关键词:等级保护;安全管理;多层面大纵深防御;健全安全保障体系
引言
随着高校信息化发展和智慧校园的推进增速,国内各个高校应用业务系统数量增多,覆盖和提供服务的范围也不断扩大,而伴随着信息化发展,高校遭受非法入侵、非法攻击和大规模网络计算机病毒攻击等各类安全事件的数量急剧增多,安全威胁和安全风险逐年增大。本文主要探讨高校信息安全防护建设过程中所采取的措施及管理,主要从目前存在问题、具体解决思路、价值体现等各方面展开。教育行业信息安全涉及当代青年的健康成长,关系到社会的和谐安定。随着网络技术的发展、信息化程度的日益广泛、信息安全的需求也变得越来越重要。因此,在借鉴国外信息安全领域所先进经验的同时,结合我国当前的基本国情和高校的实际情况,逐步践行信息安全保护,是促进教育行业信息化健康发展,解决教育行业信息安全问题的必然选择。
1、信息系统安全保护制度
信息安全保护是对信息和承载或传播信息载体按照不同重要性进行分等级保护的一种工作,是国内外很多国家都存在的一种信息安全领域的工作,信息安全保护是当今发达国家保护关键信息通讯的基础设施、保护敏感信息安全的常见做法,也是我国近年来在信息安全方面的经验总结。对信息安全工作,应提高认识、立足大局,它不仅是保障重要信息系统安全的重大措施,更是一项关系国家安全、社会稳定、国家利益的重要任务。
2、国内高校信息安全存在的问题
在教育行业信息化建设初期,由于资金和体质等问题,各单位信息系统的运营缺少有效的安全保护措施和审计机制,存在账户滥用、业务数据被非法读取的风险。系统使用者信息安全意识的薄弱也是高校行业信息安全的一大隐患之一。高校信息化建设的持续发展,各个信息系统之间存在业务交叉和数据交互的现象,导致信息系统具有较强的复杂性和多样性。一直以来缺乏对这些问题进行规范化的安全统计、安全分析、统一安全管理。
2.1安全意识薄弱而带来的信息安全隐患
高校信息系统不仅要为校务教学及教师、学生和家长提供服务,更要注重和保护正常的教学、科研运行及学生、教师等敏感数据信息的保护。如果因信息安全问题导致师生的本人信息或科研信息,乃至于师生家属的私密信息遭到泄露或非法侵犯,将严重损害当事人及学校的合法权益,并影响学校正常教学、公众形象,甚至引发与社会公众的恶性不良关系、产生公众对教育工作的误解或歪曲的可能性,为此系统使用者信息安全意识的薄弱是教育行业信息化的一大隐患之一。需要不断针对性的开展安全培训工作,补全不足。
2.2安全技术层面的信息安全隐患
目前,尽管许多高校信息化建设中已经部署了大量的信息安全产品,但随着信息业务的不断增加,安全设计上整体设计中不规范、不合理,缺乏安全考虑问题更为突出,同时黑客技术的快速更新,现有安全防护已经远远满足不了实际业务系统对信息安全防护的需求,导致信息安全问题频繁暴露,潜在问题更是数不胜数。
1)内部风险隐患
高校信息系统连接着校内各个院系、教务单位、行政单位与学生宿舍等,高校内部网络节点与服务终端数量众多,网络连接情况复杂且高校内面对学生、教师提供信息化业务服务的各类系统软件应用情景各异。业务软件在开发过程中难免人为疏忽或不足,自身存在安全漏洞,应用设计缺陷或后门为黑客、病毒等提供了通过合法或非法的形式侵入系统的途径,进而获得系统的控制权限、实现对数据的篡改、对系统服务的控制等活动,使得高校整体信息系统安全的漏洞增加、攻击路径增多,需防范的安全范围更广,有可能使得高校信息安全面临的风险不断增大。
2)来自外部风险隐患
