陈跃辉,王以伍
成都医学院现代教育技术中心, 成都 610500
随着国家对信息化产业的重视,信息化技术不断升级创新,高校教育信息化从中也得到了大力发展。无论是学校的多媒体教学、科技信息查询服务,还是无纸化办公等,都能看到信息化技术发展的成果。高校网络作为信息传播的通道,不仅是学校信息化平台建设的基础,更是学校可持续发展的重要保障。2017年6月1日,《中华人民共和国网络安全法》正式颁布实施,要求“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性”[1]。高校作为校园网络建设、运营、提供服务的主体,必须承担起应有的社会和法律责任,参考相关政策和标准,加强和保障网络安全,促进校园网络的稳定运行。
随着人工智能技术的不断突破,神经网络和深度学习等前沿技术的不断进步,教育管理模式在不断地变革,高校信息化建设呈现出数字化特性向智慧化特性迈进的趋势[2]。然而,随之而来的网络安全问题也日渐突出,诸如安全设备增多[3],管理难度增大,用户数量及行为越发难控[4],再如拒绝服务攻击(DDoS)、系统漏洞攻击、网页篡改等安全威胁不断,对高校正常教学办公、科研工作造成难以估量的影响和破坏。同时,高校网络安全管理工作受限于人员编制、运维成本等因素,缺乏顺畅的管理机制、精细的管控服务、规范的运维流程,亟需形成统一的安全防护系统,建立相应的应急预警机制[5]。
网络应用和管理系统的安全防护能力有异,高校的网络应用和管理系统大多数是由不同的服务商建设,服务商的水平直接决定了该系统的网络安全防护水平,导致安全防护能力参差不齐,最低安全防护能力决定了全校信息平台的安全水平,且部分高校缺乏统一的网络安全体系建设,存在较大的安全隐患。
因为国家对学校投入的资源有限,所以学校方面更加重视教育教学资源的投入,认为网络安全对于学校而言不像企业研发或政府机密部门那么重要,网络安全防护等级较低;另外,学校在安全问题的处置上,几乎都是事后补漏,不能及时对网络安全态势做出判断和响应,预防措施不足;还有,高校对网络安全防护相关的软硬件设备认识不足,即使拥有了设备也无法充分发挥设备的作用,大多数高校目前都缺乏成熟的网络安全体系和网络安全专业管理人员,对于网络安全防护的认识滞后于互联网络行业的发展。
高校网站建设和管理相分离,数量体积庞大,建设需求杂乱,给安全管理带来难度;②网站重复建设,维护不到位,存在“僵尸”网站;鉴于高校的公益性,即使网站被入侵或网页被篡改,造成的损失也不大,网站系统存在弱口令和信息泄漏的风险;网站服务器普遍存在漏洞,安全维护技术力量不足,漏洞修复不及时,经常成为黑客攻击的突破口。
在互联网时代,网络已成为人们工作生活中不可或缺的工具。在高校,网络的使用普及率更高,但大部分人对网络安全知识认识不足。2017年5月,暴发了全球性的网络安全事件—永恒之蓝事件(如图1所示),我国部分高校成为重灾区,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。此次事件说明,如果平时我们养成良好的上网习惯,学习网络安全知识,事前必定能够起到一定的防范作用,事后也能降低甚至避免造成的损失。高校师生对于网络安全认识的匮乏已成为高校网络安全的隐患。
图1 “永恒之蓝”事件截图
做好网络安全防护体系[6]顶层设计,将有助于提高学校网络整体安全防护能力,降低运行成本,具体可遵循以下几个原则使规划更为科学合理:①等级保护原则,安全体系建设必须严格遵循教育部及公安部门信息系统的安全等级定级办法,按照各应用系统相对应的防护能力进行建设;②体系化设计原则,通过安全集成的形式完善技术体系建设和管理体系建设;③技管并重原则,采取技术和管理相结合的安全防护措施,将各种安全技术与运行管理机制、正确安全观引导、技术培训、安全规章制度建设相结合;④安全域划分原则,可根据现有的网络结构和管理模式,在充分保障安全的基础上,进行可操作、方便易用的区域划分,以较小的代价完成安全域划分和网络梳理(如图2所示)。
