■ 浙江省寧波市北侖中學(xué)信息中心 許燕疊

編者按：互聯(lián)網(wǎng)+形勢(shì)下校園信息安全問題日益凸顯，本文將對(duì)教育行業(yè)信息安全特點(diǎn)進(jìn)行分析，結(jié)合校園信息安全現(xiàn)狀及挑戰(zhàn)，給出一些校園信息安全工作建議。

互聯(lián)網(wǎng)+形勢(shì)下，筆者學(xué)校正在逐步實(shí)施互聯(lián)網(wǎng)+相關(guān)行動(dòng)計(jì)劃，面臨的安全問題也日益凸顯，除了互聯(lián)網(wǎng)共性的外部威脅和內(nèi)部威脅，還包括互聯(lián)網(wǎng)+技術(shù)融合帶來的特殊風(fēng)險(xiǎn)以及校園自有的安全挑戰(zhàn)。對(duì)此，我們從端正認(rèn)識(shí)、完善制度、優(yōu)化技術(shù)、加強(qiáng)內(nèi)控、嚴(yán)格監(jiān)管、深化多領(lǐng)域合作等方面入手，確?！盎ヂ?lián)網(wǎng)+教育”的安全運(yùn)作。

互聯(lián)網(wǎng)技術(shù)和互聯(lián)網(wǎng)思維被認(rèn)為是互聯(lián)網(wǎng)+的兩大支點(diǎn)，互聯(lián)網(wǎng)技術(shù)包括云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等，互聯(lián)網(wǎng)思維是科技不斷發(fā)展下，對(duì)市場(chǎng)、用戶、產(chǎn)品和企業(yè)價(jià)值鏈乃至整個(gè)商業(yè)生態(tài)進(jìn)行重新審視的思考方式，這些技術(shù)和思維同樣適用于教育信息化領(lǐng)域。

圖1 筆者學(xué)校信息安全體系框架

校園信息安全管理現(xiàn)狀

筆者學(xué)?，F(xiàn)有各類教育信息系統(tǒng)超過10套，涵蓋校園網(wǎng)站、選課系統(tǒng)、考試系統(tǒng)、教學(xué)管理系統(tǒng)、網(wǎng)絡(luò)課程平臺(tái)、綜合辦公平臺(tái)等。除網(wǎng)絡(luò)課程平臺(tái)、校園網(wǎng)站和微信平臺(tái)之外，其余系統(tǒng)均屬于專線網(wǎng)系統(tǒng)，學(xué)生或老師一般都僅限于校園內(nèi)才能訪問此類系統(tǒng)。

我校信息安全總體策略 以 PDR（Protection、Detection、Response）安全模型和“縱深防御”思想為指導(dǎo)，重點(diǎn)在信息安全防護(hù)體系建設(shè)、安全事件管理和業(yè)務(wù)連續(xù)性管理等方面開展信息安全工作，安全體系構(gòu)架如圖1所示。

在信息安全防護(hù)體系建設(shè)方面，按照“縱深防御”的思想，部署多層次的安全防護(hù)措施，從應(yīng)用層安全、主機(jī)層安全、網(wǎng)絡(luò)層安全和安全基礎(chǔ)支撐層等多個(gè)層次開展安全防護(hù)措施，從常規(guī)的系統(tǒng)安全架構(gòu)設(shè)計(jì)、安全防護(hù)設(shè)備部署等層面加強(qiáng)安全防護(hù)能力。

在安全事件管理方面，通過完善的網(wǎng)絡(luò)入侵防護(hù)監(jiān)測(cè)體系進(jìn)行相關(guān)安全事件的監(jiān)控與告警，一旦發(fā)現(xiàn)安全入侵事件，通過網(wǎng)絡(luò)層防護(hù)和應(yīng)用層修復(fù)漏洞等多種措施進(jìn)行安全防護(hù)，保障信息系統(tǒng)正常運(yùn)行。

在業(yè)務(wù)連續(xù)性方面，以基于數(shù)據(jù)庫復(fù)制和企業(yè)級(jí)存儲(chǔ)等方式開展災(zāi)備系統(tǒng)建設(shè)，通過不斷完善應(yīng)急管理預(yù)案，定期開展切換演練和信息安全測(cè)評(píng)工作，保障信息系統(tǒng)穩(wěn)定運(yùn)行。

