高校网络与信息安全挑战：技术对抗与防范策略的复杂性分析

hwyzw

    高校面临的网络与信息安全挑战

    高校环境是典型的小社会模式，面临的网络信息问题和挑战比企业复杂得多。

    首先，我们面临技术挑战。在网络与信息安全的攻防对抗中，技术是关键因素，技术力量的强弱在很大程度上决定胜负。网络与信息安全是一门多学科交叉的学科，涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等方面。一个人很难完全掌控，因此对网络安全工作提出了非常大的挑战。

    二是预防策略的挑战。在网络与信息安全防范中，攻击者拥有主动权和主导优势。攻击者可以决定何时、使用什么技术、在何处进行攻击、使用什么目标以及使用多少资源。因此，他们在对抗中拥有主动权，而防守方只能以全面防守来抵抗。这样的网络战争极具挑战性。

    三是面临设备或软件挑战。由于高校业务的复杂性，高校信息产品呈现多样化、异构性。他们的硬件设施和软件产品必然由多个品牌、多种型号、不同架构组成。因此，需要保护的范围不仅是网络安全，还必须防范异构产品的漏洞和缺陷带来的风险。可以说是无处不在的安全防护。同时，由于软硬件产品对用户来说是不透明的，出现任何问题用户都感知不到，这就带来了很大的不确定性。

    第四，我们面临管理挑战。由于高校业务的复杂性，构成其业务支撑的信息系统大多由各业务单位负责保护。这就构成了二级甚至三级网络与信息安全保护责任体系，管理上需要充分协调。能够在同一水平上同步移动。但由于信息部门的性质和地位决定了其辅助性和服务性，其管理职能的充分发挥仍将面临巨大的挑战。

    第五，我们面临人才挑战。由于高校从事信息化的专业人才短缺，且二、三级单位的信息化人员普遍为兼职、非专业人员，在管理和技术交流方面存在一定的困难。同时，由于人员普遍不是安全专业人士，能力上也存在巨大差距和挑战。

    高校网络与信息安全问题及原因

    虽然高校是人才培养的摇篮，但由于近年来高等教育信息化快速发展，网络与信息安全工作也处于起步阶段，整体形势不容乐观。教育行业面临日益严峻的网络安全威胁和信息安全挑战。其主要问题如下：

    一是缺乏管理机构。 2017年《网络安全法》颁布前，许多高校没有专门负责网络与信息安全的机构。此后情况有了很大好转，但很多大学只设立了院系，其职能和监督工作并未得到充分落实。

    二是专业人才缺乏。在全社会网络与信息安全专业人才匮乏的背景下，高校也面临着安全专业人才匮乏的问题。很多高校的技术人才非常少，尤其是能够将管理、技术和安全紧密结合、充分发挥的人才。

    三是管理不到位。许多高校还停留在基础网络与信息安全工作的硬件防护层面。没有认识到网络与信息安全是一个系统的安全防护体系，需要管理、技术等多方面的工作。因此，很多管理工作落实不到位。甚至还没有开始。

    四是防护不到位。国家颁布《网络安全法》后，虽然不少高校加强了防护手段和硬件投入，按照等级防护的要求做了必要的防护，但在这场矛盾与盾牌的斗争中，只有不断加强力度并意味着我们能够应对技术的日益发展和对安全的不断需求，需要持续的投资和持续的建设。然而，许多大学却安于现状，或者受到技术和资金的限制，已经停止前进。

    当前高校普遍存在的网络与信息安全问题及原因可归纳为以下几个方面：一是单位重视不够。各单位先完成本职工作，有精力再处理网络与信息安全工作；其次，管理体系不健全。一些单位未设置网络与信息安全岗位，未指定专职管理人员，责任落实不充分；三是人力投入不足。各单位从事网络安全的人力资源不足。即使安排了人员，技术防护能力也普遍较弱；四是人员能力不足。各单位基本上都有兼职管理网络与信息安全工作的人员，专业技术能力不足；五是保障资金投入不足。各高校普遍存在经费不足的现象，特别是人员和技防经费严重缺乏。六是安全意识淡薄，缺乏日常操作维护。普遍存在安全意识差、密码弱、缺乏日常维护等问题，导致安全漏洞随处可见。

