時間:2022-11-23 16:33:23
導(dǎo)語:在平臺數(shù)據(jù)安全保障研究的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了一篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
1.智慧校園高質(zhì)量建設(shè)的必要性和意義
高校在落實建設(shè)方面要堅持以服務(wù)師生為主線,以學(xué)校各項政務(wù)為建設(shè)出發(fā)點,堅持理念創(chuàng)新、效能優(yōu)先,堅持統(tǒng)籌規(guī)劃、集約建設(shè)。其中,在數(shù)據(jù)使用方面,要堅持開放共享、安全可控,以數(shù)據(jù)為現(xiàn)代化校園的驅(qū)動力,利用新一代信息技術(shù)提升教育管理數(shù)字化、網(wǎng)絡(luò)化、智能化水平[2],加快智慧校園高質(zhì)量建設(shè)。現(xiàn)階段努力達到以“融合服務(wù)平臺”“一站式服務(wù)平臺服務(wù)”為基礎(chǔ)建設(shè)平臺,以更加便捷、運行高效、安全可控的教育管理服務(wù)數(shù)字化體系,努力讓校園各項業(yè)務(wù)辦理的效率大幅提升,同時以此為契機加快學(xué)校各類教育信息系統(tǒng)一體化建設(shè),讓學(xué)校的教育數(shù)據(jù)效能充分發(fā)揮,“讓師生少跑路,讓數(shù)據(jù)多跑路”,幫助學(xué)校領(lǐng)導(dǎo)和教育管理者對未來學(xué)校教育發(fā)展的決策科學(xué)化、管理精準(zhǔn)化、服務(wù)個性化有更加明確的定位和指導(dǎo),從而使學(xué)校教育政務(wù)服務(wù)和數(shù)字化監(jiān)管水平位居同類高校前列,為更好地建設(shè)高水平大學(xué)打下良好的基礎(chǔ)。
2.目前高校自建平臺的主要網(wǎng)絡(luò)安全威脅類型
據(jù)不完全統(tǒng)計,目前教育系統(tǒng)信息資產(chǎn)存在的網(wǎng)絡(luò)安全威脅的類型主要有漏洞和事件兩種,其中經(jīng)常出現(xiàn)的漏洞主要是個人隱私信息泄露、信息泄露、弱密碼、SQL注入、跨站腳本等,事件主要是外鏈、病毒感染、暗鏈、后門、網(wǎng)絡(luò)攻擊、頁面跳轉(zhuǎn)、挖礦木馬等。在這些漏洞和事件中,主要有如下幾類:
(1)有近一半的案例和人為疏忽因素有關(guān),如個人隱私信息泄露、信息泄露、弱密碼等,都是典型的缺乏網(wǎng)絡(luò)安全常識的表現(xiàn),涉事單位系統(tǒng)管理員往往沒經(jīng)過任何培訓(xùn)就被盲目安排,從而導(dǎo)致敏感信息泄露,系統(tǒng)管理員賬號密碼使用很長時間后保持初始密碼、通用密碼、簡易密碼等狀態(tài),從而導(dǎo)致安全威脅。
(2)SQL注入、跨站腳本、后門等,則多發(fā)生在學(xué)校相關(guān)單位的自建系統(tǒng)中,往往和系統(tǒng)建設(shè)單位的后臺建設(shè)人員的專業(yè)素養(yǎng)有很大關(guān)系。某些建設(shè)人員的安全意識較為薄弱,系統(tǒng)后臺代碼邏輯思維較為混亂,導(dǎo)致總體架構(gòu)不夠健壯,容易產(chǎn)生系統(tǒng)漏洞。同時有部分建設(shè)人員為了后期維護方便,還以代碼的形式在后臺留有系統(tǒng)的基本信息和“后門”,以方便自己隨時登錄系統(tǒng)后臺進行查看。這些不規(guī)范、不安全的操作方式不僅可以留給黑客篡改和加載信息、惡意傳播不良內(nèi)容的機會,還可以種植后門程序,嚴(yán)重影響系統(tǒng)的正常運行甚至導(dǎo)致系統(tǒng)崩潰[3],對此應(yīng)堅決避免。
(3)病毒感染、網(wǎng)絡(luò)攻擊、挖礦木馬等網(wǎng)絡(luò)安全事件,往往發(fā)生于服務(wù)器或個人電腦端,通常表現(xiàn)為涉事服務(wù)器或個人電腦長期處于沒有有效管理的狀態(tài),既沒有納入統(tǒng)一的防護體系、沒有定期更新病毒庫和殺毒,也沒有專門的人員定期過問,基本處于“僵尸”服務(wù)器的狀態(tài),以至于病毒在入侵了很長時間后相關(guān)設(shè)施服務(wù)器的管理員都沒有發(fā)現(xiàn),從而導(dǎo)致了重要數(shù)據(jù)丟失等不可逆的損失。
