前言：想要寫出一篇引人入勝的文章？我們特意為您整理了高校信息系統安全防護策略探討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著信息化的發展，高校信息系統安全越來越受重視。本文分析高校信息系統特點與安全現狀，指出面臨的問題，提出安全防護策略，以期為高校信息系統的安全防護提供一些參考性意見。

關鍵詞：高校信息系統；信息系統安全；信息安全

高校信息化建設如火如荼，各種各樣的信息系統大量涌現。信息系統安全在信息安全中占據重要地位，對于高校而言更是如此；出現諸如招生數據泄露、“官網”被掛、“反動標語”等信息安全問題，不僅會造成損失，而且會影響到學校聲譽，帶來社會負面影響。所以，高校信息系統的安全防護不容怠慢，其研究工作意義深遠。

1高校信息系統特點

高校信息系統不僅包括各職能部門建立的人事、財務、教務、資產管理等業務系統，也包括校園官網、招生、就業、各二級學院宣傳主頁等網站。以深圳信息職業技術學院為例，目前臺賬中有統計在冊的信息系統203個，按照系統用途，可以將它們大致分為三類：部門（學校）宣傳網站、業務系統和項目（課題）申報網站，按照建設類型可以分為兩類：網站群和自主建設，它們的數量統計情況如表1所示。可以看出，高校信息系統具有以下“雙高”特點：（1）項目申報網站占比高由表1可以看出，項目申報網站在三類信息系統（按系統用途分）中數量最多，占比為63%。這些網站主要用于課程、教學資源庫、教學團隊建設等教研項目和科研項目的申報、評審、驗收等，它們伴隨項目周期而建設，待項目驗收通過后往往不會再使用，使用周期短；但是，很多網站在驗收通過后往往被科研團隊遺忘，依舊存活。（2）自主建設系統占比高由表1可以看出，依托網站群模板建設的系統與自主建設的系統比例為112:91，高校自主建設的信息系統占比高、幾乎追平網站群系統。將各用途的信息系統在網站群和自主建設兩種建設類型上作出統計，如圖1所示。可以看出，項目申報網站中自主建設的占比將近40%，因為有項目經費，很多網站為教師個人或者項目團隊自行搭建，這就會導致各系統技術水平參差不齊；部門的宣傳網站一旦建立，長時間運行，也多為靜態頁面，然而其中自主建設的占比約為30%；業務系統無法依托網站群建設，所以均為自主建設。

2高校信息系統安全現狀

2.1缺乏系統全生命周期監管

大量系統建設完成后直接上線運行，缺乏風險評估和滲透測試。帶病上線，必然帶來安全風險隱患，這也是大量系統自主建設的后果。根據上一部分的討論，項目申報網站具有“使用周期短、存活周期不一定短”的特點，如果一個網站被長時間遺忘，淪為僵尸網站，必然容易被黑客攻擊、利用。有的“雙非”系統，業務與學校相關，但是卻不知道責任人是誰，一旦出現安全問題，相當被動。一個信息系統，從上線到運行，再到退出，必須建立完善的系列監管機制。

2.2管理人員安全意識薄弱

針對信息安全，目前還是廣泛存在“說起來重要，做起來次要，忙起來不要”的現象。很多系統上線后鮮有人維護，即便被發現有安全漏洞隱患，依舊置之不理。以深圳信息職業技術學院為例，信息系統安全監管部門會針對有漏洞的系統向責任部門發出“信息安全整改通知書”，根據反饋來看，整改率僅為41%；待到這些風險系統被上級監管部門通報批評后，系統所有者往往追悔莫及。造成這一現狀的主要原因，是管理人員乃至上級領導嚴重缺乏信息安全意識。

2.3管理制度缺失

無規矩不成方圓，系統亂象的背后是缺乏規范管理。統計表明，70%以上的信息安全問題是由管理不善造成的，而這些安全問題中的95%是可以通過科學的信息安全管理制度來避免的。信息安全制度、流程不健全，就會導致責任不明確、不落實。

3高校信息系統安全防護策略

數量多、技術參差不齊、生命周期不同、意識缺乏、制度缺失、權責不清……面對高校信息系統如此嚴峻的安全威脅形勢，可以從以下幾個方面實施信息系統安全防護策略：

3.1增強信息安全意識

信息安全工作，人是第一位的。美國國家安全局的IATF（InformationAssuranceTechnicalFramework，信息安全保障技術框架）提出深度防御戰略的3個核心要素，其中居于首位的就是：人。人員意識上來了，工作總能想辦法做到位。構建高校信息系統安全防護體系，首要的是，加強宣傳教育，組織專業培訓，開展信息安全員、系統管理員層級培訓，自頂向下培養起基本的信息安全意識，同時提高管理人員技術水平，使其掌握常規安全防范措施。

