葉玉健　王茂華　劉詩(shī)睿等

關(guān)鍵詞：信息安全;高校;人事信息

中圖法分類號(hào)：TP306 文獻(xiàn)標(biāo)識(shí)碼：A

1引言

信息技術(shù)在人事管理中的應(yīng)用越來(lái)越廣泛，人事信息不僅包含教職員工個(gè)人信息、業(yè)績(jī)信息、職務(wù)信息、工資福利等各種數(shù)據(jù)信息，還貫穿人事各項(xiàng)業(yè)務(wù)辦理過(guò)程。此外，人事部門與校內(nèi)外相關(guān)單位的數(shù)據(jù)往來(lái)十分頻繁?？傮w來(lái)看，人事數(shù)據(jù)信息具有數(shù)據(jù)量龐大、數(shù)據(jù)類型多樣、數(shù)據(jù)變動(dòng)較快、數(shù)據(jù)交換頻次高等特征，加上人事數(shù)據(jù)包含部分個(gè)人隱私，具有高度敏感性，使得人事信息容易成為不法分子的攻擊目標(biāo)，人事信息安全問(wèn)題逐漸涌現(xiàn)，發(fā)生信息泄露、數(shù)據(jù)丟失等風(fēng)險(xiǎn)度也越來(lái)越高。因此，在新形勢(shì)下運(yùn)用大數(shù)據(jù)技術(shù)為人事信息安全提供有力保障，對(duì)于維護(hù)教職工個(gè)人隱私安全和保障人事業(yè)務(wù)的順利開展具有重要意義。

2高校人事信息的特點(diǎn)

2.1信息量龐雜

高校作為集教育教學(xué)、科學(xué)研究以及社會(huì)服務(wù)等為一體的復(fù)合型機(jī)構(gòu)，人員密集程度高，這是其人事信息數(shù)據(jù)量大的主要原因。尤其隨著事業(yè)單位改革的深入，高校用工形式逐漸多樣化。加之部分高校涉及醫(yī)院、企業(yè)等附屬機(jī)構(gòu)，使得人事關(guān)系也日益復(fù)雜。因此，高校用人往往是固定制、聘用制、勞動(dòng)關(guān)系、勞務(wù)關(guān)系等多種形式并存。此外，高校人事信息除教職工個(gè)人基本信息以外，還涉及薪酬管理、崗位管理、培訓(xùn)培養(yǎng)、職稱職務(wù)晉升、獎(jiǎng)懲等各類業(yè)務(wù)數(shù)據(jù)。這類數(shù)據(jù)隨著時(shí)間的推移逐漸累積和擴(kuò)展，使得人事信息日趨龐雜。

2.2信息交互頻次高

縱觀我國(guó)各大高校，大多采用校院兩級(jí)扁平化的組織機(jī)構(gòu)，下設(shè)多個(gè)學(xué)院（系）、機(jī)關(guān)部處、業(yè)務(wù)實(shí)體以及科研平臺(tái)。人事部門作為高校的核心管理部門之一，人事信息和數(shù)據(jù)往往是其他部門業(yè)務(wù)開展的基礎(chǔ)，因而與校內(nèi)各部門間的數(shù)據(jù)交互時(shí)有發(fā)生。此外，高校與上級(jí)教育主管部門業(yè)務(wù)數(shù)據(jù)往來(lái)也十分頻繁。

2.3信息安全風(fēng)險(xiǎn)高

信息安全關(guān)系每個(gè)人的切身利益，隨著信息泄露問(wèn)題的不斷凸顯，人們對(duì)信息安全的重視程度不斷提高。人事信息涉及個(gè)人的身份信息、薪酬待遇等各類敏感數(shù)據(jù)，容易成為不法分子攻擊對(duì)象。據(jù)有關(guān)部門檢測(cè)數(shù)據(jù)顯示，人事系統(tǒng)是高校所有系統(tǒng)中受攻擊頻次是最高的。高校人事數(shù)據(jù)信息敏感程度高，發(fā)生信息泄露的風(fēng)險(xiǎn)也越來(lái)越大。

3高校人事信息安全問(wèn)題分析

信息安全防護(hù)主要是防止非法操作對(duì)信息進(jìn)行惡意損壞、更改和泄露。信息安全包括數(shù)據(jù)安全、運(yùn)行安全、實(shí)體安全和管理安全四個(gè)方面。根據(jù)多方調(diào)研，高校人事數(shù)據(jù)安全問(wèn)題主要體現(xiàn)在以下幾個(gè)方面。

