高校信息安全风险评估意识整体薄弱

文/高宁

高校信息安全风险评估意识整体薄弱

文/高宁

2014年和2016年，在教育部科技发展中心组织的“高等教育信息化发展状况调研活动”中，两次均参与的96所高校调查数据分析结果显示，

2014 年和 2016 年，教育部科技发展中心面对全国高校信息化现状进行调研， 两次均参与 96 所高校，涵盖七大地区，涉及 985/211 高校、一般本科院校、高职高专院校三大类别学校。本文从高校网络与信息安全机制体制建设，高校网络与信息安全管理以及高校网络与信息安全队伍建设三方面进行分析与对比，探究高校网络与信息安全建设存在的问题，引领高校信息安全今后的发展方向。

高校网络与信息安全机制体制建设

信息安全建设是一个整体组织协调的过程，涉及责任部门设置、各部门间统筹协调、安全问题解决机制、信息安全预防措施、信息安全评估测试等一系列环节。高校应该注重信息安全顶层设计，制定信息安全相关政策与制度；确立信息安全负责部门，责任到人；加强各部门间统筹协调，高效、有序解决突击问题；完善预测评估机制，做到防患于未然。

1. CIO 机制与管理模式尚未确立

从图1中可以看出，绝大多数高校大多由校长、副校长以及网络部门负责人分管学校信息安全管理，绝大多数高校并未形成 CIO 职能与管理模式。两次调研中发现，在 96 所高校中由 CIO 负责信息安全管理工作的不到 10人，网络工程师负责信息安全的仅占2人。由此看出，建立网络安全责任制，设立相应的办事机构，做到责任到人已势在必行。

图1 高校负责信息安全的最高职位统计 ( 单位：所）

2.信息安全管理制度初见成效

从图2中可以看出，两年对比中，96所高校在安全管理制定方面有所提升，2016 年已经有 50 所高校制定并实施信息系统的数据安全管理制度，比 2015 年增加了不到十个百分点，接近三分之一的高校处于正在规划并逐步实施的阶段，暂无这方面规划的在 2016 年调研中有0所学校，这充分体现了信息安全管理已经上升到制度层面。虽然高校网络与信息安全意识有所提升，但是信息安全管理工作以及高校关于信息安全的制度建设并没有落实，信息安全机构设置、人员配备、制度建设、技术支撑以及预防工作等始终是高校信息安全建设的重要环节。

图2 信息系统的数据安全管理制度制定情况对比 ( 单位：所）

3.高校信息安全相关政策制定

信息安全政策与制度对于高校的信息安全发展提供了规范以及约束，但是目前我国高校在信息安全政策建设方面相对薄弱。从图3可以看出，调研高校的信息安全政策多集中于要求所有关键系统都要及时打补丁做软件升级，有能力对违反学校规定、影响网络服务的设备所在区域进行断网方面，从两年数据对比发现高校在主动对关键系统扫描已知安全漏洞的重视程度有了很大提升，但是还有很多盲区需要进一步落实，如 DNSSEC 部署；在签订宿主服务之前都要做安全评估；要求学校拥有的所有移动设备都要加密；主动对全校上网的个人计算机扫描已知漏洞等方面的工作还有欠缺，另外，2016 年调研中仍有 11 所高校尚未制定与安全保密相关的政策。总体来看，我国高校信息安全相关政策制定并不完善，还应加强重视。

图3 高校信息安全建设采取哪些政策 ( 单位：所）

图5 高校无线网络身份认证对比（内环：2016 年，外环：2014 年）

安全管理控制技术措施的分析

信息技术的日新月异、更新迭代为高校信息化安全管理提供了技术保障。在两次的调研中发现，总体上具有一定的吻合性与延续性。目前各高校采用的信息安全手段多集中于身份认证、防火墙、网络实时监测三个方面。从图4中我们也可以看到目前各高校对于信息安全都颇为重视，而且信息安全防护的手段也趋于多样化，各项防护手段非常明确。在 2016 年的调研中可以发现，高校乐于接受新技术如漏洞扫描、备份容灾、审计日记、授权访问及各级准入控制等，并且各项信息安全管理技术的采用在之前基础上都有所提升。

1.高校网络身份认证技术

从图5中可以看出，高校无线网络身份认证已逐步普及，两年的数据对比中发现 985/211 院校、高职高专院校以及一般本科院校在无线网络身份认证方面都有很大提升，其中 985/211 院校、高职高专院校中实现无线网络身份认证的已达到八成。

在 2014 年的调研中发现，身份认证技术采用情况极其不好，大部分身份认证技术均未采用，仅有不到三分之一的高校广泛采用 PKI技术。不到 20% 的高校部分采用的身份认证技术分别是 PKI、电子签名、生物特征识别（如图6）。图7显示，智能卡技术已被采用的高校占到三分之一，近两年内，高校计划采用的技术为双重认证、电子签名和智能卡，从中得出了高校对身份认证技术的偏爱情况以及未来的发展趋势。

图4 高校在信息化安全管理方面总体工作对比 (单位：所）

图7 身份认证技术采用情况（2016 年， 单位：所）

图8 高校网络访问的用户认证方式（单位：所）

2.用户认证方式

从图8可以看出，96所高校均对无线网络有着较强的管理意识，大多数高校访问其无线网络都需要用户进行认证，有七成以上的学校全校范围内的无线网访问需要用户认证，并且超过一半的学校在用户接入时就需要用户认证（包括有线、无线），但是从两年的对比中发现，2016 年高校对用户认证的重视相比 2014 年有所下降。

