文│国家税务总局税务干部进修学院信息中心 潘峰
互联网的渗透式发展带来了更加复杂的校园网络安全问题,网络安全事件日趋增多,可能影响正常的教学和管理秩序,甚至危害个人隐私、人身财产安全,所以必须采取有效策略应对校园网络安全新形势、新问题。
一、 校园网络安全现状概述
1.网络基础环境与应用系统日臻完善
当前很多院校的校园网络已经建成了万兆主干的校园网络,网络出口带宽甚至达到千兆之上且为多个运营商接入,大部分校园还建成了覆盖全校的校园无线网络。
以网络基础设施的完善为基础,校园网络提供的服务也不断增多。建立了校园信息平台,提供在线办公、教学安排、公文处理、通知公告等各类功能,实现无纸化办公;采购大量高性能服务器等硬件设备,建设虚拟化平台以及私有云数据中心,为海量数据存储备份奠定了基础;推进智慧校园建设,实现“手机在手,通行校园”,甚至不用手机只用人脸识别就能实现签到、借书、门禁、刷卡就餐等所有功能;网络在线课堂等应用的搭建实现了课堂向校外、课外的无限延伸;网络在线考试可以实现自由组卷、实时考试、实时出成绩的高效应用;同步课堂带来了教室内外、校园内外实时同步的内容体验。
2. 网络与应用系统复杂性日趋增强
网络通道的升级、应用系统的建设带来了工作学习效率的提高,同时也使各类网络、系统逐渐庞杂,有信息孤岛一座座矗立起来,有一个系统的数据共享给其他系统,有一个平台支撑多个应用,有临时部署的应用系统临时调度可用资源,还有部分院校互联网和业务专网或教育科研网的同时接入。高可用性属于网络安全的应有之义。随着系统结构越来越复杂,网络与应用系统的可靠性和可管理性变得越来越重要,抗风险设计要求越来越高,校园网内所有用户对网络与应用的依赖性也同步增强。
3. 存储数据量极速扩张
教学是学校工作的中心工作,数据安全是校园网络安全的核心,硬件和软件的损坏可以重建,而数据的灭失将会是灾难性影响。入校与离校学生学员、校内消费、教学计划、试题试卷、教室安排、讲义课件、通知通告、公文附件、绩效留痕等等各种纷繁复杂的数据日积月累,尤其是多媒体数字课件资源滚动式增长,必须配置高可用存储设备和备份容灾系统,有些学校配置的存储容量已经达到T倍数级。随着云存储技术普及,部分学校通过云服务商提供数据存储和业务访问功能,这对数据安全提出了新的挑战。
二、校园网络安全面临的新形势
1. 系统复杂性和脆弱性增强
在物联网技术、AI人工智能、云计算、大数据、精确定位以及未来5G无线通信等创新驱动下,校园工作与生活日趋便捷,教师只需要关注内容生产,学习者只需要关注知识技能的入脑入心,管理者只需要关注过程控制和绩效改进。网络与应用只有越来越复杂,才能支撑工作和学习效率的提升。
“对象之间依赖关系的复杂性会影响软件系统的质量”。信息孤岛带来运维的时空复杂度,数据共享带来了数据泄密和运行效率降低的风险,多个应用在一个平台运行导致宕机概率叠加,临时调度导致不可测的联动风险,服务外包带来的权限控制风险,岗责体系不明晰导致安全管理不到位等。
2. 管理体系不健全、安全设施设备陈旧、安全人才匮乏
安全体系建设是校园网络安全的基础,然后在现实中,很多学校都有散列的网络和应用系统各种规章、流程,属于“头痛医头”的操作配置手册居多,鲜见从整体上把握本单位网络与信息安全工作的范围、原则、目标和策略的网络安全总则。有的学校没有建立网络安全组织架构,有的没有建立应急预案等,有的没有值班保障制度。
各类学校普遍存在网络与应用建设如火如荼,而安全设施设备陈旧匮乏甚至没有,有的学校只有一个出口防火墙且常年没有更新策略库。没有配备专职的网络安全员或者只配备了兼职网络安全员。
3. 外部安全风险升高
外部安全风险的最主要表现为有组织网络攻击,其背景有政治性的,更多是“网络黑产”制造的,即利用网络实现的黑色产业,包括广泛撒网的病毒、木马,“灰鸽子”、撞库、勒索病毒(WannaCry),安全风险无所不在。2017年,WannaCry勒索病毒事件给全球至少150个国家、30万名用户带来冲击,造成损失约80亿美元,我国政府有关部门和民生领域受到波及,由此产生的危害广泛而持久。随着时代发展、网络技术进步以及用户防范意识的提高,网络黑产已成为复杂、完整、隐蔽的黑色产业链,网络攻击威胁由无组织黑客行为向有组织网军行动转变, 攻击来源多样化, 既有来自普通黑客、恐怖分子的攻击, 也有国家级、有组织的攻击, 甚至还有来自政府、网络部队的攻击。
4. 新技术带来的挑战
预计到2020年之后5G网络会实现商用, 5G网络的开放程度也越来越高。在这种情况下, 5G网络的安全和隐私保护问题必然会越来越受到运营商、设备商、监管机构以及广大用户的重视。
