突发公共事件视域下高校网络信息安全管理研究
杨丽 朱猛男 张耀军
摘 要:自新冠肺炎疫情爆发以来,高校网络信息安全在突发公共事件视域下获得极大关注。保障系统运行安全、数据安全、网络信息传播安全等成为高校网络信息安全管理的重中之重。从突发公共事件视角分析疫情期间高校线上教学、远程办公、图书馆和教学资源对外开放以及信息报送等信息化行为产生的安全风险,同时分析了电脑版“新冠病毒”带来的安全威胁;针对疫情期间的信息化安全风险,提出采用PDCA循环管理模式、统一身份认证、定期进行网络安全入侵检测、数据加密、增强学生网络信息安全意识等管理方案。
关键词:突发公共事件;高校信息化;网络信息安全;新冠肺炎疫情
DOI:10. 11907/rjdk. 201767????????????????????????????????????????????????????????????????? 开放科学(资源服务)标识码(OSID):
中图分类号:TP309 ? 文献标识码:A ??????????????? 文章编号:1672-7800(2020)011-0197-05
Analysis of Network Information Security Management in Colleges and Universities from the Perspective of Public Emergencies
YANG Li, ZHU Meng-nan, ZHANG Yao-jun
(Shanghai Publishing and Printing College,Shanghai 200093,China)
Abstract: Since the outbreak of COVID-19, the network information security of universities has received great attention in the field of public emergencies. To ensure the security of system operation, data security and network information dissemination has become the top priority of network information security management in colleges and universities. From the perspective of public emergencies, this paper analyzes the security risks of online teaching, remote office, opening up of library and teaching resources and information submission during the epidemic period, and analyzes the security threats brought by viruses with false names of new coronavirus; then, according to the information security risks during the epidemic period, the paper proposes to adopt PDCA cycle management mode and other management strategies including identity authentication, regular network security intrusion detection, data encryption, enhance students' network information security awareness.
Key Words:public emergencies; university informatization; network information security; COVID-19
0 引言
新冠肺炎疫情防控期間,各大高校为做好疫情防控工作均选择延期开学。高校积极响应教育部“停课不停教、停课不停学”要求,借助网络和信息化技术手段开展教学及管理工作。为保障师生能够获得图书馆数据库等学习资源,高校开放图书馆线上资源,开通CARSI校外访问数据库服务。同时,为切实保障师生健康,学校通过移动端或电脑端平台每日线上报送个人基本健康信息。由于线上教学平台、教务教学软件、各应用系统、远程办公信息化、开放图书馆资源以及个人信息报送等都在网络环境下运行,因此在提供类似服务时也面临各种信息安全问题,比如网络攻击、系统漏洞、数据丢失及损坏等安全隐患,尤其是电脑版“新冠肺炎病毒”恶意程序在网络上肆意妄为,给学校的网络信息安全带来严重威胁。在此背景下,高校要分析存在的安全风险,重视网络信息安全,采取相应防范措施,做好突发公共事件期间校园网络信息安全管理工作,为保障疫情期间校园乃至社会稳定做出贡献。
