摘要:网络信息安全是高校业务系统持续可靠、安全稳定运行的重要保障,是提高教学、管理及服务质量,保护人事、财务、资产、办公和公民个人信息的重要基础。笔者结合所在单位的工作实践,从网络安全管理、技术防护、应急管理、宣传教育、等级保护、非涉密信息系统及互联网保密情况和个人信息保护等七个方面,探讨高校网络信息安全管理。
关键词:校园网;网络安全;信息安全
0引言
在各高校智慧校园建设逐步推进及《教育信息化2.0行动计划》背景下,各高校业务系统越来越多。但是,大多数高校网络信息安全没有同步跟进,重应用轻安全,在网络安全管理及技术防范措施方面存在不知道“做什么,怎么做”的难题。目前,教育系统网络安全基础设施较薄弱,常出现系统瘫痪、网页篡改、数据泄露等现象,网络安全形势日益严峻。因此,如何加强校园网络信息安全已成为人们关注的热点。
1强化网络安全管理,全面落实工作责任
网络安全是“一把手”工程。首先,应加强组织领导,落实工作责任。成立网络安全领导小组,做到分工明确,责任到人,形成主管领导负总责,具体管理人负主责,分级管理,层层落实领导体制和工作机制,切实把网络安全工作落到实处。其次,以制度建设为保障,严格规范管理。根据重要信息系统安全等级保护工作的要求,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,协同相关部门开展计算机网络与信息安全专项治理工作,修订完善网络与信息安全相关规章制度,通过强化网络安全检查工作登记制、网站及重要信息系统巡查制、灾难恢复应急演练和网络安全攻防演练等措施,逐步形成网络安全管理长效机制[1]。最后,强化属地责任。严格落实网站及信息系统前置审批制度,所有线上运行的业务系统均要求相关职能部门填写《二级网站(系统)登记备案表》,签订《网络安全责任书》,明确信息系统主管部门和信息安全负责人。
2执行网络安全技术防范措施,及时排查事故隐患
网络安全方面,强化网络抗攻击措施。在关键网络区域的边界建立防火墙系统,实现边界的访问控制和入侵防范,在核心交换机与服务器之间部署Web应用防火墙,防止Web攻击,重要信息系统通过VLAN、专网等技术进行网络隔离。网络拓扑结构如图1所示。主机安全方面,管理信息系统服务器管理。定期巡查服务器,清理服务器上存在的可疑程序、可疑文件、可疑账号。关闭对外服务的接口设备和服务器设备的不用端口、服务和应用,实现最小化服务。封锁SQL注入、SSL溢出漏洞,及时更新系统补丁,禁用服务[2]。服务器安装防病毒软件,防止计算机病毒、有害电子邮件、非法插件干扰和破坏重要信息系统及网站。应用安全方面,加强信息系统准入管理。系统上线前采用漏扫及开源渗透工具对系统进行黑盒渗透测试。渗透测试期间,测试服务器仅对渗透人员的IP开放服务,确保有漏洞的系统不对外服务。用户接到系统安全评测或渗透报告后,需提供详实可行的整改报告,经校园网管理中心验证合格后方可上线。检查和修补信息系统安全漏洞,对关键Web服务采取抗DDoS、SQL注入、网马等技术防范措施,加强信息系统在防篡改、防病毒、防攻击等方面的有效性。业务系统应用和数据库分离部署,严格账户管理,实行分级分类的账号管理权限,严格口令管理,杜绝弱口令,口令密码复杂度不能低于8位,且必须是字母、数字和其他字符的组合,加强后台登陆错误次数限制。定期审计业务信息系统用户使用日志,做到信息可追踪、可查询,避免用户账号被盗用、恶意使用等问题,定期进行业务信息系统安全检测。采用人工测试和自动化测试相结合的方式,针对系统在数据库泄露、用户资料泄露、源代码泄露、非法执行恶意命令、植入后门、网站后台非法登录、非法读取用户信息和敏感文件被可下载等方面进行安全检测。数据安全方面,加强数据中心安全,建立数据备份机制。采用系统备份和人工备份相结合的方式,数据统一存储管理,防止数据丢失、泄露、篡改和破坏。重要信息系统采取双机热备和负载均衡等技术,确保系统持续稳定运行。
