曹伟杰
摘 要:当今网络信息技术飞速发展,我国高校信息化建设中网络作用占主导地位,在学校各项工作中,高校网络都起到关键性作用。但是校园网络的发展随之也带来了很多相关的安全隐患,网络安全相关问题也是高校信息化建设中焦点问题,只有很好的解决了网络安全问题,高校信息化建设才能稳步的运行,目前教育行业面临着日益增长的网络安全威胁和互联网信息安全挑战,形势很严峻。文章主要针对高校网络安全目前存在的若干问题进行分析,在对保障高校网络信息安全方面提出几点建议。
关键词:高校;网络;安全
中图分类号:TN915.08 文献标志码:A 文章编号:2095-2945(2017)31-0126-02
1 目前高校网络安全存在的问题
前不久发生的“永恒之蓝”事件,一场全球性的勒索病毒侵袭,在这场风波中,我国众多高校成为病毒肆虐的重灾区。世界近100个国家和地区遭到严重攻击,超过7.5万起攻击事件,造成约80亿美元的损失……2017年5月中旬,“永恒之蓝(WannaCry)”勒索病毒席卷全球,给这个在互联网上行走的世界造成了不小的麻烦。然而数据显示,在我国高校网络成为最主要的被攻击对象之一。这次被感染的除了在校学生的电脑,校园图书馆电子阅览室、甚至电子展示屏等连网设备同样不能幸免。
高校网络本来保障校园网中的各种设备及终端,而这些设备分布在校园的不同位置,用处不同,操作的用户也不同,现在部分用户网络安全意识较薄弱,对网络安全问题不够重视,一旦网络安全出现问题,处理不够及时,没能采取安全可靠的技术措施,造成了严重的损失。
高校网络常见安全方面的威胁主要有以下几个方面:
1.1 网络终端系统漏洞
计算机操作系统漏洞和计算机系统应用软件安全漏洞是目前高校校园网中存在的普遍现象,这些漏洞不但影响我们对计算机系统的使用,造成工作不便,还影响校园网络信息正常化运行,对高校网络安全构成严重的威胁。
1.2 网络木马病毒
户联系病毒和木马传播速度快,造成的破坏性大,这都是病毒和木马的显着特点,我们大部分校园内不安装杀毒软件或者是杀毒软件更新不够及时,这样造成病毒快速扩散,严重危害到网络安全,病毒木马会占用大量的网络资源,对校园网的危害非常大。
1.3 黑客恶意入侵
互联网中部分人员会利用黑客技术经常对高校校园网络的服务器、路由器等进行入侵,窃取服务器数据库上的信息,特别是高校教务系统和平时用的办公自动化系统等校园业务系统。同时目前互联网上的下载资源很多,网上有免费的黑客技术软件及软件说明,很多人为了好奇,去下载这些软件,这些黑客软件设置简单,操作方便,破坏性强,任何人都可以利用这些技术对校园网系统造成危害。
1.4 专业技术人员短缺
目前来看,高校还存在着网络技术人员流动性大,专职人员不够,兼职人员分散,网络安全队伍整体技术能力不够以及培训时间保障困难等问题。这些人人员对于网络信息安全事件应急处置比较及时,但处理能力不够,有待提高,只能基本满足低等级网络事件处置能力,对于一些高等级网络信息安全事件应急处置还有较大差距,必要时需要借助其他资源合作处理。
1.5 部分高校安全意识淡薄
对于高校这次成为病毒爆发重灾区的原因,香港《南华早报》援引国际网络安全专家的部分观点,认为高校的校园网络等级安全千差万别,参差不齐,系统的管控问题是造成其安全等级较低的很关键因素。清华大学信息化技术中心信息安全高级工程师郑先伟也曾经提出,大部分被攻击控制的高校网络并不仅仅是因为其存在安全漏洞,而是因为它们长期管理不到位,无人管理状态。
高校频频“中招”的主要原因不是在于人员技术的落后,而是部分高校人员的安全意识问题,意识淡薄。根据某教育研究院的调查显示,近年来我国高校在信息化软硬件设施建设上投入比较大,比较完善,但在应用效果上却差别明显。对118所院校的调研中,在中央IT系统和架构、科研、教学的数据层面有安全考虑的院校不超过30%;管理方面,已经制定并实行信息系统的数据安全管理制度的学校占比不足一半。实际上,微软在2017年3月份就发布了修复系统漏洞的补丁,只要打开系统更新就会避免此次“永恒之星”攻击。而已经不受微软技术支持的XP系统依然在我国市场保持一定的占有率,其中大部分份额来自高校、国企及政府部分部门。综合看来,一些高校对于网络信息系统安全的管理亟待提升。
