傅鋼善，李運福，李享陽

（1.陜西師范大學(xué)教育技術(shù)系，陜西西安 710062；

2.陜西省教育廳信息與學(xué)校保障工作處，陜西西安 710062）

陜西省教育系統(tǒng)網(wǎng)絡(luò)信息安全管理問題與對策研究

傅鋼善1，李運福1，李享陽2

（1.陜西師范大學(xué)教育技術(shù)系，陜西西安 710062；

2.陜西省教育廳信息與學(xué)校保障工作處，陜西西安 710062）

參考公安部、國務(wù)院等四部委2007年頒發(fā)的《信息安全等級保護管理辦法》以及信息安全保護等級的相關(guān)文獻，以陜西省教育廳信息與學(xué)校保障工作處于2011年10月對陜西省教育系統(tǒng)各單位發(fā)放的《陜西省教育系統(tǒng)網(wǎng)絡(luò)信息安全調(diào)查問卷》所得數(shù)據(jù)為基礎(chǔ)，文章從管理的角度對陜西省教育系統(tǒng)管理現(xiàn)狀做了進一步分析，在此基礎(chǔ)上提出了針對性措施，希望對我國教育系統(tǒng)網(wǎng)絡(luò)信息安全的保障有所啟示。

教育系統(tǒng)；網(wǎng)絡(luò)信息安全；現(xiàn)狀；對策

引言

網(wǎng)絡(luò)技術(shù)的發(fā)展使網(wǎng)絡(luò)在教育系統(tǒng)的應(yīng)用越來越廣泛。然而，近年來發(fā)生的各種網(wǎng)絡(luò)安全事件，使網(wǎng)絡(luò)信息安全的問題日益突出，雖然國家相關(guān)部門針對網(wǎng)絡(luò)安全提出了不同的要求，但是這并沒有改變教育系統(tǒng)內(nèi)網(wǎng)絡(luò)安全問題，其主要根源是管理存在問題，因此，針對教育系統(tǒng)中的網(wǎng)絡(luò)管理現(xiàn)狀進行調(diào)查，針對問題建立一套合理的對策是一個亟須完成的任務(wù)。

一、教育系統(tǒng)網(wǎng)絡(luò)安全管理調(diào)研

筆者選取了陜西省教育系統(tǒng)內(nèi)86所單位 （其中包括陜西省教育系統(tǒng)下屬的普通高校：普通高等院校、成人高等學(xué)校、獨立學(xué)院、直屬中等專業(yè)學(xué)校，直屬中小學(xué)：西安中學(xué)、西安小學(xué)，各級教育行政部門）進行調(diào)查，選取主管領(lǐng)導(dǎo)與責任部門、安全管理制度、安全管理機構(gòu)、人員作為四個觀測點，并對數(shù)據(jù)進行統(tǒng)計分析，具體數(shù)據(jù)如下：

1.主管領(lǐng)導(dǎo)與責任部門層次，60.5%的單位具有專門主管網(wǎng)絡(luò)信息安全的工作部門 （如網(wǎng)絡(luò)中心、教育技術(shù)/電教中心、信息中心等），其余單位則主要由黨政辦公室、教務(wù)處、實驗教學(xué)中心、辦公室等部門兼管；各單位雖均設(shè)有責任部門負責人，但最終領(lǐng)導(dǎo)權(quán)仍歸該單位內(nèi)副校長、黨委書記、副院長等具有一定行政職務(wù)的人員所有。

2.安全管理制度層次，高達93%的單位制定了不同程度的網(wǎng)絡(luò)安全規(guī)章制度，結(jié)果較為樂觀。然而，各單位間差異性程度 sig=.039＜.05，即各單位間存在一定的差異。在制定網(wǎng)絡(luò)安全管理制度的單位中，僅有67.53%的單位對該網(wǎng)絡(luò)安全管理制度進行定期的評議和修訂，比例偏低。但是，差異性程度sig=.274＞.05，各單位間不存在差異。

3.安全管理機構(gòu)層次，有61.6%的單位設(shè)置了系統(tǒng)管理員崗位，90.7%的單位設(shè)置了網(wǎng)絡(luò)管理員崗位，51.2%的單位設(shè)置了安全管理員崗位。經(jīng)進一步分析，各單位間顯著性差異程度分別為.280、.799和.236，即均不存在差異。結(jié)果如圖1所示。

通過進一步分析，在安全管理崗位設(shè)置中，僅設(shè)置其中一項崗位的單位占到總數(shù)的30.23%，僅設(shè)置其中任意兩項崗位的單位占到總數(shù)的36.05%，三項崗位全部設(shè)置的占總數(shù)的33.73%。在所統(tǒng)計的單位至少設(shè)置兩項安全管理崗位居多，占總數(shù)的69.78%。對各單位中專職安全管理人員的數(shù)量進行統(tǒng)計，結(jié)果如圖2所示。

