智慧校园网络信息安全问题与对策

金燄

（武汉城市职业学院 湖北省武汉市 430064）

1 引言

随着大数据、云计算、物联网、人工智能等新型技术与校园信息化建设的深度融合，智慧校园各类业务系统深度互联互通，网络传输能力不断加强，信息数据规模急剧扩大，信息安全问题随之频繁出现并成为智慧校园建设的新研究课题。

网络与信息安全事件大致可分为敏感信息泄露，电信诈骗，勒索病毒、网络黑客漏洞攻击、弱口令攻击、钓鱼网站或邮件、木马、网页篡改等类型。国家互联网应急中心发布的《2019年中国互联网网络安全报告》显示，2019年全年捕获计算机恶意程序样本数量超过 6,200 万个，日均传播次数达 824 万余次，涉及计算机恶意程序66 万余个。[1]

我国高校或成为网络信息安全泄漏的重灾区。2015年5月高招期间，有媒体报道国内近千所高校网站存在严重的安全问题，可能导致大量学生及教职员工信息泄漏。2017年，某职业技术学院系统的高危漏洞，直接导致系统存储的4000 余名学生身份信息泄露。2018年江苏某大学某学院发生大规模学生信息泄露事件，上千名学生信息疑被不法企业用于偷逃税款。

2 安全问题产生的原因

近些年高校网络信息安全事件频发，多数是由于学校管理体制不够健全、信息化建设规划不合理、各级管理与应用人员安全素养不足等原因造成。学校信息安全的责任边界不清，造成信息安全责任落实不到具体责任人，相互推诿造成安全工作出现管理真空；在信息化建设过程中，安全设备一般都是信息化项目建设完成上线后购置部署，软件系统的漏洞有时候是信息安全问题出现后才进行修补，用户密码没有对强弱进行规定与限制，信息数据也没有脱敏处理；而各级应用管理人员安全意识淡薄、风险辨识能力不够、安全信息获取不及时，也是造成信息安全事件频发的主要原因。

3 国家法规与安全标准

我国网络安全顶层设计正在不断完善中，《网络安全法》《移动互联网应用程序信息服务管理规定》《中华人民共和国密码法》《信息安全技术网络安全等级保护基本要求》（网络安全等级保护 2.0）等多项网络安全相关法律法规、配套制度及有关标准已向社会发布。[1]

为应对以及防范校园网络信息安全问题，教育部于2018年制定的《教育信息化2.0 行动计划》中提出“担当责任，保障安全”的建设要求[2]。如图1所示，信息系统安全保障是在信息系统整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性。[3]

4 解决安全问题的对策

4.1 构建网络信息安全体系

高校信息安全具有动态性,主要是因为院校信息安全政策、策略的制定在实质上是高校发展过程中的某些决策过程。[4]完整的安全体系不能由一次会议或一次研讨来制定完成，其建立过程是循序渐进的，需要不断地计划、实施、检查、改进，周而复始地完善，通过对安全体系文件制定、发布、评审、变更、修订、审批等流程，增强体系有效性和适用性。

4.2 完善安全管理法规制度

网络信息安全工作，三分技术，七分管理，因此更需要强化管理职能，加强规章制度建设，落实网络安全岗位职责。[5]学校制定网络信息安全的相关管理制度与法规条例，应按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，规定各部门和教职工应承担的网络信息安全责任。各级应用人员参照信息系统的安全操作规范实施管理，包括账号与密码设置、木马病毒防范、补丁更新、数据备份、数据加密、台帐记录登记等。结合实际工作制定相应网络信息安全预案，对突发安全事件建立应急预案管理制度和相关操作办法，并定期组织人员进行演练，以保证信息系统面临突发事件时能在较短时间内恢复正常使用。

4.3 注重工程项目过程安全

项目建设安全管理的目标是保证整个项目建设过程中系统的安全。项目的生命周期包括规划组织、需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试、运行维护与废弃等过程。为实现这个目标，信息安全管理必须融合在整个项目建设过程中，与学校的业务需求、环境要求、项目计划、成本效益等相符。

软件生命周期融合出一个信息系统安全工程项目，如图2所示，通过设定安全等级，确认、评估、消除系统已知或未知安全问题，最终评估得到一个可控的安全风险。项目的可行性分析、立项、需求、架构设计、编码、测试、上线、运行、验收等关键环节，在规定时限内完成各环节的安全管理，做到信息安全的可度量和可控。

4.4 运用落实各项安全技术

高校网络安全技术体系，通过落实安全技术相关控制要求，实现物理、网络、主机、应用和数据的所有安全控制，通常采用安全产品加以实现，辅助安全服务以增强安全控制能力。[6]信息系统运维的安全技术包括系统安全防护策略、主机操作系统存储漏洞扫描与补丁，木马病毒、数据库遭受攻击攻防演练，应用系统漏洞补丁、管理员及普通用户账号密码分级管理与设定等。

