和安全標準規(guī)范，并在工作中加以落實，以保證網(wǎng)絡(luò)與信息安全管理工作有章可循。

1.3 積極探索，著力構(gòu)建具有可操作性的網(wǎng)絡(luò)與信息安全防護機制

在網(wǎng)絡(luò)安全保護方面，學(xué)院配備基礎(chǔ)硬件安全設(shè)備。銳捷核心交換機防火墻板卡、天融信防火墻、網(wǎng)御星云防火墻、山石網(wǎng)科出口路由防火墻對內(nèi)外網(wǎng)進行隔離保護；啟明星辰入侵防御系統(tǒng)按照惡意入侵特征庫對非法入侵攻擊隔離并報警；銳捷上網(wǎng)行為管理及內(nèi)容審計系統(tǒng)、銳捷日志審計系統(tǒng)對校園上網(wǎng)行為日志記錄備案；核心交換機和路由器中的相關(guān)安全策略對安全隱患端口自動屏蔽。另外，學(xué)院針對網(wǎng)管中心機房、各計算機機房等安全場所及服務(wù)器、門戶網(wǎng)站、關(guān)鍵數(shù)據(jù)、校園內(nèi)單機用戶等各類重點信息系統(tǒng)，均采取登記備案、專人負責(zé)管理、同步備份等有效措施進行安全防范，有效確保網(wǎng)絡(luò)與信息的防攻擊性、防篡改性和防泄漏性。

在網(wǎng)站及信息安全保護方面，同樣利用防火墻入侵防御系統(tǒng)預(yù)置了部分安全策略，對常見的網(wǎng)站攻擊行為進行防御。由專人對數(shù)據(jù)庫和系統(tǒng)日志按天進行多時間段、多介質(zhì)查看與備份。網(wǎng)站后臺程序具有嚴格的權(quán)限劃分，方便用戶登入后臺進行不同的操作，同時設(shè)立了嚴格的二級網(wǎng)站建設(shè)規(guī)范，以統(tǒng)一標準對各子網(wǎng)站群進行管理，確保二級網(wǎng)站的健康發(fā)展，確保信息的審核以及數(shù)據(jù)的安全性。同時定期對網(wǎng)站安全系統(tǒng)開展風(fēng)險評估、安全測評等工作，減少安全隱患，提高應(yīng)急處理能力，確保網(wǎng)站安全系統(tǒng)持續(xù)穩(wěn)定運行。

在信息發(fā)布審核方面，學(xué)院制訂了詳細周密的校園網(wǎng)信息管理辦法，嚴格規(guī)范了信息的撰寫、發(fā)布和審核工作；設(shè)置網(wǎng)站編輯專崗，負責(zé)網(wǎng)站信息審核和不良信息處理工作，配備后臺技術(shù)權(quán)限，全校各院部對門戶網(wǎng)站的信息報送與上傳需經(jīng)主、副編輯的二次審核后才能刊登。學(xué)院還建立了完善的網(wǎng)絡(luò)信息安全監(jiān)管體制，與市網(wǎng)監(jiān)支隊建立了協(xié)查機制，定期將規(guī)定的信息及關(guān)鍵字對網(wǎng)站內(nèi)容加以審查過濾，校內(nèi)由專人全面負責(zé)信息安全與監(jiān)控工作，對學(xué)院內(nèi)部、外部網(wǎng)站信息進行定期監(jiān)控和備份，將各類不良信息在第一時間向?qū)W院匯報并妥善處理。

1.4 防患未然，建立完善的網(wǎng)絡(luò)與信息安全工作應(yīng)急處置和通報機制

學(xué)院制訂了專門的網(wǎng)絡(luò)安全與信息保密工作日常監(jiān)測預(yù)警機制，遵循“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類突發(fā)網(wǎng)絡(luò)與信息安全事件和可能引起突發(fā)事件的有關(guān)信息的收集匯總、分析判斷和持續(xù)監(jiān)測，同時明確應(yīng)急處置流程和權(quán)限，對重大網(wǎng)絡(luò)與信息安全事件建立處置和報告制度。該項安全應(yīng)急預(yù)警機制由現(xiàn)代教育技術(shù)中心負責(zé)統(tǒng)籌，專職人員負責(zé)具體實施，全體技術(shù)人員作為技術(shù)支撐。如遇突發(fā)安全事件，將在第一時間采取應(yīng)急措施控制事態(tài)發(fā)展，降低損害程度，保存相關(guān)記錄，并根據(jù)安全事件的嚴重程度及時上報主管領(lǐng)導(dǎo)與有關(guān)部門，做到應(yīng)急處置迅速、報告及時。