互聯(lián)網(wǎng)信息安全形勢(shì)嚴(yán)峻

互聯(lián)網(wǎng)信息技術(shù)所面臨的安全風(fēng)險(xiǎn)，互聯(lián)網(wǎng)+也都將面對(duì)，并且因?yàn)榛ヂ?lián)網(wǎng)信息技術(shù)與傳統(tǒng)行業(yè)結(jié)合過程中產(chǎn)生了很多新的結(jié)合點(diǎn)，這些結(jié)合點(diǎn)上還可能會(huì)面臨新的安全風(fēng)險(xiǎn)。包括如下：

1.層出不窮的外部威脅

我校是通過校園網(wǎng)站系統(tǒng)對(duì)外發(fā)布招生、面試、錄取及各項(xiàng)教學(xué)政策等重要權(quán)威信息，因此保證網(wǎng)站系統(tǒng)不被入侵和篡改是非常重要的基礎(chǔ)工作。學(xué)校師生通過網(wǎng)站或教學(xué)系統(tǒng)客戶端頁面途徑接入系統(tǒng)參與教學(xué)活動(dòng)，因此訪問控制安全是系統(tǒng)安全的第一道防線。目前教學(xué)系統(tǒng)設(shè)計(jì)缺陷、漏洞利用以及常態(tài)化的APT攻擊是幾種最具危險(xiǎn)性的外部威脅。

2.防不勝防的內(nèi)部威脅

圖2 互聯(lián)網(wǎng)+下我校的安全應(yīng)對(duì)

內(nèi)部人員對(duì)機(jī)構(gòu)的運(yùn)作、結(jié)構(gòu)熟悉，導(dǎo)致攻擊不易被發(fā)覺，內(nèi)部人員最容易接觸敏感信息，通過有意亂用或誤用該權(quán)限，對(duì)組織的信息或信息系統(tǒng)的保密性、完整性或可用性造成負(fù)面影響的行為。內(nèi)部人員危害的往往是機(jī)構(gòu)中最核心的數(shù)據(jù)和資源。各機(jī)構(gòu)的信息安全保護(hù)措施一般是“防外不防內(nèi)”，因而無法阻止、檢測(cè)和響應(yīng)該類威脅。

3.互聯(lián)網(wǎng)+下的特殊安全風(fēng)險(xiǎn)

現(xiàn)階段，互聯(lián)網(wǎng)+下的特殊安全風(fēng)險(xiǎn)主要包括：信息世界與物理世界融合所帶來的安全風(fēng)險(xiǎn)，云計(jì)算系統(tǒng)、移動(dòng)設(shè)備和大數(shù)據(jù)等內(nèi)容相關(guān)的安全風(fēng)險(xiǎn)。

新形勢(shì)下校園信息安全挑戰(zhàn)

學(xué)校作為區(qū)域重要教育機(jī)構(gòu)，通過校園網(wǎng)站、教學(xué)平臺(tái)、課程平臺(tái)等各類系統(tǒng)面向?qū)W生、教師、家長(zhǎng)等提供相關(guān)教育信息服務(wù)，一旦出現(xiàn)嚴(yán)重安全問題可能導(dǎo)致教育事故，甚至引發(fā)公共事件。因此我校必須要有全面的信息安全防護(hù)措施以保障信息系統(tǒng)的數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和系統(tǒng)運(yùn)行的安全。

盡管我校信息系統(tǒng)的整體信息安全體系與規(guī)劃設(shè)計(jì)比較完善，但是在互聯(lián)網(wǎng)+形勢(shì)下，原有的安全體系和規(guī)劃設(shè)計(jì)不一定能夠完全適應(yīng)和防護(hù)新的安全威脅和風(fēng)險(xiǎn)，我校依然面臨著非常多的信息安全挑戰(zhàn)，包括“以專線為主的信息系統(tǒng)安全防護(hù)水平應(yīng)進(jìn)行提升以適應(yīng)互聯(lián)網(wǎng)要求、新形勢(shì)下的業(yè)務(wù)發(fā)展對(duì)安全管理和安全技術(shù)開發(fā)提出更高要求、信息安全管理人員技術(shù)跟蹤和安全研究的持續(xù)關(guān)注不足、面向全校師生的安全素養(yǎng)培訓(xùn)有待加強(qiáng)”等眾多問題。

“互聯(lián)網(wǎng)+”下校園信息安全應(yīng)對(duì)

“互聯(lián)網(wǎng)+教育”產(chǎn)生出的新特點(diǎn)，對(duì)互聯(lián)網(wǎng)教育技術(shù)體系規(guī)劃和安全設(shè)計(jì)提出了新的要求。網(wǎng)絡(luò)安全涉及到人的意識(shí)、流程、工具、技術(shù)、立法等多方面，是一個(gè)需要綜合治理的過程。如圖2所示。

