高校信息安全及其治理研究

吕晓猛，蒋玉峰

（常熟理工学院，江苏 苏州 215500）

0 引言

随着信息技术的不断发展，信息技术创新日新月异，以数字化、网络化、智能化为特征的信息化浪潮蓬勃兴起。全球信息化进入全面渗透、跨界融合、加速创新、引领发展的新阶段。2016年中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》，要求将信息化贯穿我国现代化进程始终，加快释放信息化发展的巨大潜能，以信息化驱动现代化，加快建设网络强国。《纲要》是规范和指导未来十年国家信息化发展的纲领性文件。其中第38条专门提出推进教育信息化。事实上近年来高校信息化建设得到快速发展，高校信息化“以高性能校园网为基础，实现学校管理业务流程的合理重组和管理职能的转变，形成高效的、充满活力的新型管理机制；实现教务管理、教学资源管理、科研管理、后勤与服务管理的全面整合，增强了高等教育的开放性，促进了教育的现代化发展。

然而由于计算机网络具有开放性和互联性的特点，每年国内外政府机关、企事业单位的网络都不断遭受到黑客、恶意软件、病毒、后门程序的攻击，严重影响了国家的安全、社会的稳定和人们的生活。在高校信息化的建设中，信息作为高校教育教学的重要资源，一旦由于管理不慎导致某些事故发生，将给学校的教学和管理带来严重的后果。因此，研究信息的安全问题有着重要意义。

1 高校信息安全问题及分析

1.1 高校安全问题严峻

中国高校网站安全情况极差，根据《2013年中国高校网站安全检测报告》，高校网站的安全性在全国各类网址中，体检分数排名仅仅比倒数第一名多2分(见图1)。就仅仅从安全漏洞上来看，根据国家信息安全漏洞共享平台(CNVD)通报，2021 年 03 月 01 日-07 日一周内就协调教育 行业应急组织验证和处置高校科研院所系统漏洞事件 59 起，03月08日-14日协调66 起，而03月15日-03 月 21 日协调133 起，整体呈现急剧上升趋势。

图1 2012 中国互联网各类网站安全评测平均成绩

值得注意的是，各大学校的科研、教务网站上保存有大量的敏感数据和学生信息，如不加以重视安全保护，极易受到黑客的攻击和窃取，由此引发的高校网站被篡改、被挂马的安全事件频繁出现，最终给高校带来严重的形象及经济损失。另外，高校网站在各搜索引擎中是热门关键词，由于其安全性低及各方面的利益驱使，是不法分子攻击的优选目标。所以信息安全隐患已经成为高校信息化建设过程中必须关注的问题[1]。

1.2 高校信息安全问题分类

根据当前高校信息安全呈现的问题看，可以分成两类：一类是由于管理方面的问题。这类信息安全问题以当前的技术是可以避免的，但由于管理不当而导致的；一类是由于技术缺陷引发的安全问题，这类信息安全问题是不可控的。分析清楚当前高校信息安全问题及其成因有助于解决问题。

（1）管理不当带来的高校信息安全问题。由于管理不当，带来高校在信息安全上的诸多问题，诸如：

①人员方面。大部分高校网络管理人员水平低，不能提前制定信息安全防御策略；不能及时解决出现的问题，甚至可能进行一些错误的操作，给内网安全带来隐患。有些高校只是在硬件与软件进行投入，很少引进专业化的信息安全技术人员，有的规模较小的学校往往只有一两个技术人员，这使得高校信息安全人才极度匮乏，信息安全人员专业素质不高，很难肩负起信息安全责，从而导致高校信息安全防护措施处于较低水平，当出现新的攻击事件时无能为力。对教师、学生等信息技术培训不足，信息安全意识相对薄弱，往往容易忽视对信息资源的保护。也有极少数人员在利益的驱使下对现有资源、科研成果等进行窃取、破坏等；有的学生出于好奇，尝试对校园网进行攻击，甚至修改教务数据库等。

②硬件方面。对网络中心机房硬件防护投入不足，对中心机房的硬件物理防护条件缺失。造成失窃、断电等事故。机房应具有报警、防火、防水、防静电、防鼠害、防雷击等设施，安装有工业空调，确保机房在适宜的温度和湿度下运行。同时，机房还需要网络中心内部供电与外部供电，因为当突然断电，易失性存储器中的数据便会丢失，且很难恢复。

另外，机房主要设备包括服务器（如单点失效、RAID报警等）、路由器（如地址转换失效、系统软件损坏等）、交换机（如电源电压不稳、端口损坏、背板过热等）、无线设备等，以及设备的I／O控制器、网络接口卡、硬盘、内存以及其他部件会出现故障，需要进行异地备份等。许多高校的网络中心机房只有主要设备，一些必要的防护设备和设施缺失，易于带来安全事故。

