随着移动互联网大学生用户群体的逐渐增多,我国高校在发展和运行中亟需加强移动互联网安全管理, 建立系统高效的移动互联网信息安全管理体系,应对移动互联网应用服务中存在的诸多安全风险。本文结合当前高校移动互联网安全的新需求,开发基于移动互联网的信息安全风险评价系统,针对高校存在的不确定移动互联网安全风险因素,进行收集整理,形成分类、量化、系统的风险评价体系,为高校移动互联网信息安全风险管理决策提供依据。
0 引言
随着高等教育体制改革不断深入,我国高校的办学规模越来越大,在校生的规模位列世界第一。来自百度的监测数据显示,移动互联网用户中近半数为“校园族”,作为“亲移动互联网人群”,学生在移动互联网用户中的比例由2012年的35.1%跃升至2015年的49.8%。由此可见,对新鲜事物具有强烈求知欲的高校学生群体成为了移动互联网应用的最活跃用户群体。但是由于移动互联网信息系统具有互联性、开放性、共享性等特点,并且还存在着技术上的弱点和其它因素,使其经常会受到黑客或者病毒的攻击,除了信息系统存在着脆弱性之外,我们在安全体制和安全管理等方面也存在着非常严重的缺陷。因此,高校在加快计算机网络信息系统建设的同时,还要重点考虑高校移动互联网所面临的威胁,保证高校网络信息的安全,确保网络信息的完整性、可用性、保密性。
1 高校移动互联网信息安全风险现状分析
随着智能手机的快速普及,手机上网已渗透到大学生的学习生活中,但带来的安全问题也越发突出。恶意扣费、个人信息泄露、网银被盗……在移动互联网飞速发展的同时,大学生安全意识却没能及时同步,手机信息安全正面临着严峻的挑战。
2014年11月27日,由中国互联网协会主办的“2014年移动互联网产业发展与网络信息安全研讨会”在京举行,中国互联网协会秘书长卢卫在致辞中表示,中国在网络新技术应用不落后,创新创业意识不落后,互联网应用普惠百姓服务民生不落后,但在信息安全方面存在差距,部分关键技术受制于人,是网络自主可控能力不够,法治机制有待于进一步完善。中国虽然是互联网大国,但却不是互联网强国,尚属“发展中国家”。在国际互联网技术标准中,由中国提出的不到1%;中国还是遭受互联网攻击的最大受害者,往往在不知情的情况下遭受监控,暴露出防御体系的薄弱。我国高校信息安全研究最多的领域是传统互联网,很少涉及移动终端信息安全风险管理的深入研究,构建基于移动终端的高校信息安全风险体系指导信息安全管理已经刻不容缓。
1.1 系统漏洞
移动互联网的不断发展,针对手机的攻击方式也在不断变化。360最新发布的调查报告显示手机系统的安全漏洞是对手机安全的最大威胁。手机漏洞的修复周期长也是一个重要的安全隐患。这主要是由以下几方面的原因造成的:第一,手机行业尚未形成如Windows系统那样定期统一推送补丁的机制;第二,不同厂商对系统安全的重视程度也不同,因此厂商修复系统漏洞的周期也长短不一,某些山寨手机厂商甚至从手机出厂之后就从不修补任何手机漏洞;第三,同样是由于厂商定制开发的原因,使得某些厂商开发的安卓系统没有办法随着原生安卓操作系统一起升级。另外,出于对手机系统升级可能带来的其他方面问题的担忧,很多用户也不愿意主动升级自己的手机操作系统。
1.2 手机病毒
高校学生接受新事物比较快,喜好随意下载各种手机软件,更容易感染手机病毒。2014年8月2日,名为“XX神器”的手机病毒开始通过网络大面积传播。电信运营商及时发现并采取应急措施,阻拦威胁短信千万余条,尽管如此,仍有上百万手机在半天内受到感染手机支付类病毒呈现出一种融合化的发展动向。由于支付类病毒智能化程度提升,“仿冒”的银行APP、电商、支付类APP散布在各大中小型的电子市场,一旦点击下载,就会触发进入黑客操控的支付流程。手机支付类病毒正走向高危化、智能化,融合社会工程学等多种特征的发展趋势。很多网上支付工具都会与手机进行绑定,用于发送验证码和交易信息通知。2013年以来,以拦截和窃取交易短信为目标的手机木马迅速泛滥,最典型的是名为“隐身大盗”的安卓木马家族。此类木马运行后会监视受害者短信,将银行、支付平台等发来的短信拦截掉,然后将这些短信联网上传或转发到黑客手机中。黑客利用此木马配合受害者身份信息,可重置受害者支付账户。
