王艷芳

摘 要：在高校建設(shè)過(guò)程中，信息化建設(shè)越來(lái)越占據(jù)重要的地位，幾乎所有部門(mén)都納入了信息化平臺(tái)。但是，信息安全并沒(méi)有受到足夠的重視，安全事故頻發(fā)，這給高校的信息化建設(shè)蒙上一層陰影。本文對(duì)高校的信息系統(tǒng)安全問(wèn)題進(jìn)行了詳細(xì)分析，并提出具體的解決方案。

關(guān)鍵詞：高校；信息系統(tǒng)；安全

近年來(lái)，高校信息化建設(shè)快速發(fā)展，高校的網(wǎng)絡(luò)系統(tǒng)持續(xù)地?cái)U(kuò)容，教學(xué)系統(tǒng)、自動(dòng)化辦公、圖書(shū)系統(tǒng)、學(xué)生管理、校園一卡通等幾乎所有系統(tǒng)都上了信息系統(tǒng)平臺(tái)。隨之而來(lái)的安全問(wèn)題日益突出，比如，系統(tǒng)故障、網(wǎng)絡(luò)攻擊、黑客入侵、網(wǎng)絡(luò)竊密和內(nèi)部人員違規(guī)操作，使高校信息網(wǎng)受到了前所未有的挑戰(zhàn)。因此，非常有必要對(duì)高校進(jìn)行信息系統(tǒng)安全的分析評(píng)估，制訂應(yīng)急預(yù)案，采取有效措施，把風(fēng)險(xiǎn)損失降低到最小。

一、高校信息系統(tǒng)安全現(xiàn)狀分析

高校信息系統(tǒng)安全分為以下幾個(gè)部分：網(wǎng)絡(luò)硬件設(shè)施安全、網(wǎng)絡(luò)軟件系統(tǒng)安全、網(wǎng)絡(luò)系統(tǒng)防范外部攻擊的安全和信息系統(tǒng)數(shù)據(jù)不被非授權(quán)訪問(wèn)。

以上海地區(qū)為例，2012年上海市科委曾對(duì)某高校進(jìn)行3個(gè)擬定級(jí)為三級(jí)等級(jí)保護(hù)的信息系統(tǒng)和6個(gè)擬定等級(jí)為二級(jí)等級(jí)保護(hù)的信息系統(tǒng)按照國(guó)家相關(guān)等級(jí)保護(hù)標(biāo)準(zhǔn)的評(píng)測(cè)，發(fā)現(xiàn)三級(jí)系統(tǒng)情況是在所有評(píng)測(cè)項(xiàng)目中，部分符合和不符合項(xiàng)占比60%以上，所評(píng)測(cè)系統(tǒng)在技術(shù)和管理等方面都存在很大程度的缺失，二級(jí)系統(tǒng)稍好，但也不盡如人意。其他所評(píng)院校也大致如此，總結(jié)發(fā)現(xiàn)，高校的信息系統(tǒng)安全存在如下問(wèn)題。

（一）高校對(duì)信息系統(tǒng)安全的重視不到位，定級(jí)比較低

互聯(lián)網(wǎng)遍布世界各地，高校信息系統(tǒng)只要接入它，就直面所有人，包括黑客。盡管高校是非盈利機(jī)構(gòu)，但高等教育資源同樣寶貴，高校對(duì)這一點(diǎn)沒(méi)有充分的重視，所以沒(méi)有對(duì)師生進(jìn)行必要的安全普及教育，進(jìn)而放松了對(duì)外在攻擊的警惕，使針對(duì)高校信息系統(tǒng)的攻擊屢屢得手，甚至可能成為黑客的靶場(chǎng)。

（二）高校對(duì)信息系統(tǒng)安全投入的資金遠(yuǎn)未達(dá)標(biāo)，且缺乏持續(xù)資金的跟進(jìn)和投入

部分高校辦學(xué)資金有限，更愿意把資金投入到硬件建設(shè)中去，更多地關(guān)注校園風(fēng)貌的再建設(shè)，使信息系統(tǒng)安全這方面最多僅有框架，沒(méi)有預(yù)想到網(wǎng)絡(luò)環(huán)境變化日新月異，安全攻擊更加瘋狂，信息系統(tǒng)安全體系岌岌可危，需要較多資金進(jìn)行維護(hù)，殊不知校園信息系統(tǒng)安全一旦出現(xiàn)問(wèn)題，負(fù)面影響極大。

（三）信息系統(tǒng)安全的管理機(jī)構(gòu)設(shè)置不完善或虛設(shè)

在接受評(píng)測(cè)的高校信息系統(tǒng)中，部分院校根本沒(méi)有制定安全管理制度，或者即使有，也是一些老舊的，根本不符合現(xiàn)在新環(huán)境的要求，更別提應(yīng)急預(yù)案了。

（四）信息安全技術(shù)防護(hù)力量不強(qiáng)，就受制于他人

有些高校沒(méi)有專(zhuān)職的信息安全管理專(zhuān)員，只是兼職管理；有些雖然有專(zhuān)業(yè)管理人員，但人員素質(zhì)不達(dá)標(biāo)，也沒(méi)有開(kāi)展持續(xù)的培訓(xùn)；還有些高校把這部分管理業(yè)務(wù)外包出去，這樣就更受制于他人，風(fēng)險(xiǎn)管理就更沒(méi)有保障。

