陸松

【摘 要】近年來，黑客、病毒、釣魚軟件等非法侵入各級(jí)院校網(wǎng)絡(luò)頻繁發(fā)生，使得院校信息安全受到嚴(yán)重威脅。維護(hù)信息安全是推動(dòng)院校信息化建設(shè)的前提保障，為此，文章從當(dāng)前院校信息安全風(fēng)險(xiǎn)出發(fā)，分析了存在的問題，并提出了維護(hù)院校信息安全的保障策略，希望有所幫助。

【關(guān)鍵詞】院校 信息安全 風(fēng)險(xiǎn) 保障策略

一、緒論

院校信息安全指的是保證信息自身、信息處理以及信息利用的安全，確保院校信息的完整性、機(jī)密性、可用性。院校信息安全內(nèi)容主要包括三個(gè)方面：一是院校網(wǎng)絡(luò)設(shè)備的安全；二是系統(tǒng)運(yùn)行的安全，例如信息系統(tǒng)不被損壞、篡改等；三是流通數(shù)據(jù)的安全，例如院校網(wǎng)絡(luò)內(nèi)流通的數(shù)據(jù)不被盜用、增刪等。

近年來，伴隨信息時(shí)代環(huán)境的影響，引發(fā)各級(jí)院校信息安全的要素越來越多，例如黑客、病毒、釣魚軟件等非法侵入系統(tǒng)，使得院校公共信息、科研資料信息、師生個(gè)人信息等被竊取和泄露。而維護(hù)信息安全作為推動(dòng)各級(jí)院校信息化的前提保障，只有深入分析院校信息安全存在的風(fēng)險(xiǎn)，才能采取有效的策略保障信息安全。

二、當(dāng)前院校信息安全存在的風(fēng)險(xiǎn)問題

（一）對(duì)院校信息安全認(rèn)識(shí)不足，防護(hù)不夠

一是作為管理院校信息的工作人員，他們本身的安全意識(shí)不強(qiáng)。管理院校信息的工作人員缺乏專業(yè)的信息安全培訓(xùn)教育，尤其防病毒、防黑客的意識(shí)不強(qiáng)，例如對(duì)外來的惡意攻擊缺乏有效的防御措施?；蛘呤且恍┰盒Ｐ畔踩幱诖罱A段，專業(yè)性的信息安全人才匱乏，造成院校信息安全體系形同虛設(shè)，漏洞百出。

二是作為使用院校網(wǎng)絡(luò)信息的人員，他們對(duì)信息安全缺乏保護(hù)意識(shí)。例如，學(xué)生們對(duì)學(xué)校信息安全認(rèn)識(shí)不深，認(rèn)為維護(hù)信息安全是學(xué)校的事，與自己使用信息無關(guān)，進(jìn)而導(dǎo)致學(xué)生們無意中泄露了信息，使得黑客、病毒、釣魚軟件有機(jī)可乘，最終找到入侵口對(duì)學(xué)校信息系統(tǒng)進(jìn)行篡改破壞。

三是對(duì)院校信息系統(tǒng)未能定時(shí)檢查并對(duì)漏洞進(jìn)行及時(shí)修復(fù)。例如，一些防護(hù)信息安全的軟件存在一定缺陷，但是院校信息安全管理人員未能及時(shí)下載更新安裝，導(dǎo)致黑客、病毒、釣魚軟件等有機(jī)可攻擊。

（二）院校信息安全制度不完善，管理存漏洞

盡管各院校目前的信息化建設(shè)非常迅速，然而絕大多數(shù)院校在信息安全的監(jiān)管上還是存在較為嚴(yán)重的漏洞。例如，一些院校的信息安全管理制度尚未健全完善，院校對(duì)信息管理部門的監(jiān)管還較為松懈，雖然己建有總體規(guī)章制度，但是對(duì)于具體精細(xì)的監(jiān)督和管理缺乏明確的機(jī)制，導(dǎo)致監(jiān)管機(jī)構(gòu)形同虛設(shè)，無法真正地履行應(yīng)負(fù)的職責(zé)。另一方面是缺乏對(duì)校園突發(fā)信息安全問題的應(yīng)急處置機(jī)制，導(dǎo)致問題出現(xiàn)后未能及時(shí)有效地處理。

