前言:想要寫出一篇引人入勝的文章?我們特意為您整理了高校信息系統(tǒng)安全防護(hù)策略探討范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
摘要:隨著信息化的發(fā)展,高校信息系統(tǒng)安全越來越受重視。本文分析高校信息系統(tǒng)特點(diǎn)與安全現(xiàn)狀,指出面臨的問題,提出安全防護(hù)策略,以期為高校信息系統(tǒng)的安全防護(hù)提供一些參考性意見。
關(guān)鍵詞:高校信息系統(tǒng);信息系統(tǒng)安全;信息安全
高校信息化建設(shè)如火如荼,各種各樣的信息系統(tǒng)大量涌現(xiàn)。信息系統(tǒng)安全在信息安全中占據(jù)重要地位,對(duì)于高校而言更是如此;出現(xiàn)諸如招生數(shù)據(jù)泄露、“官網(wǎng)”被掛、“反動(dòng)標(biāo)語(yǔ)”等信息安全問題,不僅會(huì)造成損失,而且會(huì)影響到學(xué)校聲譽(yù),帶來社會(huì)負(fù)面影響。所以,高校信息系統(tǒng)的安全防護(hù)不容怠慢,其研究工作意義深遠(yuǎn)。
1高校信息系統(tǒng)特點(diǎn)
高校信息系統(tǒng)不僅包括各職能部門建立的人事、財(cái)務(wù)、教務(wù)、資產(chǎn)管理等業(yè)務(wù)系統(tǒng),也包括校園官網(wǎng)、招生、就業(yè)、各二級(jí)學(xué)院宣傳主頁(yè)等網(wǎng)站。以深圳信息職業(yè)技術(shù)學(xué)院為例,目前臺(tái)賬中有統(tǒng)計(jì)在冊(cè)的信息系統(tǒng)203個(gè),按照系統(tǒng)用途,可以將它們大致分為三類:部門(學(xué)校)宣傳網(wǎng)站、業(yè)務(wù)系統(tǒng)和項(xiàng)目(課題)申報(bào)網(wǎng)站,按照建設(shè)類型可以分為兩類:網(wǎng)站群和自主建設(shè),它們的數(shù)量統(tǒng)計(jì)情況如表1所示??梢钥闯?,高校信息系統(tǒng)具有以下“雙高”特點(diǎn):(1)項(xiàng)目申報(bào)網(wǎng)站占比高由表1可以看出,項(xiàng)目申報(bào)網(wǎng)站在三類信息系統(tǒng)(按系統(tǒng)用途分)中數(shù)量最多,占比為63%。這些網(wǎng)站主要用于課程、教學(xué)資源庫(kù)、教學(xué)團(tuán)隊(duì)建設(shè)等教研項(xiàng)目和科研項(xiàng)目的申報(bào)、評(píng)審、驗(yàn)收等,它們伴隨項(xiàng)目周期而建設(shè),待項(xiàng)目驗(yàn)收通過后往往不會(huì)再使用,使用周期短;但是,很多網(wǎng)站在驗(yàn)收通過后往往被科研團(tuán)隊(duì)遺忘,依舊存活。(2)自主建設(shè)系統(tǒng)占比高由表1可以看出,依托網(wǎng)站群模板建設(shè)的系統(tǒng)與自主建設(shè)的系統(tǒng)比例為112:91,高校自主建設(shè)的信息系統(tǒng)占比高、幾乎追平網(wǎng)站群系統(tǒng)。將各用途的信息系統(tǒng)在網(wǎng)站群和自主建設(shè)兩種建設(shè)類型上作出統(tǒng)計(jì),如圖1所示??梢钥闯?,項(xiàng)目申報(bào)網(wǎng)站中自主建設(shè)的占比將近40%,因?yàn)橛许?xiàng)目經(jīng)費(fèi),很多網(wǎng)站為教師個(gè)人或者項(xiàng)目團(tuán)隊(duì)自行搭建,這就會(huì)導(dǎo)致各系統(tǒng)技術(shù)水平參差不齊;部門的宣傳網(wǎng)站一旦建立,長(zhǎng)時(shí)間運(yùn)行,也多為靜態(tài)頁(yè)面,然而其中自主建設(shè)的占比約為30%;業(yè)務(wù)系統(tǒng)無法依托網(wǎng)站群建設(shè),所以均為自主建設(shè)。
2高校信息系統(tǒng)安全現(xiàn)狀
2.1缺乏系統(tǒng)全生命周期監(jiān)管
大量系統(tǒng)建設(shè)完成后直接上線運(yùn)行,缺乏風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試。帶病上線,必然帶來安全風(fēng)險(xiǎn)隱患,這也是大量系統(tǒng)自主建設(shè)的后果。根據(jù)上一部分的討論,項(xiàng)目申報(bào)網(wǎng)站具有“使用周期短、存活周期不一定短”的特點(diǎn),如果一個(gè)網(wǎng)站被長(zhǎng)時(shí)間遺忘,淪為僵尸網(wǎng)站,必然容易被黑客攻擊、利用。有的“雙非”系統(tǒng),業(yè)務(wù)與學(xué)校相關(guān),但是卻不知道責(zé)任人是誰(shuí),一旦出現(xiàn)安全問題,相當(dāng)被動(dòng)。一個(gè)信息系統(tǒng),從上線到運(yùn)行,再到退出,必須建立完善的系列監(jiān)管機(jī)制。
