王卓紅

(大連海事大學(xué)，遼寧 大連 116026)

高校數(shù)字化建設(shè)的發(fā)展已經(jīng)使校園信息系統(tǒng)成為學(xué)校教學(xué)、科研、管理等各項(xiàng)工作得以正常運(yùn)轉(zhuǎn)的基礎(chǔ)環(huán)境。作為數(shù)字化的必然結(jié)果，越來(lái)越多的信息在網(wǎng)絡(luò)系統(tǒng)中得以體現(xiàn)，包括學(xué)校的資產(chǎn)數(shù)據(jù)和全體教職員工及學(xué)生的個(gè)人信息。在這一背景下，學(xué)校信息系統(tǒng)就會(huì)成為不法分子謀取商業(yè)利益或達(dá)到其他目的的攻擊對(duì)象。因此，信息安全已成為校園安全的重要組成部分，數(shù)字化校園背景下的個(gè)人信息保護(hù)［3］也顯得尤為重要。

一、信息安全和個(gè)人信息保護(hù)

信息安全指的是確保信息的保密性、完整性和可用性以及真實(shí)性、責(zé)任性和可靠性，即保障信息系統(tǒng)中的數(shù)據(jù)不泄露、不丟失、不被篡改，使信息系統(tǒng)能夠連續(xù)穩(wěn)定地運(yùn)行，信息服務(wù)不中斷。個(gè)人信息是指與存在個(gè)體相關(guān)的、并且可用于識(shí)別特定個(gè)體的信息，如姓名、生日、個(gè)人證件號(hào)碼、標(biāo)志或其他記號(hào)、電話號(hào)碼、圖像或錄音以及其他相關(guān)信息，家庭狀況、健康狀況、資產(chǎn)收入、個(gè)人經(jīng)歷等都屬于個(gè)人信息范疇。

學(xué)校的個(gè)人信息包括干部信息、管理人員信息、教師信息、科研人員信息、工人信息、臨時(shí)工信息、退休人員信息、學(xué)生信息以及與以上人員相關(guān)的家屬信息，還有校友信息關(guān)系單位的個(gè)人信息等。隨著高校數(shù)字化建設(shè)的發(fā)展，教師及學(xué)生的個(gè)人信息泄露的風(fēng)險(xiǎn)性越來(lái)越高，隨之給人們生命財(cái)產(chǎn)帶來(lái)的威脅也越來(lái)越大。在高校的數(shù)字化建設(shè)中應(yīng)當(dāng)加強(qiáng)個(gè)人信息的保護(hù)，這也是高校取得公眾信任的一項(xiàng)必要條件。

二、當(dāng)前高校個(gè)人信息保護(hù)存在的主要問(wèn)題

在校園信息系統(tǒng)中個(gè)人信息安全威脅主要包括:意外事故和設(shè)備故障;因安全意識(shí)不強(qiáng)、知識(shí)和技術(shù)欠缺導(dǎo)致的人為失誤;黑客攻擊;網(wǎng)絡(luò)技術(shù)漏洞;計(jì)算機(jī)病毒等。高等學(xué)校作為人才培養(yǎng)、科學(xué)培養(yǎng)的場(chǎng)所，與其他社會(huì)組織相比具有特殊性。當(dāng)前，隨著高校數(shù)字化建設(shè)的深入，個(gè)人信息保護(hù)存在以下主要問(wèn)題。

(1)用戶的安全意識(shí)有待提高。信息安全不僅要依賴技術(shù)手段的支持，更需要依賴有關(guān)政策、管理制度，需要全體人員共同參與。學(xué)生是校園網(wǎng)用戶中的主體，他們思想活躍，易于接受新事物，但是由于他們?nèi)狈ι鐣?huì)經(jīng)驗(yàn)，再加上有些學(xué)生缺乏責(zé)任意識(shí)和信息安全意識(shí)，往往會(huì)成為校園信息安全麻煩的制造者。

(2)計(jì)算機(jī)病毒交叉感染。在校園的一些公共場(chǎng)所，如計(jì)算機(jī)房、實(shí)驗(yàn)室、多媒體教室，往往成為各種計(jì)算機(jī)病毒的“集散地”。計(jì)算機(jī)病毒的交叉感染，會(huì)造成信息泄露、被篡改等。

