封面报道 | 高校信息安全风险评估意识整体薄弱
2014年和2016年,在教育部科技发展中心组织的“高等教育信息化发展状况调研活动”中,两次均参与的96所高校调查数据分析结果显示
高校信息安全风险评估意识整体薄弱
2014年和2016年,教育部科技发展中心面对全国高校信息化现状进行调研,两次均参与96所高校,涵盖七大地区,涉及985/211高校、一般本科院校、高职高专院校三大类别学校。
本文从高校网络与信息安全机制体制建设,高校网络与信息安全管理以及高校网络与信息安全队伍建设三方面进行分析与对比,探究高校网络与信息安全建设存在的问题,引领高校信息安全今后的发展方向。
高校网络与信息安全机制体制建设
信息安全建设是一个整体组织协调的过程,涉及责任部门设置、各部门间统筹协调、安全问题解决机制、信息安全预防措施、信息安全评估测试等一系列环节。高校应该注重信息安全顶层设计,制定信息安全相关政策与制度;确立信息安全负责部门,责任到人;加强各部门间统筹协调,高效、有序解决突击问题;完善预测评估机制,做到防患于未然。
1、CIO机制与管理模式尚未确立
从图1中可以看出,绝大多数高校大多由校长、副校长以及网络部门负责人分管学校信息安全管理,绝大多数高校并未形成CIO职能与管理模式。两次调研中发现,在96所高校中由CIO负责信息安全管理工作的不到10人,网络工程师负责信息安全的仅占2人。由此看出,建立网络安全责任制,设立相应的办事机构,做到责任到人已势在必行。
2、信息安全管理制度初见成效
从图2中可以看出,两年对比中,96所高校在安全管理制定方面有所提升,2016年已经有50所高校制定并实施信息系统的数据安全管理制度,比2015年增加了不到十个百分点,接近三分之一的高校处于正在规划并逐步实施的阶段,暂无这方面规划的在2016年调研中有0所学校,这充分体现了信息安全管理已经上升到制度层面。虽然高校网络与信息安全意识有所提升,但是信息安全管理工作以及高校关于信息安全的制度建设并没有落实,信息安全机构设置、人员配备、制度建设、技术支撑以及预防工作等始终是高校信息安全建设的重要环节。
3、高校信息安全相关政策制定
信息安全政策与制度对于高校的信息安全发展提供了规范以及约束,但是目前我国高校在信息安全政策建设方面相对薄弱。
从图3可以看出,调研高校的信息安全政策多集中于要求所有关键系统都要及时打补丁做软件升级,有能力对违反学校规定、影响网络服务的设备所在区域进行断网方面,从两年数据对比发现高校在主动对关键系统扫描已知安全漏洞的重视程度有了很大提升,但是还有很多盲区需要进一步落实,如DNSSEC部署;在签订宿主服务之前都要做安全评估;要求学校拥有的所有移动设备都要加密;主动对全校上网的个人计算机扫描已知漏洞等方面的工作还有欠缺,另外,2016年调研中仍有11所高校尚未制定与安全保密相关的政策。总体来看,我国高校信息安全相关政策制定并不完善,还应加强重视。
安全管理控制技术措施的分析
信息技术的日新月异、更新迭代为高校信息化安全管理提供了技术保障。在两次的调研中发现,总体上具有一定的吻合性与延续性。目前各高校采用的信息安全手段多集中于身份认证、防火墙、网络实时监测三个方面。
从图4中我们也可以看到目前各高校对于信息安全都颇为重视,而且信息安全防护的手段也趋于多样化,各项防护手段非常明确。在2016年的调研中可以发现,高校乐于接受新技术如漏洞扫描、备份容灾、审计日记、授权访问及各级准入控制等,并且各项信息安全管理技术的采用在之前基础上都有所提升。
1、高校网络身份认证技术
从图5中可以看出,高校无线网络身份认证已逐步普及,两年的数据对比中发现985/211院校、高职高专院校以及一般本科院校在无线网络身份认证方面都有很大提升,其中985/211院校、高职高专院校中实现无线网络身份认证的已达到八成。
在2014年的调研中发现,身份认证技术采用情况极其不好,大部分身份认证技术均未采用,仅有不到三分之一的高校广泛采用PKI技术。不到20%的高校部分采用的身份认证技术分别是PKI、电子签名、生物特征识别(如图6)。
图7显示,智能卡技术已被采用的高校占到三分之一,近两年内,高校计划采用的技术为双重认证、电子签名和智能卡,从中得出了高校对身份认证技术的偏爱情况以及未来的发展趋势。
2、用户认证方式
从图8可以看出,96所高校均对无线网络有着较强的管理意识,大多数高校访问其无线网络都需要用户进行认证,有七成以上的学校全校范围内的无线网访问需要用户认证,并且超过一半的学校在用户接入时就需要用户认证(包括有线、无线),但是从两年的对比中发现,2016年高校对用户认证的重视相比2014年有所下降。
3、网络管理产品采用情况
