互联网背景下高校网站安全保障体系构建.docVIP

互联网背景下高校网站安全保障体系构建 　　摘 要：随着教育信息化工作的不断深入，高校网站安全也越来越受到重视。文章针对当前高校网站安全严峻形势，提出高校网站安全所面临的几种安全威胁，并阐明造成相关问题的原因。以“互联网+”为理念，以人员组织为核心，以技术防护为手段，以管理规范为依据，构建了一整套符合信息安全等级保护要求的高校网站安全保障体系。?过一年多的实践证明，该安全保障体系是有效可行的，能显著提高管理人员的安全意识，保障高校网站的实体安全、运行安全和数据安全。 　　关键词：互联网+；高校网站安全；保障体系 　　中图分类号：G40-058 文献标志码：A 文章编号：1673-8454（2017）15-0093-04 　　“互联网+”成为当前我国的一个战略发展方向，云计算、大数据、物联网、移动互联网等新的信息技术不断涌入到教育领域，也促进了教育行业的重大变革。然而，网络与信息安全仍然是教育信息化过程中最大的威胁，所面临的安全问题更加复杂，其后果也更加严重。2015年可谓是安全沦陷元年，XGhost事件导致苹果手机AppStore上超过3000个应用感染恶意代码，携程网由于员工误操作导致长达几十个小时的宕机，多所高校门户网站及信息系统被黑客攻击，某单位研究生报名系统存在安全漏洞导致数万名考生信息泄露。这一年无论从宏观还是微观上，面临的网络与信息安全形势不容乐观，但是也看到了一些新的变化和特点，各国都在大力加强网络与信息安全的顶层设计，美国颁布了40多份与网络安全有关的文件，德国与法国建立欧洲独立互联网，加强数据和信息安全，日本也出台《网络安全战略》，提出“网络安全立国”。2014年，中央网络安全和信息化领导小组成立，统筹协调涉及经济、政治、社会及教育等多个领域的网络与信息安全重大问题，研究制定网络安全与信息化发展的宏观战略。2015年，《中华人民共和国网络安全法（草案）》公开发布征求意见，这是中国第一部网络安全法律。 　　教育信息化是国家信息化的重要组成部分，教育行业网络与信息安全工作关系着教育信息化的稳定推进和教育事业改革发展。当前高校教育信息化是一个庞大复杂的系统，在支撑高校业务运营、发展的同时，门户网站和信息系统面临的信息安全威胁也在不断增长，被发现的脆弱性或弱点越来越多，信息安全风险日益突出，成为高校面临的重要的、急需解决的问题之一。教育部门对网络信息安全高度重视，自2015年以来，颁布并下发多份网络安全文件。教育部办公厅关于印发《2016年教育信息化工作要点》的通知明确提出提升教育行业信息技术安全保障能力的重要任务：按照分级管理、逐级负责的原则，健全信息技术安全通报机制，完善信息技术安全工作管理信息系统，加强对信息技术安全工作的统筹管理。[1] 　　一、高校网站安全现状的分析 　　在当下的互联网时代，高等教育面临着前所未有的新形势、新挑战。[2]过去的高校信息化建设，更多地强调系统和应用集成，而忽视了网络和信息安全的建设。根据360补天漏洞响应平台的数据可得，自2014年6月至2015年5月的一年时间内，补天平台上显示的有效高校网站高危漏洞多达上千个，涉及高校网站1088个。[3]其中，高危漏洞2611个，占74.7%；中危漏洞691个，占19.8%；低危漏洞193个，占5.5%。按照漏洞数量排名前三的漏洞类型分别为跨站脚本漏洞、SQL注入漏洞和信息泄露漏洞。 　　高校网站包括高校门户网站、二级院系网站、直属部门网站、学术研究机构网站、各类业务信息系统等网站，由于高考、招生、就业等敏感时期，聚集了大量的学生、教师、家长及社会人士访问流量，也因为网站安全性差、经济利用驱使、学校群体特殊性等原因，引起黑客的关注，使高校网站被攻击次数逐年增加，网站安全事故频发。高校网站安全面临的主要安全威胁有以下几种： 　　1.网页被挂马、篡改 　　入侵者通过恶意扫描获得服务器或网站的安全漏洞，并利用常见的跨站攻击、SQL注入、植入木马等攻击手段，获取服务器的最大权限，恶意篡改网页代码。网页信息被篡改后，搜索引擎或安全平台对网站进行常规检测发现挂马情况，会提示安全风险，导致正常用户访问时出现拦截情况，对学校的名誉造成不良影响。其中，网站篡改主要有黑链黑词、搜索引擎劫持、网页恶意篡改三个类型。 　　2.流量攻击，无法访问 　　入侵者通过DNS解析即可得到网站的真实服务器，通过借助代理服务器模拟多个正常用户不停地对网站进行访问请求，发起DDoS攻击或者CC攻击很容易就使网站陷入瘫痪，无法对外提供服务。高校网站在招生、考试、就业等敏感时期经常遭受黑客的流量攻击，导致学校大量网站不能正常访问，业务工作受到极大影响。 　　3.信息被窃取、泄露 　　入侵者篡改了数据库里的学生成绩、考试内容或考试答案等信息，将会给高校录取和