（五）沒(méi)有對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估

高校在迅速發(fā)展，信息系統(tǒng)也隨之?dāng)U容，高校的管理越來(lái)越離不開(kāi)校園的電子化，安全保障問(wèn)題日益突出，及時(shí)地進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，對(duì)系統(tǒng)進(jìn)行定性定量的考核，風(fēng)險(xiǎn)控制迫在眉睫，如果一旦遭遇外在攻擊，會(huì)在第一時(shí)間響應(yīng)，及時(shí)規(guī)避風(fēng)險(xiǎn)，降損失于最小。

（六）對(duì)攻擊校園的違法行為打擊難度較大

首先校園信息系統(tǒng)的安全防護(hù)能力不及公司強(qiáng)大，尤其主動(dòng)性防御能力更是薄弱，對(duì)于有經(jīng)驗(yàn)的黑客，可以做到修改系統(tǒng)日志，給網(wǎng)絡(luò)警察破案增加相當(dāng)?shù)碾y度；其次是打擊不能做到及時(shí)到位，以造成攻擊不絕。

二、高校的安全解決方案

（一）加強(qiáng)高校信息系統(tǒng)安全的法律法規(guī)建設(shè)

進(jìn)行信息安全法制建設(shè)，照規(guī)辦事。建立信息安全組織體系，是做好信息安全前提。我國(guó)《刑法》中已經(jīng)有破壞信息系統(tǒng)安全罪及對(duì)應(yīng)的量刑標(biāo)準(zhǔn)。同時(shí)，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》也在1994年發(fā)布并執(zhí)行。但形勢(shì)多變，急需專(zhuān)業(yè)人士參與到繼續(xù)完善法律法規(guī)的建設(shè)中去。

（二）通過(guò)宣傳教育和崗位培訓(xùn)來(lái)提高高校師生的安全意識(shí)

高校信息系統(tǒng)安全離不開(kāi)全校師生的共同努力，所謂校園信息安全，人人有責(zé)并不為過(guò)，養(yǎng)成良好的安全行為規(guī)范尤其重要。對(duì)相關(guān)技術(shù)人員進(jìn)行全方位的技術(shù)培訓(xùn)必不可少，對(duì)出現(xiàn)的安全事故進(jìn)行嚴(yán)厲處罰，以形成良好的安全氛圍，有效維護(hù)信息系統(tǒng)的正常運(yùn)行。

（三）高校建立專(zhuān)項(xiàng)安全基金，保證系統(tǒng)正常運(yùn)行

在高校建設(shè)規(guī)劃中，建立專(zhuān)項(xiàng)基金，用于安全軟硬件設(shè)施，內(nèi)部人員持續(xù)系統(tǒng)培訓(xùn)，外部人才不斷引進(jìn)，使信息系統(tǒng)安全完全不依賴(lài)外部的介入而減少安全風(fēng)險(xiǎn)，充分保障這方面資金的投入。

（四）管理與技術(shù)相輔相成

高校的信息安全系統(tǒng)需要技術(shù)與管理的完全融合，一般來(lái)說(shuō)，是三分技術(shù)七分管理，堅(jiān)持管理為主，技術(shù)價(jià)錢(qián)為輔的原則，管理制度應(yīng)包括相關(guān)人員的專(zhuān)崗設(shè)置，安全代碼庫(kù)的建立及日常更新的周期和發(fā)現(xiàn)攻擊的規(guī)范處理程序等。

（五）充分利用先進(jìn)的云技術(shù)備份

高校信息系統(tǒng)服務(wù)器一般是專(zhuān)項(xiàng)使用的，百密也有一疏，一旦出現(xiàn)安全事故，會(huì)造成難以彌補(bǔ)的損失。因此，應(yīng)該充分利用現(xiàn)在先進(jìn)的云備份技術(shù)，以保障系統(tǒng)能在受到重大攻擊時(shí)及時(shí)恢復(fù)正常運(yùn)行。

三、結(jié)語(yǔ)

高校信息化安全管理水平也是衡量高校辦學(xué)水平的重要標(biāo)準(zhǔn)。隨著高等教育的進(jìn)一步發(fā)展，對(duì)教學(xué)管理的水平要求越來(lái)越高，高校信息系統(tǒng)安全工作形勢(shì)會(huì)更加嚴(yán)峻，會(huì)產(chǎn)生更大的安全信息風(fēng)險(xiǎn)，加大這方面的投入力度，建立行之有效的信息安全保障體系，為高校的發(fā)展保駕護(hù)航。

參考文獻(xiàn)：

[1]羅南.高校信息安全風(fēng)險(xiǎn)分析[J].電腦知識(shí)與技術(shù)，2016（10）.

[2]王強(qiáng)民，張保穩(wěn)，張競(jìng).高校信息系統(tǒng)安全等級(jí)保護(hù)工作的現(xiàn)狀分析[C]//.第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì).第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集，2013.endprint