公务员期刊网 论文中心 正文

高校信息系统安全防护策略探讨

前言:想要写出一篇引人入胜的文章?我们特意为您整理了高校信息系统安全防护策略探讨范文,希望能给你带来灵感和参考,敬请阅读。

高校信息系统安全防护策略探讨

摘要:随着信息化的发展,高校信息系统安全越来越受重视。本文分析高校信息系统特点与安全现状,指出面临的问题,提出安全防护策略,以期为高校信息系统的安全防护提供一些参考性意见。

关键词:高校信息系统;信息系统安全;信息安全

高校信息化建设如火如荼,各种各样的信息系统大量涌现。信息系统安全在信息安全中占据重要地位,对于高校而言更是如此;出现诸如招生数据泄露、“官网”被挂、“反动标语”等信息安全问题,不仅会造成损失,而且会影响到学校声誉,带来社会负面影响。所以,高校信息系统的安全防护不容怠慢,其研究工作意义深远。

1高校信息系统特点

高校信息系统不仅包括各职能部门建立的人事、财务、教务、资产管理等业务系统,也包括校园官网、招生、就业、各二级学院宣传主页等网站。以深圳信息职业技术学院为例,目前台账中有统计在册的信息系统203个,按照系统用途,可以将它们大致分为三类:部门(学校)宣传网站、业务系统和项目(课题)申报网站,按照建设类型可以分为两类:网站群和自主建设,它们的数量统计情况如表1所示。可以看出,高校信息系统具有以下“双高”特点:(1)项目申报网站占比高由表1可以看出,项目申报网站在三类信息系统(按系统用途分)中数量最多,占比为63%。这些网站主要用于课程、教学资源库、教学团队建设等教研项目和科研项目的申报、评审、验收等,它们伴随项目周期而建设,待项目验收通过后往往不会再使用,使用周期短;但是,很多网站在验收通过后往往被科研团队遗忘,依旧存活。(2)自主建设系统占比高由表1可以看出,依托网站群模板建设的系统与自主建设的系统比例为112:91,高校自主建设的信息系统占比高、几乎追平网站群系统。将各用途的信息系统在网站群和自主建设两种建设类型上作出统计,如图1所示。可以看出,项目申报网站中自主建设的占比将近40%,因为有项目经费,很多网站为教师个人或者项目团队自行搭建,这就会导致各系统技术水平参差不齐;部门的宣传网站一旦建立,长时间运行,也多为静态页面,然而其中自主建设的占比约为30%;业务系统无法依托网站群建设,所以均为自主建设。

2高校信息系统安全现状

2.1缺乏系统全生命周期监管

大量系统建设完成后直接上线运行,缺乏风险评估和渗透测试。带病上线,必然带来安全风险隐患,这也是大量系统自主建设的后果。根据上一部分的讨论,项目申报网站具有“使用周期短、存活周期不一定短”的特点,如果一个网站被长时间遗忘,沦为僵尸网站,必然容易被黑客攻击、利用。有的“双非”系统,业务与学校相关,但是却不知道责任人是谁,一旦出现安全问题,相当被动。一个信息系统,从上线到运行,再到退出,必须建立完善的系列监管机制。

2.2管理人员安全意识薄弱

针对信息安全,目前还是广泛存在“说起来重要,做起来次要,忙起来不要”的现象。很多系统上线后鲜有人维护,即便被发现有安全漏洞隐患,依旧置之不理。以深圳信息职业技术学院为例,信息系统安全监管部门会针对有漏洞的系统向责任部门发出“信息安全整改通知书”,根据反馈来看,整改率仅为41%;待到这些风险系统被上级监管部门通报批评后,系统所有者往往追悔莫及。造成这一现状的主要原因,是管理人员乃至上级领导严重缺乏信息安全意识。

2.3管理制度缺失

无规矩不成方圆,系统乱象的背后是缺乏规范管理。统计表明,70%以上的信息安全问题是由管理不善造成的,而这些安全问题中的95%是可以通过科学的信息安全管理制度来避免的。信息安全制度、流程不健全,就会导致责任不明确、不落实。

3高校信息系统安全防护策略

数量多、技术参差不齐、生命周期不同、意识缺乏、制度缺失、权责不清……面对高校信息系统如此严峻的安全威胁形势,可以从以下几个方面实施信息系统安全防护策略:

3.1增强信息安全意识

信息安全工作,人是第一位的。美国国家安全局的IATF(InformationAssuranceTechnicalFramework,信息安全保障技术框架)提出深度防御战略的3个核心要素,其中居于首位的就是:人。人员意识上来了,工作总能想办法做到位。构建高校信息系统安全防护体系,首要的是,加强宣传教育,组织专业培训,开展信息安全员、系统管理员层级培训,自顶向下培养起基本的信息安全意识,同时提高管理人员技术水平,使其掌握常规安全防范措施。

