1.智慧校园高质量建设的必要性和意义

高校在落实建设方面要坚持以服务师生为主线，以学校各项政务为建设出发点，坚持理念创新、效能优先，坚持统筹规划、集约建设。其中，在数据使用方面，要坚持开放共享、安全可控，以数据为现代化校园的驱动力，利用新一代信息技术提升教育管理数字化、网络化、智能化水平[2]，加快智慧校园高质量建设。现阶段努力达到以“融合服务平台”“一站式服务平台服务”为基础建设平台，以更加便捷、运行高效、安全可控的教育管理服务数字化体系，努力让校园各项业务办理的效率大幅提升，同时以此为契机加快学校各类教育信息系统一体化建设，让学校的教育数据效能充分发挥，“让师生少跑路，让数据多跑路”，帮助学校领导和教育管理者对未来学校教育发展的决策科学化、管理精准化、服务个性化有更加明确的定位和指导，从而使学校教育政务服务和数字化监管水平位居同类高校前列，为更好地建设高水平大学打下良好的基础。

2.目前高校自建平台的主要网络安全威胁类型

据不完全统计，目前教育系统信息资产存在的网络安全威胁的类型主要有漏洞和事件两种，其中经常出现的漏洞主要是个人隐私信息泄露、信息泄露、弱密码、SQL注入、跨站脚本等，事件主要是外链、病毒感染、暗链、后门、网络攻击、页面跳转、挖矿木马等。在这些漏洞和事件中，主要有如下几类：

（1）有近一半的案例和人为疏忽因素有关，如个人隐私信息泄露、信息泄露、弱密码等，都是典型的缺乏网络安全常识的表现，涉事单位系统管理员往往没经过任何培训就被盲目安排，从而导致敏感信息泄露，系统管理员账号密码使用很长时间后保持初始密码、通用密码、简易密码等状态，从而导致安全威胁。

（2）SQL注入、跨站脚本、后门等，则多发生在学校相关单位的自建系统中，往往和系统建设单位的后台建设人员的专业素养有很大关系。某些建设人员的安全意识较为薄弱，系统后台代码逻辑思维较为混乱，导致总体架构不够健壮，容易产生系统漏洞。同时有部分建设人员为了后期维护方便，还以代码的形式在后台留有系统的基本信息和“后门”，以方便自己随时登录系统后台进行查看。这些不规范、不安全的操作方式不仅可以留给黑客篡改和加载信息、恶意传播不良内容的机会，还可以种植后门程序，严重影响系统的正常运行甚至导致系统崩溃[3]，对此应坚决避免。

（3）病毒感染、网络攻击、挖矿木马等网络安全事件，往往发生于服务器或个人电脑端，通常表现为涉事服务器或个人电脑长期处于没有有效管理的状态，既没有纳入统一的防护体系、没有定期更新病毒库和杀毒，也没有专门的人员定期过问，基本处于“僵尸”服务器的状态，以至于病毒在入侵了很长时间后相关设施服务器的管理员都没有发现，从而导致了重要数据丢失等不可逆的损失。

（4）外链、暗链、页面跳转则属于形式上较为相似的三种安全事件，大多因为某些临时性网站、平台在建设过程中没有固定的服务器和尝试使用域名的需要，从未采用临时租赁购买的方式进行某些业务，多为一些大型论坛、赛事主办方的网站、平台。而这些域名在租用购买使用期到期后，在原先的购买方并没有续费使用的情况下，出于种种原因没有对原有的域名进行注销，从而导致该域名被挪用为其他用途，甚至跳转成为涉及黄色、、暴力等内容的非法链接。某些高校在当初组织师生参与这些论坛、比赛的过程中，在自有网P-流水-数据安全站新闻中引用了当初主办方的链接，而在该活动已经完全结束的情况下，也没有及时将参赛信息撤销，以至于产生外链、暗链、页面跳转等形式的安全事件，给自身网络形象造成不利影响。

