摘 要:在高校信息化應(yīng)用日益深化的今天�,人、信息和資源的整合日益密切,如何提升用戶網(wǎng)絡(luò)安全素養(yǎng)、保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行���、落實(shí)總體國家安全觀要求等�����,是當(dāng)前亟待解決的關(guān)鍵問題�����。公開資料顯示:我國高校存在諸多網(wǎng)絡(luò)安全問題���,如用戶網(wǎng)絡(luò)安全意識淡薄、組織機(jī)構(gòu)不健全����、非授權(quán)訪問系統(tǒng)、破壞數(shù)據(jù)完整性�、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等。從高校網(wǎng)絡(luò)安全面臨的問題出發(fā)�,遵從風(fēng)險管理的理念,在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上��,借鑒國際上網(wǎng)絡(luò)安全工程理論和最佳實(shí)踐經(jīng)驗(yàn)�����,探討了高校如何加強(qiáng)用戶網(wǎng)絡(luò)安全素養(yǎng)、建立全局性的網(wǎng)絡(luò)安全防護(hù)體系�����,為高校網(wǎng)絡(luò)安全管理工作提供借鑒和參考�����。
關(guān)鍵詞:網(wǎng)絡(luò)安全��;等級保護(hù)����;系統(tǒng)安全工程�;能力成熟模型;網(wǎng)絡(luò)意識形態(tài)
高校網(wǎng)絡(luò)安全的總體狀況與問題分析
1.用戶群體巨大��,師生網(wǎng)絡(luò)安全意識不強(qiáng)���,安全素養(yǎng)和技能參差不齊���。據(jù)統(tǒng)計,截至2016年�,我國共有高校2,879所����,在校學(xué)生約3,700萬人��。高校學(xué)生作為我國公民中的一大群體���,受教育程度高����,對信息化比較了解����,上網(wǎng)率接近100%。師生們享受著信息化所帶來便捷的同時��,網(wǎng)絡(luò)安全問題也在高校師生中頻繁出現(xiàn)����,成為高校管理的一大難題。近幾年����,高校師生被網(wǎng)絡(luò)詐騙、信息被竊取販賣等新聞不斷見諸報端��,網(wǎng)絡(luò)上這類信息更是屢見不鮮。網(wǎng)絡(luò)詐騙類問題�,是全國各種類型高校面對的一類普遍性問題。2016年8月���,發(fā)生在山東的“徐玉玉助學(xué)金欺詐事件”震驚全國�����,與個人信息泄露直接有關(guān)。雖然在輿論高壓下順利破案���,但在這一案件中����,高校管理的個人信息大面積�、高精度泄露,可以說是騙子行騙成功不可或缺的一環(huán)����。當(dāng)然,信息泄露問題不僅存在于學(xué)校�����,而且在很多大型互聯(lián)網(wǎng)公司,甚至包括國際知名互聯(lián)網(wǎng)公司���,都不同程度存在信息泄露等安全問題�。據(jù)統(tǒng)計�,2016年公安部門辦理了1,800多起涉網(wǎng)的侵犯公民個人信息的案件,涉及犯罪嫌疑人4,200多人����。信息技術(shù)廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展,極大促進(jìn)了經(jīng)濟(jì)社會繁榮進(jìn)步�����,同時也帶來了新的安全風(fēng)險和挑戰(zhàn)����。
2.網(wǎng)絡(luò)安全建設(shè)滯后于信息化應(yīng)用,重建設(shè)����、輕運(yùn)維,缺乏行之有效的全局性網(wǎng)絡(luò)安全防護(hù)體系����。應(yīng)用交付重視功能實(shí)現(xiàn)��,系統(tǒng)投入運(yùn)行后運(yùn)維保障不足�����,安全防護(hù)未能得到應(yīng)有的重視��。高校的網(wǎng)絡(luò)應(yīng)用系統(tǒng)和管理系統(tǒng)��,大多是由不同的服務(wù)商獨(dú)立建設(shè)��,在網(wǎng)絡(luò)安全保防方面相對獨(dú)立,服務(wù)商的水平直接決定了網(wǎng)絡(luò)安全的水平�����。