王改花,傅钢善,李享阳
1陕西师范大学新闻与传播学院,西安710062;2陕西省教育厅,西安710061
随着教育信息化的发展,尤其是普通高校数字校园建设的蓬勃发展,高校信息网络安全问题已成为目前我国信息网络安全保护管理工作的重要组成部分。公安部网络安全保卫局每年均会发布全国信息网络安全状况与计算机病毒疫情调查报告。为进一步落实公安部等四部委《关于印发<信息安全等级保护管理办法>的通知》[1]精神,教育部在2011年工作要点中提出了“做好教育系统网络信息安全保障工作”的要求[2]。从目前发表的文献来看,关于高校信息网络安全的调查甚少,而开展此项调查工作,对推进高等教育安全防范工作具有重大现实意义。因此,该文从信息网络安全测评或认证等级、覆盖范围、安全事件、安全措施、存在的问题、安全管理等六个方面对陕西省高校信息网络安全现状进行分析,最后根据调查数据,提出了具体的建议。
此次问卷调查对象是陕西省教育系统下属的普通高校,包括普通高等院校、成人高等学校、独立学院、厅属中专学校。截至2011年10月,陕西省普通高等院校共78所、成人高等学校共17所、独立学院共12所、厅直属中专学校共4所。
调查方法是将调查问卷作为陕西省教育厅办公室文件(陕教保办[2011]1号)的附件部分,由各学校信息网络安全责任部门负责人根据本学校实际情况如实填写,并于2011年10月20日前将书面文档与电子文档报省教育厅信息与学校保障工作处。
调查问卷的设计参考了公安部网络安全保卫局发布的“2010年全国信息网络安全状况暨计算机病毒疫情调查问卷”[3],并进行了适度修改。调查内容主要包括陕西省高校信息网络安全的基本情况、测评或认证等级、覆盖范围、安全事件、安全措施、存在的问题、安全管理现状。
调查时间是2011年10月,共回收问卷80份,有效问卷78份。其中,普通高等院学校62份(占79.5%)、成人高等学校4份(占5.1%)、独立学院8份(占10.3%)、厅直属中专学校4份(占5.1%)。
根据公安部《计算机信息系统安全保护等级划分准则》将信息系统的安全保护等级分五级[4]。调查结果显示,截至2011年10月,陕西省高等教育系统只有35.9%的学校进行过信息网络安全测评,其中认证等级为一级的占17.9%,二级的占12.8%,三级的占1.3%,四级的占2.6%,五级的占1.3%。可以看出:进行过信息系统安全等级测评的学校相对较少,主要集中在一级与二级,少数学校的测评等级并不准确,尤其是三级及以上的系统。
陕西省高校信息网络安全的覆盖范围不均衡,主要集中在教学领域(占94.9%),其次是管理领域(占74.4%),而科研和生活服务领域的覆盖率相对较低。以上四方面内容均覆盖的学校占37.2%,其中高等院学校占33.3%。数据表明,普通高等院校覆盖范围与总体情况基本一致,其他类型学校在科研和生活服务方面相对较低(如图1所示)。
图1 信息网络安全覆盖范围统计图
从发生网络安全事件的次数分析,2010-2011年,33.3%的被调查学校发生过网络安全事件,普通高等院校发生网络安全事件的频次明显高于其他类型学校(如图2所示)。
图22010 -2011年发生网络安全事件次数统计图
从发生网络安全事件的类型分析,陕西省高校信息网络安全事件类型繁多,其中主干网络中断和BT下载造成网络拥堵最为突出,均占41.6%;其次是出现大量木马及病毒、网页被篡改、垃圾邮件、DNS不稳定等方面。其中,普通高等院校的情况与总体情况基本一致;其他类型学校主要是主干网络中断(占同类学校的50%),其他方面所占比例均低于总体水平,相对普通高等院校表现良好(如图3所示)。
图3 网络安全事件类型统计图
从网络安全事件发现途径分析,通过技术监测手段发现为主(占73.1%),其次是通过事后分析发现、有关部门通知后发现、通过网络安全产品报警发现。其中普通高等院校的情况与总体情况基本一致;在事后分析发现方面,其他类型学校做的明显要好于普通高等院校(如图4所示)。
图4 网络安全事件发现途径统计图
调查数据表明,陕西省高校信息网络安全事件总体状况良好,但是人为因素造成的网络安全威胁层出不穷,技术监测手段在处理网络安全事件中起到了重要的作用。独立学院、成人高等学校、厅直属中专学校现状略优于普通高等院校。
从网络安全建设专项资金投入分析,66.7%的学校有专项资金投入,87.5%的独立学院、成人高等学校、厅直属中专学校有专项资金投入,61.3%的普通高等院校有专项资金投入。
从采取的网络安全技术措施分析,各学校对信息网络安全工作均有所关注,且大部分学校能够采取多项技术措施来保障本校的信息网络安全,调查结果如图5、图6所示。
