高校信息安全管理策略

前言：尋找寫作靈感？中文期刊網用心挑選的高校信息安全管理策略，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：目前信息安全形勢發生了巨大變化，國家已將信息安全上升法制高度，教育部也在加強教育領域的信息安全指導。而部分高校仍存在信息安全管理隱患，對此本文從頂層設計、網站和漏洞管理、制度保障、隊伍建設、意識教育、監測預警等提出解決方案，為構建高校信息化的安全防御體系提供參考。

關鍵詞：信息安全；高等院校；管理策略；形勢分析

1信息安全形勢分析

隨著外圍環境的不斷惡化，我國信息安全環境發生了較大變化。網絡空間進入以網絡擴軍熱為代表的“后黑客時代”，有組織的網絡犯罪持續升高，針對重要信息系統的攻擊持續發生，關鍵信息基礎設施安全威脅日益加劇，云計算和大數據等新技術應用帶來新風險，國家意識形態安全受到新沖擊。近幾年，中共中央高度重視信息安全工作，加緊制定信息安全戰略體系。2014年2月中央網絡安全和信息化領導小組成立，提出“沒有網絡安全就沒有國家安全”。2015年8月通過的《刑法修正案（九）》對網絡服務提供者增加了刑事責任的規定。2017年6月《網絡安全法》正式實施，明確網絡空間主權、網絡空間命運共同體等內容。至此，我國的信息安全戰略地位空前提高。而教育行業的信息安全未能隨信息化進程的不斷加快而同步發展，安全事件頻發。對安全事件進行不完全分析，可分為如下幾類：（1）師生基礎數據泄露；（2）學位、學歷信息遭篡改；（3）考試成績、高考志愿、招生錄取信息遭篡改；（4）網站遭篡改、貼反動標語：2016年國外反動黑客組織攻擊教育行業信息系統21次。（5）系統遭DDOS攻擊；（6）APT攻擊等。目前我國已有教育機構約50萬所，學生總數達到約2.6億人，教師總數約1800萬人，.edu.cn域名網站約45萬個，涉及到的人員數據約3.8億人次，發生安全事件后其傳播速度、關注度和影響力都難以估量。教育部于2014年指定“科技司”為信息技術安全工作的分管部門，明確責任部門，密集信息安全指導意見，部分文件有：教技[2014]4號《關于加強教育行業網絡與信息安全工作的指導意見》、教技[2015]2號《教育部公安部關于全面推進教育行業信息安全等級保護工作的通知》、教技廳函[2016]32號《關于啟動信息系統安全監測的通知》、教技廳[2017]3號《教育行業網絡安全綜合治理行動方案》，以加強教育行業的信息安全。

2高校信息安全的管理隱患

高校是教育行業中融合教學、科研、社會服務、文化傳承的高等學府，需格外重視信息安全管理工作，目前仍存在頂層設計忽視、網站和漏洞管理混亂、人才缺乏和安全意識缺失等方面的問題。（1）頂層設計忽視安全管理。高校在信息化建設飛速發展時，未能從頂層設計上做到信息安全與信息化建設“同步規劃、同步建設、同步運行”，信息安全被放到次要位置。[1]或過分依賴軟硬件技術，忽視信息安全管理，安全防護缺乏統籌安排。（2）網站和漏洞管理混亂。未能意識網站集中建設的重要性，存在二級單位自建網站，服務器托管在校外等的情況，這種網站存在對外開放卻無人問津，有高危漏洞卻無人修復，出現問題卻無人響應的重大隱患。多數高校仍處于以安全漏洞和安全事件中心的被動局面，缺少主動的漏洞管理流程。（3）安全管理制度缺失。在信息安全的組織架構建設、制度體系建設、等級保護等方面的工作落實不夠，雖然針對校園網、機房安全、二級網站等內容制定了管理條例，但存在未成體系化，修訂不及時等問題。未能將等級保護納入信息安全管理制度中。（4）人才缺失和安全意識缺乏。目前國內專業人才培養仍處于起步階段，高校在引進專業人才上存在一定的困難，而且對從業人員又缺少專業的教育和培訓。一些高校師生對信息安全的重要性及對信息安全事件造成的危害認識不足，未能樹立正確的網絡安全觀。

3高校的信息安全管理策略

2016年04月，在網絡安全和信息化工作座談會上提出：面對復雜嚴峻的網絡安全形勢，需樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。[2]這為高校在新形勢下制定有效的信息安全管理策略提供較好的方向指引。據此提出如下策略：

3.1加強信息安全的頂層設計

學校領導層需認清網絡安全和信息化的關系是一體之兩翼，必須協調一致、齊頭并進，將信息安全建設工作納入學校長遠規劃；認清長期的安全持續管理和服務重于一次性的安全產品投入，從頂層設計上形成完整的安全保障體系。在組織架構上，可借鑒美國高校的首席信息官(ChiefInformationOffice，CIO)體制[3]，成立校級層面的信息安全管理機構，通過統籌協調、宏觀規劃推動高校信息安全工作開展。