3.1信息安全防護(hù)制度不健全

近年來(lái)，我國(guó)已發(fā)布數(shù)十項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)，信息安全保障體系建設(shè)主要以信息安全技術(shù)、管理、機(jī)制、服務(wù)和評(píng)估為重點(diǎn)。2016年，我國(guó)頒布“網(wǎng)絡(luò)安全法”，堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展并重。但是，截至發(fā)稿前多數(shù)高校尚未結(jié)合“網(wǎng)絡(luò)安全法”制定行之有效的安全檢查和應(yīng)對(duì)保護(hù)制度，缺乏規(guī)范的網(wǎng)絡(luò)信息管理體系，網(wǎng)絡(luò)防護(hù)層次不分明、結(jié)構(gòu)網(wǎng)絡(luò)不清晰、防護(hù)流程也較為模糊，無(wú)法為人事信息提供有效防護(hù)，導(dǎo)致人事信息安全防護(hù)工作缺乏依據(jù)和針對(duì)性。

3.2網(wǎng)絡(luò)基礎(chǔ)設(shè)施投入不充足

長(zhǎng)期以來(lái)，高校的網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)經(jīng)費(fèi)不充裕，導(dǎo)致一些部門的服務(wù)器及個(gè)人計(jì)算機(jī)依然使用較早版本操作軟件甚至是未經(jīng)授權(quán)的軟件。網(wǎng)絡(luò)硬件設(shè)備和操作平臺(tái)存在漏洞將嚴(yán)重影響網(wǎng)絡(luò)的可靠性與可用性。例如，信息網(wǎng)絡(luò)中的各級(jí)路由設(shè)備如果不能實(shí)時(shí)監(jiān)測(cè)及隔斷惡意攻擊，會(huì)給信息系統(tǒng)及數(shù)據(jù)安全帶來(lái)極大的風(fēng)險(xiǎn)。此外，不同信任域的數(shù)據(jù)交換會(huì)導(dǎo)致人事管理系統(tǒng)信息泄露可能性大大增加。同時(shí)，由于用戶在不同信任域的網(wǎng)絡(luò)需要進(jìn)行信息交換的操作，這也給不法分子提供了侵入機(jī)會(huì)，需要配備針對(duì)性的加強(qiáng)軟件及硬件設(shè)備。然而，相關(guān)軟硬件設(shè)施價(jià)格較為昂貴，從而導(dǎo)致這類設(shè)施無(wú)法快速配備到位。

3.3人員配備及培訓(xùn)不到位

部分高校在信息化建設(shè)過(guò)程中對(duì)于網(wǎng)絡(luò)安全不夠重視，普遍存在重建設(shè)輕維護(hù)的現(xiàn)象，主要體現(xiàn)在兩個(gè)方面：一是人員技術(shù)水平欠缺，大部分高校并未設(shè)置專人負(fù)責(zé)數(shù)據(jù)安全維護(hù)及網(wǎng)絡(luò)管理。也未充分開展數(shù)據(jù)安全相關(guān)的業(yè)務(wù)培訓(xùn)，從而使得日常工作中數(shù)據(jù)安全風(fēng)險(xiǎn)高;二是安全防范意識(shí)淡薄，人事數(shù)據(jù)相關(guān)工作人員對(duì)數(shù)據(jù)安全敏感度不高，數(shù)據(jù)安全問(wèn)題沒有引起足夠的重視，日常工作中容易無(wú)意識(shí)的將人事數(shù)據(jù)暴露在高風(fēng)險(xiǎn)環(huán)境中。

4 高校人事信息安全防護(hù)策略

4.1管理層面

4.1.1建立健全人事信息安全制度

只有從管理層面建立完備的制度體系，才能從根本上解決高校人事信息安全問(wèn)題，為高校人事信息安全提供依據(jù)和保障。高校亟須結(jié)合《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)制定專門的人事信息安全制度。借鑒各大高校信息安全的有效做法，總體來(lái)看，制度建設(shè)主要可以從以下幾個(gè)方面著手：一是制定信息安全操作規(guī)范，包括人事數(shù)據(jù)傳輸及使用過(guò)程中規(guī)范的操作說(shuō)明、危險(xiǎn)操作提示、禁止操作警示等;二是信息安全制度的實(shí)施與監(jiān)督，包括安全制度實(shí)施計(jì)劃、督查方案的設(shè)定;三是制定數(shù)據(jù)安全事故應(yīng)急處置預(yù)案，包括備份系統(tǒng)、災(zāi)備系統(tǒng)建設(shè)方案、數(shù)據(jù)恢復(fù)方案等;四是明確信息安全責(zé)任，依據(jù)人事信息數(shù)據(jù)操作業(yè)務(wù)流程，明確崗位職責(zé)及責(zé)任主體。