AI时代的趋势不可逆转, 人工智能的发展方兴未艾。人工智能技术在校园中的应用势必十分广泛,从教学活动、科研实验到行政管理都会有人工智能技术的身影。可以想象,将人工智能技术应用于教学活动,实现教室实时移动跟踪录播;通过人工智能技术实现考试或作业的智能批阅;通过人工智能技术优化教学评价评估机制;通过对校园内外环境、人体行为的动态监控, 及时防控安全风险;通过人工智能技术,实现人财物资源的按需调配或流动。
正如技术哲学学者埃吕尔所说:“所有技术进步都有代价, 技术引起的问题比解决的问题多, 有害和有利的后果不可分离, 所有技术都隐含着不可预见的后果”。5G和AI技术越是发展,越要注重个人隐私和工作数据保护,越要注重物理安全防护,越要注重管理过程的合规性。
5. 网络安全出现新动向
非法网络行为从以经济利益为目的向以政治利益为目标的方向发展。特朗普的竞选团队通过利用英国数据分析公司“剑桥分析”窃取脸书上超过5000万名用户资料,根据相关用户的性格或政治取向的数据分析建立数学模型,精确投放竞选信息,从而左右他们在2016年美国总统大选中的投票意向。在我国,也有一些别有用心或者受到境外敌对势力操控的不法分子或组织,通过网络媒体编发微信、微博传播谣言,采取恶劣隐晦的手法,篡改历史、歪曲事实、无中生有,妄图搅乱社会,实现非法政治目的。
三、新形势下校园网络安全改进对策
网络安全和项目建设管理是校园信息化的一体之两翼、驱动之双轮,随着数字化校园、智慧校园建设的深入开展, 应处理好安全和发展的关系,做到同步规划、同步建设、同步发展。做好网络安全工作, 要按照国家关于网络安全的新要求, 针对现有网络安全技术问题, 做到逐项核查,对于查出的问题, 要及时落实整改,同时应该紧跟网络技术的发展趋势, 进行网络基础设施建设和网络安全设施建设时要有一定的前瞻性。
1. 完善校园网络安全与责任体系
Gartner将网络安全重新定义为“数字安全”,具体包括网络空间和物理空间的安全,它涵盖网络系统的运行安全性、网络信息的内容安全性、网络数据的传输安全性、物理资产的安全性。这一概念清晰界定了校园网络安全的内涵,学校应当制定全资产、全信息、全流程覆盖的网络安全管理责体系。总则方面,制定涉及网络与信息安全工作的范围、原则、目标和策略;对总则的分解,侧重于管理制度和技术规范;针对不同的网络环境,制定统一的具体细则、流程与规范;结合具体网络和应用系统,制订详细的操作步骤与配置流程,这属于操作层面。
《中华人民共和国网络安全法》第三十三条规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。校园网络安全要坚持“谁主管谁负责,谁运营谁负责、谁使用谁负责”的原则,建立权责对等的责任体系。从管理、技术角度“横向到边、竖向到底”,健全规章制度,建立组织体系,明确岗位责任,构建自上至下的网络安全管理规范体系。
2. 建立合规性审查机制
信息服务安全评估要求:依据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(国家网信办和公安部,2018年11月30日实施)要求互联网信息服务提供者在特定情况下(含开办论坛、博客、通信群组、信息分享、聊天室等,以及开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务),按规定自行开展安全评估,并对评估结果负责。对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审。
实名制要求:《中华人民共和国网络安全法》第二十四条第一款:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者用户信息与日志要求。”
日志留存要求:依据《互联网信息服务管理办法》第十四条:“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60 日,并在国家有关机关依法查询时,予以提供。”
3. 建立评审与咨询机制
随着信息技术的发展,信息技术门类不断增多,交叉领域日趋庞杂,在对信息系统项目立项、建设、运维、升级等业务中有必要引入第三方先进智力开展网络安全评审。
建立专家名录并扩充数量,细化专家分类,扩大专业覆盖面,做好专家名单累计工作方便随时开展评审工作;建立完善公平公正的评审制度。要通过科学设置评分标准、增加客观分比重来减少专家的自由裁量权,同时严格执行回避、保密等制度规定;建立咨询机制,充分发挥专家咨询作用,把专家咨询意见作为制定采购需求的重要参考。