图2 安全域划分示例图
网络安全技术体系设计[7]主要包括以下几个方面(如图3所示):①安全技术环境设计,首先应进行安全区域边界设计,例如在外网出口位置部署应用安全防护系统,用于阻止和降低Web安全带来的威胁和风险,其次还应注重内网主机防病毒能力的提高,部署防病毒服务器,负责制定终端主机防病毒策略,例如在内网建立全网统一的升级服务器。②安全通信网络设计,首先应做好流量管控,实现对网络流量的全面透析与管控,优化网络带宽,为网络管理者提供网络的可见性,帮助组织构建可视、可控、可优化的高效网络,其次应保护通信完整性,通过对重要敏感字段进行强加密来保障通信传输的保密性和安全性。③部署综合运维审计平台,通过收集所有服务器(如syslog、Net- BIOS等)、网络设备、应用系统的日志,对日志进行智能关联分析。
图3 高校网络安全技术体系设计拓扑示例图
网络安全管理体系建设,主要从以下几方面加强:①设立安全管理机构,承担学校网络信息化建设与运行维护工作;②贯彻和落实国家相关政策规定,制定适合学校实际情况的网络安全管理制度;③设置网络安全专业技术人员岗位,专职从事学校网络安全管理工作;④加强网络安全体系系统运维管理工作,如网络运行环境管理、资产管理、介质管理、设备管理、监控与安全管理、系统安全管理等;⑤建立应急管理机制及安全事件处置策略[8],制定应急预案,针对可能发生的信息安全事件,预先制定科学有效的行动规范和工作流程,在发生信息安全事件时,能够及时、有序、有效地开展应急响应工作。
安全服务体系包括但不限于以下内容(如表1所示):①渗透测试,是一种以模拟攻击、反应分析的方式确定软件安全漏洞存在性的方法[9],能够直观地让管理人员知道自己网络所面临的问题;②风险评估,通过第三方对现有系统进行全方位的评估服务,一般通过现场访谈、工具扫描、手工检查等手段进行,根据评估结果制定风险分析和风险管理规划;③安全扫描,采用扫描工具对信息系统进行安全扫描,发现漏洞,出具扫描报告,并根据扫描报告给出整改建议;④安全加固,根据系统情况制定相应测试方案、加固方案与回退方案,通过安装补丁、修改安全配置、增加安全机制等方法,增强信息系统抵抗风险的能力,从而提高整个系统的安全性。
与此同时,通过教育管理部门统筹协调全省乃至全国高校搭建教育行业网络安全态势感知监测预警平台[10],实现高校网络信息安全问题提前知晓,及时拦截,进一步强化安全体系建设。网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势[11]。安全监测预警技术是指通过对某一类事件的异常跟踪,发现特定的问题并加以合并分析,对发现的潜在威胁和脆弱环节相应的特征及特点及时通报预警。
表1 安全服务体系主要内容
站群云服务是指通过云服务技术提供站群建设空间的服务[12]。高校站群建设可在教育管理部门主导下,通过社会企业共同参与,开展高校站群云服务试点建设[13]。通过站群云服务平台统一管理,有利于提高各高校站点的安全性,降低分散建设成本,同时,能够及时向主管部门提供有利于支撑决策的信息数据,精准定位高校教育信息化2.0建设发展方向[14],从根本上解决各高校站点管理不到位,安全投入不足,漏洞修补不及时等问题。
只有注重对全校师生网络安全知识的普及,提高其安全防范意识,才能做到安全有效的防范,因此需要经常对高校师生进行网络安全意识教育和相关安全技术科普。科普的内容包括本单位的信息安全方针、信息安全方面的基础知识、安全技术、相关的安全责任要求、法律责任和惩戒措施等。教育科普的形式包括网上问卷调查、召开信息安全学习大会、部门网络安全知识学习会议、学校网络安全公开课等。
高校网络安全问题将伴随高校信息化建设发展全过程,在网络空间成为国家生存和发展的战略高地的同时,没有网络安全就没有国家安全[15],同样也没有高校科研教学及人才培养等教育事业发展的安全。因此,需要在教育管理部门主导下,通过高校不断加强自身安全体系建设,社会企业共同参与,多方协作共同努力才能维护好高校网络空间安全。