高校网络信息安全研究——以三门峡职业技术学院为例

吴海军

（三门峡职业技术学院 现代教育技术中心，河南 三门峡 472000）

0 引言

信息，是通信系统传输和处理的对象，泛指人类社会传播的一切内容。人们通过获得、识别自然界和社会的信息来区别不同事物，得以认识和改造世界。在一切通信和控制系统中，信息是一种普遍联系的内容形式。

从某种意义上说，信息就是一种资源，对我们有非常重要的意义，具有共享性、普遍性、可处理性等多种特性。信息安全的实质是要保护信息在传输过程中免受各种类型的破坏和干扰，这就是信息的安全性。根据国际上通用的定义，信息的安全性主要指的是信息的可用性、完整性、保密性以及可靠性。［1］信息安全是任何国家和政府、任何部门和行业都非常重视的问题，是一个不容小视的国家战略性问题。但是，具体到不同的行业和部门来说，在信息安全方面的要求和工作重点还是有区别的。

1 网络信息安全的工作重点

以三门峡职业技术学院为例，2018年学院持续推进智慧校园建设，制订了《三门峡职业技术学院智慧校园V2.0建设方案》，以“一站、七平台、四中心”为总体建设目标［2］，重点以“智慧三职”院APP为抓手，在整体建设方案设计过程中，网络及信息安全工作始终是贯穿智慧校园建设的重点。

1.1 科学统筹，确立校园信息安全工作总体目标

按照“依法依规、技术保障、以查促防”的总体要求，坚持分级管理、责任明确、完善建设的原则，全面提高业务主管部门乃至全校师生的网络与信息安全意识，建立信息安全管理专职团队，制订和实施网络安全建设管理规范，加强基础设施、硬件配备和安全系统的防范措施，定期排查网络与信息安全风险和隐患，不断提高对恶意攻击、非法入侵、有害信息传播的预防和应急响应能力，进一步提高网络与信息系统的安全保密防护能力，切实为信息化环境下的学院教育教学改革与发展提供可靠的安全保障。

1.2 明责定制，建立健全网络与信息安全工作领导体系和管理制度

为加强网络与信息安全管理工作，学院成立了以主管校长为组长，现代教育技术中心主任为办公室主任，各职能部门、院部负责人为成员的教育信息化试点建设领导小组，分工明确，责任具体到人。领导小组的重要职能与工作内容之一就是全面负责校园网络与信息安全保障工作。现代教育技术中心组织了技术支撑团队和专职管理队伍，总体负责该项工作的推进与管理。同时，学院与市政府网络信息安全管理部门、市公安部门建立了纵向衔接、横向协调的组织保障系统。

学院制订了《三门峡职业技术学院网络及信息安全管理制度》，在校园网络安全、网络信息和网站安全、网络信息系统安全、数据保密、应急处置等方面做了严格规定，另外还制订了《三门峡职业技术学院网络及信息安全责任书》《三门峡职业技术学院网络安全事件应急预案》等多项安全管理规章制度和安全标准规范，并在工作中加以落实，以保证网络与信息安全管理工作有章可循。

1.3 积极探索，着力构建具有可操作性的网络与信息安全防护机制

在网络安全保护方面，学院配备基础硬件安全设备。锐捷核心交换机防火墙板卡、天融信防火墙、网御星云防火墙、山石网科出口路由防火墙对内外网进行隔离保护；启明星辰入侵防御系统按照恶意入侵特征库对非法入侵攻击隔离并报警；锐捷上网行为管理及内容审计系统、锐捷日志审计系统对校园上网行为日志记录备案；核心交换机和路由器中的相关安全策略对安全隐患端口自动屏蔽。另外，学院针对网管中心机房、各计算机机房等安全场所及服务器、门户网站、关键数据、校园内单机用户等各类重点信息系统，均采取登记备案、专人负责管理、同步备份等有效措施进行安全防范，有效确保网络与信息的防攻击性、防篡改性和防泄漏性。

在网站及信息安全保护方面，同样利用防火墙入侵防御系统预置了部分安全策略，对常见的网站攻击行为进行防御。由专人对数据库和系统日志按天进行多时间段、多介质查看与备份。网站后台程序具有严格的权限划分，方便用户登入后台进行不同的操作，同时设立了严格的二级网站建设规范，以统一标准对各子网站群进行管理，确保二级网站的健康发展，确保信息的审核以及数据的安全性。同时定期对网站安全系统开展风险评估、安全测评等工作，减少安全隐患，提高应急处理能力，确保网站安全系统持续稳定运行。

在信息发布审核方面，学院制订了详细周密的校园网信息管理办法，严格规范了信息的撰写、发布和审核工作；设置网站编辑专岗，负责网站信息审核和不良信息处理工作，配备后台技术权限，全校各院部对门户网站的信息报送与上传需经主、副编辑的二次审核后才能刊登。学院还建立了完善的网络信息安全监管体制，与市网监支队建立了协查机制，定期将规定的信息及关键字对网站内容加以审查过滤，校内由专人全面负责信息安全与监控工作，对学院内部、外部网站信息进行定期监控和备份，将各类不良信息在第一时间向学院汇报并妥善处理。

