高校信息系统安全防护策略研究
2020-12-15王文泉
王文泉
摘 要:随着信息化的发展,高校信息系统安全越来越受重视。文章分析高校信息系统特点与安全现状,指出面临的问题,提出安全防护策略,以期为高校信息系统的安全防护提供一些参考性意见。
关键词:高校信息系统;信息系统安全;信息安全
中图分类号: TP309 文献标识码:A
Abstract: With the development of information technology, information system security in colleges and universities is causing more and more attention. This paper analyzes the characteristics of information system in colleges and universities, pointing out the present situation of security and problems faced, and puts forward the security protection strategies, in order to provide some reference for the security defense of information system in colleges and universities.
Key words: information system in colleges and universities; information system security; information security
1 引言
高校信息化建設如火如荼,各种各样的信息系统大量涌现。信息系统安全在信息安全中占据重要地位,对于高校而言更是如此。高校如果出现诸如招生数据泄露、官网被挂“反动标语”等信息安全问题,不仅会造成损失,而且会影响到学校声誉,带来社会负面影响。360公司曾在《中国高校网站安全检测报告》中显现:中国每所高校网站平均每天被黑客攻击113次。从教育行业漏洞报告平台公布的即时数据来看,位于漏洞排行榜第一名的上海交通大学漏洞总数为1075,漏洞威胁值高达3517(每个漏洞分值按风险等级由低到高为0~10)[1]。由此可见,高校信息系统的安全防护不容怠慢,其研究工作意义深远。
2 高校信息系统特点
高校信息系统不仅包括各职能部门建立的人事、财务、教务、资产管理等业务系统,也包括校园官网、招生、就业、各二级学院宣传主页等网站。以深圳信息职业技术学院为例,目前台账中有统计在册的信息系统203个,按照系统用途,可以将它们大致分为三类:部门(学校)宣传网站、业务系统和项目(课题)申报网站,按照建设类型可以分为两类:网站群和自主建设,它们的数量统计情况如表1所示。
可以看出,高校信息系统具有以下“双高”特点。
2.1 项目申报网站占比高
由表1可以看出,项目申报网站在三类信息系统(按系统用途分)中数量最多,占比为63%。这些网站主要用于课程、教学资源库、教学团队建设等教研项目和科研项目的申报、评审、验收等,它们伴随项目周期而建设,待项目验收通过后往往便不再需要,使用周期短,但是很多网站在验收通过后往往被科研团队遗忘,依旧存活。
2.2 自主建设系统占比高
由表1可以看出,依托网站群模板建设的系统与自主建设的系统比例为112:91,高校自主建设的信息系统占比高、几乎追平网站群系统。将各用途的信息系统在网站群和自主建设两种建设类型上作出统计,如图1所示。可以看出,项目申报网站中自主建设的占比将近40%,因为有项目经费,很多网站为教师个人或者项目团队自行搭建,这就会导致各系统技术水平层次不齐;部门的宣传网站一旦建立,长时间运行,也多为静态页面,然而其中自主建设的占比约为30%;业务系统无法依托网站群建设,所以均为自主建设。
3 高校信息系统安全现状
3.1 缺乏系统全生命周期监管
大量系统建设完成后直接上线运行,缺乏风险评估和渗透测试。带病上线,必然会带来安全风险隐患,这也是大量系统自主建设的后果。根据上一部分的讨论,项目申报网站具有“使用周期短、存活周期不一定短”的特点,如果一个网站被长时间遗忘,沦为僵尸网站,必然容易被黑客攻击、利用。有的“双非”系统,业务与学校相关,但是却不知道责任人是谁,一旦出现安全问题,相当被动。一个信息系统,从上线到运行,再到退出,必须建立完善的系列监管机制。
3.2 管理人员安全意识薄弱
针对信息安全,目前还是广泛存在“说起来重要,做起来次要,忙起来不要”的现象。很多系统上线后鲜有人维护,即便被发现有安全漏洞隐患,依旧置之不理。以深圳信息职业技术学院为例,信息系统安全监管部门会针对有漏洞的系统向责任部门发出“信息安全整改通知书”,根据反馈来看,整改率仅为41%;待到这些风险系统被上级监管部门通报批评后,系统所有者往往追悔莫及。造成这一现状的主要原因,是管理人员乃至上级领导严重缺乏信息安全意识。
3.3 管理制度缺失
无规矩不成方圆,系统乱象的背后是缺乏规范管理。统计表明,70%以上的信息安全问题是由管理不善造成的,而这些安全问题中的95%是可以通过科学的信息安全管理制度来避免的[2]。信息安全制度、流程不健全,就会导致责任不明确、不落实。
4 高校信息系统安全防护策略
