導語：高校信息化建設信息安全問題研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：信息安全是在高職院校進行信息化建設的過程中不能忽視的問題，文章闡述了當前高校信息化建設中面臨的問題，并且對高校在信息安全管理方面存在的問題進行了分析，提出了相對較為合理的高校信息安全解決方案和管理措施．

關鍵詞：信息安全；信息化建設；校園網

近十年來，我國的高校信息化建設步入了飛速發展階段，各類學校官網建設、教學資源的共享、教務系統的應用、校園一卡通等信息系統的建設，成了高校信息化的展示平臺和重點，信息系統在學校教務工作中占據了非常重要的地位．原本的大學信息化平臺只能提供普通的通知公告、學校形象展示等功能，隨著信息技術的發展，如今的大學信息化平臺發生了很大變化，匯集了學校網站宣傳、微信、微博賬號、師生互動溝通、教學教務系統、選課評教系統、教學資源共享等功能．這些系統和信息已經成為高校重要的業務展示和應用平臺．其中涉及的信息安全方面的問題日趨值得我們重視．

1高校信息安全現狀

一般的高校信息化建設主要經過以下幾個階段：網絡基礎設施建設、舊應用系統整合、新應用系統開發等．［1］在高校信息化建設發展的同時，整體安全狀況卻不容樂觀．高校網絡應用日趨增加，網絡系統越來越龐大，對外要能夠抵御各種黑客攻擊，負載均衡等問題，對內要解決規范網絡資源使用．信息化安全是當前高校信息業務應用發展需要關注的核心和重點，而高校信息安全需要解決以下安全內容：1）操作系統安全．2）網絡信息通信安全．3）網絡系統信息內容安全．中國高校網站安全情況極差，根據國內信息安全公司的報告，在2012年5月，國內截獲了61萬個遭黑客網頁掛馬的網址，其中教育教學類的網址就有18萬個以上．此外，根據《2013年中國高校網站安全檢測報告》，高校網站的安全性在全國各類網址中，體檢分數排名僅僅比倒數第一名多2分（見圖1）．值得注意的是，各大學校的科研、教務網站上保存有大量的敏感數據和學生信息，如不加以重視安全保護，極易受到黑客的攻擊和竊取，由此引發的高校網站被篡改、被掛馬的安全事件頻繁出現，最終給高校帶來嚴重的形象及經濟損失．另外，高校網站在百度、搜狗等搜索引擎中是熱門關鍵詞，由于其安全性薄弱及多方面的利益驅使，是黑客攻擊并傳播病毒的優先選擇目標．信息安全隱患已經成為高校信息化建設過程中無法回避的問題，其嚴重威脅著高校信息化的推廣和使用，［2］威脅著公共安全的多個方面．

2高校信息安全面臨的挑戰

當前，各大高校都在加大信息化平臺的投入，對官網、教務管理系統進行建設，讓各類教學資源聯網共享，優化校內網絡資源等，這些高校信息化的建設是各大高校適應當前形勢發展需求而開展的，每個學校都有自己的實際情況和需求，業務開展初期沒有一個宏觀的規劃架構，各個系統之間互不連通，數據不能同步共享、更新，這些系統的功能特性、安全需求和等級、服務的群體、所面臨的風險各不相同．高校信息安全面臨的挑戰，主要有以下幾點：1）高校官網易受到攻擊：高校官網是學校重要對外交流窗口，瀏覽訪問量巨大，又因為高校網站多為各高校自主搭建，缺乏足夠的安全防范技術與措施，所以較容易引起網絡黑客的攻擊興趣，黑客利用網頁掛馬，分布式拒絕服務攻擊等方式對學校官網進行攻擊，輕則造成網站響應速度變慢，重則導致訪問者中毒，或者學校網站無法訪問等嚴重后果．圖2和圖3分別列出了中國高校網站安全漏洞分布情況和黑客攻擊高校網站技術手段分布情況．圖2中國高校網站安全漏洞分布情況Fig．2DistributionofsecurityvulnerabilitiesinChinesecolleges圖3黑客攻擊高校網站技術手段分布情況Fig．3Hackers＇attackmethoddistribution2）高校敏感數據被入侵、篡改．高校信息中心的業務數據，包括“校園一卡通”、教務管理系統、圖書館借閱系統、精品課程資源庫等，由于保存有大量學生身份證、聯系電話、成績、銀行卡號、住址、學生飯卡資金等敏感信息，也成為網絡黑手攻擊的對象，黑客入侵修改學生成績、學歷，甚至修改畢業證信息等信息安全事件屢見不鮮．3）校園網的內部威脅．高校內部用戶上網帶來的威脅，包括機房、宿舍、辦公樓用戶等．由于信息技術發展速度較快，高校在信息安全教育方面沒有跟上技術發展的步伐，導致校園上網用戶對信息安全重視程度不夠，缺乏信息安全保護能力和意識，通過學校局域網或者機房感染計算機病毒的概率很高，使得各種計算機病毒在校園內迅速傳播，給學校內網帶來安全威脅．另外，有些學生對黑客盲目崇拜，在校內嘗試黑客攻擊技術，也造成了一些信息安全事故．4）技術人員方面的短缺．很多高校信息管理人員缺乏成熟的管理經驗，整體素質比較低，加上管理和制度上的欠缺，使得高校信息系統在運行過程中遇到入侵的概率大大增加．5）需要加大資金投入．越來越多的高校已經認識到校園信息化建設的重要性．但是，由于信息化建設的硬件投入需要較大資金，而很多高校存在資金缺口，導致安全設備硬件的缺乏，進而成為整個安全建設的短板．另外，信息化服務、信息化應用、人員培訓等方面也需要大量資金，這些問題不解決，將使得高校的信息化建設失去動力支持．

