龚汉明
摘 要:在高校信息化应用日益深化的今天,人、信息和资源的整合日益密切,如何提升用户网络安全素养、保障信息系统的持续稳定运行、落实总体国家安全观要求等,是当前亟待解决的关键问题。公开资料显示:我国高校存在诸多网络安全问题,如用户网络安全意识淡薄、组织机构不健全、非授权访问系统、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等。从高校网络安全面临的问题出发,遵从风险管理的理念,在信息化战略规划的基础上,借鉴国际上网络安全工程理论和最佳实践经验,探讨了高校如何加强用户网络安全素养、建立全局性的网络安全防护体系,为高校网络安全管理工作提供借鉴和参考。
关键词:网络安全;等级保护;系统安全工程;能力成熟模型;网络意识形态
高校网络安全的总体状况与问题分析
1.用户群体巨大,师生网络安全意识不强,安全素养和技能参差不齐。据统计,截至2016年,我国共有高校2,879所,在校学生约3,700万人。高校学生作为我国公民中的一大群體,受教育程度高,对信息化比较了解,上网率接近100%。师生们享受着信息化所带来便捷的同时,网络安全问题也在高校师生中频繁出现,成为高校管理的一大难题。近几年,高校师生被网络诈骗、信息被窃取贩卖等新闻不断见诸报端,网络上这类信息更是屡见不鲜。网络诈骗类问题,是全国各种类型高校面对的一类普遍性问题。2016年8月,发生在山东的“徐玉玉助学金欺诈事件”震惊全国,与个人信息泄露直接有关。虽然在舆论高压下顺利破案,但在这一案件中,高校管理的个人信息大面积、高精度泄露,可以说是骗子行骗成功不可或缺的一环。当然,信息泄露问题不仅存在于学校,而且在很多大型互联网公司,甚至包括国际知名互联网公司,都不同程度存在信息泄露等安全问题。据统计,2016年公安部门办理了1,800多起涉网的侵犯公民个人信息的案件,涉及犯罪嫌疑人4,200多人。信息技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,同时也带来了新的安全风险和挑战。
2.网络安全建设滞后于信息化应用,重建设、轻运维,缺乏行之有效的全局性网络安全防护体系。应用交付重视功能实现,系统投入运行后运维保障不足,安全防护未能得到应有的重视。高校的网络应用系统和管理系统,大多是由不同的服务商独立建设,在网络安全保防方面相对独立,服务商的水平直接决定了网络安全的水平。软硬件系统上线运行或者部署相关的网络防护工具之后,只要系统功能正常,对网络安全问题关注度不够,主要体现在两个方面:一是学校认为没有做更高级别安全防护的必要性,认为学校的网站(信息系统)没有那么重要,没有什么可“偷”的;二是从整个网络安全行业来讲,政府机构和事业单位等组织推动力主要源自于行政性要求和事件驱动,更多的是关停访问、事后修补漏洞等,带病运行的网站较多,尚未建立相对完整的全局性网络安全防护体系,并不能做到防患于未然。
3.技术防范建设系统性不足,安全对抗能力较弱。高校普遍建成了软硬件功能较为齐全的信息化基础设施和公共信息服务环境,校园网络安全承担着保障成千上万台计算机、交换机和服务器等终端设备的运行,这些设备分布在校园的各个位置,用途不同,操作的用户也不同。有的用户网络安全意识薄弱,对网络安全问题不重视,一旦网络安全出现问题,处理不及时,没能采取安全可靠的技术措施,就会造成严重的损失。
首都高校网络安全调查研究
党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,成立中央网信领导小组,明确了“安全是发展的前提,发展是安全的保障”,这一安全和发展的重大关系。笔者于2017年主持北京市互联网办公室“网络安全保障指标体系研究”项目,对首都各高校网络安全情况的调研结果表明:近五年以来,各校对网络安全的重视程度显著提升,“重建设、轻运维”的情况正在逐渐改变,但网络安全全局统筹仍然存在较大困难,建立全局性防范体系进展缓慢。具体来说,各高校开展的工作可归纳为如下几个方面。
