当前位置:安全服务 \ 安全征文作品展
二等奖——智慧校园视野下高校信息安全风险及对策
新闻来源:
发布人:计算机安全协会
点击率:417
发布日期:2018.07.18


【摘要】

随着高校智慧校园建设的推进,信息安全逐渐成为高校信息管理中难以忽视的一个问题。本文首先分析了现阶段高校在信息安全管理方面存在的问题,然后提出P-POT-PDRR信息安全体系参考模型,并在此基础上提出建设高校信息安全体系的主要措施:建立立体、有效的信息安全保障体系;优化信息安全技术体系建设;规范信息安全日常运维管理;强化移动等各类终端系统安全管理;强化数据管理,保证业务数据安全等,以达到确实提高高校信息防护能力。同时笔者也希期为其他高校智慧校园信息安全体系建设工作提供一定的参考。

【关键词】

信息安全;信息安全体系;P-POT-PDRR模型;信息安全保障体系;安全技术体系;运维管理;终端系统安全;数据安全。

近年来,随着移动互联网、物联网、大数据等新技术的高速发展,高校数字化校园建设进入了智慧校园阶段,信息技术与教育教学的融合进入新高度,校园网络基础设施不断改善和优化,各类智慧信息系统已广泛地应用于高校教学、科研、管理、后勤、服务等领域,给师生日常工作生活带来极大的便捷,但信息安全也逐渐成为高校信息管理中难以忽视的一个问题,因此,高校有必要对信息安全风险进行分析,并制定出相对完善的信息安全防护措施。

一、高校面临的信息安全问题

(一)缺乏健全的信息安全管理、技术队伍

信息安全是项极为专业的工作,需要配置专业的人员和岗位。虽然高校一般都在管理机构中设置了信息化部门,但在岗位设置中普遍缺乏配备专职的信息安全管理人员,导致学校的信息安全工作一般由信息系统管理员承担,将信息安全保障工作与网络管理相混为一体。具体到智慧校园中各类信息系统,情况更加严峻,由于这些系统分属学校不同业务部门,系统的日常运维、运营由所在部门人员担任,系统信息安全无从监管。

(二)缺乏高质的信息安全保障服务

工业和信息化部5月中旬公布的《2018年第一季度网络安全威胁态势分析及工作情况总结》[1]显示,第一季度共监测到网络安全威胁约4541万个,相关威胁数量增长明显、影响范围广、修复难度大。而每个高校是否清楚感知本校是否受到安全威胁、数据是否被窃、系统是否被入侵,这些都需要强大的安全支撑保障服务。高校需要加大统筹自身队伍的同时,更需借助社会第三方力量,以保证信息安全保障服务的质量。

(三)信息安全问题未得到师生重视

虽然当前各级政府、领导高度重视信息安全问题,新的《中华人民共和国网络安全法》也于2017年6月1日正式实施,但由于各种原因,部分高校教师和学生个人对信息安全知识缺乏深入的认识,仍然发生名校师生被骗的事件,2017年“WannaCry”安全事件,高校也是重灾区。高校除了加强信息安全教育外,还要注重教育形式,避免流于形式。作为师生,要加强信息安全风险的缺乏警惕,提升信息安全素养。

(四)信息管理保障体系不够完善

随着智慧校园建设的推进,大量的新理念、新技术、新系统得到了广泛应用,优化、创新着高校的业务,保障信息安全方面的管理制度、软硬件不可避免地出现配备不齐全,软件版本过老、硬件过于陈旧等现象,不能完全适应当前智慧校园发展的要求,急需修订完善、升级。

[1]【基金项目】本文为2017年度宁波市远程教育学会重点研究课题《城市电大智慧校园生态系统的研究与实现》(NBYC17-Z01)的部分成果。

【作者简介】程南清,男,宁波广播电视大学信息与教学资源中心副主任,高级实验师,主要研究方向:网络个性化教学。


二、高校信息安全的内涵

信息安全是一个非常广泛和抽象的概念,保证信息安全的关键是建立完善的信息安全体系,P-POT-PDRR模型[2]就是一种较好的信息安全体系(见图1),体系包含Policy(策略)、People(人)、Operation(操作)、Technology(技术)、Protection(保护)、Detection(检测)、Response(响应)和Recovery(恢复)等八要素,并将这八要素分布到安全体系中三个不同层次。

blob.png


体系核心层是安全策略,安全策略在整个安全体系的设计、实施、维护和改进过程中都起着重要的指导作用,是一切信息安全实践活动的方针和指南;中间层包含人员、技术和操作三个要素,构成了安全体系的骨架,从本质上讲,安全策略的全部内容就是对这三个要素的阐述;外围层是构成信息安全完整功能的PDRR四个环节,中间层三要素在这四个环节中都有渗透,并最终表现出信息安全完整的目标形态(三层详细内容见图2)。