(4)外鏈、暗鏈、頁面跳轉(zhuǎn)則屬于形式上較為相似的三種安全事件,大多因為某些臨時性網(wǎng)站、平臺在建設(shè)過程中沒有固定的服務(wù)器和嘗試使用域名的需要,從未采用臨時租賃購買的方式進行某些業(yè)務(wù),多為一些大型論壇、賽事主辦方的網(wǎng)站、平臺。而這些域名在租用購買使用期到期后,在原先的購買方并沒有續(xù)費使用的情況下,出于種種原因沒有對原有的域名進行注銷,從而導(dǎo)致該域名被挪用為其他用途,甚至跳轉(zhuǎn)成為涉及黃色、賭博、暴力等內(nèi)容的非法鏈接。某些高校在當(dāng)初組織師生參與這些論壇、比賽的過程中,在自有網(wǎng)P-流水-數(shù)據(jù)安全站新聞中引用了當(dāng)初主辦方的鏈接,而在該活動已經(jīng)完全結(jié)束的情況下,也沒有及時將參賽信息撤銷,以至于產(chǎn)生外鏈、暗鏈、頁面跳轉(zhuǎn)等形式的安全事件,給自身網(wǎng)絡(luò)形象造成不利影響。
3.高校網(wǎng)絡(luò)平臺進行數(shù)據(jù)安全風(fēng)險隱患排查的建議措施
3.1落實網(wǎng)絡(luò)安全領(lǐng)導(dǎo)及具體職責(zé)
高校領(lǐng)導(dǎo)應(yīng)高度重視網(wǎng)絡(luò)安全工作,堅持健全網(wǎng)絡(luò)安全組織領(lǐng)導(dǎo)體系,認(rèn)真落實國家規(guī)定的黨委(黨組)網(wǎng)絡(luò)安全主體責(zé)任,提高政治站位,加強組織領(lǐng)導(dǎo),完善網(wǎng)絡(luò)安全管理機構(gòu)和專業(yè)人才隊伍,按照實際情況調(diào)整高校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成員,并由相關(guān)職能部門負責(zé)日常工作,確保具體工作層層落實到人。3.2落實網(wǎng)絡(luò)數(shù)據(jù)管理制度要逐步完善落實網(wǎng)絡(luò)數(shù)據(jù)全生命周期安全管理、數(shù)據(jù)分級分類管理,對高校現(xiàn)有含個人信息的系統(tǒng)開展風(fēng)險隱患排查。在制定重要時期網(wǎng)絡(luò)安全保障措施和網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案中需強調(diào)對數(shù)據(jù)安全的保護,對有無重要數(shù)據(jù)跨境流動情況要加強排查監(jiān)管,防止外部惡意滲透。
3.3開展日常數(shù)據(jù)資產(chǎn)梳理和常態(tài)化
安全風(fēng)險排查整改高校相關(guān)職能部門平時要注重梳理有重要數(shù)據(jù)和大量個人信息的重要數(shù)據(jù)資產(chǎn)清單,并以此為基礎(chǔ)計劃完善制定分類分級制度。針對信息資產(chǎn)中含有大量個人信息的系統(tǒng),要聯(lián)系相關(guān)部門、單位聯(lián)合建設(shè)單位開展自查工作,梳理風(fēng)險隱患清單,以此進行安全防護檢測和常態(tài)化安全掃描,開展常態(tài)化網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險排查以及問題整改,如有條件可采購數(shù)據(jù)中心運維服務(wù)。安排專人對本部門、本單位已有信息資產(chǎn)開展梳理統(tǒng)計,堅持屬地化管理,全面摸清底數(shù)。梳理統(tǒng)計對象包括各部門、各單位已有的學(xué)校統(tǒng)一建設(shè)、自主研發(fā)、自主選用和上級部門要求使用的各類信息系統(tǒng)(網(wǎng)站),以及在設(shè)備、軟件、服務(wù)等采購產(chǎn)品中配套使用的APP或小程序,同時注明服務(wù)器所使用形式和所在具體位置。對重要數(shù)據(jù)、重要功能做定時定期備份,以本地化存儲等形式實行。要求學(xué)校各部門、各單位在建設(shè)含有大量個人信息數(shù)據(jù)的系統(tǒng)時,需在合同或協(xié)議中明確建設(shè)方、運維方的網(wǎng)絡(luò)和數(shù)據(jù)安全責(zé)任,同時確保信息系統(tǒng)管理賬戶不存在弱口令、默認(rèn)口令、通用口令和長期未更換的口令。根據(jù)國家政策法規(guī)及其他相關(guān)文件的硬性要求,進一步加強高校網(wǎng)絡(luò)信息安全,完善高校網(wǎng)絡(luò)信息安全管理制度,建立符合國家安全法要求的安全防護體系。對學(xué)校已有的重要信息系統(tǒng)要聯(lián)系公安部門及時進行網(wǎng)絡(luò)安全等級保護備案,并開展相應(yīng)的測評工作,同時根據(jù)檢查結(jié)果進行針對性的整改后,復(fù)測沒有問題方能正式上線。