4.4.1 门户安全技术

门户安全技术主要防范页面篡改、网页挂马、管理员及用户账号密码泄漏、SQL 注入、后台数据泄露，内容缺乏过滤及审核机制等安全问题。通过不断提升技术管理手段，加装WEB 防火墙、加强系统及应用补丁升级等，确保门户的完整性、可用性、保密性，从而保障门户安全。

4.4.2 数据安全技术

运用数据安全技术，做好数据及应用系统安全工作，确保数据的机密性、完整性、可用性。通过双机备份、差异备份、整体备份，加密存储等方式确保数据与应用系统安全。部署数据存储加密产品、服务器密码机或其他密码模块，对存储的重要数据进行机密性和完整性保护。

4.4.3 等级保护测评

等级测评是测评机构依据国家网络安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对等保对象安全等级保护状况进行检测评估的活动。

如表1所示，首先根据系统的风险侵害程度进行评估，设定该系统的保护级别，并按照等级保护要求完成信息系统安全加固工作，定期对已备案的信息系统进行等级保护测评，从而保证信息系统运行风险控制维持在较高水平，并不断增强系统的稳定性和安全性。

信息系统安全建设整改前，信息系统运营使用单位可以选择测评机构进行等级测评，掌握信息系统安全状况，排查系统安全隐患和薄弱环节，明确安全建设整改需求。信息系统安全建设整改后，信息系统运营使用单位应当再选择测评机构进行等级测评，检测系统安全保护状况与标准要求的符合性，进一步查找安全隐患和问题，并进行风险分析，为进一步整改提供依据。

4.4.4 物理设备区域门禁

重点物理设备区域凭权限进入，网络设施设备区域应配置监控设备、门禁设备，控制、鉴别人员进出资格。部署基于密码技术的电子门禁系统，对重要物理区域出入人员的身份进行鉴别，并对电子门禁系统进出记录等数据进行完整性。部署基于密码技术的视频监控系统，对视频监控音像记录等数据进行完整性保护。

4.4.5 密码技术

密码技术能够保护信息系统安全的前提是正确使用子安全可靠的密码技术，密码相关标准除了满足互联互通需求外，更是密码技术安全性的基本保证。

部署智能密码钥匙、智能IC 卡其他具备身份鉴别功能的密码产品，对登录的用户进行身份鉴别。部署可信计算密码支撑平台、签名验签服务器或服务器密码机，实现可信计算能力，建立从系统到应用的信任链，保护重要信息的完整性，保证计算环境的安全可信。

4.4.6 安全认证技术

部署证书认证系统提供的电子认证服务，为用户配置智能密码钥匙、智能IC 卡、移动智能终端密码模块等具备身份鉴别功能的密码产品，对系统用户身份进行管理。部署安全认证网关系统，对访问应用服务器的用户进行身份鉴别和权限控制，对客户端与服务器端、应用系统之间传输的数据进行机密性和完整性保护。部署签名验签服务器、服务器密码机或其他密码模块，对存储的日志记录进行完整性保护。部署签名验签服务器、电子签章系统、时间戳服务器等密码产品，对收发的数据及相关操作记录进行签名，保证数据原发行为或数据接收行为的不可否认性。

4.5 培养提高人员安全素养

制定网络与信息安全培训规划，选拔出具有网络与信息系统管理经验与专业技能的人员从事网络与信息安全管理工作。安全岗位人员要将网络信息安全意识、责任意识、保密意识相结合，落实安全岗位责任与考核机制，逐步实现网络安全管理人员和技术人员持证上岗。通过定期开展信息化应用能力培训等方式整体提升领导干部、管理人员、技术人员、教师队伍的网络信息安全意识与防范意识，提升师生员工信息素养和应用能力水平。在互联网办公、内网办公、移动办公三个方面，做出相关安全要求，辅以相应网络安全案例来剖析网络安全问题根源，共同探讨如何建立良好的网络安全习惯。同时线上线下相结合，通过网络安全案例的现场互动体验、虚拟课堂、在线答题等方式进行网络信息安全培训。

表1：网络安全等级保护工作级别划分

5 总结

网络信息安全是一项体系化的综合性工作，涵盖运维管理、安全技术、制度规范、人员培养等多个维度。网络信息安全体系建设过程是循序渐进的，需要各级领导重视，明确职责，并落实监督考核；网络和信息系统要做好安全技术防护、落实等保、定期巡查等工作；各级系统用户要尽力提升安全素养以做到能保护其个人隐私。网络安全体系框架的构建，将为高校智慧校园建设提供可借鉴的网络安全体系架构模型，为高校信息化建设保驾护航。[7]