專職人員數(shù)量在3人及3人以上占總數(shù)的51.2%，且差異性程度sig=0.199＞0.05，各單位間不存在差異。但是，與各單位平均專業(yè)技術(shù)人員統(tǒng)計結(jié)果（專業(yè)技術(shù)人員平均數(shù)量為5人，最少1人，最多14人）相比仍有一定差距。在安全檢查方面，93%的單位內(nèi)部人員或上級單位對本單位網(wǎng)絡(luò)信息安全進行定期、全面地安全檢查，且各單位間不存在差異，較為樂觀。

4.安全管理人員層次，通過數(shù)據(jù)分析在人員錄用、人員離崗、人員考核以及人員培訓(xùn)方面具有嚴格管理制度的單位統(tǒng)計如圖3所示。

顯然，在宏觀方面，人員離崗和人員培訓(xùn)方面欠缺，均不到50%。具備任意一項人員管理制度的占總數(shù)的26.74%，具備任意兩項人員管理制度的占29.07%，具備任意三項人員管理制度的占23.26%，四項人員管理制度兼?zhèn)涞恼伎倲?shù)29.07%，基本分布均勻。且各單位在人員管理制度方面的差異性程度sig分 別 為 .246、.252、.651 以及.597，均不存在差異。

此外，各單位在系統(tǒng)建設(shè)、運維方面，通過數(shù)據(jù)分析表明，僅有52.30%的單位能夠明確信息系統(tǒng)的邊界以及安全保護等級，單位間差異性程度sig為.798,不存在差異；能夠?qū)挝还┡潆?、空調(diào)以及溫濕度控制等環(huán)境設(shè)施以及系統(tǒng)中的軟硬件設(shè)備進行定期檢查和維護的單位分別占到86%和95.30%，各單位間均不存在顯著性差異。

二、教育系統(tǒng)中網(wǎng)絡(luò)安全管理存在的主要問題

通過數(shù)據(jù)分析表明，我省教育系統(tǒng)中網(wǎng)絡(luò)安全管理存在的主要問題有：

1.管理機制不健全

部分單位未成立專門負責網(wǎng)絡(luò)信息安全的責任部門，仍由其他教學(xué)或行政部門兼管，并且最終領(lǐng)導(dǎo)權(quán)或決策權(quán)主要集中于單位內(nèi)高層行政領(lǐng)導(dǎo)。

2.管理制度不完善

雖然絕大部分單位制定了網(wǎng)絡(luò)信息安全相關(guān)制度，但是能夠?qū)ζ溥M行定期評議和修訂的比例相對不足，無法保證制度與時代、技術(shù)的同步變革，缺乏先進性。

3.管理機構(gòu)不健全

各單位中管理崗位設(shè)置不均勻，其中設(shè)置網(wǎng)絡(luò)管理員的占絕大多數(shù)，系統(tǒng)管理員與安全管理員相對不足，三項崗位均設(shè)置的單位占總數(shù)的33.73%，以設(shè)置兩項及以上崗位居多，崗位設(shè)置不全面就會造成一崗多職、責任不明確等弊端；其次專業(yè)技術(shù)人員數(shù)量相對不足，且專業(yè)化程度不高。

4.管理人員松懈、缺乏培訓(xùn)

各單位中人員管理制度設(shè)置不全面，單獨設(shè)立其中任意一項、兩項或三項的比例相對均勻，但比例較低，僅為30%左右，人員錄用、離崗、考核和培訓(xùn)四方面全部制定嚴格的管理制度的單位僅為29.07%，尤其缺乏對離崗人員的嚴格管理制度；其次是缺乏對管理人員的培訓(xùn)，不能保持人員在技術(shù)和管理方面頭腦的先進性。

此外，通過相關(guān)分析，教育系統(tǒng)中網(wǎng)絡(luò)安全管理還存在著網(wǎng)絡(luò)管理人員和用戶的網(wǎng)絡(luò)安全意識相對較低、單位在網(wǎng)絡(luò)建設(shè)方面缺乏專項資金的投入以及與外部網(wǎng)絡(luò)安全公司或部門缺乏交流與合作等問題，這些管理層面的問題都將在不同程度上影響著單位內(nèi)網(wǎng)絡(luò)信息的安全，亟待解決。

三、網(wǎng)絡(luò)安全管理的建議

通過上述分析，我省教育系統(tǒng)網(wǎng)絡(luò)安全管理存在的主要問題除管理制度制定方面以外，其余問題各單位均有共同特征。因此，面對越來越嚴峻的網(wǎng)絡(luò)安全形勢，我們針對上述教育系統(tǒng)中網(wǎng)絡(luò)安全管理存在的主要問題提出以下建議。

1.健全管理機制，加強領(lǐng)導(dǎo)

各單位領(lǐng)導(dǎo)應(yīng)充分認識到保障網(wǎng)絡(luò)信息安全的必要性，根據(jù)自身實際設(shè)立類似網(wǎng)絡(luò)管理中心或信息中心等專門管理單位網(wǎng)絡(luò)信息的部門，并由專業(yè)且經(jīng)驗豐富的人員擔任該部門主要負責人；領(lǐng)導(dǎo)權(quán)或決策權(quán)在一定程度上由院長、副院長等領(lǐng)導(dǎo)指導(dǎo)下劃歸該部門負責人，形成行政與業(yè)務(wù)分層領(lǐng)導(dǎo)。