1 高校网络信息安全研究现状
随着教育信息化2.0时代的到来,高校信息化快速发展,网络信息安全也面临严重威胁,我国高校信息安全主要存在信息安全意识薄弱[1]、信息安全防控技术落后[2]、安全治理機制不健全[3]等主要问题。高校校园网络安全隐患包括网络自身安全漏洞、软硬件系统漏洞、外来系统入侵和内部攻击、网络安全管理缺陷等问题[4-5]。校园网业务系统面临严重的安全威胁,如入侵防护手段不健全、应用系统维护不到位、账号权限控制不合理[6]、网站运维缺乏持续性和安全保障[7]等。此外,高校图书馆数字资源泄露[8]、师生档案信息泄密[9]、高校信息公开遭到威胁攻击[10]以及高校网络舆情危机[11]等安全问题。针对高校存在的网络信息安全问题,学者提出有针对性的网络安全管理建议:何济玲等[12]认为高校信息安全治理不仅是技术问题,也是管理问题,构建基于ISO/IEC27001标准的高校信息安全治理体系,覆盖组织体系、管控体系、技术体系和政策体系4个方面;王聪等[13]基于“线性规划”治理途径,建议高校做好“监控—识别—防护—预警—响应—处置”各环节的安全对抗,构建CIA线性规划式信息安全治理模型;黄志宏等[14]将P2DR模型实践应用到高校信息资产系统中,实现闭环可控的动态资产稽核,针对安全漏洞和风险威胁提出高校信息系统生命周期安全管理方式。还有一些学者提出要加强大学生网络安全教育,提高网络信息安全意识[15],重视大学生信息伦理道德培养[16],提升当代大学生信息素养[17-19]等。
2 高校网络信息安全内容
网络信息安全指利用网络控制管理和信息化技术,确保在网络上传输信息的安全,包括网络系统硬件、软件及系统中数据的安全和网络信息传播安全,保证信息的安全性、保密性、完整性[20]。新冠肺炎疫情时期,高校网络信息安全内容主要包括以下4个方面:
(1)网络基础设施安全。要保证学校机房、网络硬件等基础设施的物理安全;保证网络运行环境能满足机房防火、供配电、防盗窃和防破坏要求,对通信线路进行安全防护。
(2)系统运行安全。支持学校各应用系统稳定运行,确保线上授课平台视频语音流畅,服务器稳定,保证网速和流量,能支持上万用户同时在线。防止因为系统崩溃出现运行故障导致系统数据丢失、损坏,保护网络系统不被病毒攻击。
(3)信息内容和数据安全。保证学校教学资源、图书馆数字化资源不被盗用、更改、删除、复制,防止未经授权访问教务教学等应用系统,防止师生个人信息被故意或偶然的非授权泄露、盗取,保证每日信息报送数据的完整性和一致性。
(4)网络信息传播安全。保证校园论坛、班群等社交平台传播内容安全,防止和控制转发传播不科学的虚假虚报疫情信息,警惕带有“冠状病毒”、“疫情”等字样的可执行文件、邮件和压缩包等。
3 高校网络信息安全风险
本文结合疫情防控期间高校信息安全管理工作实际情况,分析线上教学、远程办公、信息报送、图书馆数据库资源开放以及疫情报道谣言传播和电脑版“新冠肺炎病毒”攻击存在的风险,为制定网络信息安全管理策略提供参考。
3.1 线上教学及远程办公风险
高校开展线上教学方式有多种:由学校自主开发的线上教学平台,功能包括网上直播、智慧教室、学习空间等,以及开设具有专业特色的教学资源库;此外还可借助互联网平台全面开展线上教学,如中国大学慕课(MOOC)、学习通、企业微信、腾讯会议、腾讯课堂、钉钉等平台。师生远程协作办公通常选择使用TeamViewer、Zoom、飞书、石墨文档、腾讯“云会议”、华为WeLink等远程协作办公软件,这些系统软件本身就存在安全风险,会受到非法入侵、木马、病毒、恶意代码等网络攻击。学校重要的学术资源、研究成果在没有充分安全防范措施情况下与互联网开放网络连接,易使不法分子窃取与监听校内信息,造成信息泄露。因疫情防护需求,高校师生长时间在家驻留,使用手机或电脑浏览网页、接收发送邮件、访问社交媒体平台等,由于电脑和手机缺乏专业的安全防护技术,有些甚至没有安装病毒查杀软件,在移动互联网或WiFi网络环境下如果没有设置防火墙,容易引发网络攻击。互联网在线教学软件归属第三方软件服务商,高校往往缺乏与第三方服务商的技术合作,安全技术应用能力受限,软件的应用程序、数据库服务资源不可控,如果第三方服务器因用户并发数量超载导致崩溃,会造成重大损失。师生远程协作办公的视频会议系统等关键应用容易受其它网络应用(p2p等)冲击,出现卡顿、网速跟不上、流量受限等现象,导致关键业务应用得不到保障。
3.2 图书馆资源开放信息安全隐患