4. 建立网络安全等级保护制度
《网络安全法》第二十一条规定“国家实行网络安全等级保护制度。”《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,分为五级。第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。第十四条规定“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评”。第十九条规定“信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件”。
根据上述规定,应当对三级系统每年需测评一次,二级系统建议每2-3年测评一次。在测评工作实施前应当注重于公安网监部门(等保办)的沟通,通过专家评审等方式取得理解和支持。等保测评虽有明确的规范标准为指导,但由于等保工作覆盖的知识面、专业程度比较宽泛,学校单靠自身力量难以全面覆盖所有步骤和要点,因此建议择优采用等保办当年度推荐目录中有资质的企业协助甲方执行测评任务。
传统的等级保护制度针对的对象主体是信息系统以及承载的相关基础网络,在云计算环境下,定级对象在原有基础上进行了扩展,变为云服务商的云平台和云租户的应用系统。如果学校有系统在云上,应当注意界定学校自身的责任边界,做好云租户方的定级和测评工作。
5. 建立校园网络安全风险评估机制
委托第三方安全服务企业对主要信息系统进行常态化的信息安全评估。信息安全评估的主要内容包括但不限于:一是安全渗透测试工作。从“内外”防护角度发现目前安全防护体系存在的安全问题,进一步验证系统现有安全防护手段的有效性,在确定外部安全威胁的基础上,避免内部违规行为可能带来的负面影响;二是安全巡检与安全通告服务。重点工作是周期性的提供有价值的安全通告信息,定期对重要资产可能存在的残余风险和重要的常规内容进行安全巡检,及时把握信息与网络安全领域的重要信息,保持对新技术漏洞和新风险的高度敏感,尽量减少信息安全事件的发生;三是系统安全事件应急响应服务。通过技术支撑团队对系统内可能发生安全事件提供全面的应急响应支持,针对突发的信息安全事件,做到事前提前预警、事中及时处理、事后归纳总结。
6. 建立新型硬件防护设施体系
根据等级保护要求和资金预算情况,建立安全设备体系。例如,部署下一代防火墙阻绝非法外部链接,洞察网络流量中的用户、应用和内容,全面应对应用层威胁;构建能够有效抵御病毒、漏洞、恶意代码、网络攻击的新一代终端安全防御体系;部署漏洞扫描系统,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞;部署堡垒机(又称运维网关、操作风险管理系统)担当“看门人”角色,集中管控远程运维连接;部署WEB应用防火墙(又称WEB IPS),对Web特有入侵方式加强防护,如DDOS防护、SQL注入、XML注入、XSS等。还可以借助云端防护能力,如云安全中心(态势感知)等,发挥大数据优势,分析改进网络安全防护水平。
7. 建立统一身份认证中心
要建设以目录、认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织、职工、学员、资产、工作文档等信息统一存储,进行分级授权和集中身份认证,规范应用系统的用户认证方式。采用分级授权机制对用户信息及权限信息维护,新开发应用系统不用再开发用户管理和权限管理功能,减少投入成本,也为第三方开发单位减轻信息系统开发难度,不用再考虑复杂的权限管理及用户管理。相对独立的身份认证中心服务,可以有效降低核心数据外泄风险。
8. 建立网络安全法规普及宣传制度
校园网络世界是一个大家庭,维护这个“家庭”的安全需要人人出力。为切实落实《中华人民共和国网络安全法》等网络安全法律法规,必须在校园普及宣传法律常识,以实际安全事件和反面案例为切入点,采用各种方式实时、动态宣传网络安全知识,还可以开展网络举报志愿者活动“群防群治”,鼓励师生员工参与网络治理,把校园网络安全阵地主动前置,关口前移,最大限度降低校园网络安全事件发生的几率。
四、结束语
总而言之,网络安全工作“体系为本,应急为要,重在防范”,尤其对于涉及个人身份信息、学习档案、行程信息、虚拟钱包、课件数据等重要数据的校园网络安全工作,必须要高度重视体系建设,不断加固制度防护、技术防护措施,以适应新时代校园信息化发展形势,保障新技术、新设施、新系统的稳定和安全。
(本文刊登于《中国信息安全》杂志2019年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。