高校信息系统安全防护策略探讨

摘要：随着信息化的发展，高校信息系统安全越来越受重视。本文分析高校信息系统特点与安全现状，指出面临的问题，提出安全防护策略，以期为高校信息系统的安全防护提供一些参考性意见。

关键词：高校信息系统；信息系统安全；信息安全

高校信息化建设如火如荼，各种各样的信息系统大量涌现。信息系统安全在信息安全中占据重要地位，对于高校而言更是如此；出现诸如招生数据泄露、“官网”被挂、“反动标语”等信息安全问题，不仅会造成损失，而且会影响到学校声誉，带来社会负面影响。所以，高校信息系统的安全防护不容怠慢，其研究工作意义深远。

1高校信息系统特点

高校信息系统不仅包括各职能部门建立的人事、财务、教务、资产管理等业务系统，也包括校园官网、招生、就业、各二级学院宣传主页等网站。以深圳信息职业技术学院为例，目前台账中有统计在册的信息系统203个，按照系统用途，可以将它们大致分为三类：部门（学校）宣传网站、业务系统和项目（课题）申报网站，按照建设类型可以分为两类：网站群和自主建设，它们的数量统计情况如表1所示。可以看出，高校信息系统具有以下“双高”特点：（1）项目申报网站占比高由表1可以看出，项目申报网站在三类信息系统（按系统用途分）中数量最多，占比为63%。这些网站主要用于课程、教学资源库、教学团队建设等教研项目和科研项目的申报、评审、验收等，它们伴随项目周期而建设，待项目验收通过后往往不会再使用，使用周期短；但是，很多网站在验收通过后往往被科研团队遗忘，依旧存活。（2）自主建设系统占比高由表1可以看出，依托网站群模板建设的系统与自主建设的系统比例为112:91，高校自主建设的信息系统占比高、几乎追平网站群系统。将各用途的信息系统在网站群和自主建设两种建设类型上作出统计，如图1所示。可以看出，项目申报网站中自主建设的占比将近40%，因为有项目经费，很多网站为教师个人或者项目团队自行搭建，这就会导致各系统技术水平参差不齐；部门的宣传网站一旦建立，长时间运行，也多为静态页面，然而其中自主建设的占比约为30%；业务系统无法依托网站群建设，所以均为自主建设。

2高校信息系统安全现状

2.1缺乏系统全生命周期监管

大量系统建设完成后直接上线运行，缺乏风险评估和渗透测试。带病上线，必然带来安全风险隐患，这也是大量系统自主建设的后果。根据上一部分的讨论，项目申报网站具有“使用周期短、存活周期不一定短”的特点，如果一个网站被长时间遗忘，沦为僵尸网站，必然容易被黑客攻击、利用。有的“双非”系统，业务与学校相关，但是却不知道责任人是谁，一旦出现安全问题，相当被动。一个信息系统，从上线到运行，再到退出，必须建立完善的系列监管机制。

2.2管理人员安全意识薄弱

针对信息安全，目前还是广泛存在“说起来重要，做起来次要，忙起来不要”的现象。很多系统上线后鲜有人维护，即便被发现有安全漏洞隐患，依旧置之不理。以深圳信息职业技术学院为例，信息系统安全监管部门会针对有漏洞的系统向责任部门发出“信息安全整改通知书”，根据反馈来看，整改率仅为41%；待到这些风险系统被上级监管部门通报批评后，系统所有者往往追悔莫及。造成这一现状的主要原因，是管理人员乃至上级领导严重缺乏信息安全意识。

2.3管理制度缺失

无规矩不成方圆，系统乱象的背后是缺乏规范管理。统计表明，70%以上的信息安全问题是由管理不善造成的，而这些安全问题中的95%是可以通过科学的信息安全管理制度来避免的。信息安全制度、流程不健全，就会导致责任不明确、不落实。

3高校信息系统安全防护策略

数量多、技术参差不齐、生命周期不同、意识缺乏、制度缺失、权责不清……面对高校信息系统如此严峻的安全威胁形势，可以从以下几个方面实施信息系统安全防护策略：

3.1增强信息安全意识

信息安全工作，人是第一位的。美国国家安全局的IATF（InformationAssuranceTechnicalFramework，信息安全保障技术框架）提出深度防御战略的3个核心要素，其中居于首位的就是：人。人员意识上来了，工作总能想办法做到位。构建高校信息系统安全防护体系，首要的是，加强宣传教育，组织专业培训，开展信息安全员、系统管理员层级培训，自顶向下培养起基本的信息安全意识，同时提高管理人员技术水平，使其掌握常规安全防范措施。