2.2管理人員安全意識(shí)薄弱
針對(duì)信息安全,目前還是廣泛存在“說起來重要,做起來次要,忙起來不要”的現(xiàn)象。很多系統(tǒng)上線后鮮有人維護(hù),即便被發(fā)現(xiàn)有安全漏洞隱患,依舊置之不理。以深圳信息職業(yè)技術(shù)學(xué)院為例,信息系統(tǒng)安全監(jiān)管部門會(huì)針對(duì)有漏洞的系統(tǒng)向責(zé)任部門發(fā)出“信息安全整改通知書”,根據(jù)反饋來看,整改率僅為41%;待到這些風(fēng)險(xiǎn)系統(tǒng)被上級(jí)監(jiān)管部門通報(bào)批評(píng)后,系統(tǒng)所有者往往追悔莫及。造成這一現(xiàn)狀的主要原因,是管理人員乃至上級(jí)領(lǐng)導(dǎo)嚴(yán)重缺乏信息安全意識(shí)。
2.3管理制度缺失
無規(guī)矩不成方圓,系統(tǒng)亂象的背后是缺乏規(guī)范管理。統(tǒng)計(jì)表明,70%以上的信息安全問題是由管理不善造成的,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理制度來避免的。信息安全制度、流程不健全,就會(huì)導(dǎo)致責(zé)任不明確、不落實(shí)。
3高校信息系統(tǒng)安全防護(hù)策略
數(shù)量多、技術(shù)參差不齊、生命周期不同、意識(shí)缺乏、制度缺失、權(quán)責(zé)不清……面對(duì)高校信息系統(tǒng)如此嚴(yán)峻的安全威脅形勢(shì),可以從以下幾個(gè)方面實(shí)施信息系統(tǒng)安全防護(hù)策略:
3.1增強(qiáng)信息安全意識(shí)
信息安全工作,人是第一位的。美國(guó)國(guó)家安全局的IATF(InformationAssuranceTechnicalFramework,信息安全保障技術(shù)框架)提出深度防御戰(zhàn)略的3個(gè)核心要素,其中居于首位的就是:人。人員意識(shí)上來了,工作總能想辦法做到位。構(gòu)建高校信息系統(tǒng)安全防護(hù)體系,首要的是,加強(qiáng)宣傳教育,組織專業(yè)培訓(xùn),開展信息安全員、系統(tǒng)管理員層級(jí)培訓(xùn),自頂向下培養(yǎng)起基本的信息安全意識(shí),同時(shí)提高管理人員技術(shù)水平,使其掌握常規(guī)安全防范措施。
3.2統(tǒng)一管理、規(guī)范建設(shè)
參照等級(jí)保護(hù)安全框架,明確信息系統(tǒng)建設(shè)流程及其相關(guān)安全工作如圖2所示。當(dāng)校內(nèi)二級(jí)部門申請(qǐng)建設(shè)一個(gè)新的信息系統(tǒng)時(shí),信息安全監(jiān)管部門主要作出以下判斷:一、是否能夠放到網(wǎng)站群建設(shè)和統(tǒng)一管理。所有宣傳網(wǎng)站必須放到網(wǎng)站群建設(shè),項(xiàng)目申報(bào)網(wǎng)站盡可能放到網(wǎng)站群。二、所有項(xiàng)目相關(guān)系統(tǒng)、網(wǎng)站和職能部門業(yè)務(wù)系統(tǒng),必須留出經(jīng)費(fèi),用作定級(jí)論證、風(fēng)險(xiǎn)檢測(cè)等相關(guān)安全工作。系統(tǒng)開發(fā)階段,要特別注意規(guī)范代碼書寫,遵守編程安全原則,避免產(chǎn)生漏洞。比如針對(duì)XSS攻擊,系統(tǒng)要對(duì)用戶提交的內(nèi)容進(jìn)行可靠的輸入驗(yàn)證,包括對(duì)URL、查詢關(guān)鍵字、HTTP頭、REFER、POST數(shù)據(jù)等,僅接受指定長(zhǎng)度范圍內(nèi)、采用適當(dāng)格式與所預(yù)期的字符的內(nèi)容提交,對(duì)其他一律過濾;盡量采用POST而非GET方式提交表單等等。系統(tǒng)開發(fā)完成后、上線前,還需要進(jìn)行全面的安全檢查,包括滲透測(cè)試、服務(wù)器掃描等。對(duì)于存在安全隱患的,堅(jiān)持整改完畢、復(fù)測(cè)安全后再上線運(yùn)行。針對(duì)系統(tǒng)下線,建立完善的退出機(jī)制。下線可以分為永久下線與臨時(shí)下線兩種情況。對(duì)于網(wǎng)站使用周期結(jié)束,或者常年無人管理的僵尸網(wǎng)站,二級(jí)部門和信息安全監(jiān)管部門建立信息互通,對(duì)系統(tǒng)作永久下線處理。對(duì)于例行安全檢測(cè)之后,發(fā)現(xiàn)存在安全隱患或者已經(jīng)發(fā)生重大安全事故的系統(tǒng),立刻進(jìn)行整改,并且切斷外網(wǎng)訪問權(quán)限,這種情況稱之為臨時(shí)下線。臨時(shí)下線的系統(tǒng),經(jīng)復(fù)測(cè)安全后方可再行上線運(yùn)行。