軟硬件系統(tǒng)上線運(yùn)行或者部署相關(guān)的網(wǎng)絡(luò)防護(hù)工具之后���,只要系統(tǒng)功能正常���,對網(wǎng)絡(luò)安全問題關(guān)注度不夠,主要體現(xiàn)在兩個方面:一是學(xué)校認(rèn)為沒有做更高級別安全防護(hù)的必要性�����,認(rèn)為學(xué)校的網(wǎng)站(信息系統(tǒng))沒有那么重要,沒有什么可“偷”的����;二是從整個網(wǎng)絡(luò)安全行業(yè)來講,政府機(jī)構(gòu)和事業(yè)單位等組織推動力主要源自于行政性要求和事件驅(qū)動���,更多的是關(guān)停訪問���、事后修補(bǔ)漏洞等,帶病運(yùn)行的網(wǎng)站較多��,尚未建立相對完整的全局性網(wǎng)絡(luò)安全防護(hù)體系��,并不能做到防患于未然�����。
3.技術(shù)防范建設(shè)系統(tǒng)性不足�,安全對抗能力較弱。高校普遍建成了軟硬件功能較為齊全的信息化基礎(chǔ)設(shè)施和公共信息服務(wù)環(huán)境���,校園網(wǎng)絡(luò)安全承擔(dān)著保障成千上萬臺計算機(jī)��、交換機(jī)和服務(wù)器等終端設(shè)備的運(yùn)行���,這些設(shè)備分布在校園的各個位置����,用途不同�,操作的用戶也不同。有的用戶網(wǎng)絡(luò)安全意識薄弱���,對網(wǎng)絡(luò)安全問題不重視����,一旦網(wǎng)絡(luò)安全出現(xiàn)問題�����,處理不及時�,沒能采取安全可靠的技術(shù)措施��,就會造成嚴(yán)重的損失�。
首都高校網(wǎng)絡(luò)安全調(diào)查研究
黨的十八大以來,以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全工作����,成立中央網(wǎng)信領(lǐng)導(dǎo)小組���,明確了“安全是發(fā)展的前提,發(fā)展是安全的保障”�����,這一安全和發(fā)展的重大關(guān)系��。筆者于2017年主持北京市互聯(lián)網(wǎng)辦公室“網(wǎng)絡(luò)安全保障指標(biāo)體系研究”項目�,對首都各高校網(wǎng)絡(luò)安全情況的調(diào)研結(jié)果表明:近五年以來,各校對網(wǎng)絡(luò)安全的重視程度顯著提升����,“重建設(shè)、輕運(yùn)維”的情況正在逐漸改變�,但網(wǎng)絡(luò)安全全局統(tǒng)籌仍然存在較大困難,建立全局性防范體系進(jìn)展緩慢���。具體來說��,各高校開展的工作可歸納為如下幾個方面�����。
1.網(wǎng)絡(luò)安全教育活動逐漸開展��,師生網(wǎng)絡(luò)安全意識有所提高�����。參與調(diào)研的高校利用國家安全日���、國家網(wǎng)絡(luò)安全宣傳周等契機(jī)���,開展“網(wǎng)絡(luò)安全知識競賽”和“網(wǎng)絡(luò)安全知識進(jìn)校園”等活動,充分利用校園網(wǎng)絡(luò)和新媒體開展全員����、全方位的網(wǎng)絡(luò)安全宣傳教育,一定程度上提高了師生網(wǎng)絡(luò)安全認(rèn)識水平�����。
2.建章立制�����,正在逐步形成網(wǎng)絡(luò)安全制度體系���。參與調(diào)研的高校普遍建立了網(wǎng)絡(luò)安全管理制度���,明確了領(lǐng)導(dǎo)機(jī)構(gòu)和網(wǎng)絡(luò)安全責(zé)任部門,對網(wǎng)絡(luò)安全工作予以高度重視��,正在逐步建立和完善網(wǎng)絡(luò)安全制度體系���。
3.履行網(wǎng)絡(luò)安全義務(wù)���,逐步補(bǔ)齊短板。《中華人民共和國網(wǎng)絡(luò)安全法》明確提出國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度����,在原來的信息安全等級保護(hù)制度基礎(chǔ)上進(jìn)一步上升到了法律層面。網(wǎng)絡(luò)安全等級保護(hù)包括定級�����、備案�����、測評���、整改四個步驟����。教育部、首都教育行政主管部門多次印發(fā)推進(jìn)教育行業(yè)信息安全等級保護(hù)工作的通知�,參與調(diào)研的高校均不同程度地開展了等級保護(hù)工作,大部分高校定期開展等級測評和整改工作��。
