高校校园网络信息安全管理策略研究

信息与电脑China Computer & Communication2019年第8期

高校校园网络信息安全管理策略研究

程光德

（重庆工商大学派斯学院，重庆　401520）

安全稳定运行的重要保障，是提高教学、管理及服务质量，保护人事、摘　要：网络信息安全是高校业务系统持续可靠、

财务、资产、办公和公民个人信息的重要基础。笔者结合所在单位的工作实践，从网络安全管理、技术防护、应急管理、宣传教育、等级保护、非涉密信息系统及互联网保密情况和个人信息保护等七个方面，探讨高校网络信息安全管理。

关键词：校园网；网络安全；信息安全

中图分类号：TP393.08　　文献标识码：A　　文章编号：1003-9767（2019）08-202-03

Research on Campus Network and Information Security Management

Cheng Guangde

Abstract: Network information security is an important guarantee for the sustainable, reliable and stable operation of university

(Pass College of Chongqing Technology and Business University, Chongqing 401520, China)

business system. It is also an important basis for improving the quality of teaching, management and service, and protecting personal information of personnel, finance, assets, office and citizens. Combining with the work practice of the unit, the author discusses the and personal information protection.

management of network information security in Colleges and universities from seven aspects: network security management, technical protection, emergency management, publicity and education, grade protection, non-secret information system, Internet confidentiality

Key words: campus network; network security; information security

运行谁负责、谁使用谁负责”的原则，协同相关部门开展计算机网络与信息安全专项治理工作，修订完善网络与信息安全相关规章制度，通过强化网络安全检查工作登记制、网站及重要信息系统巡查制、灾难恢复应急演练和网络安全攻防演练等措施，逐步形成网络安全管理长效机制[1]。最后，强化属地责任。严格落实网站及信息系统前置审批制度，所有线上运行的业务系统均要求相关职能部门填写《二级网站（系统）登记备案表》，签订《网络安全责任书》，明确信息系统主管部门和信息安全负责人。

0　引言

在各高校智慧校园建设逐步推进及《教育信息化2.0行动计划》背景下，各高校业务系统越来越多。但是，大多数高校网络信息安全没有同步跟进，重应用轻安全，在网络安全管理及技术防范措施方面存在不知道“做什么，怎么做”的难题。目前，教育系统网络安全基础设施较薄弱，常出现系统瘫痪、网页篡改、数据泄露等现象，网络安全形势日益严峻。因此，如何加强校园网络信息安全已成为人们关注的热点。

1　强化网络安全管理，全面落实工作责任

网络安全是“一把手”工程。首先，应加强组织领导，落实工作责任。成立网络安全领导小组，做到分工明确，责任到人，形成主管领导负总责，具体管理人负主责，分级管理，层层落实领导体制和工作机制，切实把网络安全工作落到实处。其次，以制度建设为保障，严格规范管理。根据重要信息系统安全等级保护工作的要求，按照“谁主管谁负责、谁

2　执行网络安全技术防范措施，及时排查事故隐患

网络安全技术防范应从物理安全、网络安全、主机安全、应用安全和数据安全等五个方面入手。物理安全方面，定期保养维护中心机房供电、制冷、消防和防雷接地等配套设施，确保网络设施设备物理安全。网络安全方面，强化网络抗攻击措施。在关键网络区域的边界建立防火墙系统，实

基金项目：重庆工商大学派斯学院2018年校级科研项目“探究大数据安全与隐私保护”（项目编号：ky201807）；重庆市

合川区科学技术协会2018年度资助项目“合川区科普信息化状况调查研究”。

作者简介：程光德(1982—)，男，重庆人，硕士研究生，讲师。研究方向：计算机软件及网络安全。

— 202 —

2019年第8期

信息与电脑China Computer & Communication信息安全与管理

现边界的访问控制和入侵防范，在核心交换机与服务器之间部署Web应用防火墙，防止Web攻击，重要信息系统通过VLAN、专网等技术进行网络隔离。网络拓扑结构如图1所示。主机安全方面，管理信息系统服务器管理。定期巡查服务器，清理服务器上存在的可疑程序、可疑文件、可疑账号。关闭对外服务的接口设备和服务器设备的不用端口、服务和应用，实现最小化服务。封锁SQL注入、SSL溢出漏洞，及时更新系统补丁，禁用代理服务

[2]

3　开展信息系统监测巡查，提高应急处置能力

业务系统7×24󰀁h运行，难免会受到非法攻击。鉴于此，需开展网络安全监测，及时应对处置网络安全突发事件。首先，建立网络信息安全应急预案制度和重大安全事件的处置、报告制度，规范网络安全突发事件处理措施和处理流程。业务系统可安装系统安全防御、网站安全防御系统，实现信息系统安全有效预警，并及时处置信息系统潜在威胁。其次，定期开展应急演练，加强信息系统安全测评工作[3]。通过输入非法代码、执行恶意命令、后台非法登录和上传木马文件等方式进行渗透攻击，实现有效防御和阻断。加强数据库备份与恢复演练，完成多场景下数据库损坏修复后的数据验证，提升信息系统管理员应对突发事件的预警和处置能力。最后，严格执行24󰀁h网站监测巡查，尤其加强网站主页及后台登陆页面巡查力度，保证第一时间发现处置异常。完善应急响应机制，畅通与上级监管机构、电信基础运营商和运营维护单位之间的应急联动渠道。

