高校網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)策略

劉佳

摘要 目前各個(gè)高校正在積極推進(jìn)教育信息化的相關(guān)工作。智慧校園、私有云技術(shù)、校園大數(shù)據(jù)分析等頗具前瞻性的新名詞在高校信息化建設(shè)的推進(jìn)過程中不斷涌現(xiàn)。然而近幾年來，黑客入侵、信息泄露等災(zāi)難性事故在高校頻發(fā)，高校網(wǎng)絡(luò)信息安全面臨嚴(yán)峻挑戰(zhàn)。高校學(xué)生的個(gè)人信息泄露受到社會的廣泛關(guān)注，本文通過對高校網(wǎng)絡(luò)數(shù)據(jù)安全問題與策略研究提出自己的觀點(diǎn)和看法，希望為各個(gè)高校解決網(wǎng)絡(luò)數(shù)據(jù)安全問題提供有效參考。

【關(guān)鍵詞】數(shù)據(jù)安全 加密存儲 備份與恢復(fù)

在高校信息化建設(shè)過程中，大家往往重視各類應(yīng)用系統(tǒng)的建設(shè)，關(guān)注的是數(shù)據(jù)中心平臺、教學(xué)資源平臺的建設(shè)。而對于數(shù)據(jù)安全卻不夠重視。導(dǎo)致了黑客入侵、信息泄露等災(zāi)難性事故在高校頻發(fā)，這里非常有代表性的是被南京郵電大學(xué)錄取的18歲山東女孩“徐玉玉”事件，本文針對對目前高校的網(wǎng)絡(luò)數(shù)據(jù)安全問題和防范策略進(jìn)行一些分析和探討，希望給大家一些啟示，引起大家的反思，并為各高校網(wǎng)絡(luò)安全建設(shè)提供參考。

1 當(dāng)前高校面臨的數(shù)據(jù)安全威脅分析

目前國內(nèi)高校各類應(yīng)用系統(tǒng)建設(shè)蓬勃發(fā)展，學(xué)校的日常管理和教學(xué)工作的開展對信息化手段的依賴程度越來越高，迎新報(bào)到系統(tǒng)、一卡通系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生綜合管理、智能水控電控系統(tǒng)等應(yīng)用平臺幾乎涵蓋了學(xué)生日常教學(xué)、生活的方方面面。幾萬甚至幾十萬條跟教師、學(xué)生密切相關(guān)的個(gè)人信息和重要數(shù)據(jù)在校園中各類應(yīng)用系統(tǒng)中流動、整合。但由于網(wǎng)絡(luò)安全防御手段跟不上教育信息化發(fā)展的節(jié)奏。校園網(wǎng)絡(luò)信息安全面臨嚴(yán)峻的挑戰(zhàn)，特別是近幾年，拒絕服務(wù)攻擊（DDOS）、病毒入侵、信息泄露、網(wǎng)站被篡改等災(zāi)難性事故頻發(fā)，嚴(yán)重威脅著高校各類信息業(yè)務(wù)的正常開展，高校師生的個(gè)人隱私安全。2016年8月，剛剛被南京郵電大學(xué)錄取的18歲山東女孩徐玉玉，因個(gè)人信息數(shù)據(jù)泄露，遭受異常精準(zhǔn)的電信詐騙，花季少女就此隕落。2017年5月，“勒索病毒”（ WANNACRYPT）瘋狂攻擊全球上百個(gè)國家，無數(shù)珍貴資料被病毒加密鎖定，國內(nèi)各個(gè)高校更是成為受病毒攻擊的重災(zāi)區(qū)，一卡通財(cái)務(wù)數(shù)據(jù)、高?？蒲袛?shù)據(jù)、畢業(yè)答辯數(shù)據(jù)紛紛被病毒鎖定。各個(gè)高校的應(yīng)用系統(tǒng)主機(jī)被遠(yuǎn)程種下木馬成為“肉雞”。我們花費(fèi)大量資金采購的防火墻和防病毒軟件在這些入侵和攻擊下形同虛設(shè)。面對復(fù)雜的網(wǎng)絡(luò)威脅，以往我們使用的獨(dú)立安全產(chǎn)品堆砌起來的網(wǎng)絡(luò)防御體系搖搖欲墜，只有咬牙切齒花費(fèi)不菲的金錢購買比特幣進(jìn)行解鎖。某高校的迎新網(wǎng)站，通過密碼找回功能居然能輕松的獲取到該高校全部錄取新生的相關(guān)信息。諸如此類的信息泄露、數(shù)據(jù)安全問題在我們高校層出不窮。面對復(fù)雜的網(wǎng)絡(luò)數(shù)據(jù)安全隱患，依靠單一的防火墻、防病毒軟件、行為審計(jì)構(gòu)建的安全系統(tǒng)已逐漸失去效力。特別是高校私有云平臺的建設(shè)以及數(shù)據(jù)集中共享平臺的搭建對于高校網(wǎng)絡(luò)數(shù)據(jù)安全提出了更高的要求。我們必須清醒的認(rèn)識到：網(wǎng)絡(luò)空間的攻防之間進(jìn)行的是一場深入、多層次的較量。要充分的認(rèn)識到安全與發(fā)展的關(guān)系。即安全和信息化發(fā)展是一體之雙翼、驅(qū)動之雙輪，安全是發(fā)展的保障，發(fā)展是安全的目的。