1.网络安全教育活动逐渐开展,师生网络安全意识有所提高。参与调研的高校利用国家安全日、国家网络安全宣传周等契机,开展“网络安全知识竞赛”和“网络安全知识进校园”等活动,充分利用校园网络和新媒体开展全员、全方位的网络安全宣传教育,一定程度上提高了师生网络安全认识水平。
2.建章立制,正在逐步形成网络安全制度体系。参与调研的高校普遍建立了网络安全管理制度,明确了领导机构和网络安全责任部门,对网络安全工作予以高度重视,正在逐步建立和完善网络安全制度体系。
3.履行网络安全义务,逐步补齐短板。《中华人民共和国网络安全法》明确提出国家实行网络安全等级保护制度,在原来的信息安全等级保护制度基础上进一步上升到了法律层面。网络安全等级保护包括定级、备案、测评、整改四个步骤。教育部、首都教育行政主管部门多次印发推进教育行业信息安全等级保护工作的通知,参与调研的高校均不同程度地开展了等级保护工作,大部分高校定期开展等级测评和整改工作。
4.规范安全管理,逐步提升治理水平。保障信息系统和网络安全的根本目的是要保障数据的安全。教育行业有大量的师生信息,涉及个人隐私,保障数据安全任务艰巨。参与调研的高校尚未发现有个人隐私信息泄露的情况,均制定了网络安全应急预案或类似文件,开展应急演练,逐步规范和满足等级保护的工作要求,加强网络安全防护水平。
5.主体责任明确,网站小、散、乱情况明显下降。中央机构编制委员会和中央网信办于2014年出台《关于做好党政机关网站开办审核、资格复核和网站标识管理工作的通知》,在首都教育行政主管部门的指导下,参与调研的高校普遍落实了网站标识制度,统一了信息系统(网站)标识,规范了信息发布管理制度,进行了网站域名清理,绝大多数采用“.edu.cn”域名。
6.信息共享,逐步形成协同工作机制。首都高校依托学会等社团组织,通过微信群等方式实现了与上级主管部门、专业机构、安全企业等单位的信息共享合作,逐步形成多层次的、覆盖首都高校的安全威胁信息共享机制。在首都教育行政主管部门的指导下,参与调研的高校普遍落实了定期安全漏洞扫描通报制度,提升了网络安全防护能力。高校使用的信息系统中有一类是具有教育特色的通用软件,如学生管理、教务管理、财务管理系统等。调研发现:直接使用通用型软件及基于通用型软件的个性化定制已成为学校开发系统的主要手段。
應对策略与措施
《国家网络空间安全战略》《中华人民共和国网络安全法》等政策法规的出台,奠定了网络安全和网络强国建设的战略基石和法律基础,网络安全发展进入“快车道”,加速形成网络强国建设的“中国道路”。2016年11月,教育部网络安全和信息化领导小组的成立,标志着国家层面对教育行业网络安全的重视程度日益增加,面对严峻的网络安全形势和层出不穷的安全问题,高校网络安全建设也将步入一个新的发展阶段。借鉴信息安全工程能力成熟模型(SSE-CMM)和信息系统安全等级保护实施指南,结合高校网络安全面临的实际问题,运用“三分技术、七分管理”的计算机网络信息系统运行管理理念,从校级、院系部处和师生用户等维度探索如何提升师生用户的网络安全素养,建立全局性的网络安全防护体系。
1.规划网络安全管理体系。网络安全管理体系规划是高校安全体系建立的第一步,目的是识别安全问题,明确安全管理的范围和内容,建立安全管理的组织管理机制,从管理和技术两个角度,分层次规划各环节的安全管理制度和技术防范手段,形成完整、可行的网络安全管理体系。网络安全建设是“一把手”工程,学校要强化组织领导、强化制度建设,落实责任,坚持技术安全与内容安全“两手抓”,不要存在侥幸心理。决策层对网络安全工作的重视程度直接决定了网络安全工作开展的难易程度。可将高校网络安全管理规划过程归纳为以下八个步骤:
第一,建立安全管理组织。网络安全和信息化是相辅相成的,要加强顶层设计和统筹协调,实现学校网络安全“整体一盘棋”。在信息化建设过程中,既要考虑功能、性能方面的需求,更应该重视安全方面的需求。确保安全与发展之间的平衡,有机、动态的发展,更好地为教学、科研服务。安全管理组织的成员由机构的战略影响者组成,包括来自行政、技术、业务、安全、风险和规划等部门的人员。
第二,识别保护对象。识别学校面临的风险及威胁,分析它们存在的原因,将分析结果纳入安全管理体系的规划中重点考虑。
第三,评估现有措施。了解学校目前的安全管理措施并评估它们的效力。
第四,考虑长期需要。安全整体规划应考虑长期的需要,具有一定的前瞻性,如长期的制度适应性、设备老化、安全人员的发展需要等。
第五,纳入学校的建设规划。了解学校新建项目,如办公楼、教学楼、停车场等项目,是否会影响现有的物理安全规划,如有影响,就将安全规划纳入学校建设规划中通盘考虑。
第六,建立安全工作机制。形成文件化的制度体系和工作条例,明确各岗位的责任、应提供的服务和交付物。
第七, 融合运用新老技术。新技术的规划应考虑对老技术的冲击,新老技术的融合运用将是一个挑战。
第八,关键设施重点布局。关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合,这些设施的安全尤为重要,风险也最为突出。
上述的规划步骤从组织、管理和技术三方面较全面地考虑高校网络安全管理的具体问题,有助于形成完整有效的网络安全体系,包括安全组织体系、安全管理体系和安全技术体系。
2.完善网络安全管理体系。从组织、管理、技术三方面入手进行一系列的整改,形成较为完善的组织体系、管理体系和技术体系。对学校现有网络安全管理的组织结构进行重新梳理,形成包含决策、管理、运营和应用四个层次在内的较为完善的网络安全管理组织机构,明确工作职责。
第一,决策层。组建校级层面的网络安全与信息化领导小组,宣传和贯彻落实国家网络安全和信息化建设的方针、政策;根据学校建设、改革与发展的需要,统筹协调学校网络安全和信息化重要问题;研究制定学校网络安全和信息化发展战略、规划和政策;组织推进学校网络安全和信息化建设整体工作。
第二,管理层。组建安全工作小组作为网络安全工作的执行机构,工作小组由信息化相关部门领导及专业技术人员和部分管理人员组成。
第三,运营层。完善系统运营各岗位人员的工作职责,包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员。
第四,应用层。进一步明确各院系部处及用户的安全责任,与各院系部处签订安全责任书,同时明确各院系部处信息员的网络安全工作职责,使其成为网络安全工作的基础支持队伍。
3.形成文件化的网络安全整体策略。组织制定涉及到网络安全的各类管理办法,从场地与设施、设备、系统、信息、建设、运行维护和技术文档等多个方面详细制定安全管理规定,并明确系统建设和系统运维过程中相关人员的工作流程和操作规范,为学校的网络安全管理提供依据。
明确和建立学校的网络安全策略,学校制定网络安全管理总体方案,为各部门制定操作规范和开展安全工作提供指导。针对网络安全问题对管理规章制度进行不断的更新,推动管理制度的完善。网络安全管理人员要提高网络安全管理水平,权限较高的网络使用者要严格规范操作,网络使用人员要严格遵守有关规章制度。
互联网技术发展快,网络病毒和木马攻击也在不断更新,面对新的安全漏洞和病毒,要加强日常防控来减少网络安全突发事件的发生。由学校信息技术部门制定对硬件、操作系统、数据库和应用系统维护的各个环节的工作流程和操作规程,进行更加详细的规定,及时发布安全威胁通知,让校园网用户了解,并注意防范。
4.网络安全与信息系统建设同步规划、同步建设,应用交付前进行合规性审查,先体检、后上线。网络安全是一项长期的工作,必须将其纳入日常管理中常抓不懈,防患于未然。信息系统建设除了系统功能和性能满足业务要求外,安全性、可靠性、可用性也必须进行质量控制。在院系部处层面,将其二级网站纳入学校网站群统筹建设,定期进行等保测评、渗透测试、漏洞扫描;强化综合治理,清理长期无人维护的网站或信息系统;对于各院系部处为推动业务开展而开发的信息系统,在分解落实责任的同时,实行过程控制。过程控制可采取如下三方面的措施。