3.2统一管理、规范建设

参照等级保护安全框架，明确信息系统建设流程及其相关安全工作如图2所示。当校内二级部门申请建设一个新的信息系统时，信息安全监管部门主要作出以下判断：一、是否能够放到网站群建设和统一管理。所有宣传网站必须放到网站群建设，项目申报网站尽可能放到网站群。二、所有项目相关系统、网站和职能部门业务系统，必须留出经费，用作定级论证、风险检测等相关安全工作。系统开发阶段，要特别注意规范代码书写，遵守编程安全原则，避免产生漏洞。比如针对XSS攻击，系统要对用户提交的内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、REFER、POST数据等，仅接受指定长度范围内、采用适当格式与所预期的字符的内容提交，对其他一律过滤；尽量采用POST而非GET方式提交表单等等。系统开发完成后、上线前，还需要进行全面的安全检查，包括渗透测试、服务器扫描等。对于存在安全隐患的，坚持整改完毕、复测安全后再上线运行。针对系统下线，建立完善的退出机制。下线可以分为永久下线与临时下线两种情况。对于网站使用周期结束，或者常年无人管理的僵尸网站，二级部门和信息安全监管部门建立信息互通，对系统作永久下线处理。对于例行安全检测之后，发现存在安全隐患或者已经发生重大安全事故的系统，立刻进行整改，并且切断外网访问权限，这种情况称之为临时下线。临时下线的系统，经复测安全后方可再行上线运行。

3.3加强日常防护

强化基础性工作是加强信息安全保障工作的主要原则之一，信息系统日常安全防护常规工作可以按时间跨度上“6步工作法”展开：（1）每天巡检；（2）每周更新、升级；（3）每月漏扫；（4）每季度审计；（5）每半年渗透测试；（6）每年风险评估、“等保测评”。第二，要形成7×24小时值守制度，采取系统+人工的方式，对重要系统作监测，及时发现网页篡改、暗链、无法访问等风险隐患，并触发预警和断网等联动处置。第三，如果发生信息系统安全事件，要立即响应，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。而在这之前，要做好应急预案和数据备份。

3.4完善信息系统安全管理制度

针对3.2小节的讨论，从上线到下线，建立起基于“闭环”的信息系统全生命周期管理制度。严格把控系统申请外网访问权限，做到“开通前有申请、结束后有交代”，及时做好备案和关闭工作，同时建立、健全临时下线机制。为应对各种突发事件，制定《信息系统安全应急预案》，建立、健全信息系统安全应急处理保障体系，并且定期演练和完善。当所有规章制度，都具有了“闭环”特征，执行起来才行之有效、不留后遗症。

3.5探索多维信息系统安全监管机制

“有法可依”后还要“有法必依”、“执法必严”。制度一旦确立，落到实处才能产生效益，对于拒不履行安全义务的部门和个人，加大惩罚力度；探索将信息系统安全纳入部门、个人绩效考核等新形势下多维度的信息系统安全监管机制，将有利于提升整体信息安全水平。

4结束语

《中华人民共和国网络安全法》自2017年6月1日施行。“GB/T22239-2019信息安全技术网络安全等级保护基本要求”为“等保2.0”新标准，于2019年12月1日起正式实施。高校信息系统安全防护工作迫在眉睫，其策略研究意义深远。只有全面提升信息安全意识，加强日常防护，统一和规范管理，所有制度、流程都“闭环”起来，多方联动，才能切实保障信息系统安全运行。

参考文献：

[1]傅川,陈云.高校信息系统安全体系研究与实践[J].中山大学学报（自然科学版）,2009,48(3):25-28.

[2]耿娟平.高校网站安全分析及对策研究[J].北华航天工业学院学报,2018,28(1):11-13.

[3]胡进娟.高校网站安全防护体系化构建策略研究[J].无线互联科技,2019(24):30-31.

[4]国家市场监督管理总局,中国国家标准化管理委员会.信息安全技术网络安全等级保护基本要求:附录C等级保护安全框架和关键技术使用要求:GB/T22239-2019[S].北京:中国标准出版社,2019:4.

[5]刘振昌,陈诗明,焦宝臣,等.高校网站安全管理模式的探索与实践[J].华东师范大学学报（自然科学版）,2015(S1):224-231.

[6]朱胜涛,温哲,位华,等.注册信息安全专业人员培训教材[M].北京:北京师范大学出版社,2019:16.

作者：王文泉 单位：深圳信息职业技术学院