3.4對網(wǎng)絡(luò)、系統(tǒng)、設(shè)備存在的漏洞隱患進行排查
目前許多高校在建設(shè)數(shù)字資源的過程中,越來越多地運用到云平臺、云數(shù)據(jù)庫,師生在運用上述云資源上傳個人信息及資料的過程中,就會產(chǎn)生數(shù)據(jù)的流動問題,在數(shù)據(jù)流動的過程中容易被其他網(wǎng)絡(luò)截取[4],容易引發(fā)數(shù)據(jù)泄密等網(wǎng)絡(luò)安全問題。高校相關(guān)職能部門要對校內(nèi)服務(wù)器是否使用開源操作系統(tǒng)及其他開源數(shù)據(jù)庫,以及是否使用云計算軟件平臺、開源代碼管理平臺、開放數(shù)據(jù)訪問接口、遠程管理軟件等支撐數(shù)據(jù)存儲、處理、訪問的系統(tǒng)和設(shè)備情況進行排查,并按照上級部門要求逐步實現(xiàn)操作系統(tǒng)、數(shù)據(jù)中心的國產(chǎn)化。要通過排查,關(guān)閉或刪除非必要應(yīng)用、服務(wù)、端口和鏈接,杜絕出現(xiàn)弱口令、默認(rèn)口令、通用口令等常見問題。同時優(yōu)化安全防護策略,使用堡壘機登錄、日志審計等設(shè)備嚴(yán)格訪問控制。建設(shè)學(xué)校網(wǎng)絡(luò)資產(chǎn)安全掃描與治理系統(tǒng),對校內(nèi)所有的信息資產(chǎn)進行梳理,將信息資產(chǎn)備案、審核、上線流程制度化。平時進行常態(tài)化漏洞及威脅實時檢測,結(jié)合上級部門的通報預(yù)警信息,配合事件處置、應(yīng)急響應(yīng)等業(yè)務(wù)模塊進行防范,按需進一步完善其他功能。加強日常核心機房的網(wǎng)絡(luò)安全防御,在使用常規(guī)性的防火墻、WAF、IPS、虛擬化安全防護等網(wǎng)絡(luò)安全軟硬件設(shè)備保證校園網(wǎng)日常運行的基礎(chǔ)上,通過其他新型、有效的安全項目,例如反向代理、態(tài)勢感知的嘗試建設(shè),進一步優(yōu)化校園網(wǎng)絡(luò)配置和網(wǎng)絡(luò)安全保障。
3.5做好監(jiān)測預(yù)警和應(yīng)急保障措施
3.5.1加強日常監(jiān)測
按規(guī)定做好外部攻擊防護和內(nèi)網(wǎng)檢測,按需調(diào)整網(wǎng)絡(luò)防護策略。做好網(wǎng)站群管理系統(tǒng)、數(shù)據(jù)中心及其他各業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全保障工作,對學(xué)校信息基礎(chǔ)設(shè)施、校園網(wǎng)核心網(wǎng)絡(luò)、各業(yè)務(wù)系統(tǒng)進行日常維護與巡檢。對異常終端行為、異常內(nèi)網(wǎng)橫向移動、異常數(shù)據(jù)訪問等行為進行監(jiān)測分析,同時進行日志審計、追蹤溯源和綜合研判,及時清理病毒、木馬。3.5.2加強應(yīng)急管理按照學(xué)校實際情況修訂應(yīng)急管理預(yù)案并規(guī)范應(yīng)急響應(yīng)流程,組織專業(yè)人員對全校信息系統(tǒng)(網(wǎng)站)進行網(wǎng)絡(luò)安全攻防和應(yīng)急演練,加強對發(fā)現(xiàn)的模擬攻擊行為采取相關(guān)的防護措施的可操作性和實用性,以此提高高校信息系統(tǒng)(網(wǎng)站)網(wǎng)絡(luò)安全管理水平,檢驗網(wǎng)絡(luò)安全事件應(yīng)急處置機制。
4.其他保障措施
4.1強化數(shù)據(jù)治理,加強數(shù)據(jù)歸口管理