4.規(guī)范安全管理����,逐步提升治理水平。保障信息系統(tǒng)和網(wǎng)絡(luò)安全的根本目的是要保障數(shù)據(jù)的安全����。教育行業(yè)有大量的師生信息,涉及個人隱私�����,保障數(shù)據(jù)安全任務(wù)艱巨��。參與調(diào)研的高校尚未發(fā)現(xiàn)有個人隱私信息泄露的情況��,均制定了網(wǎng)絡(luò)安全應(yīng)急預(yù)案或類似文件���,開展應(yīng)急演練�����,逐步規(guī)范和滿足等級保護(hù)的工作要求���,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)水平。
5.主體責(zé)任明確��,網(wǎng)站小�����、散�����、亂情況明顯下降����。中央機(jī)構(gòu)編制委員會和中央網(wǎng)信辦于2014年出臺《關(guān)于做好黨政機(jī)關(guān)網(wǎng)站開辦審核、資格復(fù)核和網(wǎng)站標(biāo)識管理工作的通知》��,在首都教育行政主管部門的指導(dǎo)下�����,參與調(diào)研的高校普遍落實(shí)了網(wǎng)站標(biāo)識制度,統(tǒng)一了信息系統(tǒng)(網(wǎng)站)標(biāo)識���,規(guī)范了信息發(fā)布管理制度�����,進(jìn)行了網(wǎng)站域名清理�����,絕大多數(shù)采用“.edu.cn”域名��。
6.信息共享�,逐步形成協(xié)同工作機(jī)制����。首都高校依托學(xué)會等社團(tuán)組織,通過微信群等方式實(shí)現(xiàn)了與上級主管部門����、專業(yè)機(jī)構(gòu)、安全企業(yè)等單位的信息共享合作,逐步形成多層次的�、覆蓋首都高校的安全威脅信息共享機(jī)制。在首都教育行政主管部門的指導(dǎo)下�����,參與調(diào)研的高校普遍落實(shí)了定期安全漏洞掃描通報制度�����,提升了網(wǎng)絡(luò)安全防護(hù)能力����。高校使用的信息系統(tǒng)中有一類是具有教育特色的通用軟件���,如學(xué)生管理�����、教務(wù)管理��、財務(wù)管理系統(tǒng)等�。調(diào)研發(fā)現(xiàn):直接使用通用型軟件及基于通用型軟件的個性化定制已成為學(xué)校開發(fā)系統(tǒng)的主要手段���。
應(yīng)對策略與措施
《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《中華人民共和國網(wǎng)絡(luò)安全法》等政策法規(guī)的出臺���,奠定了網(wǎng)絡(luò)安全和網(wǎng)絡(luò)強(qiáng)國建設(shè)的戰(zhàn)略基石和法律基礎(chǔ)�����,網(wǎng)絡(luò)安全發(fā)展進(jìn)入“快車道”�,加速形成網(wǎng)絡(luò)強(qiáng)國建設(shè)的“中國道路”���。2016年11月�,教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立���,標(biāo)志著國家層面對教育行業(yè)網(wǎng)絡(luò)安全的重視程度日益增加�����,面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢和層出不窮的安全問題�����,高校網(wǎng)絡(luò)安全建設(shè)也將步入一個新的發(fā)展階段����。借鑒信息安全工程能力成熟模型(SSE-CMM)和信息系統(tǒng)安全等級保護(hù)實(shí)施指南,結(jié)合高校網(wǎng)絡(luò)安全面臨的實(shí)際問題��,運(yùn)用“三分技術(shù)��、七分管理”的計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行管理理念���,從校級��、院系部處和師生用戶等維度探索如何提升師生用戶的網(wǎng)絡(luò)安全素養(yǎng),建立全局性的網(wǎng)絡(luò)安全防護(hù)體系��。