信息安全体系模型是智慧校园建设的重要组成部分,是智慧校园安全、稳定运行的保障。P-POT-PDRR的核心思想是通过人员组织、安全技术以及运行操作三个支撑体系的综合作用,构成一个完整的信息安全管理体系,它只是一个理论模型,各校需根据自身实际情况,从物理安全、网络安全、数据安全、应用安全、内容安全、用户安全、安全队伍和安全管理等方面着手进行智慧校园信息安全体系建设,并在建设过程中充实、修正和完善。

三、建设高校信息安全体系的主要措施

(一)建立立体、有效的信息安全保障体系

智慧校园安全保障体系是指为实现安全保障的目标所建立的方针政策、组织结构、规章制度、流程规范和技术手段的总和[3]。保障体系的建设是一个不断完善、循环和动态的过程,需要统一规划,长远统筹。

1.建立完善的信息安全保障规章制度体系

blob.png

安全保障的规章制度一般包含三个部分:安全制度、安全策略和安全操作规范。其中安全制度规定智慧校园管理者和使用者应遵循的法律法规,明确管理者的职责和工作内容,规范使用者的行为;安全策略规定安全保障的级别、网络安全策略、计算机安全策略、应用安全策略和信息安全策略;安全操作规范对具体的安全保障工作提出标准的操作流程。特别是近来年新法规的出台,新理论、新技术的应用,需要对现有各部分规章制度进行重新梳理、更新与完善。

2.建立完备的网络信息安全保障体系组织架构

智慧校园安全保障体系组织架构一般包含三层:信息化领导小组、主管校领导和信息化部门负责人、智慧校园网络系统管理者和信息系统管理者、院系或部门网络与信息管理员及各业务系统管理员等。信息安全保障体系组织架构牵涉部门众多,需要有权威的领导管理机构,从战略高度统揽全校的信息安全管理工作,在信息化领导小组的框架下,由校级领导负责牵头,具体由信息化部门负责对校内信息安全事件的处理。

3.确保安全保障体系的实施

有了安全保障体系的规章制度、组织架构后,还需大力落实与实施,学校需要根据自身智慧校园建设的现状,对网络与信息系统的安全风险进行评估,明确安全保障的对象和内容,针对不同的保障对象确定管理目标,落实相应的安全保障的组织机构及人员和职责,采用有效的技术防护措施、预警机制。笔者根据本校实际,在明确信息安全领导小组、信息部门领导、信息管理员、各部门领导、联络员的职责后,还需与各级安全人员签署安全责任书,以防安全工作流于形式。

4.完善信息安全教育培训机制,提升信息安全管理队伍的信息化素养和安全意识

高校应从上至下,分层级进行信息安全教育和安全法规宣传,使每个师生都能意识到信息安全的重要性,并在头脑中建立起“精神防火墙”;对网络信息主体进行安全防范意识和安全防范技能方面的培养;适当采取激励政策,调动信息安全管理者的积极性和主动性。

5.做好学校网络与信息安全等级保护工作,根据等保测评要求做好技术防护与管理防护工作。

(二)保障资金投入,做好安全技术体系建设

由于信息安全防护的理念、技术的快速发展,相关软、硬件也不断地升级换代。因此,高校应做好规划设计,加大资金的长期投入,逐步淘汰老旧的信息安全防护软硬件,以提供可靠的信息安全保障服务。

1.完善校园LAN、WLAN等基础设施的安全设计

随着高校的扩建和事业发展的需要,高校信息化基础设施越来越庞大,越来越复杂,也越来越必要对这些基础设施进行再规划、再优化,在信息安全方面,应重点考虑以下方面:

(1)DMZ区的安全设计。DMZ区是校园网需要重点防护的区域。该区放置的是云平台、服务器群等核心系统与信息资产。确保DMZ区和内、外网用防火墙进行隔离,以保护本区的安全。