   

    系统化网络安全防护体系初探

    从以上分析可以看出，当前高校网络与信息安全问题不仅是技术和资金问题，而且是管理问题，是一个复杂的系统工程。这一特点决定了我们不能采取单一的硬件防护措施或购买单一的外包服务来防范，而必须将整体联动、技术和管理结合起来。

    笔者认为，网络与信息安全至少应包括设备保护、安全管理、安全策略、安全检查和应急响应五个方面。根据木桶理论的原理，决定网络与信息安全地位的不是最强的能力，而是最弱的能力。如果某一方面发展不到位，必然会被高智商的犯罪分子所利用，从而酿成“蚁巢毁千里堤”的悲剧。那么如何构建符合高校实际需求的安全架构体系，更加均衡地进行合理投资，从最短的环节入手，防止不法分子制造安全事件呢？这就需要从五个层面、十项措施入手，对犯罪分子进行层层“埋伏”，从而系统地构建网络与信息安全防护体系。

    01

    网络与信息安全的五个层次

    网络与信息安全是一项系统工作，需要构建立体防护体系。应从以下五个层面做好工作：

    首先是设备保护。这是发展网络与信息安全的基础。利用各种现代化网络与信息安全防护设备对各种信息化活动进行筛查和防范，可以有效应对绝大多数非法攻击行为。所有设备防护工作必须按照国家级防护要求做好。

    二是安全管理。这是网络与信息安全发展的保障。只有建立立体有效、职责分明、责任落实、奖罚明确的网络与信息安全管理体系，才能全面落实各项安全工作，确保安全管理工作稳步开展。

    三是安全策略。所有的设备保护和安全管理都是基于一定的策略。如果策略过于紧张，防范工作量会急剧增加，不利于正常的信息工作。如果策略过于松散，就相当于没有防御，起不到相应的作用。因此，根据各单位的具体情况制定相应的策略是安全工作的重要方面之一。

    四是安全检查。安全管理包括一部分安全检查，大部分是自查。但安全检查不仅限于自查，也不限于单一方法。应从管理、渗透、测试等多个方面进行，目的是及时发现存在的问题并予以弥补。

    五是应急响应。网络与信息安全工作是攻与守的对抗、矛与盾的较量。在这场技术竞赛中，不断进步会产生新的方法，这可能会导致安全事件的发生，所以应急响应必须准备好应对方案并熟练地实践。一旦发生安全事故，立即采取适当的应急措施，将危害降到最低。

    02

    十大举措构建系统网络安全防护体系

    为实现这五个方面，构建系统的网络安全防护体系，我们提出采取十大措施推进这项工作。具体措施是：转变观念、立规则、看得见、建保护、定策略、巡查。 、推动整改、寻找帮手、建议等待保险、报告预警。

    一是转变观念。这是一项非常重要、长期的任务，主要包括变被动为主动，推动两个意识转变，划定安全工作界​​限。变被动为主动，是工作意识的转变，从根据信息技术的发展被迫防护到主动开展防控、主动开展安全检查防护；两个意识的变化中，一是网络和信息系统和硬件产品一样，有生命周期，需要随着需求和技术的不断发展而更新。必要时，它们甚至可以根据安全要求进行更新。其次，网络和信息系统与汽车产品一样，需要运维，需要经常进行系统维护、必要的备份、漏洞修复、软件升级等，以保证信息系统长期安全有效运行；明确安全工作的唯一界限，就是杜绝甩锅推责。一般来说，信息部就像学校的保卫队。它保护学校的大门，必须提供外围保护。每个单元就相当于墙内的每户人家。他们有自己的房屋类型、结构和私钥，因此只有每个单元可以提供内部保护。为确保各单位履行安全管理职责，需要为其提供相应的资金，促使管理员督促信息系统建设单位或专业安全运维公司进行防护，逐步落实责任。

   

    二是制定规则。没有规则就没有规则。必须有一套能够落实主体责任的文件，才能有效落实安全责任。为了规范和明确各单位信息化建设的工作范围和职责，学校必须建立一套网络与信息安全管理制度，并通过这些制度划分安全管理工作和职责。制度应明确网络与信息系统安全必须贯穿学校信息化建设的始终，实现同步规划、同步建设、同步运行。明确信息管理部门与各二级单位必须履行的具体职责和任务。 。