2 高校如何为自身加持防护措施
教育部发布的《2017信息化工作要点》中明确提出,要提高教育行业网络安全信息保障能力,增强高校网络安全监测预警和应急响应能力。作为高等学府,高校网络的数据关系着高校教研、教学、以及科研成果等,必须加以重视,一旦文件丢失或损坏,将可能直接影响到科研和教学的停滞。
2.1 高校网络管理制度建设
要根据自己学校的网络安全体制,进行顶层设计,在运行机制上要采用“管理+技术”的路线,一方面,需要出台网络信息安全管理制度文件,明确各级部门人员的职责,开展专业的网络信息安全培训教育,同时学校需要通过规章制度对网络安全相关工作做出具体规定,对网络安全突发事件要公布应急预案,另一方面,由学校信息化中心等技术部门,根据学校网络拓扑结构图制定出网络安全防范防护的方案并明确具体实施,重点加固两点,网络出口边界和数据中心边界的安全。
2.2 高校网络安全人才队伍突破
我国高校针对目前和今后的网络与信息安全形势,建议建立灵活的信息化用人标准和体系,对一些经验丰富和有一定理论基础的技术人员破格录用,合理制定薪资标准,高校都存在编制不够,队伍不充足情况,我们仍然要客服困难寻找突破口。首先,学校有自己的技术力量和人才优势,对安全感兴趣有能力的学生,可以进行各种比赛进行提拔和培养,部分教师的资源也很丰富,需要高校对这些学生和教师进行整合资源,推进安全建设,培养自己的人才,为国家安全和经济社会发展保驾护航,高校重任在肩,刻不容缓,目前已经有高校出台了针对性政策,但客观来说,目前情况下由于人事制度、薪酬体系和发展平台等因素限制,高校在高水平专业人才的引进方面仍处于不利地位。
根据实际情况发现,平时的管理中只依靠自己的技术力量还不够,选择有能力有实力的外包公司,可以发挥外包公司比较专业的优势,但也存在,外包公司业务较多面对对个服务对象,服务不到位,只要再平时的管理和沟通中适当的调配,基本可以满足管理需求,但在某一些病毒集体爆发时,他们人员不够,精力不够,很难很迅速的解决问题,所以还需要依靠本单位的技术团队进行处理。
2.3 加强第三方合作外包服务
目前,面向高校的信息安全产品技术水平需要进一步提升,企业的外包服务能力尚待进一步提高,提供的技术方案的适应性和针对性有待进一步加强。因为高校网络安全工作需要与政府、企业、科研机构、社会组织等多方面广泛合作与协同,特别是有必要引入第三方安全咨询服务。网络安全是一个融合技术、管理和服务的体系,需要加强安全体系规划及顶层设计,针对一些关键和重要安全问题,需要与安全公司开展校企合作研发、购买安全服务等,合作中应以高校为主导。个人认为,高校网络安全应该采用核心自主管控+全局服务外包、“部分自主整体合作”模式。对于高校内部应用系统、数据中心等核心功能安全首先要自主管控,同时借助第三方技术服务优势,将日常运行安全,机房运行安全等采用服务外包,与第三方合作共建、风险共担。
服务外包合作伙伴需要挑选国内知名安全厂商,他们的技术实力强和积累的经验,可以协助学校做好网络安全中定期检测、日常监测、紧急处置等工作,对学校网络安全问题能早发现、早解决,发挥积极的作用。
3 结束语
2017年6月1日,国家《网络安全法》正式实施。其中第一次在法律的层面提到“网络安全等级保护制度”这一新概念,换句话说包括我国高校、机构和企业部门在内的所有与网络相关的单位,必须进行安全等级保护工作。如果用户单位不做等级保护测评,将会受到政府最高百万罚金的处罚。作为高校,现在开始行动,现在提高网络安全意识,加强安全部署尚不为晚。
参考文献:
[1]卢伟.大学生网络安全意识现状与对策研究[J].山东行政学院山东省经济管理干部学院学报,2009(03).
[2]王兴国.高校校园网络安全管理问题与策略研究[J].辽宁行政学院学报,2015(05).
[3]吉庆.高校计算机网络的安全建设途径研究[J].科技创新与应用,2017(1):109.