1.3 信息泄露
在新一代4G移动网络中,安卓智能手机容易受到手机病毒、恶意程序和广告程序的攻击,手机中的机密数据更容易被黑客窃取,对于手机机密数据的处理是严防手机信息泄露的重要措施,调查显示,移动互联网导致安全威胁叠加。2014年,31.3%的用户遭遇过个人信息泄露,移动端受攻击的概率大大高于传统PC机。而大数据的发展降低削弱了个人信息的可控性,信息泄露事件频发。造成手机信息泄露的重要原因,一个是应用商店有诸多存在风险的应用程序,另外一个是安卓操作系统存在漏洞。据悉,2014年,中国5.27亿手机网民中,有67.7%的用户使用安卓操作系统。由于安卓操作系统是开源的,并且容易出现漏洞,不良软件开发者可以利用系统漏洞或在应用程序中植入木马,上架审核不严的应用商店任其在网络上占有“一地”,普通用户稍有不慎,就容易被感染,造成手机信息泄露。
2 高校移动互联网信息安全风险评价系统
我国高校正在逐步推进数字化校园的建设。由于高校在校学生大多是通过手机、平板电脑等移动终端访问互联网,所以很多院校的校园网一卡通、教务、资产、档案等管理系统同时支持手机页面访问,PC平台逐步转向移动终端,移动终端信息安全防范问题逐渐转变为高校信息化推进过程中不可忽视的问题。由于移动互联网网络环境的复杂性,经常会受到来自校内外的各种网络攻击,参照国家信息安全风险评价指南,在高校移动互联网信息安全进行项目深入调研的基础上,提出高校移动互联网信息安全风险评价指标体系,研发高校移动互联网信息安全风险评价系统,为高校进行移动互联网信息安全风险评价提供了技术平台。
2.1 平台开发环境
高校移动互联网信息安全风险评价系统以Visual Studio.NET为开发工具,以Asp.net为开发语言、SQL Server为数据库、IIS7.0为后台服务器进行系统设计。
2.2 调查问卷与资料查询
通过文献搜集、实际调研、问卷调查、专家座谈等多种灵活有效的方法来分析和总结出基于移动互联网高校信息安全的构成要素、评价标准,进而形成高校移动互联网信息安全评价指标设计的理论依据。
2.3 高校移动互联网信息安全风险评价系统设计
2.3.1 模块设计
高校移动互联网信息安全风险评价系统主要包括用户信息管理、评价指标、评价信息查询、评价文档导出、公告管理等功能模块。
用户信息管理包括系统管理员、评价用户和查询用户三种角色。系统管理员权限主要包括用户管理、权限管理和角色管理三个子模块;评价用户权限包括评价指标调用、评价结果查询、评价结果导出,评价用户可以是学校管理员、各院系职能部门等人员,系统管理员赋予相应的评价权限;查询用户权限为查询评价信息与导出,不能进行指标调用评价。
评价指标主要包括指标分类、指标库设置和指标分配三个模块;评价信息查询模块主要包括评价结果查询和评价结果统计两个个子模块;评价文档导出模块主要包括评价结果和评价统计两个子模块;公告管理模块主要包括信息发布和信息管理两个子模块。
2.3.2 评价模块
重点介绍评价指标、评价信息查询、评价文档导出三个评价核心模块。
评价指标设置主要包括指标分类、指标库设置和指标分配模块。其中,评价指标分类子模块主要完成将评价指标一级分类和二级分类的功能;评价指标库设置子模块主要完成评价指标库建立和评价问卷题目库的建立的功能;评价指标分配子模块主要完成将评价指标打包分别分配给不同角色用户的功能。
评价结果查询模块主要包括评价结果和统计两个查询子模块。评价结果查询子模块主要完成对学校移动互联网信息安全风险评价历史和结果查询的功能;评价结果统计子模块主要完成将移动互联网信息安全风险评价结果以柱状图的形式显示出来的功能。
评价结果导出两个子模块,包括评价结果和统计结果导出。评价结果导出子模块主要完成将学校移动互联网信息安全风险评价的文档导出的功能;统计结果评价导出子模块主要完成将统计分析结果文档导出的功能。