3解決方案

對于高校校園網的安全建設而言，主要考慮以下幾個方面：1）對整個高校的信息安全進行統一規劃，建立并實施體系化的信息保障標準，實現學校門戶部門公共服務網站教學資源等各類型網站的整合，簡化技術維護難度，確保網站的建設質量和安全防護能力．2）全方位的進行建設，在基礎層建設方面、網絡層建設方面、系統集成方面、管理應用方面，多角度多層面的設計和建設安全需求．3）對涉及敏感數據的區域進行重點保護，劃分重點區域，有利于集中管理．4）針對學校的業務需求，引入先進的安全硬件軟件等產品，緊跟安全領域的步伐．5）定期進行校園網絡體系化建設咨詢，風險評估，攻擊測試等活動，不斷提高安全防護能力．6）信息安全建設過程中要嚴格遵守國家等級保護要求，結合等級化的方法來設計．7）高校信息化建設與人員的素質息息相關，在加強信息化管理的過程中，需要對校園中使用網絡的人員進行安全教育和培訓，提高人員的安全意識，［3］形成人人關心信息安全工作，事事重視信息安全保護的工作氛圍．

4具體安全措施框架

根據高校自身系統的特點，結合等級保護相關技術要求和標準規范，筆者提出了以下解決方案（見圖4）．該方案的安全措施框架是依據“防范優先，全面防御”的方針，以及“制度與技術結合”的原則，并結合等級保護基本要求進行設計，主要包括技術體系，管理體系以及安全監控體系三大方面，在核心應用系統方面使用入侵檢測系統、軟硬件防火墻、殺毒軟件定期查殺等常用信息防范措施，保障網絡業務在具有一定的安全防護能力下的正常開展．

4．1技術體系

4．1．1架構規劃

劃分重點保護區域、訪問控制、防DDOS攻擊，針對重點保護區域使用防火墻進行隔離，配置規范的訪問控制權限和策略，交叉使用多家安全廠商的產品，構建嚴密、專業的網絡安全保障體系．

4．1．2應用層面

對校內各Web應用進行入侵檢測，及時修補漏洞，利用防火墻對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷，并結合網頁防篡改子系統，真正達到“網頁防篡改”效果．

4．1．3數據層面

將校內重要的數據放置在重點保護區域，提升數據庫自身的安全指數與配置，對數據庫的訪問權限進行嚴格設定，最大限度地保證數據庫安全．同時，利用SAN、異地數據備份系統有效保護重要信息數據的健康度．

4．2管理體系

任何安全設施和安全產品都需要專業管理人員的審核、跟蹤和維護，在安全管理體系的設計中，引入安全經驗豐富和對等級保護管理要求理解清晰的專業公司，為高校量身定做符合實際的、可操作的安全管理體系．

4．3安全監控體系

4．3．1風險評估

評估和分析在網絡上存在的安全技術，分析業務運作和管理方面存在的安全缺陷，調查系統現有的安全控制措施，評價當前高校的業務安全風險承擔能力；聘請資深的安全專家對各種安全事件的日志、記錄實時監控與分析，發現各種潛在的危險，并提供及時的修補和防御措施建議．

4．3．2滲透測試

利用網絡安全掃描器、專用安全測試工具和專業的安全工程師的人工經驗對網絡中的核心服務器及重要的網絡設備進行非破壞性質的模擬黑客攻擊，提高防范意識與技術．

4．3．3應急響應

針對信息系統危機狀況的緊急響應設有預案，當信息系統發生意外的突發安全事件時，可以提供緊急的救援措施．通過以上方案的實施，學校業務系統得到安全保障，高校科研、教務、學籍等重要數據免受黑客入侵威脅．高校官網抗攻擊性得到加強，在遭受一般的網絡攻擊下能持續提供網絡服務，并檢測攻擊出處．規范校內用戶的上網行為，提高校內用戶的整體信息安全意識，提高了網絡利用率，減少了內部的網絡攻擊．另外能逐步完善安全制度并提升管理人員素質．因此該系統的建設能夠滿足當前高校網絡系統的要求．

5結語

當前高校網絡系統是一個不斷發展壯大的多功能復雜系統，在提供日常的教務管理、學校宣傳的同時，也面臨著越來越復雜的信息安全威脅，網絡技術不斷發展的同時，現有的系統自身的漏洞與弱點也會不斷被發現，信息安全風險日益突出，成為當前高職院校中信息化建設過程中必須面對與亟待解決的問題．信息化建設和發展對于高校未來的教育工作有著非常重要的現實意義，因此，需要加大資金投入，保證校園向著信息化方向發展，［4］以信息安全為出發點，將系統從項目立項開始就納入管理范疇，從而實現對高校信息系統的有效管理．［5］在高校信息化建設中實施信息安全保護建設工作有利于提高全校的信息系統安全建設水平，能不斷的同步建設各種信息安全設施，讓信息化建設與信息安全同步發展，能提供全面的并有針對性的信息系統安全建設，降低網絡系統建設成本，有利于優化信息安全資源配置，保護信息系統分類，確保高校信息平臺的安全運行．

作者:聶晶 單位:南寧職業技術學院

［參考文獻］

［1］于莉潔，王松盛，唐麗華，等．高校信息化建設中的信息安全問題研究［J］．信息安全與技術，2016（3）．

［2］趙歡，陳熙．高校信息安全體系的研究與實現［J］．中國教育信息化，2013（13）．

［3］譚博．高校信息化建設進程中信息安全問題成因及對策探析［J］．信息與電腦：理論版，2016（11）．

［4］李磊．高校信息化建設進程中信息安全問題及對策分析［J］．信息化設，2016（3）：25．

［5］陸勤．基于信息安全管理模型的高校信息系統管理平臺研發［D］．上海交通大學，2014．