3.2有效治理網站亂象

對外開放的網站是存在信息安全威脅的主體。為加強對網站亂象的有效治理，建立網站群平臺，制定全校二級網站集中管理的體系；定期在學校范圍內對網站進行“地毯式”排查，杜絕非學校域名且非學校IP的“兩非網站”存在，對存在安全隱患長期不修復、運維停止更新服務、已完成工作使命且無繼續使用必要的僵尸網站進行清理，及時消除安全隱患。

3.3漏洞管理流程

建立規范、閉環的安全漏洞管理流程能有效增強高校的安全防御能力，流程中應包括漏洞發現、處置、整改、結果驗證等環節[4]。在漏洞發現上，高校信息化部門需指派安全管理員對全校信息系統定期進行漏洞掃描，并隨時跟蹤安全漏洞平臺獲得有關漏洞動態。在處置和整改上，安全管理員先對發現的漏洞進行驗證，排除誤報，再對漏洞的危險等級進行分析評判。若為中高危漏洞，應立即關閉該信息系統的對外訪問，根據備案情況，將漏洞情況反饋給系統的責任部門進行限期整改；若為低危，限期整改，若未限期整改完則關閉其對外訪問。在結果驗證上，信息化部門在收到責任部門的整改完成信息后，對整改結果進行檢驗，對通過檢驗的恢復正常運行，未通過檢驗的則需繼續整改直到驗證通過。

3.4制定系統的信息安全管理制度

可參照《信息系統安全管理要求》等標準要求，建立崗位和人員管理制度，確定安全管理策略，落實安全管理措施，形成高效、系統、完整的信息安全管理體系。管理措施需需包括人員安全管理、系統運維管理、系統建設管理。系統運維管理可包括環境和資產安全管理、設備和介質安全管理、日常運行維護、集中安全管理、事件處置與應急響應、災難備份、安全監測等?！毒W絡安全法》明確規定，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務。因此，高校需建立等級保護制度和程序，補齊等保短板，增強信息安全防護能力。對于已上線信息系統，應盡快完成等級保護定級備案和測評工作，對照標準深入查找薄弱環節并迅速整改；對于新建系統，需制定在正式上線前應完成定級備案和測評整改的工作流程。

3.5加強隊伍建設和意識教育

充分認識到人才在信息安全建設工作中的作用，可以通過組建結構化人才隊伍和加強培訓以進行隊伍建設。結構化，是指人才隊伍不僅局限在高校信息化相關部門，而是擴充到所有責任單位，確保每個責任單位都有一名信息化干事和信息化分管領導監督管理本單位的信息安全工作，與信息化部門協作完成安全防護。專業培訓，既要包含專業理論和技術知識又要包含政策法規學習，“雙管齊下”方能提高專業素養。信息化部門可聯合保衛處、宣傳部、學生處等部門，利用新生教育、網絡安全宣傳周等契機，對全校師生進行信息安全教育。注重法律法規教育，提醒師生要清楚個人在網絡虛擬環境下的權利、義務和責任；注重安全知識和防御技能教育，全面提高學校及師生個人的網絡安全防范能力。

3.6加強監測預警水平

為全天候全方位感知網絡安全態勢的要求，需健全信息安全值守制度，形成7*24小時值班制度；制定信息安全演練方案，針對不同情況采取不同級別的演練等級，在演練中不斷優化應急處置流程；加強基礎網絡的技術防護，將部署的安全設備能夠有效利用；對重要信息系統采取“前臺靜態呈現、前后臺分離部署”的防護策略，同時進行定期巡檢，一旦發現異常需快速反應。

4總結

由于信息安全存在攻防高度不對稱的特點，黑客防不勝防，一旦存在出現防護短板就會產生災難性后果，信息安全只是“相對”安全。在此情況下，對高校信息安全管理者提出了更高要求，需不斷加強自身的技術能力，保持警惕狀態，同時可形成安全共同體，建立多方聯動的安全防護體系，為構建安全、穩定、和諧的校園網絡環境不斷努力。

參考文獻：

[1]羅南.高校信息安全風險分析[J].電腦知識與技術:學術交流,2016,12(10X):24-25.

[2]在網絡安全和信息化工作座談會上的講話[EB/OL].

[3]陳明.美國高校信息安全管理體系及其啟示[J].科技信息,2012(33):131-132.

[4]吳海燕.安全漏洞管理流程:你必須知道的幾個要素[J].中國教育網絡,2017(07):51-52.

作者:劉明月 單位:中央財經大學網絡信息中心