高校信息系统对外连接着Internet和教育网等,随着黑客技术的发展,基础网络建设中路由、交换及网络安全设备(如:防火墙、交换机等)的设备选型、部署实施或运维使用等不够合理,留有安全隐患。高校外部信息系统越来越多的暴露两大安全威胁之中:1、高校重要业务数据(如教务、校务、财务人事、科研、考务等)与教学及学生敏感信息相关的数据,存在被某些不法分子或黑客窃取、篡改的潜在风险;2、高校对外提供服务的网站尤其是高校官网,存在被某些反动和别有用心的人篡改可能,尤其是国家重大节日期间,一旦出现了负面新闻,在社会上给学校声誉和教育行业会造成极大的破坏和不良影响。
2.3安全管理层面安全隐患
1)没有健全的管理体系,缺少相对应的约束,从而容易产生个人主观意识方面的信息安全问题。
2)缺乏行之有效的管理手段和管理制度,致使个别管理员账号掌握拥有超乎想象的系统操作权限。
3)没有制定相应的信息安全事件应急预案,或有了应急预案没有定期进行演练,致使一个小的安全问题,可能演变成大的安全事件。
4)网络安全监控管理,没有全面覆盖的相应审计溯源管理措施。
5)自主安全保障能力不足,安全运维人员能力有限、多数单位需要借助安全服务商提供全生命周期的安全保障服务、来协助完成安全运维。
3、国内高校信息安全隐患带来的影响解析
3.1基本教育信息的影响
1)教师管理及学生学籍信息的影响:主要涉及学生管理信息、教师管理信息系统等,从个人的角度来看,学生学籍及教师管理等均为高校教育管理重要信息数据,一旦其信息被泄露,极有可能被部分不法分子利用,从而成为其牟利犯罪的手段,对学生、教师、家长等产生恶意影响,不仅会损害个人利益,很可能导致家长及社会对教育管理的不满,引起影响国家和谐稳定的事件。
2)公共教育信息的影响:主要指涉及宣传门户、招生资源分配、学生资助管理、入学业务办理等信息部分。该部分信息的泄露,可作为敌对国家或敌对势力攻击我国政府、制造民族矛盾的工具,从而影响我国的安定团结和社会稳定。
3)教学及校务管理信息的影响:主要指涉及学校日常教学、行政、科研等各类信息的总和。影响安全的这类信息包括学生数据库,教师工资数据库,学校经费、资产及办学条件数据库等管理信息,这些重要数据信息为学校教育教学管理工作决策和指导方向提供了不可替代的数据支撑作用,敌对势力可通过这些信息了解我国人才培养配置、学科发展情况、同时通过对这些信息的扭曲、渲染,进而从党的执政能力、人权等方面来攻击我国政府,影响我国的国际形象和地位。
3.2信息系统自身安全的影响
信息系统安全是保障高校各类业务平稳运行的必要条件。学校各业务系统在校园网环境下平稳、有序、安全的运行,各系统间相互协调、配合共同支撑学校的各项业务有条不紊的运行。因此,任何一个非法操作、攻击或侵入,都可能对整个高校的信息系统造成众多的连锁反应。如:病毒导致网络拥塞、瘫痪,黑客攻击使数据被篡改、教师及学生重要信息被窃取等问题,轻则影响学校业务和校园生活的正常进行,重则甚至引发群体事件,危害社会安定、危及国家安全的严重后果。
4、国内高校安全等级保护管理的具体实施思路
4.1定期安全培训,提高对信息安全重要性的认识
首先要加强人员信息安全意识培训,促使系统使用者和管理者认识安全意识在信息安全工作中的重要性和必要性。可通过组织开展人员安全培训、安全政策推送贯宣,来提高信息化从业人员的安全意识。增强人员的安全义务与责任感。
4.2立足安全等级保护,增强信息安全自主保障能力
4.2.1完善安全技术措施
基于安全等级保护的安全防护旨在进行多层面大纵深进行防御,从不同等级安全域出发,考虑多个不同层次安全域如何共同保护,其核心思想是采取多维度、多层次的纵深安全措施来保障信息系统及数据资源的安全。“多维分层防御”是立体防御思想的主要表现之一,从不同等级安全域出发,考虑多个不同层次安全域如何共同保护,在每一个层次都实施信息安全策略和安全机制,将系统的安全风险降至最低,确保系统安全、可靠。
