新形势下高校信息安全的管理策略研究

摘 要：目前信息安全形势发生了巨大变化，国家已将信息安全上升法制高度，教育部也在加强教育领域的信息安全指导。而部分高校仍存在信息安全管理隐患，对此本文从顶层设计、网站和漏洞管理、制度保障、队伍建设、意识教育、监测预警等提出解决方案，为构建高校信息化的安全防御体系提供参考。

关键词：信息安全；高等院校；管理策略；形势分析

DOI：10.16640/j.cnki.37-1222/t.2018.05.196

1 信息安全形势分析

随着外围环境的不断恶化，我国信息安全环境发生了较大变化。网络空间进入以网络扩军热为代表的“后黑客时代”，有组织的网络犯罪持续升高，针对重要信息系统的攻击持续发生，关键信息基础设施安全威胁日益加剧，云计算和大数据等新技术应用带来新风险，国家意识形态安全受到新冲击。

近几年，中共中央高度重视信息安全工作，加紧制定信息安全战略体系。2014年2月中央网络安全和信息化领导小组成立，习近平总书记提出“没有网络安全就没有国家安全”。2015年8月通过的《刑法修正案（九）》对网络服务提供者增加了刑事责任的规定。2017年6月《网络安全法》正式实施，明确网络空间主权、网络空间命运共同体等内容。至此，我国的信息安全战略地位空前提高。

而教育行业的信息安全未能随信息化进程的不断加快而同步发展，安全事件频发。对安全事件进行不完全分析，可分为如下几类：（1）师生基础数据泄露；（2）学位、学历信息遭篡改；（3）考试成绩、高考志愿、招生录取信息遭篡改；（4）网站遭篡改、贴反动标语：2016年国外反动黑客组织攻击教育行业信息系统21次。（5）系统遭DDOS攻击；（6）APT攻击等。目前我国已有教育机构约50万所，学生总数达到约2.6亿人，教师总数约1800万人，.edu.cn域名网站约45万个，涉及到的人员数据约3.8亿人次，发生安全事件后其传播速度、关注度和影响力都难以估量。

教育部于2014年指定“科技司”为信息技术安全工作的分管部门，明确责任部门，密集发布信息安全指导意见，部分文件有：教技[2014]4号《关于加强教育行业网络与信息安全工作的指导意见》、教技[2015]2号《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》、教技厅函[2016]32号《关于启动信息系统安全监测的通知》、教技厅 [2017]3号《教育行业网络安全综合治理行动方案》，以加强教育行业的信息安全。

2 高校信息安全的管理隐患

高校是教育行业中融合教学、科研、社会服务、文化传承的高等学府，需格外重视信息安全管理工作，目前仍存在顶层设计忽视、网站和漏洞管理混亂、人才缺乏和安全意识缺失等方面的问题。

（1）顶层设计忽视安全管理。高校在信息化建设飞速发展时，未能从顶层设计上做到信息安全与信息化建设 “同步规划、同步建设、同步运行”，信息安全被放到次要位置。[1]或过分依赖软硬件技术，忽视信息安全管理，安全防护缺乏统筹安排。

（2）网站和漏洞管理混乱。未能意识网站集中建设的重要性，存在二级单位自建网站，服务器托管在校外等的情况，这种网站存在对外开放却无人问津，有高危漏洞却无人修复，出现问题却无人响应的重大隐患。多数高校仍处于以安全漏洞和安全事件中心的被动局面，缺少主动的漏洞管理流程。

（3）安全管理制度缺失。在信息安全的组织架构建设、制度体系建设、等级保护等方面的工作落实不够，虽然针对校园网、机房安全、二级网站等内容制定了管理条例，但存在未成体系化，修订不及时等问题。未能将等级保护纳入信息安全管理制度中。

（4）人才缺失和安全意识缺乏。目前国内专业人才培养仍处于起步阶段，高校在引进专业人才上存在一定的困难，而且对从业人员又缺少专业的教育和培训。一些高校师生对信息安全的重要性及对信息安全事件造成的危害认识不足，未能树立正确的网络安全观。

3 高校的信息安全管理策略

2016年04月，习近平在网络安全和信息化工作座谈会上提出：面对复杂严峻的网络安全形势，需树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。[2]这为高校在新形势下制定有效的信息安全管理策略提供较好的方向指引。据此提出如下策略：

3.1 加强信息安全的顶层设计

学校领导层需认清网络安全和信息化的关系是一体之两翼，必须协调一致、齐头并进，将信息安全建设工作纳入学校长远规划；认清长期的安全持续管理和服务重于一次性的安全产品投入，从顶层设计上形成完整的安全保障体系。在组织架构上，可借鉴美国高校的首席信息官（Chief Information Office，CIO）体制[3]，成立校级层面的信息安全管理机构，通过统筹协调、宏观规划推动高校信息安全工作开展。