图5 各层次学校采取的网络安全技术措施统计图
由图5可以看出,各学校信息网络安全技术水平层次不齐,从采取1种技术措施到采取12种技术措施的学校均有。其中采取6、7、10种技术措施的学校相对较多,分别占14.1%、17.9%、14.1%。普通高等院校的情况与总体情况基本一致,而其他类型学校的网络安全技术水平差异比较大。
由图6可以看出,被调查学校在信息网络安全方面采用较多的技术和手段是数据备份(占85.9%)、防火墙(占85.9%)、防病毒(占78.2%)、制定安全管理规章制度(占76.9%)、访问控制(占71.8%);采用较少的技术和手段是数字证书、定期进行安全风险评估、入侵检测、加密、系统安全加固、漏洞扫描。普通高等院校的情况与总体情况基本一致;而其他类型学校在制定应急处置预案和措施、定期进行安全风险评估、访问控制、审计日志方面要明显低于普通高等院校。
图6 各层次学校采取的网络安全技术措施统计图
调查数据表明,陕西省高校信息网络安全技术措施水平层次不齐,专项资金投入有待进一步加强。要针对不同学校的现状,有针对性地加大专项资金投入,完善信息网络安全保护技术措施,尽可能采取多种技术措施进行信息网络安全保护。
从信息网络安全存在的问题分析,各学校存在的问题各不相同。主要问题是用户安全意识和观念薄弱(占67.9%),网络安全管理人员数量不足、缺乏培训(占61.5%),网络安全保护资金投入不足(占61.5%)。普通高等院校情况与总体情况基本一致,其他类型学校情况与普通高等院校相比要相对乐观(如图7所示)。
被调查学校均设有信息网络安全责任部门。其中60.5%的学校有主管信息网络安全的专门工作部门(如网络中心、教育技术/电教中心、信息中心、信息化办公室),其余的学校主要由党政办公室、教务处、实验教学中心、办公室等部门兼管;其中70.1%的普通高等院校有专门的工作部门,仅有12.5%的独立学院、成人高等学校、厅直属中专学校有专门的工作部门。调查数据表明,独立学院、成人高等学校、厅直属中专学校在这方面做的明显不足。
图7 网络安全存在的问题统计图
被调查学校责任部门专业技术人员平均数量为5人,最少1人,最多14人。其中普通高等院校专业技术人员平均数量为5人,其他类型学校专业技术人员平均数量为3人。
从信息网络安全管理制度分析,29.5%的学校已经制定并实现了相应的制度;47.4%的学校正在规划并初步实现相应的制度;16.7%的学校正在规划,但并没有实现相应的制度;仅有6.4%的学校暂无这方面的规划。
从网络安全管理人员分析,91%的学校设立了网络管理员岗位;61.5%的学校设立了系统管理员岗位;52.6%的学校设立了安全管理员岗位;其中69.2%的学校有专职安全管理员(非兼任网络管理员、系统管理员、数据库管理员等)。各类学校情况与总体情况基本一致(如图8所示)。
图8 安全管理岗位统计图
调查数据表明,陕西省高校信息网络安全管理现状还处于发展阶段,安全管理问题不容忽视,仍然存在一些问题,如部分学校没有专门的工作部门,专业技术人员不足,没有专职网络安全管理人员,安全管理制度不健全等。
①“安全管理制度”与“安全技术措施”、“安全管理人员”呈正相关,与“安全事件发生频率”、“网络安全存在的问题”呈负相关,相关系数分别为0.471(且双侧显著性水平为0.000<0.05,很显著)、0.300(且双侧显著性水平为0.008<0.05,很显著)、-0.334(且双侧显著性水平为0.003<0.05,很显著)、-0.268(且双侧显著性水平为0.018<0.05,很显著)。即该学校信息网络安全管理制度越完善,其采取的安全技术措施手段就越多,专职安全管理人员数量越多,发生安全事件的次数越少,网络安全存在的问题也越少。
②“专项资金投入”与“安全管理人员”之间的相关系数为0.245(且双侧显著性水平为0.031<0.05,很显著),二者呈轻度正相关,与其他几个变量没有显著关系。即有专项资金投入的学校,其专职安全管理人员数量越多。
③“安全技术措施”与“安全事件发现途径”呈正相关,与“网络安全存在的问题”呈负相关,相关系数分别为0.366(且双侧显著性水平为0.001<0.05,很显著)、-0.235(且双侧显著性水平为0.039<0.05,很显著)。即该学校采取的信息网络安全技术措施越多,其发现安全事件的途径越多,网络安全存在的问题越少。