1.規(guī)劃網(wǎng)絡(luò)安全管理體系�����。網(wǎng)絡(luò)安全管理體系規(guī)劃是高校安全體系建立的第一步�����,目的是識別安全問題��,明確安全管理的范圍和內(nèi)容�����,建立安全管理的組織管理機(jī)制,從管理和技術(shù)兩個角度�,分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段,形成完整�����、可行的網(wǎng)絡(luò)安全管理體系�����。網(wǎng)絡(luò)安全建設(shè)是“一把手”工程��,學(xué)校要強(qiáng)化組織領(lǐng)導(dǎo)���、強(qiáng)化制度建設(shè)����,落實(shí)責(zé)任����,堅持技術(shù)安全與內(nèi)容安全“兩手抓”,不要存在僥幸心理����。決策層對網(wǎng)絡(luò)安全工作的重視程度直接決定了網(wǎng)絡(luò)安全工作開展的難易程度�����?��?蓪⒏咝>W(wǎng)絡(luò)安全管理規(guī)劃過程歸納為以下八個步驟:
第一,建立安全管理組織�。網(wǎng)絡(luò)安全和信息化是相輔相成的,要加強(qiáng)頂層設(shè)計和統(tǒng)籌協(xié)調(diào)�����,實(shí)現(xiàn)學(xué)校網(wǎng)絡(luò)安全“整體一盤棋”�。在信息化建設(shè)過程中�,既要考慮功能、性能方面的需求���,更應(yīng)該重視安全方面的需求�����。確保安全與發(fā)展之間的平衡�����,有機(jī)��、動態(tài)的發(fā)展���,更好地為教學(xué)�、科研服務(wù)�。安全管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成,包括來自行政���、技術(shù)����、業(yè)務(wù)���、安全��、風(fēng)險和規(guī)劃等部門的人員��。
第二���,識別保護(hù)對象。識別學(xué)校面臨的風(fēng)險及威脅�����,分析它們存在的原因,將分析結(jié)果納入安全管理體系的規(guī)劃中重點(diǎn)考慮����。
第三,評估現(xiàn)有措施���。了解學(xué)校目前的安全管理措施并評估它們的效力�����。
第四�����,考慮長期需要。安全整體規(guī)劃應(yīng)考慮長期的需要��,具有一定的前瞻性��,如長期的制度適應(yīng)性�、設(shè)備老化、安全人員的發(fā)展需要等�����。
第五,納入學(xué)校的建設(shè)規(guī)劃����。了解學(xué)校新建項目,如辦公樓��、教學(xué)樓�����、停車場等項目���,是否會影響現(xiàn)有的物理安全規(guī)劃���,如有影響,就將安全規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤考慮����。
第六,建立安全工作機(jī)制����。形成文件化的制度體系和工作條例����,明確各崗位的責(zé)任��、應(yīng)提供的服務(wù)和交付物�。
第七, 融合運(yùn)用新老技術(shù)����。新技術(shù)的規(guī)劃應(yīng)考慮對老技術(shù)的沖擊,新老技術(shù)的融合運(yùn)用將是一個挑戰(zhàn)��。
第八����,關(guān)鍵設(shè)施重點(diǎn)布局。關(guān)鍵設(shè)施指校園中那些需要連續(xù)����、可靠運(yùn)行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合,這些設(shè)施的安全尤為重要���,風(fēng)險也最為突出。
上述的規(guī)劃步驟從組織�����、管理和技術(shù)三方面較全面地考慮高校網(wǎng)絡(luò)安全管理的具體問題,有助于形成完整有效的網(wǎng)絡(luò)安全體系�,包括安全組織體系、安全管理體系和安全技術(shù)體系����。
2.完善網(wǎng)絡(luò)安全管理體系。從組織�、管理、技術(shù)三方面入手進(jìn)行一系列的整改�,形成較為完善的組織體系、管理體系和技術(shù)體系�。對學(xué)校現(xiàn)有網(wǎng)絡(luò)安全管理的組織結(jié)構(gòu)進(jìn)行重新梳理�,形成包含決策、管理�、運(yùn)營和應(yīng)用四個層次在內(nèi)的較為完善的網(wǎng)絡(luò)安全管理組織機(jī)構(gòu),明確工作職責(zé)���。
第一���,決策層。組建校級層面的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組,宣傳和貫徹落實(shí)國家網(wǎng)絡(luò)安全和信息化建設(shè)的方針���、政策����;根據(jù)學(xué)校建設(shè)���、改革與發(fā)展的需要���,統(tǒng)籌協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化重要問題;研究制定學(xué)校網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略����、規(guī)劃和政策;組織推進(jìn)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)整體工作�。