③管理制度方面。一些高校缺乏完善的信息安全相关管理制度。信息安全管理制度应该包含信息安全的各项保障措施、落实措施，包括中心机房的信息安全保障物理防护措施、人员行为规章制度、经费落实措施等。而一些高校只是应付检查，要么没有完善的信息安全管理制度，要么是有制度根本不执行、认真落实。

④资金方面。一些高校对信息安全的资金投入不足。信息化建设是一个系统工程，从前期的硬件设备和软件系统投入，再到信息化系统的运维，需要大量的、持续的资金支持。

上述问题都属于管理不当所带来本来能够做好而出现问题的方面。这些问题主要是高校高层领导层重视不够所引起，否则，人员问题、资金问题、制度问题等都不会出现问题。

（2）技术类安全问题。当前，高校面临的信息安全问题有些是技术方面的问题，主要有：

①病毒软件攻击。病毒软件通常利用U盘、硬盘等传输工具，在复制与传送文件、运行程序的过程中对计算机系统进行破坏，在对程序和数据造成破坏的同时，对网络效率也会造成严重影响，部分网络病毒甚至破坏硬件设备，一旦学校的数据库搜到破坏，将会对学校造成严重的后果。

②网络攻击。不法分子利用网络存在的漏洞和安全缺陷对高校服务器进行的攻击。通常有两种行为：主动攻击和被动攻击。主动攻击主要是攻击者有目的的访问所需要的信息；被动攻击表现为破坏服务器硬盘、文件系统，非法复制、窃听、篡改、伪造数据等，或对校园网络进行信息轰炸从而导致服务中断，或恶意篡改与删除数据致使网络瘫痪。

③垃圾邮件。电子邮件的发送需要经过不同的路由器转发，最后到达收件人，在这个过程中不法分子通过给学校邮件服务器发送大量的垃圾邮件，导致过多占用网络带宽，降低的网络运行的效率，当大量的邮件同时发送给某一邮箱时，收件人的邮箱将会发生严重堵塞，不法分子便可乘机截取邮件，造成机密信息泄露。垃圾邮件不但引起网络瘫痪、机密信息泄露，同时还耗费了工作人员大量的时间和精力。

④恶意软件。当前，很多网站容易感染恶意软件，学校管理者、教师或者学生使用计算机浏览网页时极易在毫不知情的情况下安装各类广告软件、间谍软件等，这些恶意软件在计算机上安装后门，为不法分子大开方便之门[2]。

⑤网络系统自身的漏洞。由于网络技术的高速发展，部分高校的网络难以适应网络技术的发展形势，软件系统在使用的过程中通常存任一定的安全漏洞，虽然部分高校推出了相应的补丁程序，但仍然不可避免地遭受病毒或人为的破坏，从而给学校造成难以挽回的损失，此外，部分高校在软件和硬件存在配置不当的问题，也会造成安全漏洞，从而对高校信息安全带来严重的问题。

2 解决高校信息安全问题的策略

当前，国家层面推出了网络安全等级保护标准2.0版，这是我国推出的网络安全新的标准，也为高校网络信息安全体系建设提供了新思路和新参照。从管理和技术两个方面入手，对标等保2.0标准，找到高校信息安全方面的问题以及出现问题的根源，原本溯源，对高校信息安全问题进行改进。

2.1 管理措施

从宏观层面上来说，高校信息安全需要高校高层领导特别是主要领导重视。如何引起高校高层领导重视，需要将“信息安全”作为高校诸多考核指标之一。在领导重视的基础上，需要做好以下管理工作：

（1）建立、健全高校信息安全管理制度。高校必须明确信息安全目标，建立、完善信息安全管理体制和制度(包括用户权限制度、密码管理制度、网络系统管理制度、病毒防范制度等)，要包含“明确信息安全管理方案、产品采购使用、授权管理机制、密码使用、软件开发、安全服务等管理内容；建立人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容”；建立信息安全责任制，明确各个部门、领导、人员的信息安全责任；建立系统运维制度，明确设备环境安全、存储介质安全、病毒防范、备份与恢复、各种应急预案等管理内容；同时，还需要建立并落实监督检查机制，定期进行自查和监督检查，严格执行。

（2）加强工作人员培训与安全教育，提高安全意识，落实安全职责。建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。保障信息安全，在技术上需要配备足够专业人士，同时，随着技术的发展，信息技术人员也需要不断的学习才能适应，所以需要经常对技术人员进行专业培训。同时，发挥信息办专业安全管理员的管理功能，将人数不多的安全管理员从日常繁琐的运维事务中抽离出来，将重点放在安全体系的监督和安全态势的管理上。

信息安全不仅仅是信息技术人员几个人的事，全校师生都必需参与。所以，需要积极开展各种信息安全宣传教育活动，定期对师生员工进行信息安全教育培训，结合科学的信息安全管理理念，使高校信息安全防护实现最优化。

