導(dǎo)語(yǔ):在平臺(tái)數(shù)據(jù)安全保障研究的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑����,好期刊匯集了一篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感����,引領(lǐng)您探索更多的創(chuàng)作可能。
1.智慧校園高質(zhì)量建設(shè)的必要性和意義
高校在落實(shí)建設(shè)方面要堅(jiān)持以服務(wù)師生為主線����,以學(xué)校各項(xiàng)政務(wù)為建設(shè)出發(fā)點(diǎn)����,堅(jiān)持理念創(chuàng)新����、效能優(yōu)先,堅(jiān)持統(tǒng)籌規(guī)劃����、集約建設(shè)。其中����,在數(shù)據(jù)使用方面,要堅(jiān)持開(kāi)放共享����、安全可控,以數(shù)據(jù)為現(xiàn)代化校園的驅(qū)動(dòng)力����,利用新一代信息技術(shù)提升教育管理數(shù)字化、網(wǎng)絡(luò)化����、智能化水平[2]����,加快智慧校園高質(zhì)量建設(shè)?���,F(xiàn)階段努力達(dá)到以“融合服務(wù)平臺(tái)”“一站式服務(wù)平臺(tái)服務(wù)”為基礎(chǔ)建設(shè)平臺(tái),以更加便捷����、運(yùn)行高效、安全可控的教育管理服務(wù)數(shù)字化體系����,努力讓校園各項(xiàng)業(yè)務(wù)辦理的效率大幅提升����,同時(shí)以此為契機(jī)加快學(xué)校各類教育信息系統(tǒng)一體化建設(shè),讓學(xué)校的教育數(shù)據(jù)效能充分發(fā)揮����,“讓師生少跑路,讓數(shù)據(jù)多跑路”����,幫助學(xué)校領(lǐng)導(dǎo)和教育管理者對(duì)未來(lái)學(xué)校教育發(fā)展的決策科學(xué)化����、管理精準(zhǔn)化����、服務(wù)個(gè)性化有更加明確的定位和指導(dǎo),從而使學(xué)校教育政務(wù)服務(wù)和數(shù)字化監(jiān)管水平位居同類高校前列����,為更好地建設(shè)高水平大學(xué)打下良好的基礎(chǔ)。
2.目前高校自建平臺(tái)的主要網(wǎng)絡(luò)安全威脅類型
據(jù)不完全統(tǒng)計(jì)����,目前教育系統(tǒng)信息資產(chǎn)存在的網(wǎng)絡(luò)安全威脅的類型主要有漏洞和事件兩種,其中經(jīng)常出現(xiàn)的漏洞主要是個(gè)人隱私信息泄露����、信息泄露、弱密碼����、SQL注入、跨站腳本等����,事件主要是外鏈����、病毒感染����、暗鏈、后門����、網(wǎng)絡(luò)攻擊、頁(yè)面跳轉(zhuǎn)����、挖礦木馬等。在這些漏洞和事件中����,主要有如下幾類:
(1)有近一半的案例和人為疏忽因素有關(guān)����,如個(gè)人隱私信息泄露、信息泄露����、弱密碼等����,都是典型的缺乏網(wǎng)絡(luò)安全常識(shí)的表現(xiàn)����,涉事單位系統(tǒng)管理員往往沒(méi)經(jīng)過(guò)任何培訓(xùn)就被盲目安排,從而導(dǎo)致敏感信息泄露����,系統(tǒng)管理員賬號(hào)密碼使用很長(zhǎng)時(shí)間后保持初始密碼、通用密碼����、簡(jiǎn)易密碼等狀態(tài),從而導(dǎo)致安全威脅����。
(2)SQL注入、跨站腳本����、后門等,則多發(fā)生在學(xué)校相關(guān)單位的自建系統(tǒng)中����,往往和系統(tǒng)建設(shè)單位的后臺(tái)建設(shè)人員的專業(yè)素養(yǎng)有很大關(guān)系����。某些建設(shè)人員的安全意識(shí)較為薄弱����,系統(tǒng)后臺(tái)代碼邏輯思維較為混亂,導(dǎo)致總體架構(gòu)不夠健壯����,容易產(chǎn)生系統(tǒng)漏洞。同時(shí)有部分建設(shè)人員為了后期維護(hù)方便����,還以代碼的形式在后臺(tái)留有系統(tǒng)的基本信息和“后門”,以方便自己隨時(shí)登錄系統(tǒng)后臺(tái)進(jìn)行查看����。這些不規(guī)范、不安全的操作方式不僅可以留給黑客篡改和加載信息����、惡意傳播不良內(nèi)容的機(jī)會(huì)����,還可以種植后門程序����,嚴(yán)重影響系統(tǒng)的正常運(yùn)行甚至導(dǎo)致系統(tǒng)崩潰[3]����,對(duì)此應(yīng)堅(jiān)決避免。