3.2 有效治理网站乱象

对外开放的网站是存在信息安全威胁的主体。为加强对网站乱象的有效治理，建立网站群平台，制定全校二级网站集中管理的体系；定期在学校范围内对网站进行“地毯式”排查，杜绝非学校域名且非学校IP的“两非网站”存在，对存在安全隐患长期不修复、运维停止更新服务、已完成工作使命且无继续使用必要的僵尸网站进行清理，及时消除安全隐患。

3.3 漏洞管理流程

建立规范、闭环的安全漏洞管理流程能有效增强高校的安全防御能力，流程中应包括漏洞发现、处置、整改、结果验证等环节[4]。

在漏洞发现上，高校信息化部门需指派安全管理员对全校信息系统定期进行漏洞扫描，并随时跟踪安全漏洞平台获得有关漏洞动态。在处置和整改上，安全管理员先对发现的漏洞进行验证，排除误报，再对漏洞的危险等级进行分析评判。若为中高危漏洞，应立即关闭该信息系统的对外访问，根据备案情况，将漏洞情况反馈给系统的责任部门进行限期整改；若为低危，限期整改，若未限期整改完则关闭其对外访问。在结果验证上，信息化部门在收到责任部门的整改完成信息后，对整改结果进行检验，对通过检验的恢复正常运行，未通过检验的则需继续整改直到验证通过。

3.4 制定系统的信息安全管理制度

可参照《信息系统安全管理要求》等标准要求，建立岗位和人员管理制度，确定安全管理策略，落实安全管理措施，形成高效、系统、完整的信息安全管理体系。管理措施需需包括人员安全管理、系统运维管理、系统建设管理。系统运维管理可包括环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、事件处置与应急响应、灾难备份、安全监测等。

《网络安全法》明确规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。因此，高校需建立等级保护制度和程序，补齐等保短板，增强信息安全防护能力。对于已上线信息系统，应尽快完成等级保护定级备案和测评工作，对照标准深入查找薄弱环节并迅速整改；对于新建系统，需制定在正式上线前应完成定级备案和测评整改的工作流程。

3.5 加强队伍建设和意识教育

充分认识到人才在信息安全建设工作中的作用，可以通过组建结构化人才队伍和加强培训以进行队伍建设。结构化，是指人才队伍不仅局限在高校信息化相关部门，而是扩充到所有责任单位，确保每个责任单位都有一名信息化干事和信息化分管领导监督管理本单位的信息安全工作，与信息化部门协作完成安全防护。专业培训，既要包含专业理论和技术知识又要包含政策法规学习，“双管齐下”方能提高专业素养。

信息化部门可联合保卫处、宣传部、学生处等部门，利用新生教育、网络安全宣传周等契机，对全校师生进行信息安全教育。注重法律法规教育，提醒师生要清楚个人在网络虚拟环境下的权利、义务和责任；注重安全知识和防御技能教育，全面提高学校及师生个人的网络安全防范能力。

3.6 加强监测预警水平

为全天候全方位感知网络安全态势的要求，需健全信息安全值守制度，形成7*24小时值班制度；制定信息安全演练方案，针对不同情况采取不同级别的演练等级，在演练中不断优化应急处置流程；加强基础网络的技术防护，将部署的安全设备能够有效利用；对重要信息系统采取“前台静态呈现、前后台分离部署”的防护策略，同时进行定期巡检，一旦发现异常需快速反应。

4 总结

由于信息安全存在攻防高度不对称的特点，黑客防不胜防，一旦存在出现防护短板就会产生灾难性后果，信息安全只是“相对”安全。在此情况下，对高校信息安全管理者提出了更高要求，需不断加强自身的技术能力，保持警惕状态，同时可形成安全共同体，建立多方联动的安全防护体系，为构建安全、稳定、和谐的校园网络环境不断努力。

参考文献：

[1]罗南.高校信息安全風险分析[J].电脑知识与技术：学术交流，

2016，12（10X）：24-25.

[2]习近平总书记在网络安全和信息化工作座谈会上的讲话[EB/OL].

[3]陈明.美国高校信息安全管理体系及其启示[J].科技信息，2012

（33）：131-132.

[4]吴海燕.安全漏洞管理流程：你必须知道的几个要素[J].中国教育网络，2017（07）：51-52.

作者简介：刘明月（1989-），女，山东济宁人，硕士研究生，科员，助理工程师。