1.適當(dāng)“封閉”，堅(jiān)持開放原則

發(fā)展是安全的基礎(chǔ)。作為區(qū)域重要教育信息樞紐的我校來說，應(yīng)順應(yīng)互聯(lián)網(wǎng)+的發(fā)展潮流，最大限度利用信息化和網(wǎng)絡(luò)化，以開放的理念，科學(xué)治理和解決互聯(lián)網(wǎng)+和信息化發(fā)展過程中出現(xiàn)的問題與風(fēng)險(xiǎn)，避免出現(xiàn)以頑固封閉，拒絕開放來換取所謂的安全的情況。

網(wǎng)絡(luò)攻防永遠(yuǎn)是一場(chǎng)此消彼長(zhǎng)的戰(zhàn)爭(zhēng)，降低攻擊或者防御成本是最本質(zhì)的因素，我校作為防御的一方，在保持現(xiàn)有信息安全防御成本不大幅度提高的情況下盡可能提高黑客的攻擊成本是最具指導(dǎo)性的措施。

圖3 網(wǎng)絡(luò)安全應(yīng)急模塊圖

2.借力發(fā)展，構(gòu)建多元化合作渠道

在“互聯(lián)網(wǎng)+教育”時(shí)代，信息安全技術(shù)飛速發(fā)展，互聯(lián)網(wǎng)上黑客無處不在，我校內(nèi)部的信息安全管理團(tuán)隊(duì)面臨更大的挑戰(zhàn)和壓力，僅僅依靠?jī)?nèi)部信息安全團(tuán)隊(duì)的能力，是遠(yuǎn)遠(yuǎn)不夠的。因此，我校需要與各類安全機(jī)構(gòu)開展合作，構(gòu)建多元化的合作渠道，尤其是加強(qiáng)與教育主管部門、公安和電信部門、IT廠商等合作，共同營造適合互聯(lián)網(wǎng)教育發(fā)展的環(huán)境。

3.自主可控，大膽啟用新思路、新架構(gòu)

在互聯(lián)網(wǎng)+的發(fā)展進(jìn)程中，我校也正在積極轉(zhuǎn)變發(fā)展理念，研究通過創(chuàng)新運(yùn)用互聯(lián)網(wǎng)、移動(dòng)通訊、大數(shù)據(jù)和云計(jì)算等前沿科技技術(shù)，提高教育系統(tǒng)運(yùn)行效率和管理水平，更好地提供教育服務(wù)。

目前已經(jīng)積極開始了一些嘗試，包括：通過敏捷式開發(fā)來實(shí)現(xiàn)互聯(lián)網(wǎng)教育平臺(tái)的開發(fā)轉(zhuǎn)型，更及時(shí)響應(yīng)教學(xué)管理和交互需求；在管理上，通過引入與借鑒大數(shù)據(jù)技術(shù)，加快整合內(nèi)部各信息系統(tǒng)的教育數(shù)據(jù)資源，運(yùn)用于安全事件監(jiān)管、教育管理和運(yùn)營分析等方面；結(jié)合上級(jí)部門指導(dǎo)，有選擇地更多地選擇國產(chǎn)硬件和軟件系統(tǒng)，以加強(qiáng)自主可控；培養(yǎng)專門人才研究開源軟件，積極使用開源軟件替代各類商業(yè)軟件；深入推廣與創(chuàng)新數(shù)字證書技術(shù)，特別是國密證書的應(yīng)用。

4.加大應(yīng)急預(yù)警和管控力度

網(wǎng)絡(luò)安全應(yīng)急管理應(yīng)做到及時(shí)發(fā)現(xiàn)，及早預(yù)警，全面追蹤和有效處置，如圖3所示。

國內(nèi)互聯(lián)網(wǎng)教育領(lǐng)域應(yīng)建立多層次和覆蓋廣的安全檢測(cè)體系，整合行業(yè)資源和安全資源，解決基礎(chǔ)資源分散、未知漏洞和未知攻擊監(jiān)測(cè)能力不足的問題，實(shí)現(xiàn)網(wǎng)絡(luò)安全狀態(tài)全面感知的能力，有效增強(qiáng)應(yīng)對(duì)突發(fā)事件的能力。

我校教學(xué)信息系統(tǒng)是區(qū)域教育領(lǐng)域的關(guān)鍵系統(tǒng)，一旦出現(xiàn)問題影響面巨大，因此系統(tǒng)安全運(yùn)行和降低安全風(fēng)險(xiǎn)是我校首要的任務(wù)。而我校信息系統(tǒng)數(shù)量多、用戶廣泛，系統(tǒng)內(nèi)部流程和功能關(guān)聯(lián)比較復(fù)雜，整個(gè)信息系統(tǒng)面臨著巨大的運(yùn)行風(fēng)險(xiǎn)。