第一, 增加建設过程中的评审环节。在项目设计、开发阶段成果接近完成时,由项目组会同相关业务部门共同组织技术评审,包括对系统安全性的审查。评审以项目前期形成的方案、文档及学校的相关标准和规范为依据,对该阶段形成的方案、技术文档及系统进行审查、确认等工作,并形成评审结论。
第二, 进行内部测试和第三方测试。在项目验收前,除了由项目内部和业务部门参与的集成测试外,聘请专业的第三方测试机构进行测试。
第三, 安全检测与审计双管齐下,全方位监控安全事件。对应用系统和服务器进行定期安全检测,有效消除潜在的安全隐患;定期进行应用系统、数据库、服务器、配置管理等的安全审计,避免越权操作及数据泄漏事件的发生。
5.加强技术防护体系建设。由于网络具有信息发布平台开放、信息发布来源隐蔽等特点,加之各种安全漏洞、不良网站及“网络黑客”的存在,给高校网络安全工作带来诸多挑战。尤其是在对匿名用户缺乏有效控制的情况下,一些不宜宣传或不健康的内容极有可能通过网络渗透进校园。系统建设与日常运行管理中,需构建自动化防控系统加强系统的安全防范,为应用系统和用户构筑起坚实的安全堡垒,包括但不限于以下措施:
第一, 访问控制。高校校园网最常用的网络安全技术有杀毒软件、防火墙技术、身份验证等。网络安全防范保护首先要设置访问控制,网络访问控制的目的是保证内部网络资源不被非法访问和非法使用,校园网用户入网口令要保证唯一性,通过访问控制对用户口令密码进行验证。在外网和内网之间用防火墙隔离,对数据流进行严格的监控,在防火墙上做好详细的日志记录,为安全事件的事后取证提供依据。
第二,构建三套独立环境,保证正式环境安全。将系统开发、测试和正式运行三个环境分离,确保开发阶段和测试阶段的工作不影响正式系统的使用。搭建版本控制系统,确保开发中源代码的安全;在程序开发的过程中,需要多人同时参加和协作,记录系统建设过程中相关文档和源代码的变更过程,防止代码意外丢失、被覆盖等情况的出现。
第三, 注意物理环境安全,建立备份与恢复机制, 保护系统建设成果。物理安全防护是确保校园网络安全工作的基础,避免网络设备、网络线缆等硬件设备受自然灾害、物理损坏、电磁泄漏、操作失误以及人为干扰和搭线攻击的破坏,对核心设备要进行严格管理。建立本地、异地数据备份及恢复规范方案,对系统建设过程中的成果进行及时备份,防止因为误操作或机器故障导致数据丢失,切实保证数据的安全。
第四,防火墙与入侵监测,构筑网络屏障。在互联网(Internet)和校园网之间以及校园网和信息系统服务器之间架设两层防火墙,防止校内外用户对服务器的攻击;部署网络分析系统,实时监控网络流量、网络攻击和病毒传播,为网络安全事件的定位和取证提供支持;禁止从公网访问关键信息系统,用户需要通过VPN加密链路才能实现从校外访问关键信息系统。
第五,漏洞扫描与日志分析,促进应用安全的不断提升。在应用系统层,采用系统日志分析平台对应用进行日志分析,捕捉和定位异常事件;定期对应用服务执行漏洞扫描,对出现的SQL注入、跨站脚本攻击、网页非法篡改、强制访问等系统安全风险及时进行分析和整改。
第六, 主动式监控及时追踪问题。对服务器软硬件运行状态进行监控,实现对服务器运行状态及各信息系统状态进行主动监听和预警;建立统一日志服务器,对所有系统的日志进行集中管理和备份,确保问题发生时通过日志进行定位和追踪。
网络安全管理问题需要从管理和技术两方面考虑和解决,只有依靠有效的组织保障、规范的管理流程、安全可靠的系统工具及技术的支撑,才能达到以较小的代价、利用有限资源控制安全风险的目标,更好地保证信息化建设和应用的成果。
