2015 高校网络信息安全调研报告
教育行业面临着日益增长的网络安全威胁和信息安全挑战,形势严峻。为了联合全国高校的力量,携手应对,中国高等教育学会教育信息化分会成立了网络信息安全工作组。为进一步摸清各高校安全现状,了解对工作组未来组织开展各项工作的期望,特面向全国高校信息化部门发起本调查。调查起止时间为 7月20 ~ 26日,结果将作为网络信息安全工作组工作规划的重要参考。调查共回收有效问卷134份,覆盖全国106所高校。
本次调查主要分三部分内容,以下分别进行统计解读。
问题1:您所在高校位于全国哪个地区?
图1 调查反馈学校分布地区
从图1看出,华北、华东、东北、西北、西南、华中、华南的一百余所学校都进行了响应,调查结果具有代表性。其中华北、华东、东北、西北、华南的反馈比较积极,西南、华中反馈学校略少。
问题2:您所在高校是否开设安全相关专业?学生人数大致为多少?
如图2所示,大部分学校都开设有计算机和软件工程专业,并且学生众多,开设信息安全专业的学校占本次调查总数的47.8%,学生规模也相对其他专业较少。
图2 信息安全专业开设情况和学生规模
问题3:您所在高校专业从事网络管理和信息化工作的部门总人数大约是多少?
如图3所示,有62%的高校网络管理和信息化部门人数在20人以内,规模普遍不大,只有14%的团队超过40人。
图3 从事网络管理和信息化工作的部门总人数情况
问题4:您所在高校的网络管理和信息化工作部门中从事安全工作(占其工作量超过50%)的人员有多少?
图4 高校从事安全工作人员情况
如图4所示,71%的高校偏重安全工作的人员投入都不到2人,甚至有16%的高校缺失安全人员。不过也存在个别比较重视的高校,安全人员投入力量较大,但从全国总体来看普遍偏低。
问题5:您所在高校近年在网络信息安全方向的总资金投入大约是多少?
从近三年发展趋势上看,各校安全投入资金力度在普遍逐年增加,如图5所示。
图5 2015年各校网络信息安全投入统计
问题6:您所在高校信息化部门是否明确设立了网络信息安全岗位?
仍然有41%的高校由于各种原因,缺失信息安全岗位,如图6所示。
图6 高校信息化部门设立网络信息安全岗位统计
问题7:您所在高校信息化部门是否明确了专门的网络信息安全负责团队?
已经有24%的高校有相应职能部门甚至专门安全部门来系统处理安全问题,但还是要看到38%的学校仍然缺失安全团队,如图7所示。
图7 高校设立专门的网络信息安全负责团队情况
问题8:您所在高校具体从事信息安全的主要人员来源于以下哪几方面?
大部分人员都是由于工作需要而兼做相应安全工作,真正信息安全专业科班出身的比例并不高,NOC和系统管理出身来搞安全的人员比例很高,如图8所示。
图8 从事信息安全的主要人员来源情况
问题9:您所在高校是否对信息系统(业务)或信息资产(数据)进行登记和安全普查?
还是有相当部分学校没有做到位,如图9所示。
图9 高校对信息系统(业务)或信息资产(数据)进行登记和安全普查情况
问题10:您所在高校的安全投入方向是?(1为很少投入,5为重点投入)
表1 高校的安全投入情况
见表1,对这些数据的解读仁者见仁,智者见智。安全是一个体系,不是仅靠一批硬件或者一些软件就可以解决的,但大部分高校的投入重点还在硬件上。怎么建设一套符合高校真实需求的安全架构体系,更加均衡的进行合理投入,需要深思。
表2 高校安全投入情况统计
问题11:您所在高校已经在以下哪些方向进行了安全投入?
见表2,安全涉及到方方面面,根据信息资产的重要程度进行相应设防,需要一个纵深防御体系,各方面的工作都作为重要一环,互为补充。对各种安全系统不能简单地拿有无作为标准,而要用是否可以良好运营去衡量,让大多数高校满意的选择还是不多。
问题12:您个人认为(不代表高校意见)以下方向的重点建设对网络信息系统的安全性提高帮助如何?(1为几乎没有帮助,5为有很大帮助)
见表3,很多高校都已认识到安全的未来发展方向,但是有不少现实的困难阻碍实现。这就需要全国各高校联手合作,取长补短,实现共赢。
表3 对高校网络信息系统的安全性有提高帮助的方向
问题13:您所在高校是否有全员安全教育培训体制?
一方面安全要加强可见性,另一方面安全意识的普及要成为常态工作,如图10所示。
图10 全员安全教育培训体制情况
问题14:您所在高校的软件正版化推进是否有落实?
图11 软件正版化推进情况
问题15:您所在高校在以下采购选型中是否会考虑国产化因素?
表4 采购选型中是否会考虑国产化因素
问题16:您所在高校的信息系统等级保护工作开展情况为?
图12 高校的信息系统等级保护工作开展情况
问题17:您所在高校的各类安全规范和制度制定及执行情况如何?
表5 高校的各类安全规范和制度制定及执行情况
制度固然重要,但是不落实和没有没什么区别,见表5。
问题18:您所在高校的重要信息系统是否做过安全渗透测试?对于核心业务系统,还是建议去做,如图13所示。
图13 安全渗透测试情况
问题19:您所在高校是否已经在各类漏洞平台注册并关注涉及本校网络信息系统的漏洞信息?
表6 各类漏洞平台注册情况
建议花精力关注安全漏洞,见表6。
(本报告出自中国高等教育学会教育信息化分会网络信息安全工作组,有删减)