校园网络信息安全的问题与对策分析
时间:2023-06-10 20:40:21 来源:雅意学习网 本文已影响 人 
张瑜洁
(北京国家会计学院,北京 101312)
当今的数字化校园建设,将整个校园的功能范畴以信息化形式囊括起来,其涵盖了教学教务管理、行政办公建设、信息技术保障和后勤保障等多方位范畴,并逐步趋向智慧型校园快速发展。校园网络信息安全基于校园生活的特殊性,并作为技术保障重点,贯穿于整个数字化校园建设过程中,其主要体现了以下四个特点。
(1)校园局域网络安全问题蔓延快、影响大。目前,校园网络普遍使用了千兆及万兆网络与主干网络互联,其承载着上千甚至上万的校园网用户,且用户群体密集、带宽利用率高位运行。因此,当校园网出现信息网络安全问题时,极易导致安全问题在局域网内迅速蔓延,网络用户受影响性呈群体性、广泛性。
(2)校园网计算机网络系统涉及面广、管理复杂。处于校园网中的计算机网络设备,不仅包含校园数字化建设相关的服务器与网络设备,还包括教师自主采购的授课计算机硬件及软件、学生宿舍的个人计算机和计算机教室的各类专业硬件设备及软件资源。其中包含学校信息技术部门统一管理的信息资源,还包含未经专人统一定期维护的计算机网络设备。面对校园网中所有的计算机网络终端,欲实施统一的资产管理和安全管理办法非常困难。
(3)校园网用户自身使用特点。使用校园网的学生用户作为最活跃的校园网用户,好奇心强、法律意识比较淡薄,若学校没有对其进行充分的信息网络安全教育,极易导致学生用户以校园网为试验对象,学习大量计算机网络专业知识,编写病毒程序或产生黑客行为对校园网进行技术攻击。
(4)共享资源缺乏管理。由于在校学生普遍缺乏版权意识,盗版软件、盗版影视资源,甚至非法软件在校园网中被普遍复制和使用,其中可能隐藏病毒、木马、后门等恶意代码,极易被攻击者侵入和利用。这些资源的传播一方面占用了大量的网络带宽,另一方面也给校园信息网络带来了相当大的安全隐患[1]。
2.1 正确的信息安全观树立不足
(1)信息安全体系的整体性布局考虑欠缺。在信息时代,网络信息安全同许多其他方面(文化安全、社会安全、资源安全等)都有着密切关系。整体考虑,而不只关注一点,是当前信息安全整体战略布局需要思考的问题。
(2)信息安全技术是动态发展而非静态停滞。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,企图依靠装某几个安全设备和安全软件就想永保安全的想法已不合时宜。
(3)信息安全的管理和宣传相对封闭。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,信息安全水平才会不断提高。
(4)信息安全的保障程度是相对的而不是绝对的。在网络信息安全世界,没有绝对的安全。应立足校园自身发展实际,充分考虑自身的安全等级定义,避免不计成本追求绝对安全,导致背上沉重负担,甚至可能顾此失彼。
(5)信息安全的建设主体是共同的而不是孤立的。信息安全是数字化信息化发展的基本保障,维护信息安全是校园内所有组织机构的共同责任,需要所有组织机构、师生共同参与,共筑信息安全防线。
2.2 多层级安全防护机制有待提升
2.2.1 缺乏全天候全方位感知网络安全态势的能力
对于日常发生的信息安全意外事件,相关信息技术人员试图从中获取故障发生的深层原因以解决根本问题,但这种方式非常被动。感知网络安全态势是最基本最基础的工作,而全天候全方位感知的要求就更佳严格。全天候全方位是一种时间和空间上的全覆盖,注重问题需防患于未然。也是目前校园信息化安全风险监控的短板。
2.2.2 需加快升级关键信息基础设施安全保障体系
关键信息基础设施是校园信息系统运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,调配指令可被恶意篡改,交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致业务中断,具有很大的破坏性和杀伤力。目前亟须深入研究,采取有效措施,切实做好校园关键信息基础设施的安全防护工作。