以上数据表明,安全管理制度是关键,直接影响网络安全的各个方面;专项资金投入是保障,会影响网络安全管理人员队伍,从而间接地影响信息网络安全;安全技术措施是核心,是技术保障,会直接影响网络安全的实际情况。因此,当务之急是要尽快规划并实施安全管理措施,增加专项资金投入,从而完善安全技术措施,进一步改善信息网络安全现状。
目前陕西省高校信息网络安全整体上基本良好,但是仍然存在一些问题。如:一半以上的学校未进行网络安全等级的定级、备案和测评工作,部分学校采取的信息网络安全技术措施不够全面、没有制定安全管理制度、没有专职网络安全管理人员、用户安全意识和观念薄弱、网络安全保护资金投入不足等。由此引发了一些网络安全事件,对高校信息网络安全造成了威胁,信息网络安全现状不容忽视。如何提高陕西省高校信息网络安全,建议从以下几方面入手:
全面开展教育系统信息系统的定级、备案和测评工作[5]。组建信息安全等级保护专家组,开展教育信息系统定级咨询、风险评估、等级测评和系统安全监测等工作。尤其要对第三级及以上信息系统进行重测,对于定级不准确的,应重新定级和备案[6];对于安全等级较低的学校,要给予指导性建议,责令其尽快整改,达到最基本标准。
“三分技术,七分管理”是网络安全的要领。因此,定期开展信息网络安全高级管理培训,增强主管部门领导的信息安全保护意识,对于目前还没有建立专门责任部门的学校要尽快建立专门的责任部门,落实信息安全责任制,独立学院、成人高等学校、厅直属中专学校在这方面要尤其加强;增加专项资金投入,把信息网络安全建设、运维经费列入学校的财政预算;落实专职网络安全管理人员岗位,建立全省信息安全管理人才培训基地,并积极开展网络安全管理人员的相关技术培训,实现信息安全岗位持证上岗;建立并落实信息网络安全监督检查评估机制,定期对各项制度的落实情况进行自查和监督检查[7],从而建立健全高校信息网络管理保障体系。
严格参照《信息系统安全等级保护基本要求》[8]、《信息系统安全等级保护实施指南》[9]、《信息系统等级保护安全设计技术要求》[10]等标准规范要求,结合高等教育信息系统特点和网络安全需求,制定全省教育系统统一的网络运行、网络安全、数据安全等规章制度和技术保障措施。各单位根据实际情况,分步骤、分层次地完善信息安全技术保障措施建设工作,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,尽可能采取多种技术措施进行信息网络安全保护,尤其要加强入侵检测、加密、系统安全加固、漏洞扫描、数字证书等技术,从而建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
建立和完善高等教育系统信息网络安全检查评估机制和激励机制。开展数字化校园示范工程,定期对校园网信息网络安全进行绩效考评,把信息网络安全工作纳入各学校教育信息化评估指标,切实推进高校信息网络安全工作。
信息网络安全并不是网络管理人员个人的事情,信息网络安全存在的主要问题是用户安全意识和观念薄弱。因此,积极地采取措施提高网络用户的安全意识与普及网络安全常识是当务之急。
[1]公安部等关于印发《信息安全等级保护管理办法》的通知[EB/OL].http://www.gov.cn/gzdt/2007-07/24/content_694380.htm
[2]教育部2011年工作要点[EB/OL].http://www.moe.edu.cn/publicfiles/business/htmlfiles/moe/moe_164/2011 02/114836.html
[3]国家计算机病毒应急处理中心.2010年全国信息网络安全状况暨计算机病毒疫情调查问卷[EB/OL].http://www.antivirus-china.org.cn/
[4]GB17859-1999,计算机信息系统安全保护等级划分准则[S]
[5]教育部办公厅关于进一步加强网络信息系统安全保障工作的通知[EB/OL].http://dengbao.moe.edu.cn
[6]陕西省教育厅关于开展教育信息系统安全等级保护工作的通知[EB/OL].http://www.sndjbh.net/tzgg/80.html
[7]关于印发《陕西省信息安全等级保护安全建设整改工作指导意见》的通知[EB/OL].http://www.sndjbh.net/tzgg/95.html
[8]GBT22239-2008,信息安全技术信息系统安全等级保护基本要求[S]
[9]GBT25058-2010,信息系统安全等级保护实施指南[S]
[10]GBT25070-2010,信息系统等级保护安全设计技术要求[S]