    三是变得可见。为了吸引各级、各单位领导对安全工作的重视，将安全工作可视化，让安全量化并走进每个人的生活非常重要。如果网络和信息安全始终处于摸不着、看不见的状态，安全工作就很难真正落到实处，因为只有害怕了，才能真正采取行动。为了实现可视化，学校可以引入安全监控设备，利用这些设备产生的数据制作学校信息安全简报，以量化的形式向大家展示学校网络安全状况、网络漏洞的危害以及防范知识。数据和图片和文字。领导、老师、学生。这些数字让他们了解真实情况，充分认识到自己面临的风险和责任。

    四是打造保障。学校应从技术方面入手，为整个校园环境提供基础的信息安全防护，主要包括建立全校网络防火墙、堡垒主机、Web应用防火墙、防DDoS攻击、数据库审计、远程管理审计、云防护、网站和信息系统监控平台、泄密扫描设备、网络杀毒软件等公共平台设施保防护、保数据、保痕迹，为网络与信息安全工作提供必要、完善的环境和条件保障。

    五是制定战略。确定预防策略是重要的一步，需要根据学校自身的实际情况进行考虑。最重要的策略之一是实施白名单系统。由于学校的很多网络和信息服务属于科研或内部性质，通过白名单制度将这些内部系统的使用限制在内网，同时只对外网开放有限的公共服务，可以降低风险，保障学校的安全。在很大程度上。工作量，增加安全系数。白名单制度在过去重要时期的安全工作中发挥了重要作用。

    六是做好检查。学校要在完善外围防护的基础上，建立安全检查机制，监督和帮助各单位对其负责的信息系统进行安全管理和防范。学校主要采用专业的漏洞检测设备和工具，采用月度定期检测和日常检测相结合的安全检测机制，对所有网站和应用系统进行安全检查。检查完成后，生成信息系统专项检查报告，并提出相应的具体解决方案，以便系统管理员指导专业运维人员快速应对各种安全威胁。此外，还应不时出台渗透等措施，开展安全检查。通过这些常态化工作，可以有效地及时发现问题、处理问题。

    七是推进整改。仅进行检查而不落实整改结果，无法形成安全工作闭环，安全防护效果无法保证。因此，必须采取强有力的措施，促使责任单位进行整改。学校需按照正式引入的信息系统，严格落实相应的管理和监督职责。可以先关闭存在高风险问题的网站和信息系统，然后进行整改。同时，可以以“新安”文件的形式下达整改通知。对发现的问题，要求各单位进行整改，整改合格后方可恢复上线。

    第八，寻找帮手。仅有管理是不够的，还需要专业的技术支持。为克服人员短缺和人员能力不足的问题，需要拓展渠道、寻找帮手、引进专业技术人员来支持学校的安全防护。一方面，学校与保安公司合作购买保安服务，引进一批专业的技术支持。另一方面，要充分利用有能力的学生去做安全测试、攻击、渗透等工作，让他们为学校的安全做出贡献。同时，还可以向学生颁发工作证书，以认可他们的白帽工作。

    九是建议平等保护。等级保护工作是一项严格的信息保护工作。一旦实施，将极大提高学校网络与信息安全水平。学校要落实网络安全法要求，对所有设施进行质量保障评估并取得合格资质。同时，还需要将等保要求落实到未来新系统合同中，要求后续所有新系统上线前必须完成等级备案和等保评估。

    十是及时报告预警。盲目防御不是答案，我们需要变被动为主动。学校需要与专业安全公司合作建设软件预警平台，对各类新发生的安全事件及时实施全校范围的预警。还需要充分发展大数据应用，对风险行为进行预警，及时阻断各类安全事件。网络安全防范并为师生提供信息增值服务。

    通过以上十项措施，学校可以初步构建系统的网络安全防护体系，为学校信息化工作提供网络与信息安全保障。然而，由于信息技术的不断发展和突破，安全问题始终在路上。我们还需要不断探索和完善工作方法，努力为学校的发展保驾护航。 （编辑：王作礼）

    （作者1为西北工业大学，2为解放军第451医院）

    本文发表于《中国教育网》杂志2018年6月号