3.高校网络平台进行数据安全风险隐患排查的建议措施

3.1落实网络安全领导及具体职责

高校领导应高度重视网络安全工作，坚持健全网络安全组织领导体系，认真落实国家规定的党委（党组）网络安全主体责任，提高政治站位，加强组织领导，完善网络安全管理机构和专业人才队伍，按照实际情况调整高校网络安全与信息化领导小组成员，并由相关职能部门负责日常工作，确保具体工作层层落实到人。3.2落实网络数据管理制度要逐步完善落实网络数据全生命周期安全管理、数据分级分类管理，对高校现有含个人信息的系统开展风险隐患排查。在制定重要时期网络安全保障措施和网络安全事件应急预案中需强调对数据安全的保护，对有无重要数据跨境流动情况要加强排查监管，防止外部恶意渗透。

3.3开展日常数据资产梳理和常态化

安全风险排查整改高校相关职能部门平时要注重梳理有重要数据和大量个人信息的重要数据资产清单，并以此为基础计划完善制定分类分级制度。针对信息资产中含有大量个人信息的系统，要联系相关部门、单位联合建设单位开展自查工作，梳理风险隐患清单，以此进行安全防护检测和常态化安全扫描，开展常态化网络数据安全风险排查以及问题整改，如有条件可采购数据中心运维服务。安排专人对本部门、本单位已有信息资产开展梳理统计，坚持属地化管理，全面摸清底数。梳理统计对象包括各部门、各单位已有的学校统一建设、自主研发、自主选用和上级部门要求使用的各类信息系统（网站），以及在设备、软件、服务等采购产品中配套使用的APP或小程序，同时注明服务器所使用形式和所在具体位置。对重要数据、重要功能做定时定期备份，以本地化存储等形式实行。要求学校各部门、各单位在建设含有大量个人信息数据的系统时，需在合同或协议中明确建设方、运维方的网络和数据安全责任，同时确保信息系统管理账户不存在弱口令、默认口令、通用口令和长期未更换的口令。根据国家政策法规及其他相关文件的硬性要求，进一步加强高校网络信息安全，完善高校网络信息安全管理制度，建立符合国家安全法要求的安全防护体系。对学校已有的重要信息系统要联系公安部门及时进行网络安全等级保护备案，并开展相应的测评工作，同时根据检查结果进行针对性的整改后，复测没有问题方能正式上线。
3.4对网络、系统、设备存在的漏洞隐患进行排查

目前许多高校在建设数字资源的过程中，越来越多地运用到云平台、云数据库，师生在运用上述云资源上传个人信息及资料的过程中，就会产生数据的流动问题，在数据流动的过程中容易被其他网络截取[4]，容易引发数据泄密等网络安全问题。高校相关职能部门要对校内服务器是否使用开源操作系统及其他开源数据库，以及是否使用云计算软件平台、开源代码管理平台、开放数据访问接口、远程管理软件等支撑数据存储、处理、访问的系统和设备情况进行排查，并按照上级部门要求逐步实现操作系统、数据中心的国产化。要通过排查，关闭或删除非必要应用、服务、端口和链接，杜绝出现弱口令、默认口令、通用口令等常见问题。同时优化安全防护策略，使用堡垒机登录、日志审计等设备严格访问控制。建设学校网络资产安全扫描与治理系统，对校内所有的信息资产进行梳理，将信息资产备案、审核、上线流程制度化。平时进行常态化漏洞及威胁实时检测，结合上级部门的通报预警信息，配合事件处置、应急响应等业务模块进行防范，按需进一步完善其他功能。加强日常核心机房的网络安全防御，在使用常规性的防火墙、WAF、IPS、虚拟化安全防护等网络安全软硬件设备保证校园网日常运行的基础上，通过其他新型、有效的安全项目，例如反向、态势感知的尝试建设，进一步优化校园网络配置和网络安全保障。