第二,管理層�����。組建安全工作小組作為網(wǎng)絡(luò)安全工作的執(zhí)行機(jī)構(gòu)�����,工作小組由信息化相關(guān)部門領(lǐng)導(dǎo)及專業(yè)技術(shù)人員和部分管理人員組成。
第三�����,運(yùn)營層����。完善系統(tǒng)運(yùn)營各崗位人員的工作職責(zé)�,包括機(jī)房管理員、網(wǎng)絡(luò)及服務(wù)器管理員����、數(shù)據(jù)庫管理員和信息系統(tǒng)管理員。
第四�����,應(yīng)用層���。進(jìn)一步明確各院系部處及用戶的安全責(zé)任��,與各院系部處簽訂安全責(zé)任書�����,同時明確各院系部處信息員的網(wǎng)絡(luò)安全工作職責(zé)�,使其成為網(wǎng)絡(luò)安全工作的基礎(chǔ)支持隊伍。
3.形成文件化的網(wǎng)絡(luò)安全整體策略����。組織制定涉及到網(wǎng)絡(luò)安全的各類管理辦法,從場地與設(shè)施���、設(shè)備�����、系統(tǒng)�、信息���、建設(shè)���、運(yùn)行維護(hù)和技術(shù)文檔等多個方面詳細(xì)制定安全管理規(guī)定,并明確系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維過程中相關(guān)人員的工作流程和操作規(guī)范�����,為學(xué)校的網(wǎng)絡(luò)安全管理提供依據(jù)��。
明確和建立學(xué)校的網(wǎng)絡(luò)安全策略,學(xué)校制定網(wǎng)絡(luò)安全管理總體方案����,為各部門制定操作規(guī)范和開展安全工作提供指導(dǎo)。針對網(wǎng)絡(luò)安全問題對管理規(guī)章制度進(jìn)行不斷的更新���,推動管理制度的完善。網(wǎng)絡(luò)安全管理人員要提高網(wǎng)絡(luò)安全管理水平���,權(quán)限較高的網(wǎng)絡(luò)使用者要嚴(yán)格規(guī)范操作����,網(wǎng)絡(luò)使用人員要嚴(yán)格遵守有關(guān)規(guī)章制度�����。
互聯(lián)網(wǎng)技術(shù)發(fā)展快���,網(wǎng)絡(luò)病毒和木馬攻擊也在不斷更新�,面對新的安全漏洞和病毒���,要加強(qiáng)日常防控來減少網(wǎng)絡(luò)安全突發(fā)事件的發(fā)生����。由學(xué)校信息技術(shù)部門制定對硬件、操作系統(tǒng)�����、數(shù)據(jù)庫和應(yīng)用系統(tǒng)維護(hù)的各個環(huán)節(jié)的工作流程和操作規(guī)程����,進(jìn)行更加詳細(xì)的規(guī)定,及時發(fā)布安全威脅通知�����,讓校園網(wǎng)用戶了解�����,并注意防范��。
4.網(wǎng)絡(luò)安全與信息系統(tǒng)建設(shè)同步規(guī)劃���、同步建設(shè)�,應(yīng)用交付前進(jìn)行合規(guī)性審查����,先體檢���、后上線。網(wǎng)絡(luò)安全是一項長期的工作���,必須將其納入日常管理中常抓不懈�����,防患于未然。信息系統(tǒng)建設(shè)除了系統(tǒng)功能和性能滿足業(yè)務(wù)要求外�����,安全性���、可靠性���、可用性也必須進(jìn)行質(zhì)量控制。在院系部處層面�����,將其二級網(wǎng)站納入學(xué)校網(wǎng)站群統(tǒng)籌建設(shè),定期進(jìn)行等保測評�����、滲透測試��、漏洞掃描����;強(qiáng)化綜合治理,清理長期無人維護(hù)的網(wǎng)站或信息系統(tǒng)�;對于各院系部處為推動業(yè)務(wù)開展而開發(fā)的信息系統(tǒng),在分解落實(shí)責(zé)任的同時�,實(shí)行過程控制。過程控制可采取如下三方面的措施��。