(1)基于物理环境的安全
物理安全为光缆等网络链路设施,交换、路由等网络硬件设备,磁盘、磁带等数据存储介质,以及承载核心网络设备的机房环境等方面的安全防护。防止它们受到自然灾害或人为的破坏。
(2)基于网络的安全
网络层面的安全是指,在物理环境安全的基础上,为使信息系统安全运行所提供的网络方面的支持和保障。为确保信息系统的安全平稳运行,需要提供有效的网络服务,并确保数据在传输过程中的完整性、可用性及保密性等。网络的拓扑结构应根据访问控制原则及应用需求进行合理设计,为避免单一节点故障需实现链路的冗余,对端口要进行访问控制,同时要采取网络入侵检测、网络入侵防御、网络防病毒、网络安全审计等安全措施。
(3)基于系统的安全
实现操作系统和数据库系统的安全运行,需建立备份冗余机制,运维管理应确保实现细粒度的访问控制、日志审计。及时修复系统补丁、升级病毒库,来提高系统的防御能力,并采用最小化系统配置原则来优化配置,减少系统自身的安全隐患。
(4)基于应用的安全策略
在对数据信息进行操作时,尤其是存储、传输和处理时,需要采取相应的安全措施。虽然某些安全措施在支持其运行的物理安全、网络安全、系统安全和数据库管理系统安全中已经考虑并做了配置,然而“守土有责、守土负责、守土尽责”,因此应用软件系统层也应给予重视。在应用系统层面应重点关注系统身份鉴别能力,访问控制手段,安全审计粒度,信息的完整性、保密性及抗抵赖性的防护,自身容错能力及资源控制,编码安全等方面的安全控制能力。
(5)基于数据应急处置的安全策略
制定应急处置策略的主要目的是为在发生突发或紧急情况时,采取及时有效的安全措施。对核心业务的数据加强防护,敏感和重要业务数据应采用加密技术保护数据的传输安全,采用加密技术保护数据的存储安全。重要业务数据的访问应当与PKI/CA体系结合,实现抗抵赖机制,可依托数字认证系统,在信息系统中实现身份认证、授权管理和责任认定等。
4.2.2借力安全保障服务
目前国内多数高校信息安全保护工作建设还处于完善阶段,为此各单位应按照PDCA原则持续改进工作机制,在信息系统安全预警、安全监控、风险分析、安全加固、安全审计、应急响应等方面进行持续化保障,更好地确保系统稳定运行。争取通过全生命周期的信息安全保障服务,来保证安全等级保护建设能持续进行,使整个教育行业信息环境达到持续的安全。
4.3管理与技术并用,全方位提高信息安全管理能力
安全管理在信息安全防护要素中具有重要的地位,但安全不是局部的,所谓“三分技术、积分管理”,技术措施和安全产品只是基础,安全管理才是关键,单靠各高校安全产品的堆砌,无法解决信息安全潜在风险,需要根据各单位的现有的组织架构、现行的安全政策、具体的操作流程等因地制宜;系统责权不明、用户管理混乱、管理制度不健全或缺乏可操作性等都会带来安全风险。为此安全管理方面要优化安全管理组织结构,完善信息安全管理制度,制定信息系统建设和运维的管理流程,规范人员安全管理。
5、国内高校安全等级保护管理价值体现
5.1贯彻落实国家及行业对信息安全合规性要求