2.定期評議、完善安全管理制度，保持其先進性

安全制度管理層次，各單位應(yīng)根據(jù)自身實際，委托或授權(quán)專門人員或部門制定包括信息發(fā)布登記制度、信息內(nèi)容審核制度、用戶備案制度、安全教育培訓(xùn)制度以及電子公告系統(tǒng)的用戶登記和信息管理制度等在內(nèi)的較為全面的網(wǎng)絡(luò)安全管理制度以及各項管理人員或系統(tǒng)人員執(zhí)行的日常行為規(guī)范或守則，形成一個由安全策略、管理制度、操作規(guī)程等元素構(gòu)成的較為全面的網(wǎng)絡(luò)信息安全管理制度體系；網(wǎng)絡(luò)安全管理制度在發(fā)布之前要經(jīng)過專門人員或部門根據(jù)單位實際進行鑒定，且對制度的發(fā)布和登記等環(huán)節(jié)進行嚴格控制；制度在實施過程中應(yīng)根據(jù)實際需求進行適當調(diào)節(jié)，由單位內(nèi)專門技術(shù)人員提出修改建議，經(jīng)專家或相應(yīng)部門許可后方可執(zhí)行；定期組織單位內(nèi)外技術(shù)人員對制度根據(jù)技術(shù)的變遷以及社會經(jīng)驗等進行適當?shù)脑u議和修訂，保證單位內(nèi)管理制度的先進性。

3.健全網(wǎng)絡(luò)安全管理機構(gòu)

安全管理機構(gòu)層次，各單位根據(jù)實際，適當?shù)匾M系統(tǒng)管理人員以及安全管理人員。在一定程度上使單位內(nèi)的技術(shù)人員覆蓋范圍較為全面，尤其是專職的網(wǎng)絡(luò)信息安全管理人員，提高管理人員專業(yè)化程度，各崗位人員的職責明確化；加強與單位外部專業(yè)技術(shù)人員以及系統(tǒng)相應(yīng)軟硬件公司間的溝通與交流，保持頭腦的與時俱進；組織專業(yè)技術(shù)人員加強對網(wǎng)絡(luò)進行安全檢查，匯總檢查數(shù)據(jù)，形成檢查報告，并將檢查結(jié)果進行及時通報，對檢查出的網(wǎng)絡(luò)安全問題進行及時商議和修訂。

4.完善人員管理，促進內(nèi)外交流

人員安全管理層次，加強或設(shè)置嚴格的人員錄用、離崗、考核以及培訓(xùn)制度，尤其是人員離崗或人員培訓(xùn)制度。對于離崗人員應(yīng)辦理嚴格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗前須承諾調(diào)離后的保密義務(wù)，并及時終止離崗員工的所有訪問權(quán)限；通過調(diào)查數(shù)據(jù)分析，65.1%的單位認為網(wǎng)絡(luò)技術(shù)人員與用戶的安全意識薄弱是造成各種網(wǎng)絡(luò)安全的主要原因。因此，加強網(wǎng)絡(luò)管理人員與用戶的安全意識，并對各崗位管理與技術(shù)人員提供針對性的技能培訓(xùn)，尤其是關(guān)鍵崗位的技術(shù)人員，為其提供盡可能多的深造與交流的機會。

此外，通過調(diào)查分析，62.8%的單位認為缺乏網(wǎng)絡(luò)安全專項資金的投入是造成教育系統(tǒng)網(wǎng)絡(luò)信息安全問題的另一主要原因。因此，各教育行政部門、各單位適當加強教育系統(tǒng)內(nèi)在網(wǎng)絡(luò)信息安全保護方面專項資金的投入，以保障專業(yè)技術(shù)人員的引進與培訓(xùn)、系統(tǒng)內(nèi)各項軟硬件設(shè)備的及時升級與更新（尤其是關(guān)鍵設(shè)備）以及網(wǎng)絡(luò)系統(tǒng)運行環(huán)境的改善。

小結(jié)

總之，我們在利用各種技術(shù)手段從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全以及數(shù)據(jù)安全等層面提高單位內(nèi)網(wǎng)絡(luò)信息安全性能的同時，也要不斷加強和完善主管領(lǐng)導(dǎo)與責任部門、制度安全、人員安全、系統(tǒng)建設(shè)與運維等管理層面的各項措施。做到技術(shù)和管理相輔相成，共同提升網(wǎng)絡(luò)在教育信息化中的關(guān)鍵作用。

[1]公安部辦公廳.關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知.2007年6月27日.

[2]計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法.公安部第33號令.

[3]教育部辦公廳關(guān)于進一步加強網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知.教辦廳函[2011]83號.

[4]教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知.教辦廳函[2009]80號.

（編輯：郭桂真）

TP315

A

1673-8454（2012）04-0015-03