1.4 防患未然，建立完善的网络与信息安全工作应急处置和通报机制

学院制订了专门的网络安全与信息保密工作日常监测预警机制，遵循“早发现、早报告、早处置”的原则，加强对各类突发网络与信息安全事件和可能引起突发事件的有关信息的收集汇总、分析判断和持续监测，同时明确应急处置流程和权限，对重大网络与信息安全事件建立处置和报告制度。该项安全应急预警机制由现代教育技术中心负责统筹，专职人员负责具体实施，全体技术人员作为技术支撑。如遇突发安全事件，将在第一时间采取应急措施控制事态发展，降低损害程度，保存相关记录，并根据安全事件的严重程度及时上报主管领导与有关部门，做到应急处置迅速、报告及时。

网络舆情监测系统对涉及我院的互联网舆情进行重点监测，对重点网站实施重点监管，保证及时性和准确性，提高分析网络信息问题的能力。对网络信息活动进行有效管理，实现早发现、早报告、早处理，减少互联网不良信息的传播，净化网络宣传环境，维护网络信息传播秩序。

学院还定期进行网络与信息安全检测与自查，落实和完善安全措施，及时掌握网络与信息系统安全状况，认真查找安全隐患，堵塞安全漏洞；同时定期举办网络与信息安全事故应急演练，进一步提高网络安全系统的应急能力和突发事件的应急处置能力，建立健全网站与信息安全保障机制。

1.5 持续给力，加强网络安全管理队伍建设，不断增强网络与信息安全防护能力

学院致力于建立多层次的网络与信息安全技术防护体系，加大投入力度，尤其是按需不断更新基础硬件配备，提升防御系统性能，构建可信、可控、可查的网络与信息安全技术防护环境，为网络与信息安全提供可靠的、强有力的保障。同时推进网络与信息安全等级保护制度，按照国家与教育行业有关标准规范与工作要求，对已有以及新建的各项安全系统进行定级与备案，并定时进行等级测评，加强安全防护措施的建设。

另外，学院不断加强网络与信息安全管理队伍和技术队伍建设［3］，开展面向全员的专业培训，落实岗位责任制和考核机制。

目前，学院第一批核心信息系统等级保护定级测评工作已由相关公司完成相关流程，学院博达网站群管理平台、教务网络管理系统、天财财务管理平台和校园一卡通系统安全等级测评结果均为第二级（S2A2G2）。

2 网络信息安全面临的问题

2.1 物理安全问题

机房出入口未安排专人值守；漏水防护措施不完善；机房未配备自动消防系统；来访人员未登记审批记录；机房未配各专用精密空调对湿度进行控制；未对存储介质进行分类标识；系统主要设备未设置标签标记。

2.2 网络安全问题

系统网络未部署入侵检测设备；系统未采取措施对内部网络用户私自联到外部网络的行为进行检查；身份鉴别机制不完善；网络设备出口网关、流量控制、汇聚交换机未采用加密方式进行远程管理［4］；网络设备出口防火墙、出口网关、服务器接入交换机、汇聚交换机未启用登录失败处理功能；出口防火墙、出口网关、流量控制等设备未对远程管理地址进行合理限制；网络设备服务器接入交换机与汇聚交换机未提供身份鉴别功能。

2.3 数据安全及备份恢复问题

核心网络设备、关键链路等关键设备存在单点故障；应用系统、操作系统和数据库未对重要数据进行加密存储；操作系统未对重要数据进行备份［5］；系统未采用密码技术进行通信完整性验证。

3 改进措施与整改效果

3.1 改进措施

3.1.1 物理安全措施

在机房出入口加强门禁管理，对出入人员进行控制和登记；在空调设备及可能出现漏水隐患的区域周边增设防水堤，安装浸水报警装置，以降低因漏水、积水对信息设备造成的影响；定期检查机房专用灭火器；建立有效的外来人员进入机房的审批记录表；配备机房精密空调进行湿度控制，湿度45%～65%；为各存储介质进行分类标识；为系统内所有重要设备及通信线缆设置明显的不易去除的标签。

3.1.2 网络安全措施

考虑在系统中部署网络入侵检测设备，对可能潜在的攻击行为进行检测并报警；考虑架设能够检测内部用户非法外联行为的设备或采取其他同等效力的监控措施，对违规外联行为进行检查和阻断；为系统增加口令复杂度检查及限制功能，加强系统在身份鉴别机制方面的安全防护能力；采用安全的方式（如SSH、HTTPS等）对网络设备出口网关、流量控制、汇聚交换机等设备进行远程管理；启用网络设备如出口防火墙、出口网关、服务器接入交换机、汇聚交换机登录失败处理功能，并设置合理的参数；设置出口防火墙、出口网关、流量控制等设备远程管理地址限制，其颗粒度应达到主机级。

3.1.3 数据安全及备份恢复安全措施

远期考虑对核心网络设备、关键链路、核心服务器均采用冗余设计［6］；考虑对系统管理数据、鉴别信息及重要业务数据采用经国家密码主管部门认可的密码技术，保证其在存储过程中数据的私密性；对操作系统数据每天至少完全备份1次，并将备份介质场外存放，此外还应定期对备份文件进行恢复测试，确保备份文件有效［7］；考虑对重要数据采用经国家密码管理局认可的密码技术，保证通信数据的完整性。

3.2 整改效果

经过开展自查工作和学院第一批核心信息系统等级保护定级测评工作，学院预计将在以下几个方面达到一定的网络安全管理整改效果：一是完善网络安全管理制度建设，加强网络安全从业人员的网络安全培训，进一步提高系统管理员、信息安全员的信息安全防范意识；二是核实学院自查情况，按照学院信息安全风险级别和智慧校园建设进度合理安排查缺补漏进度，杜绝高风险隐患，降低中风险比例，控制低风险比例。