网络信息服务中心 连进
伴随着高校数字化校园建设的逐步推进,各类信息技术逐步融入到学校各项工作中,高等学校已经迈入了全面开展信息化建设的重要时期。信息化建设对于高等学校来说,是一项基础性、长期性和经常性的重要工作,其建设水平是高校整体办学水平、学校办学理念的重要体现,是学校资源整合、共享能力、学校形象和地位的重要标志。高等学校的信息化建设促进了教学的现代化改革、提高了教学效益、改善了教学环境,同时通过学校各管理应用系统之间的互联互通,极大的提高学校整体的工作效率和质量。因此,各高校都十分重视该项工作,不断地加大信息化建设的投入,加快学校信息化的建设步伐。
高校信息化建设不断向纵深发展,信息技术应用逐步与教育教学、科研管理等深度融合,呈现了出明显特征:
首先,高校校园网具有规模大、应用多、覆盖范围广、高速以及相对复杂、管理难度大等特点;另一方面,由于投入相对较少,缺少必要的网络安全管理设备和软件,致使管理和维护存在一定难度。
其次,高校校园网的用户群体相对特殊。高校用户群体是个上网时间长,具有很高知识水平,朝气蓬勃的主流用户群体。他们不仅求知欲望强,而且好奇心也强,对网络安全问题的严重后果认识不足、理解不深,尤其喜欢在网上进行各种尝试,这些都给整个校园网络安全带来了潜在的风险。
再则,校园网用户管理策略和网络设备管理策略都很复杂。由于用户类型非常多,对每一类用户的安全权限不一样,设备产品品牌不一样,审计策略也不一样,导致网络技术配置非常复杂。
面对这些显著特征,高校信息化要为学校基础工作担当支撑,为中心工作保驾护航,就必须具有安全的运行的状态。
高等学校信息系统的正常运转,就必须要保障网络信息系统的安全。高校网络信息系统的安全主要包括有几个方面:
1、物理层面安全风险
网络设施的物理安全是整个网络系统安全的前提。物理安全的风险主要有地震、水灾、火灾等环境事故造成整个系统毁灭,电源故障造成设备断电,设备被盗、被毁造成数据丢失,检测报警系统的设计不足,可能造成原本可以防止但实际发生了的硬件故障。
2、链路传输的安全风险
入侵者不仅可以到高校系统内部网上进行攻击、窃取或其他破坏,而且他们完全有可能在传输线路上安装窃听装置,窃取在网上传输的重要数据。电磁辐射可能造成数据信息信息泄漏、被窃取或偷阅。
3、网络结构的安全风险
(1)来自与公网互联的安全威胁
如果高校内部网络与公众网络有互连,基于其开放性国际性与自由性,内部网络将面临更加严重的安全威胁,因为每天黑客都在试图闯入网络节点,假如我们的网络不保持警惕,可能连黑客是怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。 高校系统内部网络中的办公系统及各人主机上都有涉密信息的可能,假如内部网络的一台机器被攻击或者被病毒感染,就会同时影响在同一网络上的许多其他系统。
(2)内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网的一些不怀好意的入侵者的攻击, 如入侵者通过探测程序来探测扫描网络及操作系统存在的安全漏洞,以用网络IP地址,应用操作系统的类型开放哪些TCP端口,系统保存用户名和口令等安全信息的关键文件等等,并通过相应攻击程序对内网进行攻击,入侵者还可通过网络监听等技术手段,获得内部网用户的用户名口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息,或者入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务,甚至系统瘫痪。
(3)内部局域网的安全威胁
据调查,在已有的网络安全攻击事件中约70% 是来自内部网络的侵犯。比如,内部人员故意泄漏内部网络的网络结构,安全管理员有意透露其用户名及口令,内部不怀好意的工作人员编制一些破坏程序在内部网上传播,或者内部人员通过各种方式盗取他人涉密信息传播出去。
4、系统的安全风险
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其他任何商用Linux 操作系统,以及其他厂商开发的应用系统,其开发厂商必然有其后门,而且系统本身必定存在安全漏洞,这些后门或安全漏洞都将存在重大安全隐患。
5、应用的安全风险
应用系统的安全涉及很多方面,因为应用系统是动态的不断变化的,所以应用的安全性也是动态的。这就需要我们针对不同的应用,检测安全漏洞,并采取相应的安全措施,降低应用的安全风险
6、管理的安全风险
管理的安全风险主要存在于
(1)内部管理人员或工作人员把内部网络结构,管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险;
(2)机房重地疏于管理,可以进进出出,来去自由,存有恶意的入侵者便有机会得到入侵的条件;
(3)情绪不满的工作人员有的可能熟悉服务器小程序脚本和系统的弱点,利用网络开些小玩笑,甚至破坏。除了从技术上下工夫外,还得依靠安全管理来实现。
2017年6月1日正式实施的《网络安全法》是网络安全管理的重要基础性法规。我们要深入贯彻执行《网络安全法》,要以习近平总书记有关网络安全的系列讲话精神为指导,准确把握网络安全的新形势和新要求,要深刻认识网络安全的重要意义,依法进行网络安全管理。
我们必须以《国家网络安全空间战略》和《网络安全法》为学校网络安全管理的战略基石和法律基础,全面规划信息化建设的总体布局和网络安全的总体战略,紧紧把握信息化建设和网络安全工作的内在规律,坚持同步开展信息化建设和网络安全建设的原则,推进网络安全和信息化工作的持续展开。
为此,我校专门成立了网络安全和信息化领导小组,学校主要领导担任领导小组组长,学校职能部门负责人为小组成员,领导小组下设办公室与网络信息服务中心合署办公。领导小组是学校网络安全和信息化建设的指导决策机构,为做好该项工作提供了组织保障。学校“十三五”规划,纳入了网络安全和信息化工作的内容。2016年10月,学校党委讨论通过了江汉大学网络信息安全等级保护工作方案。根据该方案,我们启动了学校网络信息安全等级保护工作,第一期我们对学校网站群系统、一卡通系统和邮件系统进行了测评认证,按照国家有关规定对照检查,逐一整改,使之达到测评的要求,并获得了相应的等级证书。
网络信息安全等级保护工作的开展,促进我们进一步重视网络信息安全工作,加强了网络安全和信息化工作的统筹协调。我们要完善体制和机制,建立制度体系和标准规范,强化主体责任,树立底线思维。我们要实施网络安全责任制度,建立分级管理,逐级负责的制度。努力改善应用实效,提高师生的获得感,取得较好的体验感。力争建立起学校网络安全态势感知系统,监管多源网络信息,进行安全过滤、融合与抽象,继而预测变化趋势,使网络的安全状况和演化趋势得以有一个全面的科学的反映平台,为应对复杂多变的安全威胁提供判定决策的依据。
网络信息传播速度快、影响范围广,影响在向纵深发展,网络的安全性日趋复杂。我们面临的网络安全形势依然严峻,一定程度上还存在着管理认识不到位,法制观念不强,责任义务没有落实等问题。我们要处理好网络安全和信息化建设的关系,两者要统筹同步推进;我们要处理好技术和管理的关系,技术是为管理服务的,管理要跟上技术的发展。要发挥人的主观能动性,积极开展网络应用评估和网络信息安全等级保护测评,实行管理职能和技术保障协同作战,形成分工、负责、协同推进的局面,为建设风清气正的学校网络空间,营造学校富有生机的绿色网络生态环境而努力奋斗。
网络信息服务中心
2017年12月8日