。服务器安装防病毒软件，防止

计算机病毒、有害电子邮件、非法插件干扰和破坏重要信息系统及网站。应用安全方面，加强信息系统准入管理。系统上线前采用漏扫及开源渗透工具对系统进行黑盒渗透测试。渗透测试期间，测试服务器仅对渗透人员的IP开放服务，确保有漏洞的系统不对外服务。用户接到系统安全评测或渗透报告后，需提供详实可行的整改报告，经校园网管理中心验证合格后方可上线。检查和修补信息系统安全漏洞，对关键Web服务采取抗DDoS、SQL注入、网马等技术防范措施，加强信息系统在防篡改、防病毒、防攻击等方面的有效性。业务系统应用和数据库分离部署，严格账户管理，实行分级分类的账号管理权限，严格口令管理，杜绝弱口令，口令密码复杂度不能低于8位，且必须是字母、数字和其他字符的组合，加强后台登陆错误次数限制。定期审计业务信息系统用户使用日志，做到发布信息可追踪、可查询，避免用户账号被盗用、恶意使用等问题，定期进行业务信息系统安全检测。采用人工测试和自动化测试相结合的方式，针对系统在数据库泄露、用户资料泄露、源代码泄露、非法执行恶意命令、植入后门、网站后台非法登录、非法读取用户信息和敏感文件被可下载等方面进行安全检测。数据安全方面，加强数据中心安全，建立数据备份机制。采用系统备份和人工备份相结合的方式，数据统一存储管理，防止数据丢失、泄露、篡改和破坏。重要信息系统采取双机热备和负载均衡等技术，确保系统持续稳定运行。

4　加强网络安全宣传教育，提升网络安全意识

网络安全重在宣传教育，提高师生网络安全素养。高校可利用新生入学教育、网络安全宣传周等契机，通过课堂、讲座、班会和橱窗展示传统方式，与微博、微信、手机终端等新媒体相结合，大力加强网络安全相关知识宣传。积极组织网络安全攻防竞赛，开展“网络安全进学校”、“网络安全知识进课堂”等特色活动。

5　落实等级保护工作，积极测评整改

《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”。高校应结合实际，根据业务系统重要性，参照《教育行业信息系统安全等级保护定级工作指南》，确定信息系统等级，开展信息系统安全等级保护测评，并整改测评中存在的问题。

图1　校园网拓扑结构图

— 203 —

信息安全与管理

信息与电脑China Computer & Communication2019年第8期

6　执行信息审核制度，确保信息内容安全

网站及信息系统是学校对外服务的重要窗口，信息内容安全是最基本的要求。高校各职能部门应设置网站信息编辑专员，定期维护管理网站栏目，更新发布信息内容，检查网站及其链接网站页面内容是否正常和健康，避免产生“僵尸网站”。严格落实信息发布“三校三审”制度，加强网络舆情监控与正确引导，组建师生混编的信息员队伍，构建网络舆情监控系统平台，实现贴吧、论坛、微博等公共网络社区24󰀁h舆情管控。

即时聊天工具（如微信、QQ）中传输教职工和学生个人敏感信息。公示信息在公示结束后，即时撤销网上网下信息，通过碎纸机即时销毁不再使用的个人敏感信息纸质文档。

8　结　语

“没有网络安全，就没有国家安全”。网络安全责任重于泰山，只有网络安全管理和技术防范措施双管齐下，不断完善网络安全体系，才能助推教育信息化的快速稳定发展。

参考文献

[1]阙宏宇.高校校园网络安全管理存在的问题及对策研究[J].信息与电脑(理论版)，2014(7):251-252.

[2]王英锦,那海枫.浅析高校校园网网络和信息安全管理[J].数字通信世界,2016(1):51-54.

[3]张武军,李雪安.信息高校校园网安全整体解决方案研究[J].电子科技,2006(3):64-67.

7　保护用户个人信息，防范个人信息泄露

严格落实用户个人信息保护相关法律法规，确保数据收集、存储、传输、使用和销毁等环节全生命周期安全。收集和使用个人信息需明示收集使用信息的目的、方式和范围。不在主页中发布师生等个人敏感信息，不在云服务器、各类网盘、电子邮箱中存储师生个人敏感信息数据库，不在各类

（上接第201页）

于电力企业来说，需要构建符合自身发展要求的人才队伍建设，在整个过程中，需要提升整个企业财务管理型人才质量，不断提升这些人才的数量和质量，为我国电力企业财务管理信息化建设培养必要的人才。进行财务管理和信息化人才的建设是企业发展的必然软硬力量，也是整个企业在发展中必须重视的建设内容。

2.2　强化企业的内部控制制度

对于企业来说，需要构建良好的内部控制制度，只有在必要的内部控制制度下，才能提升企业的整体运转，帮助企业实现自身的发展要求。对于企业的内部控制来说，需要做到以下几个部分。首先，进行财务信息资源的把控，在整个构建的过程中，要保证整个财务信息的安全性，构建较强的防护体系，真正提升企业的财务管理信息化水平。其次，电力财务系统的开发与控制，对于企业财务管理来说，需要构建一个有效的防控体系，在整个过程中更好地提升企业的安全性和运转性，不会因为各种问题而出现系统的崩溃。最后，

电力教育,2017(26):123.

[2]王勇.电力体制改革背景下电力企业成本预算管理优化路径分析[J].企业改革与管理,2017(16):63.

[3]何晓龙.ERP在电力财务信息化中的应用[J].经贸实践,2017(17):14.

电力财务系统的维护性，对于企业来说，一个系统的后续维护十分重要，只有在良好的后期维护下才能帮助企业进行系统的运用和开发。

3　结　语

我国电力企业构建符合自身发展要求的财务管理体系，能更好地提升自身的财务信息处理效率，帮助企业实现自身的发展目标。因此，构建良好的财务管理信息化体系对于企业来说十分重要。

参考文献

[1]隋卫娟.电力企业财务管理信息化建设浅析[J].中国

— 204 —