第一����, 增加建設(shè)過程中的評審環(huán)節(jié)。在項目設(shè)計���、開發(fā)階段成果接近完成時���,由項目組會同相關(guān)業(yè)務(wù)部門共同組織技術(shù)評審����,包括對系統(tǒng)安全性的審查����。評審以項目前期形成的方案、文檔及學(xué)校的相關(guān)標(biāo)準(zhǔn)和規(guī)范為依據(jù)�,對該階段形成的方案、技術(shù)文檔及系統(tǒng)進(jìn)行審查��、確認(rèn)等工作����,并形成評審結(jié)論�。
第二, 進(jìn)行內(nèi)部測試和第三方測試���。在項目驗(yàn)收前����,除了由項目內(nèi)部和業(yè)務(wù)部門參與的集成測試外���,聘請專業(yè)的第三方測試機(jī)構(gòu)進(jìn)行測試����。
第三, 安全檢測與審計雙管齊下����,全方位監(jiān)控安全事件。對應(yīng)用系統(tǒng)和服務(wù)器進(jìn)行定期安全檢測�����,有效消除潛在的安全隱患;定期進(jìn)行應(yīng)用系統(tǒng)����、數(shù)據(jù)庫�����、服務(wù)器���、配置管理等的安全審計�,避免越權(quán)操作及數(shù)據(jù)泄漏事件的發(fā)生�����。
5.加強(qiáng)技術(shù)防護(hù)體系建設(shè)。由于網(wǎng)絡(luò)具有信息發(fā)布平臺開放�、信息發(fā)布來源隱蔽等特點(diǎn),加之各種安全漏洞��、不良網(wǎng)站及“網(wǎng)絡(luò)黑客”的存在����,給高校網(wǎng)絡(luò)安全工作帶來諸多挑戰(zhàn)。尤其是在對匿名用戶缺乏有效控制的情況下���,一些不宜宣傳或不健康的內(nèi)容極有可能通過網(wǎng)絡(luò)滲透進(jìn)校園��。系統(tǒng)建設(shè)與日常運(yùn)行管理中���,需構(gòu)建自動化防控系統(tǒng)加強(qiáng)系統(tǒng)的安全防范,為應(yīng)用系統(tǒng)和用戶構(gòu)筑起堅實(shí)的安全堡壘��,包括但不限于以下措施:
第一�����, 訪問控制�。高校校園網(wǎng)最常用的網(wǎng)絡(luò)安全技術(shù)有殺毒軟件、防火墻技術(shù)���、身份驗(yàn)證等��。網(wǎng)絡(luò)安全防范保護(hù)首先要設(shè)置訪問控制���,網(wǎng)絡(luò)訪問控制的目的是保證內(nèi)部網(wǎng)絡(luò)資源不被非法訪問和非法使用,校園網(wǎng)用戶入網(wǎng)口令要保證唯一性��,通過訪問控制對用戶口令密碼進(jìn)行驗(yàn)證����。在外網(wǎng)和內(nèi)網(wǎng)之間用防火墻隔離,對數(shù)據(jù)流進(jìn)行嚴(yán)格的監(jiān)控���,在防火墻上做好詳細(xì)的日志記錄�����,為安全事件的事后取證提供依據(jù)���。
第二,構(gòu)建三套獨(dú)立環(huán)境���,保證正式環(huán)境安全�����。將系統(tǒng)開發(fā)���、測試和正式運(yùn)行三個環(huán)境分離���,確保開發(fā)階段和測試階段的工作不影響正式系統(tǒng)的使用。搭建版本控制系統(tǒng)����,確保開發(fā)中源代碼的安全;在程序開發(fā)的過程中�����,需要多人同時參加和協(xié)作���,記錄系統(tǒng)建設(shè)過程中相關(guān)文檔和源代碼的變更過程��,防止代碼意外丟失�、被覆蓋等情況的出現(xiàn)�。
第三, 注意物理環(huán)境安全���,建立備份與恢復(fù)機(jī)制���, 保護(hù)系統(tǒng)建設(shè)成果。物理安全防護(hù)是確保校園網(wǎng)絡(luò)安全工作的基礎(chǔ)���,避免網(wǎng)絡(luò)設(shè)備����、網(wǎng)絡(luò)線纜等硬件設(shè)備受自然災(zāi)害�����、物理損壞��、電磁泄漏��、操作失誤以及人為干擾和搭線攻擊的破壞����,對核心設(shè)備要進(jìn)行嚴(yán)格管理。建立本地���、異地數(shù)據(jù)備份及恢復(fù)規(guī)范方案�����,對系統(tǒng)建設(shè)過程中的成果進(jìn)行及時備份��,防止因?yàn)檎`操作或機(jī)器故障導(dǎo)致數(shù)據(jù)丟失���,切實(shí)保證數(shù)據(jù)的安全���。