在中央网信办第一次会议中,习近平主席提出了“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”同时为保护信息系统的安全,我国将安全等级保护工作作为信息安全保障的一项基本制度,对提高基础网络的建设标准和重要信息系统安全防护要求有着重要的作用,国家一直在大力推行此项制度的建立与实施,党中央、国务院对信息安全等级保护工作非常重视,开展好安全防护工作是有效落实《信息安全等级保护管理办法》的通知(公通字〔2007〕43号)和《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》(公信安[2009]1429号)等有关要求必要工作之。
5.2构建具有学校特色的信息安全管理框架
为实现信息系统的安全管理,结合我校实际情况,要从系统建设前、建设中以及建设后三阶段切实把好安全关。具体包括系统需求分析阶段考虑系统应用范围、涉及信息的敏感性、系统需要定级的等级等;在系统建设中要做好安全方案设计、运行平台的配置分析、渗透测试、漏洞扫描等;系统通过测试试运行时要在封闭环境内先做好测试验收、系统交付、系统备案、等级测评等;正式上线运行后,做到日常运行期间的安全监测、漏洞发现和安全加固等。构建一套具备高校自身特色且符合信息安全实际情况的管理体系,实现信息系统安全持续优化。
5.3提升学校信息系统健壮性
通过安全保护工作的开展,实现“以管促查、以管促改、以管促建”,增强学校各级人员的安全意识,落实安全主体责任,清晰了解各信息系统定级备案情况,深入分析系统潜在风险、系统运行现状,全面排查系统安全漏洞,完善防护措施,建设可视、可管、可控、可查的安全监控网络体系,加强综合防御能力,预防和减少网络安全事件的发生,切实提升重要网络与信息系统的健壮性、保障业务安全稳定运行。
5.4提高学校信息服务水平
通过制定各类应急响应预案,并定期组织演练,来加强、提高对于信息安全突发事件处理的水平。减少因信息安全产生的不良影响。全面维护学生、家长利益、提高信息系统安全服务能力、提高用户满意度,给学校教学及校务、科研工作等提供更好更便捷的信息服务。
5.5促进学校信息化业务健康发展
高校信息系统的安全直接关系着高校教学管理和科研工作的正常运行,一旦网络、系统服务瘫痪或数据丢失,将会给高校带来巨大的灾难和难以弥补的损失。如果信息系统被不法分子攻击利用,用于传播反动言论等非法行为,则更加会对学校的声誉造成极大的破坏,因此加强信息系统的安全防护水平和安全管理水平,能够有效保证高校各个业务系统高可用性,进而促进高校信息化业务良性健康发展。
6、结束语教育行业信息系统承载着未来国家各行各业的重要数据,它的安全状况对教学管理、校务管理、学科实验、乃至社会秩序及稳定、未来国家的发展都具有重要意义。安全防护工作的开展可全面普查高校信息安全的可能存在的风险,统计和分析本单位信息安全的建设状况,指导和管理本单位信息安全未来发展。通过安全整改促使本单位全面落实安全等级保护工作,提高信息系统安全建设整体水平,使其更好地为教职工和学生及家长服务,维护社会秩序和国家安全,为该行业在社会发展中发挥更大的作用提供基础保障。因此,各高校在信息安全保护建设工作中统筹管理、应科学合理的规划,以国家信息安全等级保护规范为依据,遵循主动防御、分级管理、梯次防御等基本建设原则,有效开展信息安全等级保护建设,构建多维度、多层次、大纵深的可视、可管、可控、可查的网络信息安全体系。
参考文献:
[1]蒋建.《数字校园网络立体化安全防护的研究》.2015.
[2]尹曙明.《基于防火墙与入侵检测的安全防御体系研究与设计》.2005.
[3]邵玉兰,曹亚君.《高校教务管理系统的安全风险及策略研究》.2013.
[4]王大萌,王智,刘环鹏.《信息安全等级保护管理系统的建设与推广》.2014.
[5]罗国富,王乙明.《校园网络安全防范体系研究与应用》2012.
作者单位:北京建筑大学