数量多、技术参差不齐、生命周期不同、意识缺乏、制度缺失、权责不清……面对高校信息系统如此严峻的安全威胁形势,可以从五个方面实施信息系统安全防护策略。
4.1 增强信息安全意识
信息安全工作,人是第一位的。美国国家安全局发布的信息安全保障技术框架(Information Assurance Technical Framework,IATF)提出深度防御战略的三个核心要素,其中居于首位的就是:人[3]。人员意识上来了,工作总能想办法做到位。构建高校信息系统安全防护体系,首要的是,加强宣传教育,组织专业培训,开展信息安全员、系统管理员层级培训,自顶向下培养起基本的信息安全意识,同时提高管理人员技术水平,使其掌握常规安全防范措施。
4.2 统一管理、规范建设
参照等级保护安全框架[4],明确信息系统建设流程及其相关安全工作如图2所示。
当校内二级部门申请建设一个新的信息系统时,信息安全监管部门主要作出两项判断:一是否能够放到网站群建设和统一管理。所有宣传网站必须放到网站群建设,项目申报网站尽可能放到网站群;二是所有项目相关系统、网站和职能部门业务系统,必须留出经费,用做定级论证、风险检测等相关安全工作。
系统开发阶段,要特别注意规范代码书写,遵守编程安全原则,避免产生漏洞。比如针对XSS攻击,系统要对用户提交的内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式与所预期的字符的内容提交,对其他一律过滤;尽量采用POST而非GET方式提交表单等。
系统开发完成后、上线前,还需要进行全面的安全检查,包括渗透测试、服务器扫描等。对于存在安全隐患的,坚持整改完毕、复测安全后再上线运行。
针对系统下線,建立完善的退出机制。下线可以分为永久下线与临时下线两种情况[5]。对于网站使用周期结束,或者常年无人管理的僵尸网站,二级部门和信息安全监管部门建立信息互通,对系统作永久下线处理。对于例行安全检测之后,发现存在安全隐患或者已经发生重大安全事故的系统,立刻进行整改,并且切断外网访问权限,这种情况称之为临时下线。临时下线的系统,经复测安全后方可再行上线运行。
4.3 加强日常防护
第一,强化基础性工作是加强信息安全保障工作的主要原则之一,信息系统日常安全防护常规工作可以按时间跨度上“六步工作法”展开:(1)每天巡检;(2)每周更新、升级;(3)每月漏扫;(4)每季度审计;(5)每半年渗透测试;(6)每年风险评估、等保测评。
第二,要形成7×24小时值守制度,采取系统+人工的方式,对重要系统作监测,及时发现网页篡改、暗链、无法访问等风险隐患,并触发预警和断网等联动处置。
第三,如果发生信息系统安全事件,要立即响应,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。而在这之前,要做好应急预案和数据备份。
4.4 完善信息系统安全管理制度
针对第4.2节的讨论,从上线到下线,建立起基于“闭环”的信息系统全生命周期管理制度。严格把控系统申请外网访问权限,做到“开通前有申请、结束后有交代”,及时做好备案和关闭工作,同时建立、健全临时下线机制。为应对各种突发事件,制定《信息系统安全应急预案》,建立、健全信息系统安全应急处理保障体系,并且定期演练和完善。当所有规章制度,都具有了“闭环”特征,执行起来才行之有效、不留后遗症。
4.5 探索多维信息系统安全监管机制
“有法可依”后还要“有法必依”“执法必严”。制度一旦确立,落到实处才能产生效益,对于拒不履行安全义务的部门和个人,加大惩罚力度;探索将信息系统安全纳入部门、个人绩效考核等新形势下多维度的信息系统安全监管机制,将有利于提升整体信息安全水平。
5 结束语
《中华人民共和国网络安全法》自2017年6月1日施行。《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》为“等保2.0”新标准,于2019年12月1日起正式实施。高校信息系统安全防护工作迫在眉睫,其策略研究意义深远。只有全面提升信息安全意识,加强日常防护,统一和规范管理,所有制度、流程都“闭环”起来,多方联动,才能切实保障信息系统安全运行。
参考文献
[1] 全国高校漏洞排行榜[EB/OL].https://src.sjtu.edu.cn/rank/firm/.2020-06-02.
[2] 傅川,陈云.高校信息系统安全体系研究与实践[J].中山大学学报(自然科学版), 2009, 48(3): 25-28.
[3] 朱胜涛,温哲,位华,等.注册信息安全专业人员培训教材[M]. 北京: 北京师范大学出版社, 2019: 1.
[4] 国家市场监督管理总局,中国国家标准化管理委员会.信息安全技术 网络安全等级保护基本要求: 附录C 等级保护安全框架和关键技术使用要求: GB/T 22239-2019[S].北京: 中国标准出版社, 2019: 4.
[5] 胡进娟.高校网站安全防护体系化构建策略研究[J].无线互联科技,2019(24): 30-31.
[6] 耿娟平.高校网站安全分析及对策研究[J].北华航天工业学院学报, 2018, 28(1): 11-13.
[7] 刘振昌,陈诗明,焦宝臣,等. 高校网站安全管理模式的探索与实践[J].华东师范大学学报(自然科学版), 2015(S1): 224-231.