網(wǎng)絡(luò)輿情監(jiān)測系統(tǒng)對涉及我院的互聯(lián)網(wǎng)輿情進行重點監(jiān)測，對重點網(wǎng)站實施重點監(jiān)管，保證及時性和準確性，提高分析網(wǎng)絡(luò)信息問題的能力。對網(wǎng)絡(luò)信息活動進行有效管理，實現(xiàn)早發(fā)現(xiàn)、早報告、早處理，減少互聯(lián)網(wǎng)不良信息的傳播，凈化網(wǎng)絡(luò)宣傳環(huán)境，維護網(wǎng)絡(luò)信息傳播秩序。

學(xué)院還定期進行網(wǎng)絡(luò)與信息安全檢測與自查，落實和完善安全措施，及時掌握網(wǎng)絡(luò)與信息系統(tǒng)安全狀況，認真查找安全隱患，堵塞安全漏洞；同時定期舉辦網(wǎng)絡(luò)與信息安全事故應(yīng)急演練，進一步提高網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急能力和突發(fā)事件的應(yīng)急處置能力，建立健全網(wǎng)站與信息安全保障機制。

1.5 持續(xù)給力，加強網(wǎng)絡(luò)安全管理隊伍建設(shè)，不斷增強網(wǎng)絡(luò)與信息安全防護能力

學(xué)院致力于建立多層次的網(wǎng)絡(luò)與信息安全技術(shù)防護體系，加大投入力度，尤其是按需不斷更新基礎(chǔ)硬件配備，提升防御系統(tǒng)性能，構(gòu)建可信、可控、可查的網(wǎng)絡(luò)與信息安全技術(shù)防護環(huán)境，為網(wǎng)絡(luò)與信息安全提供可靠的、強有力的保障。同時推進網(wǎng)絡(luò)與信息安全等級保護制度，按照國家與教育行業(yè)有關(guān)標準規(guī)范與工作要求，對已有以及新建的各項安全系統(tǒng)進行定級與備案，并定時進行等級測評，加強安全防護措施的建設(shè)。

另外，學(xué)院不斷加強網(wǎng)絡(luò)與信息安全管理隊伍和技術(shù)隊伍建設(shè)［3］，開展面向全員的專業(yè)培訓(xùn)，落實崗位責(zé)任制和考核機制。

目前，學(xué)院第一批核心信息系統(tǒng)等級保護定級測評工作已由相關(guān)公司完成相關(guān)流程，學(xué)院博達網(wǎng)站群管理平臺、教務(wù)網(wǎng)絡(luò)管理系統(tǒng)、天財財務(wù)管理平臺和校園一卡通系統(tǒng)安全等級測評結(jié)果均為第二級（S2A2G2）。

2 網(wǎng)絡(luò)信息安全面臨的問題

2.1 物理安全問題

機房出入口未安排專人值守；漏水防護措施不完善；機房未配備自動消防系統(tǒng)；來訪人員未登記審批記錄；機房未配各專用精密空調(diào)對濕度進行控制；未對存儲介質(zhì)進行分類標識；系統(tǒng)主要設(shè)備未設(shè)置標簽標記。

2.2 網(wǎng)絡(luò)安全問題

系統(tǒng)網(wǎng)絡(luò)未部署入侵檢測設(shè)備；系統(tǒng)未采取措施對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查；身份鑒別機制不完善；網(wǎng)絡(luò)設(shè)備出口網(wǎng)關(guān)、流量控制、匯聚交換機未采用加密方式進行遠程管理［4］；網(wǎng)絡(luò)設(shè)備出口防火墻、出口網(wǎng)關(guān)、服務(wù)器接入交換機、匯聚交換機未啟用登錄失敗處理功能；出口防火墻、出口網(wǎng)關(guān)、流量控制等設(shè)備未對遠程管理地址進行合理限制；網(wǎng)絡(luò)設(shè)備服務(wù)器接入交換機與匯聚交換機未提供身份鑒別功能。