4.1.2加強(qiáng)數(shù)據(jù)安全人才隊(duì)伍建設(shè)

高校數(shù)據(jù)安全涉及人事、財(cái)務(wù)、學(xué)工、教務(wù)、科研等多個(gè)業(yè)務(wù)板塊的海量數(shù)據(jù)。數(shù)據(jù)安全人才隊(duì)伍建設(shè)可以從三個(gè)方面著手：一是招聘或培養(yǎng)信息安全方面的專業(yè)人才，在涉及重要信息的崗位，配備信息安全或數(shù)據(jù)安全專業(yè)相關(guān)的技術(shù)人員;二是制定人才培訓(xùn)和培養(yǎng)計(jì)劃，定期組織數(shù)據(jù)安全教育培訓(xùn)。整合高校資源，與高校計(jì)算機(jī)或信息安全相關(guān)院系進(jìn)行合作，或者聘請(qǐng)校外網(wǎng)絡(luò)安全與信息安全專門的機(jī)構(gòu)，做針對(duì)性的培訓(xùn)，提升從業(yè)人員的數(shù)據(jù)安全應(yīng)對(duì)能力;三是加大信息宣傳力度，強(qiáng)化從業(yè)人員信息安全意識(shí)。將數(shù)據(jù)安全理念融入日常工作中，時(shí)刻繃緊數(shù)據(jù)安全保護(hù)的弦。

4.2技術(shù)層面

4.2.1加大信息安全基礎(chǔ)設(shè)施投入

信息安全及數(shù)據(jù)安全防護(hù)需要以相應(yīng)安全等級(jí)的軟硬件設(shè)備為基礎(chǔ)，高校一方面可以提供信息安全及數(shù)據(jù)安全專項(xiàng)經(jīng)費(fèi)，用于信息安全基礎(chǔ)設(shè)施的建設(shè)，比如建設(shè)隔離機(jī)房、配備備份服務(wù)器、購(gòu)買防火墻軟件等。此外，還可以采用委托的方式，聘請(qǐng)專業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的機(jī)構(gòu)，定期開展安全測(cè)評(píng)，掃描安全漏洞及風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)安全漏洞。

4.2.2加強(qiáng)信息安全技術(shù)的應(yīng)用

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，保障數(shù)據(jù)安全的技術(shù)手段也在不斷精進(jìn)，主要有身份認(rèn)證、防火墻、加密技術(shù)等。對(duì)于高校人事信息安全管理，需要加強(qiáng)信息安全技術(shù)的應(yīng)用：一是身份認(rèn)證技術(shù)——通過(guò)“用戶名+密碼”、動(dòng)態(tài)口令、生物驗(yàn)證等方式進(jìn)行身份識(shí)別，維護(hù)網(wǎng)絡(luò)安全的環(huán)境;二是防火墻技術(shù)——利用其預(yù)警、監(jiān)控的特點(diǎn)構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，提高防護(hù)質(zhì)量;三是數(shù)據(jù)加密技術(shù)——采用節(jié)點(diǎn)加密、鏈路加密、端對(duì)端加密等方式，進(jìn)一步保障數(shù)據(jù)安全，優(yōu)化網(wǎng)絡(luò)環(huán)境;四是虛擬專用網(wǎng)絡(luò)技術(shù)——采用VPN技術(shù)搭建業(yè)務(wù)流程專業(yè)網(wǎng)絡(luò)通道，或者構(gòu)建分層服務(wù)器，防范和解決網(wǎng)絡(luò)安全隱患。

5結(jié)語(yǔ)

本文借鑒了高校在信息安全管理方面的經(jīng)驗(yàn)，結(jié)合自身工作經(jīng)驗(yàn)，分析了高校人事信息安全問(wèn)題的來(lái)源，總結(jié)了高校人事信息安全防護(hù)策略，為推進(jìn)高校人事信息化的順利建設(shè)，維護(hù)教職工的信息安全提供有效參考。當(dāng)前，各大高校都十分重視人事信息安全，個(gè)別高校已自主建立安全等級(jí)較高的獨(dú)立人事管理系統(tǒng)，將人事數(shù)據(jù)交互過(guò)程中的風(fēng)險(xiǎn)降低到最低。此外，以人事數(shù)據(jù)為引領(lǐng)，建立“大人事”數(shù)據(jù)堡壘，整合和規(guī)范各類數(shù)據(jù)，能夠有效解決數(shù)據(jù)一致性和完整性的問(wèn)題，這將是保障人事信息安全的重要方向之一。

作者簡(jiǎn)介：

葉玉?。?987—），博士，助理研究員，主要研究方向：人力資源管理。