2 高校網(wǎng)絡(luò)數(shù)據(jù)安全防御策略探討

2.1 提高認(rèn)識、制度保障

筆者曾與多個(gè)高校負(fù)責(zé)教育信息化的網(wǎng)絡(luò)中心主任、信息中心主任進(jìn)行過安全方面的交流和探討，發(fā)現(xiàn)各個(gè)高校普遍存在“領(lǐng)導(dǎo)重視不夠、資金投入不足、網(wǎng)絡(luò)中心人員不夠、缺少數(shù)據(jù)安全的技術(shù)支持、信息部門統(tǒng)籌協(xié)調(diào)困難、全員安全意識和安全技能薄弱”等現(xiàn)象。各個(gè)高校要建立、健全網(wǎng)絡(luò)與信息安全組織領(lǐng)導(dǎo)機(jī)構(gòu)，全面實(shí)施信息安全等級保護(hù)制度，從思想上高度重視，逐步加大網(wǎng)絡(luò)信息與數(shù)據(jù)安全的經(jīng)費(fèi)投入和專職網(wǎng)絡(luò)安全人員培訓(xùn)力度。建立、健全網(wǎng)絡(luò)信息與數(shù)據(jù)安全應(yīng)急預(yù)案，逐步加強(qiáng)網(wǎng)絡(luò)與信息安全隊(duì)伍建設(shè)和全體網(wǎng)絡(luò)使用人員培訓(xùn)。全校有線無線要真正落實(shí)實(shí)名準(zhǔn)入制度，加快教育行業(yè)信息安全標(biāo)準(zhǔn)規(guī)范建設(shè)。

2.2 做好網(wǎng)絡(luò)數(shù)據(jù)的安全隔離

目前高校的網(wǎng)絡(luò)運(yùn)維機(jī)構(gòu)一般稱“信息中心”或“網(wǎng)絡(luò)中心”。是高校負(fù)責(zé)信息系統(tǒng)日常運(yùn)行、技術(shù)維護(hù)和相應(yīng)的安全管理保障部門。各高校網(wǎng)絡(luò)用戶的賬號和密碼的規(guī)范管理也由該部門負(fù)責(zé)。網(wǎng)絡(luò)運(yùn)維部門應(yīng)該按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)、誰使用、誰負(fù)責(zé)，”的原則。及時(shí)對數(shù)據(jù)中心的服務(wù)器操作系統(tǒng)進(jìn)行漏洞修補(bǔ)，操作系統(tǒng)應(yīng)遵循最小化安裝的原則，關(guān)閉防火墻上的非必須端口，合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，通過采用VPN技術(shù)，對重要數(shù)據(jù)進(jìn)行內(nèi)網(wǎng)和外網(wǎng)隔離。對于較難發(fā)現(xiàn)的Web應(yīng)用漏洞要引入第三方評測機(jī)構(gòu)，納入學(xué)校的信息等級保護(hù)并到公安機(jī)關(guān)備案。提高黑客入侵的難度和入侵成本。

2.3 加強(qiáng)數(shù)據(jù)的訪問控制

數(shù)據(jù)訪問控制是指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。簡而言之就是保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)資源，防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)資源。事實(shí)上各類高校應(yīng)用系統(tǒng)中用戶的弱密碼是導(dǎo)致信息泄露的一個(gè)重要原因。尤其是在各個(gè)高校建立了統(tǒng)一門戶和統(tǒng)一身份認(rèn)證之后，用戶的弱密碼將導(dǎo)致各個(gè)校園應(yīng)用系統(tǒng)中用戶的所有數(shù)據(jù)被窮舉之后輕易得到。建議在數(shù)據(jù)訪問控制時(shí)采用動態(tài)口令認(rèn)證的方式。動態(tài)口令系統(tǒng)中每個(gè)正確的動態(tài)口令可與校園統(tǒng)一身份認(rèn)證平臺進(jìn)行動態(tài)認(rèn)證，只使用一次，并與用戶的手機(jī)短信進(jìn)行綁定發(fā)送，統(tǒng)一身份認(rèn)證平臺記錄所有用戶在某個(gè)時(shí)段內(nèi)的認(rèn)證結(jié)果，如果出現(xiàn)某一個(gè)用戶多次認(rèn)證失敗時(shí)，系統(tǒng)將對該用戶進(jìn)行鎖定，避免了被窮舉攻擊的可能。