（三）院校信息安全經(jīng)費(fèi)投入欠缺，保障設(shè)施不足

院校數(shù)字信息化建設(shè)是一項(xiàng)巨大的工程，包括信息安全保障設(shè)施、信息安全管理人員、數(shù)字信息服務(wù)的提供以及軟硬件系統(tǒng)設(shè)施的更新維護(hù)都需要經(jīng)費(fèi)，然而各院校投入到信息安全的資金非常有限。例如，通常保障院校信息安全的設(shè)施成本比較高，再加上信息風(fēng)險(xiǎn)的產(chǎn)生存在不確定性，這就使得有些院校領(lǐng)導(dǎo)認(rèn)為信息安全的防范可有可無，或者一些極少可能發(fā)生的防范就省略掉，認(rèn)為做好常規(guī)防范就行，進(jìn)而節(jié)約了院校網(wǎng)絡(luò)的運(yùn)營(yíng)成本，減少了對(duì)院校網(wǎng)絡(luò)安全維護(hù)不必要的經(jīng)費(fèi)投入。正是這些漏洞，往往導(dǎo)致網(wǎng)絡(luò)不安全因素從忽視的地方入侵，進(jìn)而危害整個(gè)校園網(wǎng)絡(luò)的安全。

（四）院校目前應(yīng)對(duì)大數(shù)據(jù)、云計(jì)算、BYOD等安全問題的方案尚未成熟

目前，隨著手機(jī)的智能化，越來越多的智能手機(jī)參與到PC的操作中來，使得信息的獲取更加快速便捷。然而，在實(shí)踐中我們發(fā)現(xiàn)，部分院校尚未制訂有關(guān)于BYOD、云計(jì)算、大數(shù)據(jù)等的安全管理舉措，這就使得廣大師生無意間出現(xiàn)丟失賬號(hào)、泄露數(shù)據(jù)、操作不當(dāng)?shù)刃袨?，進(jìn)而使院校網(wǎng)絡(luò)遭受到外部的惡意攻擊。為此，如何規(guī)范廣大師生在學(xué)習(xí)工作場(chǎng)合正確使用自己的移動(dòng)設(shè)備維護(hù)學(xué)校的信息安全成了師生們共同的任務(wù)之一。

三、保障院校信息安全的策略

（一）加強(qiáng)信息主體的安全知識(shí)教育培訓(xùn)，強(qiáng)化防護(hù)網(wǎng)絡(luò)安全的意識(shí)

一是不斷強(qiáng)化各院校信息主體在國(guó)外與國(guó)內(nèi)信息安全方面的法律法規(guī)的教育培訓(xùn)，切實(shí)增強(qiáng)廣大師生們維護(hù)信息安全的法律意識(shí)。例如，院校可以定期與不定期組織學(xué)校負(fù)責(zé)信息管理的工作人員以及師生們共同來學(xué)習(xí)網(wǎng)絡(luò)安全管理制度，計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法，信息發(fā)布審核、登記制度等國(guó)內(nèi)外信息安全法律法規(guī)的培訓(xùn)教育，向廣大師生和信息管理人員普及信息安全知識(shí)，不斷提升廣大師生和信息管理人員的安全保密意識(shí)，使廣大師生和信息管理人員明白維護(hù)院校信息安全的重要意義，營(yíng)造維護(hù)院校信息安全“人人有責(zé)”的良好氛圍，最大限度地調(diào)動(dòng)廣大師生在維護(hù)信息安全當(dāng)中的主體作用。

二是在師生中開展信息安全技術(shù)教育培訓(xùn)，切實(shí)提升廣大師生防范信息安全風(fēng)險(xiǎn)的能力。例如，舉辦計(jì)算機(jī)技能培訓(xùn)、網(wǎng)絡(luò)維護(hù)技能培訓(xùn)以及教會(huì)師生們簡(jiǎn)易的網(wǎng)絡(luò)防御技能。