从图9中可以看出,目前流量管理和上网认证系统成为了高校进行网络管理的主流产品,在此基础上各高校选择网络管理产品也呈现多样化的特点,对于IDS/IPS、网络监控、智能DNS都有着一定比例的使用。采用智能DNS以及CIDS/IPS的高校虽然与2014年相比有了提高但是总量还是很少,仅占不到总体的三分之一,这说明高校网络管理产品更新迭代步伐缓慢。
4、安全方案采用情况
随着云计算、大数据、机器学习等技术的风起云涌,各高校通过自建、运营商全权负责以及与运营商共建等方式已建立数据管理平台,但是大部分高校存在“重建设、轻维护”现象明显。
从两年的调查数据中显示,高校采用的安全方案更加多样化,防火墙、IPS、ACL已被广泛采用,而UTM、DLP、NAC被采用的比例较低,2014年调研中发现96所高校中有0所采用DLP(如图10);
从图11可以看出,防火墙、IPS、ACL虽然所占比例较高,但是相比2014年有下降的趋势,而UTM、DLP、NAC有所上升,高校在各数据区域采取的安全方案呈多样化发展趋势。
5、信息安全风险评估
工作信息安全风险评估是信息安全有效预防方式之一,从两年的调研数据可以看出,高校对信息安全风险评估的重视程度有了很大提升。从图12中看出,在2016年的调查中,已有49所高校对核心管理系统和数据有相应的评估,仅有三成左右高校对中央IT系统和架构、科研系统和数据以及教学系统和数据三方面接受过信息安全风险评估,另外仍有两成左右高校还没有做过这方面的风险评估,由此可以看出,高校信息安全风险评估意识整体薄弱,亟待提升。
信息安全队伍建设现况与改善
高素质信息安全队伍是信息安全建设的智力支撑,建设一支技术精湛、富有创新的高精端信息安全人才队伍是高校网络与信息安全建设体系的重中之重。高校在信息安全人才培养中应坚持引进、培养、管理相结合的建设方式,在培养过程中不断提高整体的信息安全意识,增强信息安全相关技术了解与应用,逐步形成良性的发展模式。
1、高校网络与信息安全意识有待提升
从图13得知,96所高校中超过一半的安全评测认证等级是二级,2014年有65.17%的高校尚未进行信息安全评测,在2016年信息安全评测的比例有所下降,从两年的数据对比来看,2016年高校信息安全认证工作有了很大提升,高校网络与信息安全意识有所改善,但是总体上看,各高校对信息安全测评意识还是相对单薄,加强高校师生的信息安全风险意识不可懈怠。
2、高校信息安全工作人员
培养不到位高校信息安全人才队伍建设不仅要在人才引进环节进行严格把控,更要注重信息安全队伍的培养工作。从图14中可以看出,高校要求信息安全工作人员必须参加相关培训并获得证书的比例在2016年有所下降,而要求其参加关键培训但不要求证书的比例达到52.08%,从中可以看出,高校对信息安全工作人员的培养重视程度较低,这也造成了培训流于形式的现象严重。
讨论与建议
1、继续增强高校信息安全意识
随着云计算、数据挖掘、机器学习等技术与教育的融合,高校信息化进程的不断推进,高校领导以及管理部门应该矢志不渝地高度重视信息网络与安全问题,把网络安全提升到关系学校一流大学建设战略高度上来把握、布置工作,加强统筹规划,抓好各项制度和措施的落实;
将学校网络与信息安全责任落实到各个部门,形成责任到人、即时补救机制;技术部门加强学校网络与信息安全监控、治理、防患工作相统一,主动检测系统漏洞,及时补救。最后,加强高校师生信息安全风险意识也是始终不容忽视的问题。
2、加强信息安全制度建设与顶层设计
从总体上看,目前高校在信息安全建设方面责任
不明确,缺乏统筹与顶层设计。在今后的信息安全建设中,不断完善信息安全制度,设立信息安全专门机构以及专业负责人,做到责任到人。加强各部门之间的沟通与协调,加快解决问题的步伐,此外高校应注重信息安全的预测与评估机制的建设,加强对信息网站的备案与监管,信息安全负责人定期进行安全评估,及时修补系统及网站中存在的漏洞。
3、加强信息安全人才队伍建设
高校信息安全人才队伍建设是高校网络与信息安全建设体系的重中之重,高校在信息安全人才培养中应坚持引进、培养、管理相结合的建设方式,加强安全技术人员的培训管理工作,组建一支技术精湛、富有创新的高精端信息安全人才队伍,为高校信息安全建设提供智力保障。
4、加强校级、社会、国际之间的交流与协作
开放、共享、互惠、共赢已经成为信息化时代的标签,高校在今后的信息安全建设中切忌闭门造车,应该不断地加强校际、社会、国际之间的交流与协作,加强技术、资源、经验等的共享,共同维护信息网络安全。通过组织高校信息安全联盟建设信息安全统一防护线,推动高校信息安全管理。
(作者单位为北京理工大学网络教育学院)
本文刊载自《中国教育网络》杂志2017年6月刊