(3)病毒感染����、網(wǎng)絡(luò)攻擊、挖礦木馬等網(wǎng)絡(luò)安全事件����,往往發(fā)生于服務(wù)器或個(gè)人電腦端,通常表現(xiàn)為涉事服務(wù)器或個(gè)人電腦長(zhǎng)期處于沒(méi)有有效管理的狀態(tài)����,既沒(méi)有納入統(tǒng)一的防護(hù)體系、沒(méi)有定期更新病毒庫(kù)和殺毒����,也沒(méi)有專門的人員定期過(guò)問(wèn),基本處于“僵尸”服務(wù)器的狀態(tài)����,以至于病毒在入侵了很長(zhǎng)時(shí)間后相關(guān)設(shè)施服務(wù)器的管理員都沒(méi)有發(fā)現(xiàn)����,從而導(dǎo)致了重要數(shù)據(jù)丟失等不可逆的損失����。
(4)外鏈、暗鏈����、頁(yè)面跳轉(zhuǎn)則屬于形式上較為相似的三種安全事件,大多因?yàn)槟承┡R時(shí)性網(wǎng)站����、平臺(tái)在建設(shè)過(guò)程中沒(méi)有固定的服務(wù)器和嘗試使用域名的需要,從未采用臨時(shí)租賃購(gòu)買的方式進(jìn)行某些業(yè)務(wù)����,多為一些大型論壇、賽事主辦方的網(wǎng)站����、平臺(tái)。而這些域名在租用購(gòu)買使用期到期后����,在原先的購(gòu)買方并沒(méi)有續(xù)費(fèi)使用的情況下,出于種種原因沒(méi)有對(duì)原有的域名進(jìn)行注銷����,從而導(dǎo)致該域名被挪用為其他用途,甚至跳轉(zhuǎn)成為涉及黃色����、賭博、暴力等內(nèi)容的非法鏈接����。某些高校在當(dāng)初組織師生參與這些論壇、比賽的過(guò)程中����,在自有網(wǎng)P-流水-數(shù)據(jù)安全站新聞中引用了當(dāng)初主辦方的鏈接,而在該活動(dòng)已經(jīng)完全結(jié)束的情況下����,也沒(méi)有及時(shí)將參賽信息撤銷,以至于產(chǎn)生外鏈����、暗鏈����、頁(yè)面跳轉(zhuǎn)等形式的安全事件����,給自身網(wǎng)絡(luò)形象造成不利影響����。
3.高校網(wǎng)絡(luò)平臺(tái)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)隱患排查的建議措施
3.1落實(shí)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)及具體職責(zé)
高校領(lǐng)導(dǎo)應(yīng)高度重視網(wǎng)絡(luò)安全工作,堅(jiān)持健全網(wǎng)絡(luò)安全組織領(lǐng)導(dǎo)體系����,認(rèn)真落實(shí)國(guó)家規(guī)定的黨委(黨組)網(wǎng)絡(luò)安全主體責(zé)任,提高政治站位����,加強(qiáng)組織領(lǐng)導(dǎo),完善網(wǎng)絡(luò)安全管理機(jī)構(gòu)和專業(yè)人才隊(duì)伍����,按照實(shí)際情況調(diào)整高校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成員,并由相關(guān)職能部門負(fù)責(zé)日常工作����,確保具體工作層層落實(shí)到人����。3.2落實(shí)網(wǎng)絡(luò)數(shù)據(jù)管理制度要逐步完善落實(shí)網(wǎng)絡(luò)數(shù)據(jù)全生命周期安全管理����、數(shù)據(jù)分級(jí)分類管理����,對(duì)高校現(xiàn)有含個(gè)人信息的系統(tǒng)開(kāi)展風(fēng)險(xiǎn)隱患排查����。在制定重要時(shí)期網(wǎng)絡(luò)安全保障措施和網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案中需強(qiáng)調(diào)對(duì)數(shù)據(jù)安全的保護(hù),對(duì)有無(wú)重要數(shù)據(jù)跨境流動(dòng)情況要加強(qiáng)排查監(jiān)管����,防止外部惡意滲透。
3.3開(kāi)展日常數(shù)據(jù)資產(chǎn)梳理和常態(tài)化