2.3 數(shù)據(jù)安全及備份恢復(fù)問題

核心網(wǎng)絡(luò)設(shè)備、關(guān)鍵鏈路等關(guān)鍵設(shè)備存在單點故障；應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫未對重要數(shù)據(jù)進行加密存儲；操作系統(tǒng)未對重要數(shù)據(jù)進行備份［5］；系統(tǒng)未采用密碼技術(shù)進行通信完整性驗證。

3 改進措施與整改效果

3.1 改進措施

3.1.1 物理安全措施

在機房出入口加強門禁管理，對出入人員進行控制和登記；在空調(diào)設(shè)備及可能出現(xiàn)漏水隱患的區(qū)域周邊增設(shè)防水堤，安裝浸水報警裝置，以降低因漏水、積水對信息設(shè)備造成的影響；定期檢查機房專用滅火器；建立有效的外來人員進入機房的審批記錄表；配備機房精密空調(diào)進行濕度控制，濕度45%～65%；為各存儲介質(zhì)進行分類標識；為系統(tǒng)內(nèi)所有重要設(shè)備及通信線纜設(shè)置明顯的不易去除的標簽。

3.1.2 網(wǎng)絡(luò)安全措施

考慮在系統(tǒng)中部署網(wǎng)絡(luò)入侵檢測設(shè)備，對可能潛在的攻擊行為進行檢測并報警；考慮架設(shè)能夠檢測內(nèi)部用戶非法外聯(lián)行為的設(shè)備或采取其他同等效力的監(jiān)控措施，對違規(guī)外聯(lián)行為進行檢查和阻斷；為系統(tǒng)增加口令復(fù)雜度檢查及限制功能，加強系統(tǒng)在身份鑒別機制方面的安全防護能力；采用安全的方式（如SSH、HTTPS等）對網(wǎng)絡(luò)設(shè)備出口網(wǎng)關(guān)、流量控制、匯聚交換機等設(shè)備進行遠程管理；啟用網(wǎng)絡(luò)設(shè)備如出口防火墻、出口網(wǎng)關(guān)、服務(wù)器接入交換機、匯聚交換機登錄失敗處理功能，并設(shè)置合理的參數(shù)；設(shè)置出口防火墻、出口網(wǎng)關(guān)、流量控制等設(shè)備遠程管理地址限制，其顆粒度應(yīng)達到主機級。

3.1.3 數(shù)據(jù)安全及備份恢復(fù)安全措施

遠期考慮對核心網(wǎng)絡(luò)設(shè)備、關(guān)鍵鏈路、核心服務(wù)器均采用冗余設(shè)計［6］；考慮對系統(tǒng)管理數(shù)據(jù)、鑒別信息及重要業(yè)務(wù)數(shù)據(jù)采用經(jīng)國家密碼主管部門認可的密碼技術(shù)，保證其在存儲過程中數(shù)據(jù)的私密性；對操作系統(tǒng)數(shù)據(jù)每天至少完全備份1次，并將備份介質(zhì)場外存放，此外還應(yīng)定期對備份文件進行恢復(fù)測試，確保備份文件有效［7］；考慮對重要數(shù)據(jù)采用經(jīng)國家密碼管理局認可的密碼技術(shù)，保證通信數(shù)據(jù)的完整性。

3.2 整改效果

經(jīng)過開展自查工作和學(xué)院第一批核心信息系統(tǒng)等級保護定級測評工作，學(xué)院預(yù)計將在以下幾個方面達到一定的網(wǎng)絡(luò)安全管理整改效果：一是完善網(wǎng)絡(luò)安全管理制度建設(shè)，加強網(wǎng)絡(luò)安全從業(yè)人員的網(wǎng)絡(luò)安全培訓(xùn)，進一步提高系統(tǒng)管理員、信息安全員的信息安全防范意識；二是核實學(xué)院自查情況，按照學(xué)院信息安全風(fēng)險級別和智慧校園建設(shè)進度合理安排查缺補漏進度，杜絕高風(fēng)險隱患，降低中風(fēng)險比例，控制低風(fēng)險比例。