2.3.3 评价指标
设计高校移动互联网信息安全评价一级指标,包括移动终端系统漏洞、用户安全措施、运营商安全措施、高校移动业务安全措施、外部风险,它们的分值比例分别为10%,30%,20%,20%和20%。系统漏洞主要是针对用户移动终端安卓、IOS等系统的漏洞进行综合评价;用户安全措施主要是针对自身的防范意识进行调查统计评价,加强自身防范很重要,所以分值很高;运营商安全措施指参与校园网运营的如移动、联通运营商的网络安全状况进行统计评价;高校移动业务安全措施包括如教务系统、一卡通等通过移动终端访问或支付的校园网移动业务信息安全状况调查评价;外部风险包括内外网遭受的网络攻击状况调研。
高校移动互联网信息安全评价结果=移动终端系统漏洞评价分值*10%+用户安全措施评价分值*30%+运营商安全措施评价分值*20%+高校移动业务安全措施评价分值*20%+外部风险*20%。每个二级指标中都会设计相应的打分题目,打分题目一般设计五个选项,每个选项赋予1到5分不等的分值,根据打分分值最终得到具体的分数,然后通过系统内部公式处理,得到各类一级指标的得分,依据相应权值,算出最终评价分值,系统自动对应确定安全评价级别,分值越高对应的级别越高,评价级别分为5级,根据分项选择和等级结果,系统会提示输出相应的建议方案。如图1。
3 高校移动互联网的信息安全风险评价系统应用效果
①应用评价系统对具体高校的互联网信息安全进行评估,依据评估结果和建议,及时采取相关措施提高高校移动互联应用的安全性。河南牧业经济学院无线网实现了三个校区无线WIFI全覆盖,部署了无线上网身份认证系统和上网行为管理系统,并研发了适合智能终端访问的App应用,如学校主页、网络学习空间、校内办公网、移动图书馆、校园一卡通系统、教务管理系统、学校微信公众号、各类QQ、微信、微博、论坛等社交群等,为全校师生通过移动互联网访问学校资源提供了平台。应用研发的移动互联网信息安全风险评价系统对河南牧业经济学院的移动互联网应用的信息安全风险进行评估,对3万多师生的移动互联网应用访问情况进行分析,有72%的学生使用了移动智能终端访问学校的移动互联网应用,有55%的学生访问学校移动互联网应用的密码为弱密码、学校的APP应用缺乏入侵检测系统和相应的安全控制策略、有47%的学生智能终端没有安装防护软件、有63%的学生智能终端没有设置开机密码、有39%的学生智能终端系统没有及时升级或无法升级等问题,针对存在的这些问题,已经通过系统评价建议反馈给学生,并依据评价建议增加了安全防护设备,大大提高了移动互联网应用的安全性,通过评价系统可以及时掌握移动互联网应用信息安全情况,为高校移动互联网应用提供重要的安全保障。
②为高校各部门防范移动互联网应用中的安全风险提供重要依据,以降低移动互联网应用中的安全威胁因素。高校领导层通过高校移动互联网信息安全风险评价系统快速监控学校各级职能部门上报的信息安全数据,重点监控风险高发部门,并责令其提出整改措施,增加安全防护设备,通过一年的使用情况来看,移动互联网应用中的各类安全风险事件降低了60%左右,大大提高了移动互联网应用的安全性。
③依据移动互联网信息安全风险评估报告中体现出来的信息安全薄弱环节,加强安全教育和引导,提高广大师生在移动互联网应用中的安全风险防范意识。高校各级职能部门负责人可以从高校移动互联网信息安全风险评价系统中认识到管理薄弱环节,提高风险意识,加强自身制度建设和人员管理,加强师生信息安全教育和防范意识,防范风险,实现移动互联网应用中的信息安全风险监控的常态化。
4 结束语
随着移动互联网技术的快速发展和广泛应用,基于移动互联网的信息系统安全问题变得愈加复杂。结合目前高校移动互联网安全的新需求,开发基于移动互联网的信息安全风险评价系统,针对高校存在的不确定移动互联网安全风险因素,进行收集整理,形成分类、量化、系统的风险评价数据信息,为高校移动互联网信息安全风险管理决策提供理论依据和技术平台。
作者:张淋江 刘志龙 来源:价值工程 2016年6期