安全風(fēng)險(xiǎn)排查整改高校相關(guān)職能部門平時(shí)要注重梳理有重要數(shù)據(jù)和大量個(gè)人信息的重要數(shù)據(jù)資產(chǎn)清單����,并以此為基礎(chǔ)計(jì)劃完善制定分類分級(jí)制度。針對(duì)信息資產(chǎn)中含有大量個(gè)人信息的系統(tǒng)����,要聯(lián)系相關(guān)部門����、單位聯(lián)合建設(shè)單位開(kāi)展自查工作����,梳理風(fēng)險(xiǎn)隱患清單,以此進(jìn)行安全防護(hù)檢測(cè)和常態(tài)化安全掃描����,開(kāi)展常態(tài)化網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)排查以及問(wèn)題整改,如有條件可采購(gòu)數(shù)據(jù)中心運(yùn)維服務(wù)����。安排專人對(duì)本部門、本單位已有信息資產(chǎn)開(kāi)展梳理統(tǒng)計(jì)����,堅(jiān)持屬地化管理,全面摸清底數(shù)����。梳理統(tǒng)計(jì)對(duì)象包括各部門、各單位已有的學(xué)校統(tǒng)一建設(shè)����、自主研發(fā)����、自主選用和上級(jí)部門要求使用的各類信息系統(tǒng)(網(wǎng)站)����,以及在設(shè)備、軟件����、服務(wù)等采購(gòu)產(chǎn)品中配套使用的APP或小程序����,同時(shí)注明服務(wù)器所使用形式和所在具體位置。對(duì)重要數(shù)據(jù)����、重要功能做定時(shí)定期備份,以本地化存儲(chǔ)等形式實(shí)行����。要求學(xué)校各部門、各單位在建設(shè)含有大量個(gè)人信息數(shù)據(jù)的系統(tǒng)時(shí)����,需在合同或協(xié)議中明確建設(shè)方����、運(yùn)維方的網(wǎng)絡(luò)和數(shù)據(jù)安全責(zé)任����,同時(shí)確保信息系統(tǒng)管理賬戶不存在弱口令、默認(rèn)口令����、通用口令和長(zhǎng)期未更換的口令。根據(jù)國(guó)家政策法規(guī)及其他相關(guān)文件的硬性要求����,進(jìn)一步加強(qiáng)高校網(wǎng)絡(luò)信息安全,完善高校網(wǎng)絡(luò)信息安全管理制度����,建立符合國(guó)家安全法要求的安全防護(hù)體系。對(duì)學(xué)校已有的重要信息系統(tǒng)要聯(lián)系公安部門及時(shí)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)備案����,并開(kāi)展相應(yīng)的測(cè)評(píng)工作,同時(shí)根據(jù)檢查結(jié)果進(jìn)行針對(duì)性的整改后����,復(fù)測(cè)沒(méi)有問(wèn)題方能正式上線����。
3.4對(duì)網(wǎng)絡(luò)����、系統(tǒng)、設(shè)備存在的漏洞隱患進(jìn)行排查
目前許多高校在建設(shè)數(shù)字資源的過(guò)程中����,越來(lái)越多地運(yùn)用到云平臺(tái)、云數(shù)據(jù)庫(kù)����,師生在運(yùn)用上述云資源上傳個(gè)人信息及資料的過(guò)程中����,就會(huì)產(chǎn)生數(shù)據(jù)的流動(dòng)問(wèn)題,在數(shù)據(jù)流動(dòng)的過(guò)程中容易被其他網(wǎng)絡(luò)截取[4]����,容易引發(fā)數(shù)據(jù)泄密等網(wǎng)絡(luò)安全問(wèn)題。高校相關(guān)職能部門要對(duì)校內(nèi)服務(wù)器是否使用開(kāi)源操作系統(tǒng)及其他開(kāi)源數(shù)據(jù)庫(kù)����,以及是否使用云計(jì)算軟件平臺(tái)����、開(kāi)源代碼管理平臺(tái)����、開(kāi)放數(shù)據(jù)訪問(wèn)接口、遠(yuǎn)程管理軟件等支撐數(shù)據(jù)存儲(chǔ)����、處理、訪問(wèn)的系統(tǒng)和設(shè)備情況進(jìn)行排查����,并按照上級(jí)部門要求逐步實(shí)現(xiàn)操作系統(tǒng)、數(shù)據(jù)中心的國(guó)產(chǎn)化����。要通過(guò)排查,關(guān)閉或刪除非必要應(yīng)用����、服務(wù)、端口和鏈接����,杜絕出現(xiàn)弱口令����、默認(rèn)口令����、通用口令等常見(jiàn)問(wèn)題。同時(shí)優(yōu)化安全防護(hù)策略����,使用堡壘機(jī)登錄、日志審計(jì)等設(shè)備嚴(yán)格訪問(wèn)控制����。