(3)由于教學(xué)和科研的特殊性，教師用戶希望得到寬松的信息環(huán)境，這種愿望往往會(huì)對(duì)信息安全造成威脅。

(4)學(xué)校的網(wǎng)絡(luò)系統(tǒng)和各個(gè)部門(mén)的信息系統(tǒng)缺乏統(tǒng)一調(diào)控。各個(gè)部分的信息系統(tǒng)的安全建設(shè)和管理存在差距。

(5)安全操作技能有待提高。由于高校信息化是新生事物，一些用戶缺乏計(jì)算機(jī)、網(wǎng)絡(luò)知識(shí)與操作技能，也會(huì)增加人為失誤的可能性。

三、應(yīng)對(duì)高校個(gè)人信息保護(hù)問(wèn)題的主要措施

學(xué)校作為國(guó)家培養(yǎng)人才的場(chǎng)所，一方面要加強(qiáng)個(gè)人信息管理，防止發(fā)生個(gè)人信息泄露事件;另一方面要根據(jù)校園個(gè)人信息的特殊性和校園特殊的管理環(huán)境，制定校園個(gè)人信息保護(hù)的具體規(guī)定。根據(jù)當(dāng)前高校個(gè)人信息保護(hù)存在的主要問(wèn)題，筆者認(rèn)為當(dāng)前高校校園個(gè)人信息保護(hù)應(yīng)采取如下措施。

1．加強(qiáng)個(gè)人信息保護(hù)培訓(xùn)教育

對(duì)教職工分期分批進(jìn)行培訓(xùn)，特別是參與信息發(fā)布、信息收集和維護(hù)相關(guān)數(shù)據(jù)庫(kù)的教職員工。加強(qiáng)教職員工的個(gè)人信息安全保護(hù)意識(shí)。為了檢驗(yàn)培訓(xùn)效果，在培訓(xùn)結(jié)束時(shí)，要對(duì)參加培訓(xùn)人員進(jìn)行書(shū)面考試，同時(shí)要用書(shū)面的方式征求全員意見(jiàn)，對(duì)培訓(xùn)效果進(jìn)行評(píng)價(jià)，以便今后的改進(jìn)。同時(shí)，把個(gè)人信息保護(hù)的意識(shí)和知識(shí)灌輸給學(xué)生，以便將來(lái)他們畢業(yè)后能夠很快地適應(yīng)所在單位個(gè)人信息保護(hù)工作的需求。

2．設(shè)立個(gè)人信息保護(hù)組織機(jī)構(gòu)

在高校保衛(wèi)部門(mén)設(shè)立信息安全部門(mén)，主要負(fù)責(zé)以下事務(wù):一是信息安全設(shè)備的日常監(jiān)控。對(duì)單位制定的個(gè)人信息保護(hù)體系的運(yùn)用狀況進(jìn)行日常檢查和按計(jì)劃內(nèi)審的規(guī)定;檢查是確認(rèn)各部門(mén)或各崗位是否按體系建立的相關(guān)規(guī)定實(shí)施，并在日常工作中，對(duì)發(fā)現(xiàn)的問(wèn)題不斷地進(jìn)行改善和預(yù)防。內(nèi)審是在組織內(nèi)部相關(guān)負(fù)責(zé)人的領(lǐng)導(dǎo)下或聘請(qǐng)外部專家，定期對(duì)本單位個(gè)人信息保護(hù)體系的整體運(yùn)行狀況進(jìn)行監(jiān)督，如體系是否符合單位的實(shí)際需求。

二是對(duì)個(gè)人信息保護(hù)管理體系所要求的文檔進(jìn)行有效控制，確保各相關(guān)場(chǎng)所使用的版本具有一致性、有效性，保證其信息的保密性、完整性、可用性。

三是處理信息安全事件。一旦發(fā)生個(gè)人信息的丟失、泄露、損壞等事件時(shí)，為保護(hù)學(xué)校日常活動(dòng)的持續(xù)性，建立預(yù)防措施和處理方案，將緊急事件所造成的影響降低到最小。

四是對(duì)違反個(gè)人信息保護(hù)規(guī)定的教職工或?qū)W生進(jìn)行公正有效的處罰的規(guī)定，它有利于強(qiáng)化全員的個(gè)人信息保護(hù)意識(shí)，有效防止個(gè)人信息安全事故的發(fā)生。本著提高教職工、學(xué)生的個(gè)人信息保護(hù)意識(shí)、降低個(gè)人信息安全事故為原則，糾正違紀(jì)違規(guī)行為。本著處罰與教育相結(jié)合的原則，引導(dǎo)教職工、學(xué)生自覺(jué)遵守個(gè)人信息安全規(guī)定。對(duì)教職工、學(xué)生的任何處理決定應(yīng)當(dāng)公開(kāi)進(jìn)行，但涉及個(gè)人隱私及學(xué)校秘密的除外。對(duì)教職工、學(xué)生違紀(jì)處罰應(yīng)在查清事實(shí)的基礎(chǔ)上，根據(jù)情節(jié)，依據(jù)規(guī)定以口頭或書(shū)面形式給予處罰。被處罰者對(duì)處罰決定享有陳述、申辯的權(quán)利。對(duì)處理決定不服從的有權(quán)申請(qǐng)上級(jí)部門(mén)復(fù)查。