3开展信息系统监测巡查,提高应急处置能力
业务系统7×24h运行,难免会受到非法攻击。鉴于此,需开展网络安全监测,及时应对处置网络安全突发事件。首先,建立网络信息安全应急预案制度和重大安全事件的处置、报告制度,规范网络安全突发事件处理措施和处理流程。业务系统可安装系统安全防御、网站安全防御系统,实现信息系统安全有效预警,并及时处置信息系统潜在威胁。其次,定期开展应急演练,加强信息系统安全测评工作[3]。通过输入非法代码、执行恶意命令、后台非法登录和上传木马文件等方式进行渗透攻击,实现有效防御和阻断。加强数据库备份与恢复演练,完成多场景下数据库损坏修复后的数据验证,提升信息系统管理员应对突发事件的预警和处置能力。最后,严格执行24h网站监测巡查,尤其加强网站主页及后台登陆页面巡查力度,保证第一时间发现处置异常。完善应急响应机制,畅通与上级监管机构、电信基础运营商和运营维护单位之间的应急联动渠道。
4加强网络安全宣传教育,提升网络安全意识
网络安全重在宣传教育,提高师生网络安全素养。高校可利用新生入学教育、网络安全宣传周等契机,通过课堂、讲座、班会和橱窗展示传统方式,与微博、微信、手机终端等新媒体相结合,大力加强网络安全相关知识宣传。积极组织网络安全攻防竞赛,开展“网络安全进学校”、“网络安全知识进课堂”等特色活动。
5落实等级保护工作,积极测评整改
《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”。高校应结合实际,根据业务系统重要性,参照《教育行业信息系统安全等级保护定级工作指南》,确定信息系统等级,开展信息系统安全等级保护测评,并整改测评中存在的问题。
6执行信息审核制度,确保信息内容安全
网站及信息系统是学校对外服务的重要窗口,信息内容安全是最基本的要求。高校各职能部门应设置网站信息编辑专员,定期维护管理网站栏目,更新信息内容,检查网站及其链接网站页面内容是否正常和健康,避免产生“僵尸网站”。严格落实信息“三校三审”制度,加强网络舆情监控与正确引导,组建师生混编的信息员队伍,构建网络舆情监控系统平台,实现贴吧、论坛、微博等公共网络社区24h舆情管控。
7保护用户个人信息,防范个人信息泄露
严格落实用户个人信息保护相关法律法规,确保数据收集、存储、传输、使用和销毁等环节全生命周期安全。收集和使用个人信息需明示收集使用信息的目的、方式和范围。不在主页中师生等个人敏感信息,不在云服务器、各类网盘、电子邮箱中存储师生个人敏感信息数据库,不在各类即时聊天工具(如微信、QQ)中传输教职工和学生个人敏感信息。公示信息在公示结束后,即时撤销网上网下信息,通过碎纸机即时销毁不再使用的个人敏感信息纸质文档。
8结语
“没有网络安全,就没有国家安全”。网络安全责任重于泰山,只有网络安全管理和技术防范措施双管齐下,不断完善网络安全体系,才能助推教育信息化的快速稳定发展。
参考文献
[1]阙宏宇.高校校园网络安全管理存在的问题及对策研究[J].信息与电脑(理论版),2014(7):251-252.
[2]王英锦,那海枫.浅析高校校园网网络和信息安全管理[J].数字通信世界,2016(1):51-54.
[3]张武军,李雪安.信息高校校园网安全整体解决方案研究[J].电子科技,2006(3):64-67.
作者:程光德 单位:重庆工商大学派斯学院