建設(shè)學(xué)校網(wǎng)絡(luò)資產(chǎn)安全掃描與治理系統(tǒng),對(duì)校內(nèi)所有的信息資產(chǎn)進(jìn)行梳理����,將信息資產(chǎn)備案����、審核、上線流程制度化����。平時(shí)進(jìn)行常態(tài)化漏洞及威脅實(shí)時(shí)檢測(cè)����,結(jié)合上級(jí)部門的通報(bào)預(yù)警信息����,配合事件處置、應(yīng)急響應(yīng)等業(yè)務(wù)模塊進(jìn)行防范����,按需進(jìn)一步完善其他功能����。加強(qiáng)日常核心機(jī)房的網(wǎng)絡(luò)安全防御����,在使用常規(guī)性的防火墻����、WAF、IPS����、虛擬化安全防護(hù)等網(wǎng)絡(luò)安全軟硬件設(shè)備保證校園網(wǎng)日常運(yùn)行的基礎(chǔ)上����,通過(guò)其他新型����、有效的安全項(xiàng)目,例如反向代理����、態(tài)勢(shì)感知的嘗試建設(shè),進(jìn)一步優(yōu)化校園網(wǎng)絡(luò)配置和網(wǎng)絡(luò)安全保障����。
3.5做好監(jiān)測(cè)預(yù)警和應(yīng)急保障措施
3.5.1加強(qiáng)日常監(jiān)測(cè)
按規(guī)定做好外部攻擊防護(hù)和內(nèi)網(wǎng)檢測(cè),按需調(diào)整網(wǎng)絡(luò)防護(hù)策略����。做好網(wǎng)站群管理系統(tǒng)、數(shù)據(jù)中心及其他各業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全保障工作����,對(duì)學(xué)校信息基礎(chǔ)設(shè)施、校園網(wǎng)核心網(wǎng)絡(luò)����、各業(yè)務(wù)系統(tǒng)進(jìn)行日常維護(hù)與巡檢。對(duì)異常終端行為����、異常內(nèi)網(wǎng)橫向移動(dòng)、異常數(shù)據(jù)訪問(wèn)等行為進(jìn)行監(jiān)測(cè)分析����,同時(shí)進(jìn)行日志審計(jì)、追蹤溯源和綜合研判����,及時(shí)清理病毒、木馬����。3.5.2加強(qiáng)應(yīng)急管理按照學(xué)校實(shí)際情況修訂應(yīng)急管理預(yù)案并規(guī)范應(yīng)急響應(yīng)流程,組織專業(yè)人員對(duì)全校信息系統(tǒng)(網(wǎng)站)進(jìn)行網(wǎng)絡(luò)安全攻防和應(yīng)急演練����,加強(qiáng)對(duì)發(fā)現(xiàn)的模擬攻擊行為采取相關(guān)的防護(hù)措施的可操作性和實(shí)用性,以此提高高校信息系統(tǒng)(網(wǎng)站)網(wǎng)絡(luò)安全管理水平����,檢驗(yàn)網(wǎng)絡(luò)安全事件應(yīng)急處置機(jī)制。
4.其他保障措施
4.1強(qiáng)化數(shù)據(jù)治理,加強(qiáng)數(shù)據(jù)歸口管理
通過(guò)高校一站式服務(wù)平臺(tái)����、融合服務(wù)平臺(tái)等項(xiàng)目的建設(shè),建立健全校園信息化數(shù)據(jù)的采集����、傳輸、使用����、共享、P-流水-數(shù)據(jù)安全銷毀過(guò)程中的管理規(guī)范體系����,將所有數(shù)據(jù)進(jìn)行統(tǒng)一規(guī)范采集,動(dòng)態(tài)進(jìn)行數(shù)據(jù)治理����,提升數(shù)據(jù)的準(zhǔn)確性、規(guī)范性和可用性����,為其他業(yè)務(wù)系統(tǒng)的接入使用提供可靠的數(shù)據(jù)來(lái)源[5]。對(duì)個(gè)人或部門的隱私信息����、敏感信息����、重要信息����,應(yīng)在分級(jí)分類管控的基礎(chǔ)上����,設(shè)立多人協(xié)同安全使用規(guī)則,定期開(kāi)展風(fēng)險(xiǎn)評(píng)估����。
4.2加大保障經(jīng)費(fèi)投入
學(xué)校應(yīng)每年投入足量資金加強(qiáng)網(wǎng)絡(luò)安全治理工作,為安全保障體系的建設(shè)提供必要資金保障����。同時(shí)通過(guò)校地合作、校企合作����、校銀合作、校校合作等多種合作模式����,充分利用雙方資源����,拓寬建設(shè)資金來(lái)源����,積極引進(jìn)優(yōu)質(zhì)技術(shù)力量,最終達(dá)到互利共贏的目的����。