對(duì)來(lái)自各個(gè)部門(mén)及社會(huì)上的意見(jiàn)和建議給予及時(shí)的反饋，以防止由于沒(méi)有妥善的處理而使事件復(fù)雜化。應(yīng)將各種意見(jiàn)和建議，作為審查個(gè)人信息保護(hù)體系符合性的寶貴意見(jiàn)。該規(guī)定應(yīng)詳細(xì)論述投訴、建議的收集;投訴、建議的分析整理;實(shí)施應(yīng)對(duì)措施;投訴、建議的反饋。

對(duì)個(gè)人信息保護(hù)檢查、內(nèi)審過(guò)程中發(fā)現(xiàn)的不符合事項(xiàng)進(jìn)行糾正、跟蹤;對(duì)學(xué)校的個(gè)人信息保護(hù)規(guī)章制度存在的缺陷及時(shí)改進(jìn)和完善，對(duì)改進(jìn)后的情況進(jìn)行評(píng)估，保證個(gè)人信息保護(hù)規(guī)章制度的持續(xù)改進(jìn)和不斷提高。

3．增強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)

在校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)方面主要是硬件建設(shè)和軟件建設(shè)。硬件建設(shè)是在學(xué)校資金允許的條件下更新網(wǎng)絡(luò)運(yùn)行設(shè)備。軟件建設(shè)包括:部署防火墻，防止校園網(wǎng)內(nèi)容被竊取、篡改、泄露等事件;加強(qiáng)郵件服務(wù)器的監(jiān)控、加密解密措施，設(shè)置垃圾郵件過(guò)濾系統(tǒng)和防病毒郵件系統(tǒng);設(shè)置桌面防病毒系統(tǒng)，做好漏洞補(bǔ)丁管理和發(fā)布系統(tǒng);加強(qiáng)各網(wǎng)站、服務(wù)器、電腦防黑客攻擊的措施。另外，用網(wǎng)絡(luò)收集個(gè)人信息時(shí)，必須用SSL 等加密措施進(jìn)行信息保護(hù)。

4．加強(qiáng)信息保護(hù)技術(shù)物理安全管理

要加強(qiáng)校園及各部門(mén)，特別是信息數(shù)據(jù)集中的部門(mén)出入權(quán)限的管理;加強(qiáng)辦公環(huán)境及設(shè)備的防盜、防災(zāi)的管理;加強(qiáng)個(gè)人信息文檔的保管管理;加強(qiáng)訪問(wèn)信息的控制管理;在校園各重要場(chǎng)所設(shè)置電子監(jiān)控等。

四、結(jié) 語(yǔ)

高校是人員及人員信息集中的地方，一旦發(fā)生了個(gè)人信息泄漏事件，不僅會(huì)對(duì)很多人生命財(cái)產(chǎn)造成損失，也會(huì)給學(xué)校的聲譽(yù)造成不良影響。為避免這種情況發(fā)生，必需教育全員按照相關(guān)規(guī)定執(zhí)行。個(gè)人信息保護(hù)的實(shí)施貴在日常防范，只有領(lǐng)導(dǎo)重視，規(guī)章制度健全，培訓(xùn)到位，全員努力遵守，才會(huì)萬(wàn)無(wú)一失。

［1］趙 侃．校園網(wǎng)絡(luò)信息安全狀況分析及解決方案［J］．軟件導(dǎo)刊，2011(10) : 116－117．

［2］傅 星．校園信息化背景下的信息安全［J］．首都經(jīng)濟(jì)貿(mào)易大學(xué)學(xué)報(bào)，2010(4) : 123－128．

［3］遼寧質(zhì)量技術(shù)監(jiān)督局．信息安全個(gè)人信息保護(hù)規(guī)范(DB21/T1628．1－2012) ［EB/OL］．(201－02－07) http: //www．dsia．org．cn/NewsDet ail．a(chǎn)sp? ID= 2881．