(1)信息安全建设管理分散、不成聚合。数字校园建设中的信息系统大多委托承建单位进行业务系统建设。随业务系统数量的不断增多,第三方供应链安全管理、统一执行相关责任部门的信息网络安全行为管理已成为校园信息系统日常管理的新问题。如何处理好安全和发展的关系,做到网络安全与信息化建设同时推进、保证业务连续运行,需要所有相关部门单位共同配合解决,这是管理与技术双方面都需要考虑的综合问题。
(2)需进一步落实综合性的应急方案和安全管理制度。目前,各大、中小学校针对信息化安全管理,基本制定了一系列信息网络安全规章制度。但涉及的问题和范畴既有重合也有分散,并没有从管理制度上形成一整套安全管理机制。随着业务系统的不断升级和增加,需要及时更新和完善相关的安全应急保护制度。
与此同时,如何将《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》和《中华人民共和国数据安全法》与校园信息安全建设结合起来,使现有制度更加完善、新政策落地可行且行之有效,是管理与技术人员正在面对的棘手问题。
3.1 完善并落实信息网络安全综合管理制度
实际上,一种方案并不能保证系统一劳永逸,网络安全问题远远不是防毒软件和防火墙能够解决,也不是由大量安全防护产品堆砌而成。针对于校园信息安全管理工作的问题瓶颈,首先要确立一套完整的信息网络安全综合管理制度。具体包含以下方面。
(1)结合国家法规建立信息安全综合管理制度。结合《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法规建立信息安全综合管理制度,同时整合校园现有制度内容,改变现在的信息安全管理制度中不匹配、重叠、交叉的环节,从安全体系架构的角度合理规划、合理建设、甚至适度精简,具体建设思路是:一是站在数字化校园建设整体发展角度把握整体规划大方向;
二是从按功能性区分管理变更为统一整体规划;
三是将现有信息安全办法合并,进行统一更新并持续跟进。
(2)完善各业务系统责任管理办法。为了落实业务系统的安全保护管理工作,进一步强化全系统安全的监督管理工作,进一步降低风险产生。
(3)落实网络安全责任制和监督检查工作。信息安全工作应首先明确工作任务内容,并执行定期巡检机制,落实日常安全保护工作。定期进行报表检查和安全现场检查,对网络安全设施责任人进行监督问责。
(4)增设“提升用户计算机网络安全意识”的定期宣传工作。定期做好日常计算机安全防护的宣传工作,不仅为了保护师生个人的数据安全,而且也从另一角度防止黑客或病毒用过攻陷个人计算机从而进一步大肆攻击校园内部网络。
(5)加强网络安全教育培训。一是定期对在校师生开展全面网络安全意识培训,提高网络安全意识。二是对于校园信息化管理人员和技术人员,开展网络安全素养培训。三是使校园系统运维和安全技术人员参加专业技术培训,获得相关资质证书,全面提升网络安全防范技能和水平。
(6)开展安全监测和应急演练。重视日常安全威胁检测工作,通过配备工具或购买服务的方式对系统进行安全实时检测,确保第一时间发现问题。根据国家和教育系统网络安全应急预案制订符合校园自身条件的专项应急预案和配套管理制度,如有条件,可开展实战攻防演练。
3.2 转变传统思路是信息化安全建设的里程碑
大量的实践案例证明,传统的安全解决思路和技术手段已不适合现代大数据网络环境。调整思路、突破技术核心,掌握安全防护主动权,是新一代信息安全建设的前提条件。
(1)以“控制风险”代替“防范威胁”。提升系统运行稳定性,应该变“被动防御安全威胁”为“主动控制安全风险”,以“主动出击”的理念进行实际工作部署,其防御效果会极大地提升。
(2)以“持续跟踪系统健康状态”取代“关注应激响应事件”。对于日常发生的系统意外事件,试图从中获取故障发生规律以解决根本问题,但这种方式非常被动。以“持续跟踪系统健康状态”取代“关注应激响应事件”,以主动姿势进行管理维护工作,将极大地降低业务系统的故障发生率,提升业务连续性。