为保证学校图书馆海量资源访问不受限,高校图书馆免费开放数字资源,一些教学资源数据库通过VPN即可访问。为进一步提升资源服务能力,高校还开通CARSI服务,学校师生可在校外直接访问万方数据、中国知网(CNKI)、WOS、EI和SD等数据库,这些举措在为师生带来便利获取学术资源的同时,也带来网络安全风险。允许通过外网访问图书馆资源,在某种程度上降低了授权要求,但可能对网络安全造成影响,一旦被网络病毒攻击会影响图书馆系统正常运行。而且通过VPN或者互联网访问学术资源数据库,存储、传输与下载图书馆电子资源过程中容易造成信息丢失。另外学生网络安全意识薄弱,在接入图书馆网络资源的同时,为方便操作会运行一些共享软件和通信工具,造成黑客攻击机会。
3.3 信息报送过程中数据传输缺失风险
疫情形势严峻,根据学校疫情防控工作需要,一些高校要求全体师生员工每日线上报送个人基本健康状况等信息。借助手机移动端APP、微信小程序以及电脑端网页版完成线上数据报送,能够精准快速统计个人基本健康状况。在信息报送过程中会存在数据传输缺失风险,如果受到数据驱动攻击,会导致计算机硬盘、存储文件被破坏。如果在云服务器、各类网盘、电子邮箱中存储信息报送数据库,会存在数据库丢失或泄露风险;在即时聊天工具(如微信、QQ)中传输教职工和学生个人敏感信息,存在数据信息泄露、个人隐私泄露等风险;如果小程序、APP架构有漏洞,则会导致小程序遭到攻击,甚至改动数据权限,造成极大损失。
3.4 疫情相关谣言传播与病毒攻击威胁
疫情期间每天各种信息铺天盖地,学生信息辨别能力不强,存在转发传播不科学的虚假虚报信息现象。这一时期,中央网信办监测发现一些黑客正在制造并大肆传播带有“冠状病毒”、“逃离武汉”、“新型冠状病毒预防通知”等热门字样的电脑版病毒。很多学生网络安全意识薄弱,一旦通过班级群、校园论坛或邮件传播扩散带有“冠状病毒”等词汇的可执行文件(exe、com、scr等)或压缩包(zip),下载并打开后就可能使校园网受到攻击,造成系统盘、注册表删除,主机被远程控制,信息被窃取等[21]。
4 高校网络信息安全管理策略
4.1 落实多重安全管理措施
网络信息安全管理三分靠技术,七分靠管理。首先,高校应成立网络安全和信息化领导机构,形成高层主管统领、信息化办公室主负责、各院系网络安全小组分级管理的组织机构;其次,建立完善各项网络信息安全管理制度和措施。制定学校信息网络安全责任书,明确各部门、领导、人员的信息安全责任;制定学校VPN账号管理规定,落实用户实名制;建立网络系统管理制度,严格防范病毒攻击;明确基础设备环境安全、校园网络安全、应用系统稳定运行、软件系统数据库存储和安全应急预案管理等各项信息安全管理内容;最后,建议采用PDCA工作模式。P(Plan)指计划调研,要事先识别出新冠肺炎疫情防控期间潜在风险,明确网络信息安全主要内容,充分调研线上教学、图书馆资源开放等信息化行为安全可行性,以及对即将上线的应用系统和软件进行安全性测试;D(Do)指执行实施,严格贯彻执行各项信息安全管理制度,落实信息安全管理工作计划;C(Check)指监督检查,安排信息安全专业技术人员监测网络安全,检测网络是否存在安全漏洞,及时发现可能的非法访问,定期对线上教学等信息化行为进行监督检查,避免人为误操作带来的安全隐患;A(Adjust)指调整,网络信息安全管理是一个动态的可持续管理活动,在疫情期间有很多变化因素,高校应根据安全管理工作实际情况,不断调整相关管理制度和措施,建立动态的安全管理体系。
4.2 执行网络安全技术防范措施
4.2.1 启用超文本传输安全协议(HTTPS)
高校的诸多网站疫情期间也对外开放,如果继续使用HTTP协议传输信息,信息被泄露的风险相对较高。因此,高校要重点抓好学校的网络信息安全体系建设,加强学校网络安全等级保护,建立网站群管理平台,实行全校二级网站集中管理[22]。例如高校可在疫情期间将所有已纳入学校网站群管理的网站统一启用HTTPS协议。HTTPS(Hyper Text Transfer Protocolover Secure Socket Layer)是以安全为目标的HTTP通道,是由“HTTP+SSL”协议构建的可进行加密传输、身份认证的网络协议,为浏览器和服务器之间的通讯进行加密并验证服务器身份[23]。HTTPS协议比HTTP协议安全,提高了网站可信度,可以防流量劫持、防数据篡改、防网络监听、防隐私窃取、防漏洞入侵、防黑客攻击等[24],能够保证学校信息报送平台、教学资源库等网站的信息安全,进一步提升高校信息安全服务能力。
4.2.2 统一身份认证
学校线上教学平台、图书馆系统、学术资源数据库、专业特色教学资源库、远程办公OA系统等信息系统在疫情期间通过互联网或VPN对在校学生和教职工开放,使用统一身份认证系统可有效避免外部人员非法接入校园网络,防止不法分子窃取、删除或更改学校教学资源和图书馆数字化资源。统一身份认证系统对校园网络内的异构分散的各种应用和服务系统进行整合[25],统一身份信息认证,落实VPN账号实名制,为校园网络提供安全认证机制。统一身份认证系统中LDAP(Lightweight Directory Access Protocol)—轻量目录访问协议用来存储和管理用户身份和访问控制权限[26],采用数字证书作为在校师生的身份证明凭证,并且基于CAS(Central Authentication Service)—中央认证服务的单点登录(SSO)关键技术实现用户的认证控制。为提升统一身份认证的安全系数,高校应安排网络管理员负责校内用户的注册申请、权限管理、安全审核以及分配IP专线地址、管理专线接入用户等各项工作。另外,图书馆也要设置权限制度,利用VPN与IP技术使在线师生可以无阻碍地进入数字图书馆浏览学习,而不在IP范围内或未得到VPN授权的用户则会受到限制。