另外，还可以将高精技术类事务或琐碎的技术类事务采取部分外包、部分分流的方式解决，经常跟安全运维服务商、安全设备厂商、第三方安全咨询专家之间的沟通和协调.一旦发生安全事件，可以在短时间内进行安全补救并提供日常的安全咨询维护。

建立完善的信息安全防护基础环境，定期评估，不断改进、完善。

在基础环境方面，建立完善的信息安全防护基础环境，对机房温湿度、空调、UPS、门禁、消防和漏水检测等都符合要求；对核心机房出入口管理、机房温湿度、空调、UPS、门禁、消防和漏水检测等进行监控；

在基础技术防护方面，如网络环境方面、主机安全控制措施方面、在网页防篡改方面、在服务防中断方面、在系统运维管理等方面，按照网络安全等级保护标准2.0版制定各项防护方案，并做好应急保障准备、应急处理流程等，包括事后教育和培训等内容，做到定期评估，不断改进、完善。

2.2 技术层次措施

随着科技的发展，各类新信息安全漏洞出现和内、外部攻击手段的更新，有必要加强防护，并根据科技的发展不断升级防护措施。可以从两个方面进行：一是根据高校现有软硬件基础加强防御，二是整体防御技术更新换代，采用新的防御体系。

（1）现有安全防御体系的加强。目前，大多数高校已经有了基本的网络和安全设备，对校园网络信息的安全起到了基本的保障作用，但这远远不够，需要根据等保2.0标准来对信息安全进行重新规划。可以根据安全域划分原则，把具有相同安全等级和安全属性的一类服务器、网络设备、应用程序等划归为同一安全域，实施相同的安全策略。

华东政法大学的做法可以作为参考模板，他们将网络系统划分为4个安全区域：互联网接入区域、核心交换区域、运维管理区域和数据中心区域。在互联网接入区域和核心交换区域之间部署了出口防火墙进行边界防护；部署防病毒网关进行病毒防护，部署入侵防护设备进行人侵防护。数据中心区域包括学校网站群系统、数据库服务器和高校各种业务系统应用服务器等。数据中心区域可以部署网页防篡改系统、内网防火墙、web应用防火墙和数据库审计系统，实现对学校网站、应用和数据的综合防护。在运维管理区域区部署了堡垒机、日志审计和漏洞扫描系统等，实现集中运维管理、运维审计、日志管理分析和漏洞扫描等[4]。

此外，还可以运用一些新推出的技术来进行安全防护，如应用基于物联网的保密技术、虚拟入侵诱骗系统、虚拟蜜网等新型信息安全技术。

（2）规划应用新型的云安全和虚拟化安全系统。等保2.0标准扩展测评的技术要求高校的网络信息安全建设规划中必须应用服务器虚拟化部署和运用云计算服务。当前中国高校大部分已经实现了服务器虚拟化部署，也有部分业务部署在各类云服务器上。

云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策，有计划的促进了政府部门信息系统向云计算平台的迁移。

但服务器虚拟化部署和运用云计算服务本身也有信息安全问题。虚拟化中的安全威胁主要分为数据泄露和丢失、拒绝服务、权限提升、运行时（Hypervisor／GOS）代码和数据篡改以及控制流截获、rootkits和后门遗留等，而数据泄露和丢失、运行时数据篡改以及控制流截获和rootkits是虚拟化威胁的主要表现形式。

对虚拟化安全的研究综合起来可以归结为两个方面：一个是虚拟化软件的安全；另一个是虚拟服务器的安全[4]。对位于校园网内虚拟化安全可以从以下三方面着重考虑：

①安全设备与虚拟化技术结合的安全防护：可以通过硬件虚拟化技术，将一台硬件设备划分为多个虚拟设备（如虚拟防火墙），将硬件安全网关（如防火墙、NGFW和IPS等）部署在数据中心边界，过滤进出数据中心的流量等。

②在虚拟化主机之间流量的保护：可以将原先东西向的无监控流量也纳入到信息安全防护体系之中，并为之配备技术和管理手段。

③横向扩展的安全防护：当边界硬件设备性能不足时，可以通过scale.out(横向扩展)，以利于保护投资，同时增强弹性，根据业务繁忙程度占用或释放计算资源[3]。

当然面对科技和服务的不断发展，高校可以选择云服务商数据托管，利用云服务商的强大技术能力分担信息安全问题。

3 结语

信息安全是个永恒的课题，信息安全防范体系的建立并不是一劳永逸的，随着技术的发展，新的安全隐患将不断涌现，高校必须根据实际情况，以等保2.0标准为标准，从管理和信息安全技术这两个方面下功夫，加大资金投入，积极引进专业技术人才，加强高校内部管理，及时进行设备维护和技术更新，保证信息安全防范体系的高效运作和良性发展，从而确保信息安全。