3.3加強(qiáng)日常防護(hù)
強(qiáng)化基礎(chǔ)性工作是加強(qiáng)信息安全保障工作的主要原則之一,信息系統(tǒng)日常安全防護(hù)常規(guī)工作可以按時(shí)間跨度上“6步工作法”展開:(1)每天巡檢;(2)每周更新、升級(jí);(3)每月漏掃;(4)每季度審計(jì);(5)每半年滲透測(cè)試;(6)每年風(fēng)險(xiǎn)評(píng)估、“等保測(cè)評(píng)”。第二,要形成7×24小時(shí)值守制度,采取系統(tǒng)+人工的方式,對(duì)重要系統(tǒng)作監(jiān)測(cè),及時(shí)發(fā)現(xiàn)網(wǎng)頁(yè)篡改、暗鏈、無法訪問等風(fēng)險(xiǎn)隱患,并觸發(fā)預(yù)警和斷網(wǎng)等聯(lián)動(dòng)處置。第三,如果發(fā)生信息系統(tǒng)安全事件,要立即響應(yīng),分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗(yàn)教訓(xùn)。而在這之前,要做好應(yīng)急預(yù)案和數(shù)據(jù)備份。
3.4完善信息系統(tǒng)安全管理制度
針對(duì)3.2小節(jié)的討論,從上線到下線,建立起基于“閉環(huán)”的信息系統(tǒng)全生命周期管理制度。嚴(yán)格把控系統(tǒng)申請(qǐng)外網(wǎng)訪問權(quán)限,做到“開通前有申請(qǐng)、結(jié)束后有交代”,及時(shí)做好備案和關(guān)閉工作,同時(shí)建立、健全臨時(shí)下線機(jī)制。為應(yīng)對(duì)各種突發(fā)事件,制定《信息系統(tǒng)安全應(yīng)急預(yù)案》,建立、健全信息系統(tǒng)安全應(yīng)急處理保障體系,并且定期演練和完善。當(dāng)所有規(guī)章制度,都具有了“閉環(huán)”特征,執(zhí)行起來才行之有效、不留后遺癥。
3.5探索多維信息系統(tǒng)安全監(jiān)管機(jī)制
“有法可依”后還要“有法必依”、“執(zhí)法必嚴(yán)”。制度一旦確立,落到實(shí)處才能產(chǎn)生效益,對(duì)于拒不履行安全義務(wù)的部門和個(gè)人,加大懲罰力度;探索將信息系統(tǒng)安全納入部門、個(gè)人績(jī)效考核等新形勢(shì)下多維度的信息系統(tǒng)安全監(jiān)管機(jī)制,將有利于提升整體信息安全水平。
4結(jié)束語(yǔ)
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》自2017年6月1日施行?!癎B/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”為“等保2.0”新標(biāo)準(zhǔn),于2019年12月1日起正式實(shí)施。高校信息系統(tǒng)安全防護(hù)工作迫在眉睫,其策略研究意義深遠(yuǎn)。只有全面提升信息安全意識(shí),加強(qiáng)日常防護(hù),統(tǒng)一和規(guī)范管理,所有制度、流程都“閉環(huán)”起來,多方聯(lián)動(dòng),才能切實(shí)保障信息系統(tǒng)安全運(yùn)行。
參考文獻(xiàn):
[1]傅川,陳云.高校信息系統(tǒng)安全體系研究與實(shí)踐[J].中山大學(xué)學(xué)報(bào)(自然科學(xué)版),2009,48(3):25-28.
[2]耿娟平.高校網(wǎng)站安全分析及對(duì)策研究[J].北華航天工業(yè)學(xué)院學(xué)報(bào),2018,28(1):11-13.
[3]胡進(jìn)娟.高校網(wǎng)站安全防護(hù)體系化構(gòu)建策略研究[J].無線互聯(lián)科技,2019(24):30-31.
[4]國(guó)家市場(chǎng)監(jiān)督管理總局,中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求:附錄C等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)使用要求:GB/T22239-2019[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2019:4.
[5]劉振昌,陳詩(shī)明,焦寶臣,等.高校網(wǎng)站安全管理模式的探索與實(shí)踐[J].華東師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2015(S1):224-231.
[6]朱勝濤,溫哲,位華,等.注冊(cè)信息安全專業(yè)人員培訓(xùn)教材[M].北京:北京師范大學(xué)出版社,2019:16.
作者:王文泉 單位:深圳信息職業(yè)技術(shù)學(xué)院
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)