2.4 做到數(shù)據(jù)的加密存儲與加密傳輸

數(shù)據(jù)加密技術(shù)是一種主動安全防御策略，這里講的加密包括了數(shù)據(jù)存儲的加密和在數(shù)據(jù)傳輸過程中使用加密技術(shù)，數(shù)據(jù)加密能用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。主要的加密技術(shù)有對稱加密和非對稱加密兩種。從加密技術(shù)應(yīng)用的邏輯位置看，有三種方式分別是鏈路加密，節(jié)點(diǎn)加密，端對端加密。不論哪種方式，在網(wǎng)絡(luò)傳輸和存儲中用密文代替明文，這樣即使發(fā)生入侵或信息泄露，黑客也要花費(fèi)較大的力氣去進(jìn)行數(shù)據(jù)解密。一旦攻擊和入侵的成本遠(yuǎn)遠(yuǎn)大于收益，它就會望而止步了。

2.5 及時(shí)做好重要信息和數(shù)據(jù)的安全備份并保留網(wǎng)絡(luò)安全產(chǎn)品的相關(guān)日志

在當(dāng)前的網(wǎng)絡(luò)空間攻防過程中，國內(nèi)的網(wǎng)絡(luò)防御與國外的黑客組織在技術(shù)層面的較量中暫時(shí)處于弱勢，這就要求我們在網(wǎng)絡(luò)安全的日常維護(hù)過程中要注重各類重要信息及數(shù)據(jù)的安全備份。特別是高校的人事、學(xué)工、一卡通、財(cái)務(wù)等重要數(shù)據(jù)，要做到異地備份。這樣即便遭遇了類似“勒索病毒”的感染，也可通過備份數(shù)據(jù)進(jìn)行恢復(fù)。特別需要引起重視的是最新實(shí)施的《網(wǎng)絡(luò)安全法》明確規(guī)定，各類防火墻、路由設(shè)備、服務(wù)器日志文件要保留6個(gè)月以上。清晰完整的日志留存能保證我們在網(wǎng)絡(luò)遭到攻擊后，能迅速準(zhǔn)確的明晰黑客的攻擊手段，定位黑客的攻擊來源，避免事態(tài)的進(jìn)一步擴(kuò)大。

3 結(jié)語

除本文以上介紹的數(shù)據(jù)安全策略外我們要清醒的認(rèn)識到網(wǎng)絡(luò)數(shù)據(jù)安全絕不單單是高校信息運(yùn)維部門的事情，關(guān)系到我們所有師生的切身利益。在日常使用過程中我們要提高全員的安全意識，培養(yǎng)一定的安全技能，保護(hù)好個(gè)人密碼，定期掃描和更新補(bǔ)丁，不要隨意點(diǎn)擊和打開來歷不明的郵件，在使用移動終端（手機(jī)、平板）的過程中，不要隨意連接免費(fèi)Wi-Fi，不要輕易使用來歷不明的APP應(yīng)用。手機(jī)二手出賣或丟棄時(shí)要使用徹底的格式化軟件進(jìn)行個(gè)人數(shù)據(jù)的清除。我們要充分認(rèn)識數(shù)據(jù)安全的重要性。習(xí)總書記更是將有網(wǎng)絡(luò)安全上升到國家安全的層次。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)水平高速發(fā)展的今天，數(shù)據(jù)安全問題的解決不能依靠單一的技術(shù)手段，只有提高全校師生的安全意識，多種手段和技術(shù)共同應(yīng)用、全員參與，才能保障我們的網(wǎng)絡(luò)數(shù)據(jù)安全。

參考文獻(xiàn)

[1]候艷.高校網(wǎng)絡(luò)安全存在的問題研究[J].電腦與電信2015，10： 53-53.

[2]王軍，論高校數(shù)據(jù)安全[J].信息系統(tǒng)工程，2012，08： 76.

[3]賀斌，高校網(wǎng)絡(luò)安全存在的問題與完善策略探析[J].信息通信，2014，10：9.

[4]吳比，計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全策略的研究[J].信息與電腦，2011，02： 10.

[5]錢程，淺談高校數(shù)據(jù)安全管理與備份[J].中國新技術(shù)新產(chǎn)品，2012，16： 21.

[6]李江，數(shù)字化校園中典型安全問題分析及防御對策[J].中國電化教育，2009.

[7]嚴(yán)曉峰，張德馨.大數(shù)據(jù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2013 （08）： 45-47.

[8]林勇.論職業(yè)院校虛擬化環(huán)境下數(shù)據(jù)中心的安全[J]，電腦迷，2018 （01）： 57-58.

[9]許孝巖，高校計(jì)算中心網(wǎng)絡(luò)安全管理探討[J]，青島理工大學(xué)學(xué)報(bào).2015，36 （04）： 79-81+86.