4.2.3 牢固数据加密技术
数据加密技术能保证数据在传输、使用和转换时不被第三方获取,提高疫情期间通过网络报送每日信息的安全性,是保障校园网络信息安全的关键性技术。学生每日填报的健康数据主要通过移动端传输数据,建议数据传输模式启用SSL安全套接层协议,在专用终端和客户端间采用端到端加密方式,基于一种或多种加密算法(如AES算法、DES与RSA算法等)实现边界与移动终端之间的双向认证,保证传输信息的机密性和完整性。疫情期间学校图书馆文献服务系统、论文提交系统、学生事务办公系统、选课系统、财务报销系统、人事行政办公、教学管理等关键应用系统要运用密钥密码技术对系统登录认证、办事流程、数据提交等操作进行加密,将要传输的数据转变为密文,然后通过密钥将密文转为明文,保证数据安全。
4.2.4 建立网络病毒防御体系
开放的网络环境容易受到病毒攻擊,因此高校要建立网络病毒防御体系。要在防火墙、杀毒软件、网络安全漏洞扫描和入侵检测4个方面采取技术防范措施,具体如下:
(1)设置防火墙。在校园内网与因特网之间设置防火墙,对流经的网络通信进行扫描,过滤掉不安全的网络服务;在学校内网的中心机房服务器和校内普通用户之间设立虚拟防火墙,以防范来自内网的攻击;开启服务器系统自带的防火墙,以防范同VLAN服务器间的攻击;运用VLAN、专网等技术对重要信息系统进行网络隔离,尽量关闭不使用的网络端口,以确保重要信息安全。防火墙技术主要有数据隔离、屏蔽路由、应用网关和代理服务等,应用防火墙技术对校园信息系统的访问行为和数据访问行为进行监控,有效保护校园内部网络,规避各种网络安全风险。
[11] 程桂龙. 非传统安全视阈下高校学生网络舆情管控机制研究[J]. 重庆邮电大学学报(社会科学版),2016,28(2):70-74,142.
[12] 何济玲,陈仕品,程吉麟,等. 基于ISO/IEC27001标准的高校信息安全治理[J]. 现代教育技术,2016,26(9):60-65.
[13] 王聪,薛静,王革明. 智慧治理高校信息安全的多重线性规划策略[J]. 现代教育技术,2019,29(6):19-25.
[14] 黄志宏,梁卓明. 高校信息安全漏洞和威胁管理的研究与实践[J]. 重庆理工大学学报(自然科学版),2019,33(2):117-124.
[15] 劉庆庆,何燕君,杨守鸿. 移动互联网新时代高校网络安全教育的困境与策略[J]. 重庆大学学报(社会科学版),2018,24(5):218-226.
[16] 李景春,余仰涛. 大学生信息伦理道德培养路径探析[J]. 理论月刊,2018,17(3):183-188.
[17] 李仪,秦祖伟,祝顺欣. 云计算下大学生个人档案信息安全的维护探径——主要以高校信息素养教育的开展为视角[J]. 山西档案,2016,15(4):75-77.
[18] 龚成,李成刚. 浅析大学生的网络信息安全素养——从面向客体、构成要素和主体责任的角度[J]. 教育探索,2013,12(6):134-135.
[19] 孙留涛. 校园网络文化视域下大学生网络信息安全素养的三维培养路径[J]. 中国成人教育,2015,14(1):51-53.
[20] 牛少彰,崔宝江,李剑. 信息安全概率[M]. 北京:北京邮电大学出版社,2004.
[21] 教育网. 关于电脑版“新型冠状病毒”悄然蔓延的安全预警[EB/OL]. https://www.sppc.edu.cn/xxb/2020/0204/c558a28803/page.htm.
[22] 刘明月. 新形势下高校信息安全的管理策略研究[J]. 山东工业技术,2018,17(5):224-225.
[23] 互动百科. Https[EB/OL]. http://www.baike.com/wiki/https.
[24] 张静鹏,周秀霞,杨雨师. 浅析HTTPS对高校图书馆安全能力的提升[J]. 农业图书情报,2019,31(2):62-67.
[25] 殷娜. 数字化校园统一身份认证平台的构建[J]. 计算机技术与发展,2014,24(8):139-142.
[26] 杨哂哂,宋晓光. 高校统一身份认证的探讨与研究[J]. 信息安全,2010, 45(9):104-106,111.
[27] 王延明,许宁. 高校信息安全风险分析与保障策略研究[J]. 情报科学,2014,59(10):134-138.
(责任编辑:杜能钢)