第四,防火墻與入侵監(jiān)測��,構(gòu)筑網(wǎng)絡(luò)屏障��。在互聯(lián)網(wǎng)(Internet)和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務(wù)器之間架設(shè)兩層防火墻��,防止校內(nèi)外用戶對服務(wù)器的攻擊��;部署網(wǎng)絡(luò)分析系統(tǒng)�,實(shí)時監(jiān)控網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊和病毒傳播�,為網(wǎng)絡(luò)安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問關(guān)鍵信息系統(tǒng)��,用戶需要通過VPN加密鏈路才能實(shí)現(xiàn)從校外訪問關(guān)鍵信息系統(tǒng)。
第五��,漏洞掃描與日志分析�����,促進(jìn)應(yīng)用安全的不斷提升��。在應(yīng)用系統(tǒng)層����,采用系統(tǒng)日志分析平臺對應(yīng)用進(jìn)行日志分析�,捕捉和定位異常事件;定期對應(yīng)用服務(wù)執(zhí)行漏洞掃描���,對出現(xiàn)的SQL注入�����、跨站腳本攻擊����、網(wǎng)頁非法篡改�����、強(qiáng)制訪問等系統(tǒng)安全風(fēng)險及時進(jìn)行分析和整改。
第六�, 主動式監(jiān)控及時追蹤問題。對服務(wù)器軟硬件運(yùn)行狀態(tài)進(jìn)行監(jiān)控����,實(shí)現(xiàn)對服務(wù)器運(yùn)行狀態(tài)及各信息系統(tǒng)狀態(tài)進(jìn)行主動監(jiān)聽和預(yù)警;建立統(tǒng)一日志服務(wù)器���,對所有系統(tǒng)的日志進(jìn)行集中管理和備份�����,確保問題發(fā)生時通過日志進(jìn)行定位和追蹤���。
網(wǎng)絡(luò)安全管理問題需要從管理和技術(shù)兩方面考慮和解決,只有依靠有效的組織保障�����、規(guī)范的管理流程��、安全可靠的系統(tǒng)工具及技術(shù)的支撐��,才能達(dá)到以較小的代價、利用有限資源控制安全風(fēng)險的目標(biāo)�,更好地保證信息化建設(shè)和應(yīng)用的成果。
6.加強(qiáng)對用戶的教育和培訓(xùn)����。通過網(wǎng)絡(luò)安全教育使用戶對校園網(wǎng)絡(luò)所面臨的各類威脅有較為系統(tǒng)����、全面的認(rèn)識,明確這些威脅對他們的危害���,增強(qiáng)他們的網(wǎng)絡(luò)安全意識��,讓所有校園網(wǎng)用戶都來關(guān)心����、關(guān)注網(wǎng)絡(luò)安全����。通過對校園網(wǎng)用戶的培訓(xùn),使他們能盡量保證自己使用的計算機(jī)安全���,能處理一些簡單的安全問題���,從而減少網(wǎng)絡(luò)安全事故的發(fā)生����。遇到網(wǎng)絡(luò)安全問題時���,能做好記錄并及時向有關(guān)部門報告�。
加強(qiáng)對網(wǎng)絡(luò)內(nèi)容的監(jiān)控和輿情分析����,改進(jìn)網(wǎng)絡(luò)文化建設(shè),主動占領(lǐng)網(wǎng)絡(luò)陣地����,推進(jìn)思想政治教育網(wǎng)絡(luò)工程建設(shè),針對學(xué)生關(guān)心的熱點(diǎn)問題��,積極開展網(wǎng)上正面的宣傳和正確的信息傳播����,不斷拓展網(wǎng)絡(luò)思想政治教育的覆蓋面,增強(qiáng)網(wǎng)絡(luò)思想政治教育工作的影響力����。加強(qiáng)對校內(nèi)論壇等網(wǎng)絡(luò)交流平臺的監(jiān)管�����,組建網(wǎng)絡(luò)信息員隊伍���,在學(xué)校統(tǒng)一指導(dǎo)下,定期整理網(wǎng)絡(luò)上的討論熱點(diǎn)及主要觀點(diǎn)�,捕捉和反饋重要信息,掌握網(wǎng)上動態(tài)���,以適當(dāng)方式制作和發(fā)布積極信息,及時處理消極信息�。以學(xué)生社團(tuán)或者類似形式建設(shè)兩支隊伍:一是網(wǎng)絡(luò)日常管理與技術(shù)維護(hù)隊伍;二是“網(wǎng)紅”和評論員隊伍����。