(3)将执行信息网络安全工作常态化。将信息安全工作进行定义、分类、量化,制定常态化安全工作目标,并建设安全工作基线与工作流程,对日常信息安全工作进行分解和落实,最终实现安全工作部署、安全事件分析、安全状态预测预测和辅助安全规划决策的常态化运行。
3.3 多视角考虑网络信息安全工作
(1)结合投资回报率的财务视角考虑信息化安全产品的选型问题。研究对于现有安全问题的解决策略,调研未来技术发展趋势,同时也需要从安全系统投资回报率的财务视角进行思考。一是紧抓校园信息化建设重点。根据信息化建设重点制定风险容忍度等级,统筹安排安全措施大类,在规范好的范围内进行产品选型工作。二是建立成本分析模型。将信息安全产品预算、成本、风险可能的发生率和降低可能风险的概率等参数进行量化。在量化过程中,可调整成本,对比不同方式的成本与投资回报率。
(2)从项目管理视角完整对待业务系统建设。在数字化校园信息系统建设过程中,按项目管理的方式进行监控和检查。对各信息系统承建单位提出的责任管理办法是信息系统项目管理办法中的一项针对信息安全的重要要求,应在信息系统建设前即开始相应的项目安全管理计划,并明确相关工作人员的执行责任与管理责任,以期将工作落实到位[2]。
3.4 校园网络信息安全与信息化建设同步开展
网络安全和信息化是一体之两翼,必须统一筹划、统一部署、统一推进、统一实施。在学院党组织领导下,在进行信息化建设的同时,将各部门的积极性调动起来,共同参与维护信息网络安全,共同参与推动信息化发展,共同参与互联网对外交流合作,共同为校园信息化安全发展献计献策,共筑网上网下“同心圆”,这是校园新时期信息化建设的新亮点,其中包含以下四个方面。
(1)加强网上正面宣传,旗帜鲜明地坚持正确政治方向、舆论导向、价值取向,积极培育和践行社会主义核心价值观,推进网上宣传理念、内容、形式、方法、手段等创新。
(2)把网络信息安全工作作为重要工作任务,当成一件大事来抓,每年对网络信息安全工作专门安排部署,经常性召开会议,研究解决信息化安全方面的问题,推进网络信息安全工作的开展。
(3)认真落实网络信息安全监督管理职责,坚持谁使用、谁管理、谁负责的原则,强化责任意识。
(4)对校园工作人员和在校学生加大信息安全宣传力度,强化教育引导,请有关单位和专家不定期组织开展信息安全知识培训,引用反面典型案例,通过教育引导形成“加强信息安全,就是加强校园安全”的思想共识。
现代社会网络大数据大发展的大环境对校园信息化建设和信息网络安全建设提出了更高的要求。在教育新信息化2.0时代背景下,针对校园信息化建设实际情况,加强信息化安全保障具有时不我待的战略意义。信息安全保障是一个综合且互联的整体,是人员、管理和技术三大要素的结合统一。在整体安全策略的控制和指导下,综合运用管理方法和技术手段,将系统调整到“最高安全”和“最低风险”状态,是信息安全建设的总目标和意义所在。■
猜你喜欢 校园网信息安全网络安全 数字化校园网建设及运行的几点思考甘肃教育(2020年18期)2020-10-28基于三级等级保护的CBTC信号系统信息安全方案设计铁道通信信号(2020年8期)2020-02-06试论最大匹配算法在校园网信息提取中的应用电子制作(2019年10期)2019-06-17网络安全中国生殖健康(2019年10期)2019-01-07基于VRRP和MSTP协议实现校园网高可靠性中央民族大学学报(自然科学版)(2018年2期)2018-11-09计算机网络信息安全及防护策略电子制作(2018年12期)2018-08-01上网时如何注意网络安全?小学生必读(中年级版)(2018年4期)2018-07-05高校信息安全防护消费导刊(2017年20期)2018-01-03NAT技术在校园网中的应用电子制作(2017年8期)2017-06-05网络安全监测数据分析——2015年11月互联网天地(2016年1期)2016-05-04