3.5做好监测预警和应急保障措施

3.5.1加强日常监测

按规定做好外部攻击防护和内网检测，按需调整网络防护策略。做好网站群管理系统、数据中心及其他各业务系统的网络安全保障工作，对学校信息基础设施、校园网核心网络、各业务系统进行日常维护与巡检。对异常终端行为、异常内网横向移动、异常数据访问等行为进行监测分析，同时进行日志审计、追踪溯源和综合研判，及时清理病毒、木马。3.5.2加强应急管理按照学校实际情况修订应急管理预案并规范应急响应流程，组织专业人员对全校信息系统（网站）进行网络安全攻防和应急演练，加强对发现的模拟攻击行为采取相关的防护措施的可操作性和实用性，以此提高高校信息系统（网站）网络安全管理水平，检验网络安全事件应急处置机制。

4.其他保障措施

4.1强化数据治理，加强数据归口管理

通过高校一站式服务平台、融合服务平台等项目的建设，建立健全校园信息化数据的采集、传输、使用、共享、P-流水-数据安全销毁过程中的管理规范体系，将所有数据进行统一规范采集，动态进行数据治理，提升数据的准确性、规范性和可用性，为其他业务系统的接入使用提供可靠的数据来源[5]。对个人或部门的隐私信息、敏感信息、重要信息，应在分级分类管控的基础上，设立多人协同安全使用规则，定期开展风险评估。

4.2加大保障经费投入

学校应每年投入足量资金加强网络安全治理工作，为安全保障体系的建设提供必要资金保障。同时通过校地合作、校企合作、校银合作、校校合作等多种合作模式，充分利用双方资源，拓宽建设资金来源，积极引进优质技术力量，最终达到互利共赢的目的。

4.3严格落实学校各部门、各单位的安全责任

要求学校各部门、各单位的主要负责领导签署安全责任书，同时安排专人，联系相关建设单位针对已有信息资产进行全面安全漏洞自查。要求对存在安全漏洞长期不修复、长期闲置、缺少运行维护管理等网络安全隐患的信息资产进行修复。对信息资产所在本地服务器（如有）联系系统建设方开展系统安全风险评估，重点检查服务器及系统运行的网络环境安全、系统自身程序安全、数据存储及使用安全等，及时升级系统安全补丁，确保不存在任何主机或系统安全漏洞。已停止使用或已废弃的服务器进行关机、断网、断电。同时告知相关部门、单位的网络分管领导、管理人员要重点防范系统弱密码、隐私信息泄露、暗链外链等常见人为因素造成的安全隐患。对新上线的网络信息业务严格进行安全审核，要求申请部门、单位明确分管领导和网络管理员，提供上线网络信息业务的安全检测相关书面证明（如信息系统网络安全等级备案证明、检测结果复印件等），同时填报如网络信息业务上线申请表等材料留存备查，待确认无安全漏洞后方可分配IP地址和域名。结语总而言之，高校网络安全和信息化工作人员应坚守底线思维，筑牢教育系统网络安全屏障，推进教育核心数据、重要数据识别和目录编制工作，强化教育数据分类分级管理。同时利用国家网络安全宣传周、校园日等活动，加强全校师生的网络安全意识教育，共同营造健康的网络空间。

参考文献：

[1]江苏省人民政府关于加快统筹推进数字政府高质量建设的实施意见[J].江苏省人民政府公报,2022,(7):22-31.

[2]教育部关于加强新时代教育管理信息化工作的通知[J].中华人民共和国教育部公报,2021,(4):33-37.

[3]钟新荣.网络教学平台信息安全的风险防范策略研究[J].中国教育信息化,2008,(11):77-78,82.

[4]孙静.云平台下大数据信息安全机制构建问题分析[J].网络安全技术与应用,2021,(10):65-66.

[5]教育部强调加强新时代教育管理信息化工作[J].中国网络教育,2021,(4):9.

作者:沈华根 单位:南京艺术学院信息化建设管理中心