網(wǎng)絡(luò)安全與諸多方面都有聯(lián)系,它不是孤立存在的�����。高校網(wǎng)絡(luò)安全是一個長期��、復(fù)雜、深遠(yuǎn)而又龐大的系統(tǒng)工程����。本文從高校網(wǎng)絡(luò)安全面臨的問題出發(fā),遵從風(fēng)險管理的理念��,借鑒國際上網(wǎng)絡(luò)安全工程理論和最佳實(shí)踐經(jīng)驗(yàn)����,就高校如何提高信息安全工程能力成熟度和落實(shí)國家網(wǎng)絡(luò)安全等級保護(hù)政策法規(guī)展開研究,從校級���、院系部處和師生用戶三個維度積極應(yīng)對��,探討了高校如何加強(qiáng)用戶網(wǎng)絡(luò)安全素養(yǎng)��、建立全局性的網(wǎng)絡(luò)安全防護(hù)體系����,以達(dá)到依法辦網(wǎng)����、依法管網(wǎng)和依法用網(wǎng)的要求。(作者:龔漢明��,單位:北京信息科技大學(xué)信息與網(wǎng)絡(luò)管理中心)
參考文獻(xiàn):
[1]鄧若伊,余夢瓏��,丁藝�����,等.以法制保障網(wǎng)絡(luò)空間安全 構(gòu)筑網(wǎng)絡(luò)強(qiáng)國—《網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》解讀[J].電子政務(wù)�,2017(2):2-4.
[2]孫瑞婷.總體國家安全觀視域下我國網(wǎng)絡(luò)意識形態(tài)安全問題研究[J].廣東行政學(xué)院學(xué)報,2017(3):31-35.
[3]張賽男,孫彪.網(wǎng)絡(luò)信息安全現(xiàn)狀與對策分析[J].無線互聯(lián)科技,2015(21):28-29.
[4]李曉玉.國內(nèi)外信息安全標(biāo)準(zhǔn)研究現(xiàn)狀綜述[A].現(xiàn)代通信國家重點(diǎn)實(shí)驗(yàn)室��、《信息安全與通信保密》雜志社.第十一屆保密通信與信息安全現(xiàn)狀研討會論文集[C].現(xiàn)代通信國家重點(diǎn)實(shí)驗(yàn)室�����、《信息安全與通信保密》雜志社:四川信息安全與通信保密雜志社,2009:5.
[5]賈鐵軍.網(wǎng)絡(luò)安全技術(shù)與實(shí)踐[M].北京:高等教育出版社�����,2014.
[6]石崢嶸����,高校網(wǎng)絡(luò)安全管理問題分析與對策研究[J].信息與電腦(理論版)���,2016(10):147-148.
[7]高校信息化安全管理布局[EB/OL].(2012-05-23)[2019-01-02].http://security.ctocio.com.cn/298/12340798.shtml.
[8]ISO/IEC 21827-2008 Information technology-Security techniques-Systems Security Engineering-Capability Maturity Model(SSE-CMM)《信息技術(shù)—安全技術(shù)—系統(tǒng)安全工程—能力成熟模型》.
[9]全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會.信息技術(shù):系統(tǒng)安全工程:能力成熟度模型:GB/T 20261-2006[S].北京:中國標(biāo)準(zhǔn)出版社,2006:3.
[10]全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.信息安全技術(shù):信息系統(tǒng)安全等級保護(hù)基本要求:GB/T 22239-2008[S].北京:中國標(biāo)準(zhǔn)出版社,2008:9.
[11]全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.信息安全技術(shù):信息系統(tǒng)安全等級保護(hù)實(shí)施指南:GB/T 25058-2010[S].北京:中國標(biāo)準(zhǔn)出版社,2010:9.
[12]全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.信息技術(shù):安全技術(shù):信息技術(shù)安全評估準(zhǔn)則:GB/T 18336-2015[S].北京:中國標(biāo)準(zhǔn)出版社,2015:5.
《北京教育》雜志