3.2统一管理、规范建设

参照等级保护安全框架,明确信息系统建设流程及其相关安全工作如图2所示。当校内二级部门申请建设一个新的信息系统时,信息安全监管部门主要作出以下判断:一、是否能够放到网站群建设和统一管理。所有宣传网站必须放到网站群建设,项目申报网站尽可能放到网站群。二、所有项目相关系统、网站和职能部门业务系统,必须留出经费,用作定级论证、风险检测等相关安全工作。系统开发阶段,要特别注意规范代码书写,遵守编程安全原则,避免产生漏洞。比如针对XSS攻击,系统要对用户提交的内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式与所预期的字符的内容提交,对其他一律过滤;尽量采用POST而非GET方式提交表单等等。系统开发完成后、上线前,还需要进行全面的安全检查,包括渗透测试、服务器扫描等。对于存在安全隐患的,坚持整改完毕、复测安全后再上线运行。针对系统下线,建立完善的退出机制。下线可以分为永久下线与临时下线两种情况。对于网站使用周期结束,或者常年无人管理的僵尸网站,二级部门和信息安全监管部门建立信息互通,对系统作永久下线处理。对于例行安全检测之后,发现存在安全隐患或者已经发生重大安全事故的系统,立刻进行整改,并且切断外网访问权限,这种情况称之为临时下线。临时下线的系统,经复测安全后方可再行上线运行。

3.3加强日常防护

强化基础性工作是加强信息安全保障工作的主要原则之一,信息系统日常安全防护常规工作可以按时间跨度上“6步工作法”展开:(1)每天巡检;(2)每周更新、升级;(3)每月漏扫;(4)每季度审计;(5)每半年渗透测试;(6)每年风险评估、“等保测评”。第二,要形成7×24小时值守制度,采取系统+人工的方式,对重要系统作监测,及时发现网页篡改、暗链、无法访问等风险隐患,并触发预警和断网等联动处置。第三,如果发生信息系统安全事件,要立即响应,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。而在这之前,要做好应急预案和数据备份。

3.4完善信息系统安全管理制度

针对3.2小节的讨论,从上线到下线,建立起基于“闭环”的信息系统全生命周期管理制度。严格把控系统申请外网访问权限,做到“开通前有申请、结束后有交代”,及时做好备案和关闭工作,同时建立、健全临时下线机制。为应对各种突发事件,制定《信息系统安全应急预案》,建立、健全信息系统安全应急处理保障体系,并且定期演练和完善。当所有规章制度,都具有了“闭环”特征,执行起来才行之有效、不留后遗症。

3.5探索多维信息系统安全监管机制

“有法可依”后还要“有法必依”、“执法必严”。制度一旦确立,落到实处才能产生效益,对于拒不履行安全义务的部门和个人,加大惩罚力度;探索将信息系统安全纳入部门、个人绩效考核等新形势下多维度的信息系统安全监管机制,将有利于提升整体信息安全水平。

4结束语

《中华人民共和国网络安全法》自2017年6月1日施行。“GB/T22239-2019信息安全技术网络安全等级保护基本要求”为“等保2.0”新标准,于2019年12月1日起正式实施。高校信息系统安全防护工作迫在眉睫,其策略研究意义深远。只有全面提升信息安全意识,加强日常防护,统一和规范管理,所有制度、流程都“闭环”起来,多方联动,才能切实保障信息系统安全运行。

参考文献:

[1]傅川,陈云.高校信息系统安全体系研究与实践[J].中山大学学报(自然科学版),2009,48(3):25-28.

[2]耿娟平.高校网站安全分析及对策研究[J].北华航天工业学院学报,2018,28(1):11-13.

[3]胡进娟.高校网站安全防护体系化构建策略研究[J].无线互联科技,2019(24):30-31.

[4]国家市场监督管理总局,中国国家标准化管理委员会.信息安全技术网络安全等级保护基本要求:附录C等级保护安全框架和关键技术使用要求:GB/T22239-2019[S].北京:中国标准出版社,2019:4.

[5]刘振昌,陈诗明,焦宝臣,等.高校网站安全管理模式的探索与实践[J].华东师范大学学报(自然科学版),2015(S1):224-231.

[6]朱胜涛,温哲,位华,等.注册信息安全专业人员培训教材[M].北京:北京师范大学出版社,2019:16.

作者:王文泉 单位:深圳信息职业技术学院