通過高校一站式服務(wù)平臺、融合服務(wù)平臺等項目的建設(shè),建立健全校園信息化數(shù)據(jù)的采集、傳輸、使用、共享、P-流水-數(shù)據(jù)安全銷毀過程中的管理規(guī)范體系,將所有數(shù)據(jù)進行統(tǒng)一規(guī)范采集,動態(tài)進行數(shù)據(jù)治理,提升數(shù)據(jù)的準(zhǔn)確性、規(guī)范性和可用性,為其他業(yè)務(wù)系統(tǒng)的接入使用提供可靠的數(shù)據(jù)來源[5]。對個人或部門的隱私信息、敏感信息、重要信息,應(yīng)在分級分類管控的基礎(chǔ)上,設(shè)立多人協(xié)同安全使用規(guī)則,定期開展風(fēng)險評估。
4.2加大保障經(jīng)費投入
學(xué)校應(yīng)每年投入足量資金加強網(wǎng)絡(luò)安全治理工作,為安全保障體系的建設(shè)提供必要資金保障。同時通過校地合作、校企合作、校銀合作、校校合作等多種合作模式,充分利用雙方資源,拓寬建設(shè)資金來源,積極引進優(yōu)質(zhì)技術(shù)力量,最終達到互利共贏的目的。
4.3嚴(yán)格落實學(xué)校各部門、各單位的安全責(zé)任
要求學(xué)校各部門、各單位的主要負責(zé)領(lǐng)導(dǎo)簽署安全責(zé)任書,同時安排專人,聯(lián)系相關(guān)建設(shè)單位針對已有信息資產(chǎn)進行全面安全漏洞自查。要求對存在安全漏洞長期不修復(fù)、長期閑置、缺少運行維護管理等網(wǎng)絡(luò)安全隱患的信息資產(chǎn)進行修復(fù)。對信息資產(chǎn)所在本地服務(wù)器(如有)聯(lián)系系統(tǒng)建設(shè)方開展系統(tǒng)安全風(fēng)險評估,重點檢查服務(wù)器及系統(tǒng)運行的網(wǎng)絡(luò)環(huán)境安全、系統(tǒng)自身程序安全、數(shù)據(jù)存儲及使用安全等,及時升級系統(tǒng)安全補丁,確保不存在任何主機或系統(tǒng)安全漏洞。已停止使用或已廢棄的服務(wù)器進行關(guān)機、斷網(wǎng)、斷電。同時告知相關(guān)部門、單位的網(wǎng)絡(luò)分管領(lǐng)導(dǎo)、管理人員要重點防范系統(tǒng)弱密碼、隱私信息泄露、暗鏈外鏈等常見人為因素造成的安全隱患。對新上線的網(wǎng)絡(luò)信息業(yè)務(wù)嚴(yán)格進行安全審核,要求申請部門、單位明確分管領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理員,提供上線網(wǎng)絡(luò)信息業(yè)務(wù)的安全檢測相關(guān)書面證明(如信息系統(tǒng)網(wǎng)絡(luò)安全等級備案證明、檢測結(jié)果復(fù)印件等),同時填報如網(wǎng)絡(luò)信息業(yè)務(wù)上線申請表等材料留存?zhèn)洳椋_認(rèn)無安全漏洞后方可分配IP地址和域名。結(jié)語總而言之,高校網(wǎng)絡(luò)安全和信息化工作人員應(yīng)堅守底線思維,筑牢教育系統(tǒng)網(wǎng)絡(luò)安全屏障,推進教育核心數(shù)據(jù)、重要數(shù)據(jù)識別和目錄編制工作,強化教育數(shù)據(jù)分類分級管理。同時利用國家網(wǎng)絡(luò)安全宣傳周、校園日等活動,加強全校師生的網(wǎng)絡(luò)安全意識教育,共同營造健康的網(wǎng)絡(luò)空間。
參考文獻:
[1]江蘇省人民政府關(guān)于加快統(tǒng)籌推進數(shù)字政府高質(zhì)量建設(shè)的實施意見[J].江蘇省人民政府公報,2022,(7):22-31.
[2]教育部關(guān)于加強新時代教育管理信息化工作的通知[J].中華人民共和國教育部公報,2021,(4):33-37.
[3]鐘新榮.網(wǎng)絡(luò)教學(xué)平臺信息安全的風(fēng)險防范策略研究[J].中國教育信息化,2008,(11):77-78,82.
[4]孫靜.云平臺下大數(shù)據(jù)信息安全機制構(gòu)建問題分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2021,(10):65-66.
[5]教育部強調(diào)加強新時代教育管理信息化工作[J].中國網(wǎng)絡(luò)教育,2021,(4):9.
作者:沈華根 單位:南京藝術(shù)學(xué)院信息化建設(shè)管理中心