6.加强对用户的教育和培训。通过网络安全教育使用户对校园网络所面临的各类威胁有较为系统、全面的认识,明确这些威胁对他们的危害,增强他们的网络安全意识,让所有校园网用户都来关心、关注网络安全。通过对校园网用户的培训,使他们能尽量保证自己使用的计算机安全,能处理一些简单的安全问题,从而减少网络安全事故的发生。遇到网络安全问题时,能做好记录并及时向有关部门报告。
加强对网络内容的监控和舆情分析,改进网络文化建设,主动占领网络阵地,推进思想政治教育网络工程建设,针对学生关心的热点问题,积极开展网上正面的宣传和正确的信息传播,不断拓展网络思想政治教育的覆盖面,增强网络思想政治教育工作的影响力。加强对校内论坛等网络交流平台的监管,组建网络信息员队伍,在学校统一指导下,定期整理网络上的讨论热点及主要观点,捕捉和反馈重要信息,掌握网上动态,以适当方式制作和发布积极信息,及时处理消极信息。以学生社团或者类似形式建设两支队伍:一是网络日常管理与技术维护队伍;二是“网红”和评论员队伍。
网络安全与诸多方面都有联系,它不是孤立存在的。高校网络安全是一个长期、复杂、深远而又庞大的系统工程。本文从高校网络安全面临的问题出发,遵从风险管理的理念,借鉴国际上网络安全工程理论和最佳实践经验,就高校如何提高信息安全工程能力成熟度和落实国家网络安全等级保护政策法规展开研究,从校级、院系部处和师生用户三个维度积极应对,探讨了高校如何加强用户网络安全素养、建立全局性的网络安全防护体系,以达到依法办网、依法管网和依法用网的要求。
参考文献:
[1]邓若伊,余梦珑,丁艺,等.以法制保障网络空间安全 构筑网络强国—《网络安全法》和《国家网络空间安全战略》解读[J].电子政务,2017(2):2-4.
[2]孙瑞婷.总体国家安全观视域下我国网络意识形态安全问题研究[J].广东行政学院学报,2017(3):31-35.
[3]张赛男,孙彪.网络信息安全现状与对策分析[J].无线互联科技,2015(21):28-29.
[4]李晓玉.国内外信息安全标准研究现状综述[A].现代通信国家重点实验室、《信息安全与通信保密》杂志社.第十一届保密通信与信息安全现状研讨会论文集[C].现代通信国家重点实验室、《信息安全与通信保密》杂志社:四川信息安全与通信保密杂志社,2009:5.
[5]贾铁军.网络安全技术与实践[M].北京:高等教育出版社,2014.
[6]石峥嵘,高校网络安全管理问题分析与对策研究[J].信息与电脑(理论版),2016(10):147-148.
[7]高校信息化安全管理布局[EB/OL].(2012-05-23)[2019-01-02].http://security.ctocio.com.cn/298/12340798.shtml.
[8]ISO/IEC 21827-2008 Information technology-Security techniques-Systems Security Engineering-Capability Maturity Model(SSE-CMM)《信息技术—安全技术—系统安全工程—能力成熟模型》.
[9]全国信息技术标准化技术委员会.信息技术:系统安全工程:能力成熟度模型:GB/T 20261-2006[S].北京:中国标准出版社,2006:3.
[10]全国信息安全标准化技术委员会.信息安全技术:信息系统安全等级保护基本要求:GB/T 22239-2008[S].北京:中国标准出版社,2008:9.
[11]全国信息安全标准化技术委员会.信息安全技术:信息系统安全等级保护实施指南:GB/T 25058-2010[S].北京:中国标准出版社,2010:9.
[12]全国信息安全标准化技术委员会.信息技术:安全技术:信息技术安全评估准则:GB/T 18336-2015[S].北京:中国标准出版社,2015:5.
(作者单位:北京信息科技大学信息与网络管理中心)
[责任编辑:于 洋]