4.3嚴(yán)格落實(shí)學(xué)校各部門、各單位的安全責(zé)任
要求學(xué)校各部門����、各單位的主要負(fù)責(zé)領(lǐng)導(dǎo)簽署安全責(zé)任書,同時(shí)安排專人����,聯(lián)系相關(guān)建設(shè)單位針對(duì)已有信息資產(chǎn)進(jìn)行全面安全漏洞自查。要求對(duì)存在安全漏洞長(zhǎng)期不修復(fù)����、長(zhǎng)期閑置、缺少運(yùn)行維護(hù)管理等網(wǎng)絡(luò)安全隱患的信息資產(chǎn)進(jìn)行修復(fù)����。對(duì)信息資產(chǎn)所在本地服務(wù)器(如有)聯(lián)系系統(tǒng)建設(shè)方開(kāi)展系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估����,重點(diǎn)檢查服務(wù)器及系統(tǒng)運(yùn)行的網(wǎng)絡(luò)環(huán)境安全����、系統(tǒng)自身程序安全����、數(shù)據(jù)存儲(chǔ)及使用安全等,及時(shí)升級(jí)系統(tǒng)安全補(bǔ)丁����,確保不存在任何主機(jī)或系統(tǒng)安全漏洞。已停止使用或已廢棄的服務(wù)器進(jìn)行關(guān)機(jī)����、斷網(wǎng)、斷電����。同時(shí)告知相關(guān)部門、單位的網(wǎng)絡(luò)分管領(lǐng)導(dǎo)����、管理人員要重點(diǎn)防范系統(tǒng)弱密碼����、隱私信息泄露����、暗鏈外鏈等常見(jiàn)人為因素造成的安全隱患。對(duì)新上線的網(wǎng)絡(luò)信息業(yè)務(wù)嚴(yán)格進(jìn)行安全審核����,要求申請(qǐng)部門、單位明確分管領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理員����,提供上線網(wǎng)絡(luò)信息業(yè)務(wù)的安全檢測(cè)相關(guān)書面證明(如信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)備案證明、檢測(cè)結(jié)果復(fù)印件等)����,同時(shí)填報(bào)如網(wǎng)絡(luò)信息業(yè)務(wù)上線申請(qǐng)表等材料留存?zhèn)洳椋_認(rèn)無(wú)安全漏洞后方可分配IP地址和域名����。結(jié)語(yǔ)總而言之,高校網(wǎng)絡(luò)安全和信息化工作人員應(yīng)堅(jiān)守底線思維����,筑牢教育系統(tǒng)網(wǎng)絡(luò)安全屏障����,推進(jìn)教育核心數(shù)據(jù)����、重要數(shù)據(jù)識(shí)別和目錄編制工作,強(qiáng)化教育數(shù)據(jù)分類分級(jí)管理����。同時(shí)利用國(guó)家網(wǎng)絡(luò)安全宣傳周����、校園日等活動(dòng),加強(qiáng)全校師生的網(wǎng)絡(luò)安全意識(shí)教育����,共同營(yíng)造健康的網(wǎng)絡(luò)空間。
參考文獻(xiàn):
[1]江蘇省人民政府關(guān)于加快統(tǒng)籌推進(jìn)數(shù)字政府高質(zhì)量建設(shè)的實(shí)施意見(jiàn)[J].江蘇省人民政府公報(bào),2022,(7):22-31.
[2]教育部關(guān)于加強(qiáng)新時(shí)代教育管理信息化工作的通知[J].中華人民共和國(guó)教育部公報(bào),2021,(4):33-37.
[3]鐘新榮.網(wǎng)絡(luò)教學(xué)平臺(tái)信息安全的風(fēng)險(xiǎn)防范策略研究[J].中國(guó)教育信息化,2008,(11):77-78,82.
[4]孫靜.云平臺(tái)下大數(shù)據(jù)信息安全機(jī)制構(gòu)建問(wèn)題分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2021,(10):65-66.
[5]教育部強(qiáng)調(diào)加強(qiáng)新時(shí)代教育管理信息化工作[J].中國(guó)網(wǎng)絡(luò)教育,2021,(4):9.
作者:沈華根 單位:南京藝術(shù)學(xué)院信息化建設(shè)管理中心