(2)内外网分区隔离设计。须做内外网的隔离,并设置边界防火墙,内网需根据不同用途,设计、配置不同的VLAN,必要时进行端口隔离或设置防火墙,实现不同VLAN间的访问控制与安全隔离。

(3)内部网络访问管理策略设计。为校内师生用户有序使用网络,需加强内部IP管理与分配,各类终端(PC、移动终端)的MAC地址记录或绑定,以及上网账号、密码的管理,保证网络应用可溯源。

2.配套各类安全防护软硬件

根据等保测评情况,按需配置网络与信息安全防护相关软硬件,实现了安全防护、监测预警、安全认证等安全保障与网络信任功能,构建了可信、可控、可查的网络与信息安全技术防护环境。

(1)入侵检测系统(IDS)或入侵防御系统(IPS)系统。对各类网络日志进行分析,获得系统或网络的安全状况,发现可疑或非法的行为,预防合法用户对资源的误操作,实现实时网络数据流跟踪、网络攻击与入侵手段识别、网络安全事件捕获、智能化网络安全审计方案、实时流量统计与监控等。

(2)上网行为管理系统。管理、控制并详细记录校园网用户的网络行为,具备上网日志存储管理,网络用户行为分析、网页访问过滤,上网应用管理、信息收发审计等功能。

(3)WEB应用防火墙(WAF)。保护Web应用服务器免受攻击,有效阻止对服务器和应用带来的威胁,实现主动防御、挂马监测、用户访问保护、漏洞攻击防护、网络攻击防护、流量整形等。

(4)流量监控系统。对网络流量,特别是对校园网出口流量和带宽进行管理和控制,包含网络流量监控、网络流量行为监控、流量和带宽管理策略的设置等,可实现校园网的精细流量管理,优化网络应用和服务,实现网络带宽的有效利用,提高网络和应用的服务质量等。

(5)漏洞扫描系统。对关键服务器系统和网络系统模拟黑客入侵,对系统的脆弱性进行扫描,对潜在安全威胁进行分析,发现系统的漏洞和弱点后,给网络安全管理人员提出改进建议、补救措施和安全策略。

(6)垃圾邮件防护系统。通过域名信誉、IP信誉、发件人身份验证、灰名单技术、图片过滤、完整性分析、启发式检测、黑名单和白名单等手段过滤垃圾邮件,可有效防御网络钓鱼。

3.建立完善的校园网络病毒防御体系。为各类应用服务器群、师生各类终端(PC、PAD、智能手机等)、各类物联系统以及各信息化实验室的提供病毒防御服务,可自动查杀已知病毒、隔离染毒用户、发现未知病毒或可疑代码等。近年来高校建设了大量私有云、物联网设施,极大的挑战着网络病毒防御工作。

4.远程接入安全设计

智慧校园框架下众多应用、资源不宜对外网开放,但又存在远程访问学校内部应用、资源的需求,为了保证数据传输安全可靠、连接方便灵活,需建立虚拟专用网(Virtual Private Network,VPN),采用SSL VPN通讯,对不同用户授予不同的访问权限,保证网内资源安全。

(三)规范日常运维管理,提高日常运维效率和安全预警能力

当前高校智慧校园建有大规模的LAN、WLAN、服务器、虚拟机集群、数据库集群、存储设备、中间件、安全设备、机房动力环境系统、业务管理、云平台等软硬件系统,实现智慧校园的智能化、安全化、一体化运维日益紧迫。

1.建设统一安全管理与综合审计系统(简称“堡垒机”),提高各类软硬件的日常操作管理安全性

面对大规模信息化软硬件系统的日常运维工作,人工管理本身就带来安全风险,通过堡垒机实施日常运维是一个较好的解决方案,可实现各类软硬件的登录、账号、身份认证、资源授权、访问控制和操作审计自动管理。通过规范运维权限管理、全程录像运维操作过程等手段,对运维工作中的人为风险进行防范、规避。

2.建设网络运维管理系统,提高各类软硬件异常、故障分析的智能化

如何保障大规模信息化软硬件系统7*24小时安全运行,是高校智慧校园运营的核心问题。对智慧校园各子系统的异常智能处理、故障全面分析、预警自动化,是运维工作智能化基本要求。因此,高校网络运维管理系统需对大规模信息化软、硬件系统实现智能网络拓扑管理、实时监测、快速定位故障根源等、全面支持各类网络资源等。