3.2統一管理、規范建設

參照等級保護安全框架，明確信息系統建設流程及其相關安全工作如圖2所示。當校內二級部門申請建設一個新的信息系統時，信息安全監管部門主要作出以下判斷：一、是否能夠放到網站群建設和統一管理。所有宣傳網站必須放到網站群建設，項目申報網站盡可能放到網站群。二、所有項目相關系統、網站和職能部門業務系統，必須留出經費，用作定級論證、風險檢測等相關安全工作。系統開發階段，要特別注意規范代碼書寫，遵守編程安全原則，避免產生漏洞。比如針對XSS攻擊，系統要對用戶提交的內容進行可靠的輸入驗證，包括對URL、查詢關鍵字、HTTP頭、REFER、POST數據等，僅接受指定長度范圍內、采用適當格式與所預期的字符的內容提交，對其他一律過濾；盡量采用POST而非GET方式提交表單等等。系統開發完成后、上線前，還需要進行全面的安全檢查，包括滲透測試、服務器掃描等。對于存在安全隱患的，堅持整改完畢、復測安全后再上線運行。針對系統下線，建立完善的退出機制。下線可以分為永久下線與臨時下線兩種情況。對于網站使用周期結束，或者常年無人管理的僵尸網站，二級部門和信息安全監管部門建立信息互通，對系統作永久下線處理。對于例行安全檢測之后，發現存在安全隱患或者已經發生重大安全事故的系統，立刻進行整改，并且切斷外網訪問權限，這種情況稱之為臨時下線。臨時下線的系統，經復測安全后方可再行上線運行。

3.3加強日常防護

強化基礎性工作是加強信息安全保障工作的主要原則之一，信息系統日常安全防護常規工作可以按時間跨度上“6步工作法”展開：（1）每天巡檢；（2）每周更新、升級；（3）每月漏掃；（4）每季度審計；（5）每半年滲透測試；（6）每年風險評估、“等保測評”。第二，要形成7×24小時值守制度，采取系統+人工的方式，對重要系統作監測，及時發現網頁篡改、暗鏈、無法訪問等風險隱患，并觸發預警和斷網等聯動處置。第三，如果發生信息系統安全事件，要立即響應，分析和鑒定事件產生的原因，收集證據，記錄處理過程，總結經驗教訓。而在這之前，要做好應急預案和數據備份。

3.4完善信息系統安全管理制度

針對3.2小節的討論，從上線到下線，建立起基于“閉環”的信息系統全生命周期管理制度。嚴格把控系統申請外網訪問權限，做到“開通前有申請、結束后有交代”，及時做好備案和關閉工作，同時建立、健全臨時下線機制。為應對各種突發事件，制定《信息系統安全應急預案》，建立、健全信息系統安全應急處理保障體系，并且定期演練和完善。當所有規章制度，都具有了“閉環”特征，執行起來才行之有效、不留后遺癥。

3.5探索多維信息系統安全監管機制

“有法可依”后還要“有法必依”、“執法必嚴”。制度一旦確立，落到實處才能產生效益，對于拒不履行安全義務的部門和個人，加大懲罰力度；探索將信息系統安全納入部門、個人績效考核等新形勢下多維度的信息系統安全監管機制，將有利于提升整體信息安全水平。

4結束語

《中華人民共和國網絡安全法》自2017年6月1日施行。“GB/T22239-2019信息安全技術網絡安全等級保護基本要求”為“等保2.0”新標準，于2019年12月1日起正式實施。高校信息系統安全防護工作迫在眉睫，其策略研究意義深遠。只有全面提升信息安全意識，加強日常防護，統一和規范管理，所有制度、流程都“閉環”起來，多方聯動，才能切實保障信息系統安全運行。

參考文獻：

[1]傅川,陳云.高校信息系統安全體系研究與實踐[J].中山大學學報（自然科學版）,2009,48(3):25-28.

[2]耿娟平.高校網站安全分析及對策研究[J].北華航天工業學院學報,2018,28(1):11-13.

[3]胡進娟.高校網站安全防護體系化構建策略研究[J].無線互聯科技,2019(24):30-31.

[4]國家市場監督管理總局,中國國家標準化管理委員會.信息安全技術網絡安全等級保護基本要求:附錄C等級保護安全框架和關鍵技術使用要求:GB/T22239-2019[S].北京:中國標準出版社,2019:4.

[5]劉振昌,陳詩明,焦寶臣,等.高校網站安全管理模式的探索與實踐[J].華東師范大學學報（自然科學版）,2015(S1):224-231.

[6]朱勝濤,溫哲,位華,等.注冊信息安全專業人員培訓教材[M].北京:北京師范大學出版社,2019:16.

作者：王文泉 單位：深圳信息職業技術學院