因此，要滿足互聯(lián)網(wǎng)教育時(shí)代的發(fā)展要求，實(shí)現(xiàn)我校信息系統(tǒng)安全穩(wěn)定運(yùn)行，不僅需要積極關(guān)注國內(nèi)安全行業(yè)內(nèi)新的安全檢測(cè)體系發(fā)展情況，還特別需要在內(nèi)部運(yùn)維管理上進(jìn)行相應(yīng)的改進(jìn)，不僅是一些安全設(shè)備和人員的簡(jiǎn)單累加，而是應(yīng)該在流程、監(jiān)控、自動(dòng)化、安全應(yīng)急等各方面進(jìn)行改進(jìn)，使安全管理和應(yīng)急響應(yīng)進(jìn)行聯(lián)動(dòng)，真正提高風(fēng)險(xiǎn)管控水平。

5.樹立信息安全理念，加強(qiáng)安全意識(shí)培訓(xùn)

安全規(guī)范最終需要人來落實(shí)，因此開展全體師生信息安全思維培訓(xùn)，保持良好的信息安全思維方式，并制定結(jié)合教學(xué)特點(diǎn)和信息安全現(xiàn)狀的培訓(xùn)計(jì)劃都是非常必要的。

有計(jì)劃地培養(yǎng)我校內(nèi)部信息安全教育的師資隊(duì)伍，開發(fā)相應(yīng)的教學(xué)資源，適當(dāng)考慮引進(jìn)外部?jī)?yōu)秀的專家團(tuán)隊(duì)進(jìn)行定期的專家講座和技術(shù)交流，推進(jìn)我校信息安全教育工作。

6.加強(qiáng)安全設(shè)計(jì)，防范信息系統(tǒng)技術(shù)風(fēng)險(xiǎn)

我校有些信息系統(tǒng)是直接涉及課程和考試等關(guān)鍵環(huán)節(jié)，系統(tǒng)業(yè)務(wù)上的安全設(shè)計(jì)是否合理，直接影響了系統(tǒng)的安全性和可用性。

目前校園教學(xué)系統(tǒng)安全設(shè)計(jì)沒有完善的理論，相關(guān)資料較少，因此不斷借鑒優(yōu)化同行業(yè)做法、提高系統(tǒng)設(shè)計(jì)人員自身的信息安全素養(yǎng)是目前為數(shù)不多的可行方法。在互聯(lián)網(wǎng)+時(shí)代，在技術(shù)無法保證絕對(duì)安全的前提下，設(shè)計(jì)人員是否重視安全設(shè)計(jì)的重要性，也是我校信息系統(tǒng)能夠長(zhǎng)期安全運(yùn)行的關(guān)鍵。

互聯(lián)網(wǎng)+下我校安全形勢(shì)展望

互聯(lián)網(wǎng)+意味著傳統(tǒng)業(yè)務(wù)與互聯(lián)網(wǎng)結(jié)合而成的業(yè)務(wù)模式將成為未來幾年的發(fā)展趨勢(shì)。教育行業(yè)尤其是體制內(nèi)教育一直受到嚴(yán)格的監(jiān)管，有嚴(yán)肅的準(zhǔn)入準(zhǔn)出機(jī)制，為進(jìn)一步提升效率、擴(kuò)大教育服務(wù)范圍和水平，尤其需要互聯(lián)網(wǎng)+給行業(yè)帶來的新氣息和技術(shù)創(chuàng)新，互聯(lián)網(wǎng)+必將成為國內(nèi)教育行業(yè)發(fā)展的新引擎。

互聯(lián)網(wǎng)+形勢(shì)下我校所面臨的挑戰(zhàn)日益嚴(yán)峻。信息系統(tǒng)面臨的攻擊面越來越大，防御鏈條越來越長(zhǎng)，校園信息技術(shù)和安全技術(shù)人才稀缺。重視安全規(guī)范的同時(shí)，還需更加重視用戶體驗(yàn)。因此，我校應(yīng)積極響應(yīng)國家關(guān)于互聯(lián)網(wǎng)+的號(hào)召，深化互聯(lián)網(wǎng)教育形勢(shì)下的信息安全建設(shè)，在教育局等上級(jí)機(jī)構(gòu)指導(dǎo)下，以合作共贏，重視數(shù)據(jù)，以人為本的理念，使我校發(fā)展走向更高的平臺(tái)。