3.强化全网监控和威胁感知的建设,提高网络安全预警能力

高校智慧校园变得越来越庞大、复杂,安全问题不再是针对某一设备、某一应用,而变得越来越隐蔽,一些漏洞、攻击、安全风险具有很强的隐蔽,长期隐藏在在系统中,不能发现,往往出现“谁进来了不知道、是敌是友不知道、干了什么不知道”等现象。这就需要高校建立起态势感知(Situation Awareness,SA)系统,对校内各类软硬件进行安全日志全量管理,充分利用大数据分析的模型算法、机器学习、关联分析、基线等,自动挖掘出有价值的安全信息,对异常行为分析、发现及溯源,从全局视角提升对安全威胁的发现识别、理解分析、安全预警、响应处置能力,实现全网监控和威胁感知,最终服务于学校安全决策与行动。

(四)强化移动等各类终端系统安全管理

各类终端系统安全指对各类终端的操作系统、数据库进行安全防护的措施。随着移动互联网应用业务不断拓展和智能终端设备的迅速普及,高校移动互联网应用得到迅速推广,使得师生使用的移动类终端系统面临的安全问题也迅速增加。

1.加强高校移动校园网的安全防护与安全管理

在学校建设校园网、无线网、各类专网时,需配置安全认证设备,进行强密码加密和身份认证,并实现师生上网行为“可鉴权,可溯源”,防止无线网络被非法用户进入网络。

2.引导师生加强移动等各类终端安全防护,提升各类终端安全防护能力

(1)及时对终端系统打补丁、安全配置、加固和优化,如:安装各类客户端防、杀毒系统和漏洞扫描系统;(2)加强账号和口令的管理,避免弱口令,降低密码被破解、个人信息泄露、账号被盗等安全事件发生的概率;(3)加强移动终端系统的安全访问权限、隐私权限、资源访问权和GPS定位权限等进行设置,防止非法访问、位置跟踪、隐私泄露攻击;(4)加强安装未知风险应用软件、访问钓鱼网站的教育;(5)不要随意链接开放的需要手机号等验证的无线WIFI,以降低访问移动互联网应用的安全风险。

(五)强化数据管理,确保各类业务数据安全

数据是智慧校园核心要素之一,数据是资产。随着智慧校园公共数据库的建立,各类业务数据实现互通、共享,各类业务数据的安全风险也相应的大大增加。高校需对业务数据进行重要性、密级评估,以逐步建起数据安全防护措施。

1.建立数据库审计机制。对学校数据中心各类数据库实行在线监控和保护,在数据库安审计系统的辅助下,实现对各数据库操作行为进行记录,对违规操作行为、越权操作、入侵等行为进行跟踪、预警,保证数据操作的合规性[4]

2.强化学校核心数据保护。如学校教务系统、财务系统、一卡通系统、招生等系统,还需配置数据库防火墙,或实行数据库存储信息加密存储,以及加强权限管控,确保核心数据的安全。

3.建立数据容灾备份系统。为了防止误操作、存贮硬件损坏、系统崩溃、自然灾害等不可避免的原因导致数据丢失、损坏,应建立学校的容灾备份系统,一旦发生数据丢失等问题,系统、数据随时恢复。

四、结束语

高校信息安全是高校智慧校园建设的重要保障,高校智慧校园信息安全保障体系的建设是一个不断完善、深入、推进的动态过程,需从策略、人、操作、技术、保护、检测、响应和恢复等多个层面加强高校安全体系顶层设计。虽然目前高校在信息安全管理方面还存在诸多缺陷,但只要根据自身的实际情况,加大人力、物力投入,努力提高自身的应急处置能力,消除各种信息安全风险,并不断完善信息安全保障体系,以确保信息安全处于可控状态。

  

  【参考文献】

[1]2018年第一季度网络安全威胁态势分析及工作情况总结.2018,(01)http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c6179162/content.html

[2]信息安全体系框架.2011,(01)http://blog.sina.com.cn/s/blog_6fe3473b0100p4ka.html

[3]教育部关于发布《职业院校数字校园建设规范》的通知.2015,(01)http://moe.edu.cn/srcsite/A07/moe_967/s3054/201501/t20150119_189492.html.

[4]蔡利军,周益飞,建设高校信息安全防护体系,网络安全和信息化,2018(1):122-124.



作者:程南清(宁波广播电视大学信息中心

上一篇:二等奖 —— 浅谈医院信息网络安全
下一篇:一等奖——浅析轨道交通行业信息安全顶层设计
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com