（二）加大網(wǎng)絡(luò)軟硬件投入和整合有效信息技術(shù)，保障網(wǎng)絡(luò)運(yùn)營(yíng)的安全

一是建立健全完善的高校網(wǎng)絡(luò)病毒防御體系。例如，裝載正規(guī)出版權(quán)、威認(rèn)證的殺毒軟件。院?？梢园颜娴臍⒍拒浖旁谛@網(wǎng)內(nèi)的網(wǎng)絡(luò)信息管理中心的網(wǎng)頁(yè)上供廣大學(xué)生和教職工免費(fèi)下載安裝，并通過殺毒軟件的定期更新，幫助廣大學(xué)生和教職工及時(shí)掃描殺毒和修復(fù)存在的安全漏洞，并開設(shè)留言專欄及時(shí)收集學(xué)生和教職工反映的問題，能處理的及時(shí)幫師生處理，不能處理的向軟件開發(fā)商尋求幫助，以此有效地確保院校內(nèi)電腦的安全運(yùn)轉(zhuǎn)。另一方面，需要周密制訂防火墻防范對(duì)策。例如，需要嚴(yán)格把關(guān)好操作系統(tǒng)的端口配置，堅(jiān)持該開放的開放，不許開放的則堅(jiān)決關(guān)閉。需要對(duì)外開放的網(wǎng)絡(luò)服務(wù)，應(yīng)當(dāng)將需要開放的服務(wù)器端口開放，不需要的端口堅(jiān)決關(guān)閉。與此同時(shí)，需要安裝有能及時(shí)檢測(cè)IDS入侵的系統(tǒng)，以該系統(tǒng)來監(jiān)控內(nèi)部網(wǎng)絡(luò)遭受到的攻擊。此外，還需要安裝漏洞掃描系統(tǒng)，以便及時(shí)掃描發(fā)現(xiàn)系統(tǒng)存在的漏洞并及時(shí)進(jìn)行各種漏洞的修復(fù)。

二是堅(jiān)持“預(yù)防為主，防患未然”的防御策略，確保信息安全。首先，需建立值得信賴的終端平臺(tái)，并在終端平臺(tái)上按照一定的規(guī)矩設(shè)置一定的用戶使用權(quán)限以及操作權(quán)限。其次，需采取密碼加密、訪問控制、身份認(rèn)證等舉措，建構(gòu)良好的計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用環(huán)境。例如，學(xué)?？梢酝ㄟ^向教師發(fā)放實(shí)名制“一卡通”的方式進(jìn)行網(wǎng)上“一卡一號(hào)”的身份認(rèn)證。再次，健全提供認(rèn)證、授權(quán)、檢測(cè)、應(yīng)急以及處理非法訪問服務(wù)的信息安全管理中心，提供互聯(lián)互通的密碼配置、公鑰證書等密碼服務(wù)措施。具體表現(xiàn)在：a.數(shù)據(jù)的加密，包含采用密鑰的方式對(duì)電子郵件和文檔進(jìn)行加密，對(duì)網(wǎng)絡(luò)端口以及服務(wù)端口的加密等；b.NOTES的數(shù)字簽名，身份認(rèn)證包含DOMI-NO服務(wù)器和NOTES工作站彼此間的認(rèn)證及客戶端和mMmo服務(wù)器彼此間的認(rèn)證；c.通過雙網(wǎng)卡主機(jī)技術(shù)來隔離辦公網(wǎng)絡(luò)；d.引進(jìn)第三方的公鑰基礎(chǔ)結(jié)構(gòu)（PK）進(jìn)一步完善網(wǎng)絡(luò)系統(tǒng)的安全。

（三）構(gòu)建多重校園信息安全管理機(jī)制，用制度保障信息安全運(yùn)行

一是科學(xué)設(shè)置責(zé)權(quán)清晰、職能完善的校園網(wǎng)絡(luò)信息安全管理中心。根據(jù)“預(yù)防為主，防患未然”和技術(shù)防范與制度防范相結(jié)合的準(zhǔn)則，對(duì)院校的信息安全管理采取“三級(jí)聯(lián)動(dòng)”的管理機(jī)制，第一層由學(xué)校領(lǐng)導(dǎo)統(tǒng)籌決策和監(jiān)管，第二層由學(xué)校中層干部實(shí)施管理，第三層由學(xué)校一線操作工作人員負(fù)責(zé)具體執(zhí)行，層層對(duì)上級(jí)負(fù)責(zé)。例如，院校建立“三級(jí)聯(lián)動(dòng)”信息安全管理機(jī)制，可以專門成立管理學(xué)校信息安全的信息管理中心，并設(shè)置為學(xué)校二層處級(jí)單位，配備一定數(shù)量的專業(yè)技術(shù)人員，并由學(xué)校一名副校長(zhǎng)專門管理學(xué)校信息安全工作，信息管理中心設(shè)置一名處長(zhǎng)、二名副處長(zhǎng)專門管理本中心的信息安全工作，信息管理中心的專業(yè)技術(shù)人員具體負(fù)責(zé)本中心的信息安全工作，使得信息安全工作層層落實(shí)。此外，學(xué)校也需要制訂詳細(xì)的管理機(jī)制以及信息安全工作職責(zé)，確保工作落到實(shí)處。