3.网络管理产品采用情况

从图9中可以看出，目前流量管理和上网认证系统成为了高校进行网络管理的主流产品，在此基础上各高校选择网络管理产品也呈现多样化的特点，对于IDS/IPS、网络监控、智能 DNS 都有着一定比例的使用。采用智能 DNS 以及 CIDS/IPS 的高校虽然与 2014 年相比有了提高但是总量还是很少，仅占不到总体的三分之一，这说明高校网络管理产品更新迭代步伐缓慢。

4. 安全方案采用情况

图9 高校网络管理产品采用情况对比

图10 高校在各数据区域采用的安全方案（2014， 单位：所）

图11 高校在各数据区域采用的安全方案（2016， 单位：所）

随着云计算、大数据、机器学习等技术的风起云涌，各高校通过自建、运营商全权负责以及与运营商共建等方式已建立数据管理平台，但是大部分高校存在“重建设、轻维护”现象明显。从两年的调查数据中显示，高校采用的安全方案更加多样化，防火墙、IPS、ACL 已被广泛采用，而 UTM、DLP、NAC 被采用的比例较低，2014 年调研中发现 96 所高校中有 0 所采用 DLP（如图10）；从图11 可以看出，防火墙、IPS、ACL 虽然所占比例较高，但是相比2014年有下降的趋势，而UTM、DLP、NAC有所上升，高校在各数据区域采取的安全方案呈多样化发展趋势。

5.信息安全风险评估工作

图12 高校信息安全风险评估工作对比（单位：所）

信息安全风险评估是信息安全有效预防方式之一，从两年的调研数据可以看出，高校对信息安全风险评估的重视程度有了很大提升。从图12 中看出，在 2016年的调查中，已有 49所高校对核心管理系统和数据有相应的评估，仅有三成左右高校对中央 IT 系统和架构、科研系统和数据以及教学系统和数据三方面接受过信息安全风险评估，另外仍有两成左右高校还没有做过这方面的风险评估，由此可以看出，高校信息安全风险评估意识整体薄弱，亟待提升。

信息安全队伍建设现况与改善

高素质信息安全队伍是信息安全建设的智力支撑，建设一支技术精湛、富有创新的高精端信息安全人才队伍是高校网络与信息安全建设体系的重中之重。高校在信息安全人才培养中应坚持引进、培养、管理相结合的建设方式，在培养过程中不断提高整体的信息安全意识，增强信息安全相关技术了解与应用，逐步形成良性的发展模式。

1.高校网络与信息安全意识有待提升

从图13 得知，96 所高校中超过一半的安全评测认证等级是二级， 2014 年有 65.17% 的高校尚未进行信息安全评测，在 2016 年信息安全评测的比例有所下降，从两年的数据对比来看，2016 年高校信息安全认证工作有了很大提升，高校网络与信息安全意识有所改善，但是总体上看，各高校对信息安全测评意识还是相对单薄，加强高校师生的信息安全风险意识不可懈怠。

图13 高校信息安全测评或认证等级对比

2.高校信息安全工作人员培养不到位

高校信息安全人才队伍建设不仅要在人才引进环节进行严格把控，更要注重信息安全队伍的培养工作。从图14中可以看出，高校要求信息安全工作人员必须参加相关培训并获得证书的比例在 2016 年有所下降，而要求其参加关键培训但不要求证书的比例达到52.08%，从中可以看出，高校对信息安全工作人员的培养重视程度较低，这也造成了培训流于形式的现象严重。

讨论与建议

1. 继续增强高校信息安全意识

图14 信息安全工作人员资质对比

随着云计算、数据挖掘、机器学习等技术与教育的融合，高校信息化进程的不断推进，高校领导以及管理部门应该矢志不渝地高度重视信息网络与安全问题，把网络安全提升到关系学校一流大学建设战略高度上来把握、布置工作，加强统筹规划，抓好各项制度和措施的落实；将学校网络与信息安全责任落实到各个部门，形成责任到人、即时补救机制；技术部门加强学校网络与信息安全监控、治理、防患工作相统一，主动检测系统漏洞，及时补救。最后，加强高校师生信息安全风险意识也是始终不容忽视的问题。

2.加强信息安全制度建设与顶层设计

从总体上看，目前高校在信息安全建设方面责任不明确，缺乏统筹与顶层设计。在今后的信息安全建设中，不断完善信息安全制度，设立信息安全专门机构以及专业负责人，做到责任到人。加强各部门之间的沟通与协调，加快解决问题的步伐，此外高校应注重信息安全的预测与评估机制的建设，加强对信息网站的备案与监管，信息安全负责人定期进行安全评估，及时修补系统及网站中存在的漏洞。

3.加强信息安全人才队伍建设

高校信息安全人才队伍建设是高校网络与信息安全建设体系的重中之重，高校在信息安全人才培养中应坚持引进、培养、管理相结合的建设方式，加强安全技术人员的培训管理工作，组建一支技术精湛、富有创新的高精端信息安全人才队伍，为高校信息安全建设提供智力保障。

4.加强校级、社会、国际之间的交流与协作

开放、共享、互惠、共赢已经成为信息化时代的标签，高校在今后的信息安全建设中切忌闭门造车，应该不断地加强校际、社会、国际之间的交流与协作，加强技术、资源、经验等的共享，共同维护信息网络安全。通过组织高校信息安全联盟建设信息安全统一防护线，推动高校信息安全管理。

（作者单位为北京理工大学网络教育学院）