二是健全完善的日常管理制度、定期評(píng)估制度以及應(yīng)急處理制度。首先，需針對(duì)院校內(nèi)具有復(fù)雜的、動(dòng)態(tài)的、突發(fā)特征的信息安全制訂常規(guī)的信息管理制度。例如，學(xué)?？梢灾朴啞丁痢痢链髮W(xué)網(wǎng)絡(luò)信息管理中心管理制度》《×××學(xué)校校園網(wǎng)絡(luò)設(shè)備管理制度》《×××院校信息發(fā)布審核制度》等，不斷規(guī)范校園內(nèi)網(wǎng)絡(luò)的日常管理。其次，需制訂具有突發(fā)性、緊急性、危害深遠(yuǎn)等特征的應(yīng)急處理制度，積極主動(dòng)采取有力策略，有效控制信息危機(jī)的發(fā)生。最后，需制訂定期和不定期開展信息安全檢查與評(píng)測(cè)制度，時(shí)刻監(jiān)控日常網(wǎng)絡(luò)信息安全動(dòng)態(tài)。

（四）積極與信息安全技術(shù)部門開展交流與合作，將校園信息安全防護(hù)跟前沿的信息技術(shù)緊密結(jié)合

21世紀(jì)是信息技術(shù)迅猛發(fā)展的時(shí)代，沒有哪一種信息安全保障策略是一勞永逸的。伴隨著現(xiàn)代信息技術(shù)的日新月異，保障策略也需不斷更新完善。為此，院校信息安全管理中心應(yīng)當(dāng)積極走出去，加強(qiáng)與社會(huì)權(quán)威信息安全技術(shù)部門的交流與合作，及時(shí)了解社會(huì)信息安全發(fā)展動(dòng)態(tài)，及時(shí)跟蹤最前沿的安全信息及新信息技術(shù)的發(fā)展動(dòng)態(tài)，堅(jiān)持與時(shí)俱進(jìn)，尋找已有防御網(wǎng)絡(luò)隱患，積極引進(jìn)前沿網(wǎng)絡(luò)技術(shù)，并為信息安全保障系統(tǒng)建設(shè)提供專業(yè)、合理、可行化建議，積極完善和革新本校的信息安全保護(hù)措施。此外，各院校還應(yīng)當(dāng)把最新的技術(shù)發(fā)展及時(shí)體現(xiàn)在校園網(wǎng)絡(luò)系統(tǒng)中，并對(duì)相關(guān)信息維護(hù)人員進(jìn)行專業(yè)培訓(xùn)，應(yīng)對(duì)隨時(shí)可能爆發(fā)的信息安全事件，提高廣大師生和教職工的信息安全意識(shí)，讓院校的信息安全工作切實(shí)做到實(shí)處，為院校的信息安全筑造一道天然的保障屏障。

四、結(jié)束語

院校信息化發(fā)展的前提是信息安全的有效保障，伴隨著現(xiàn)代社會(huì)信息技術(shù)的日新月異，院校信息安全也存在著一定風(fēng)險(xiǎn)，只有建立一整套高效、協(xié)調(diào)、集成的信息安全保障體系才能有效地保障高校信息安全。所以，院校需結(jié)合實(shí)際情況，通過不斷強(qiáng)化信息主體的安全知識(shí)教育培訓(xùn)，強(qiáng)化防護(hù)網(wǎng)絡(luò)安全的意識(shí)；加大網(wǎng)絡(luò)軟硬件投入和整合有效信息技術(shù)，保障網(wǎng)絡(luò)運(yùn)營(yíng)的安全；構(gòu)建多重校園信息安全管理機(jī)制，用制度保障信息安全運(yùn)行；積極與信息安全技術(shù)部門開展交流與合作，將校園信息安全防護(hù)跟前沿的信息技術(shù)緊密結(jié)合等策略，不斷提升信息安全保障強(qiáng)度，減少信息安全風(fēng)險(xiǎn)，保障院校信息安全高效良性運(yùn)行。

【參考文獻(xiàn)】

[1]劉志龍，張淋江.高校信息安全的風(fēng)險(xiǎn)評(píng)估問題研究[J].河南科技，2015（03）.

[2]付沙.高校校園網(wǎng)信息安全策略的探索[J].中國(guó)教育信息化（高教職教），2008（01）：63-65.

[3]汪瑩，朱齊媛.關(guān)于高校校園網(wǎng)信息安全的現(xiàn)狀與對(duì)策[J].重慶工學(xué)院學(xué)報(bào)（自然科學(xué)版），2008（06）：126-128.

[4]姜少軍，盧金海.高校信息安全保障體系分析[J].青島遠(yuǎn)洋船員學(xué)院學(xué)報(bào)，2005（03）：81-83.