朱世晨
(鄭州科技學(xué)院,鄭州 450000)
近年來,以大數(shù)據(jù)為支撐的信息化建設(shè)深入各個領(lǐng)域,人工智能、“互聯(lián)網(wǎng)+”等信息技術(shù)被廣泛應(yīng)用于衣食住行、勞動工作、休閑娛樂和社會交往,其中高校管理、教學(xué)和科研工作是重要的應(yīng)用領(lǐng)域。技術(shù)賦能給師生創(chuàng)造了便利,但同時也暴露了一些問題,只有盡快解決高校信息網(wǎng)絡(luò)安全漏洞,制定針對性的防護策略,才能為高校教育、科研和日常生活保駕護航。
“互聯(lián)網(wǎng)+教育”飛速發(fā)展,其隱患和風險也層出不窮,數(shù)字高校逐漸陷入治理困境,幾類突出問題包括:
頂層設(shè)計不完善,安全管理體系不健全。
從法制層面來看,近幾年,我國為凈化網(wǎng)絡(luò)生態(tài)環(huán)境,保護網(wǎng)民信息安全,頒布了相關(guān)法律法規(guī)和社會公約,為信息化建設(shè)統(tǒng)籌發(fā)展提供了法律依據(jù),也為信息安全問題劃定了基本標準,但其落實程度還有待完善。
從管理機制來看,高校信息網(wǎng)絡(luò)規(guī)模大,周期長,投入多,需要建立多主體有效參與的管理機制[1]。然而,部分高校內(nèi)部部門割裂,缺乏聯(lián)動,沒有統(tǒng)一的技術(shù)標準,沒有集中管理、集中監(jiān)控和集中審計的平臺支撐[2],對于數(shù)據(jù)庫和信息技術(shù)的維護不及時。
使用群體安全意識淡薄。
高校信息網(wǎng)絡(luò)系統(tǒng)使用群體龐大,包括校內(nèi)的師生群體、行政管理群體和校外的社會公眾群體等。而這些群體并未接受過來自高?;蚱渌矫娴陌踩逃?,沒有形成敏感的危機感知度,面對龐雜的信息系統(tǒng)缺乏辨析力和防范意識。如對免費WiFi、陌生鏈接、陌生郵件、陌生U盤等警惕性低,不重視病毒查殺,常常導(dǎo)致計算機受到病毒攻擊,造成數(shù)據(jù)被篡改或信息丟失。另外,高校信息網(wǎng)絡(luò)系統(tǒng)并不能完全篩除網(wǎng)絡(luò)上的黑灰產(chǎn)業(yè),仍有一些學(xué)生遭遇電信詐騙,損失財產(chǎn)。部分學(xué)生受到網(wǎng)絡(luò)刷單等灰色兼職的誘惑,在法律邊緣打“擦邊球”。
核心技術(shù)受制于人,專業(yè)人才不足。
高校信息網(wǎng)絡(luò)安全工作的硬性條件是智能化資源,即技術(shù)和人才。目前,我國尚未實現(xiàn)信息化建設(shè)的技術(shù)自給,核心技術(shù)發(fā)展不成熟,重要設(shè)備依賴進口。大數(shù)據(jù)背景下,信息技術(shù)更新?lián)Q代很快,在未掌握技術(shù)的前提下,這種快速更迭會為安全保護帶來更大阻力。
我國高校信息化部門人員不足,無法充分供給學(xué)校的信息化研發(fā)、建設(shè)、維護工作需求,甚至許多信息網(wǎng)絡(luò)運維工作者并不是專業(yè)人員,對于高校信息網(wǎng)絡(luò)安全知識不了解,無法做好安全漏洞排查和清理工作,由此造成了安全危機無法盡快解決且重復(fù)出現(xiàn)的問題[3]。
數(shù)據(jù)應(yīng)用失范。
雖然高校信息網(wǎng)絡(luò)給師生教學(xué)生活帶來了便利,但倘若管理層無法正確獲取和使用數(shù)據(jù),將會造成不良的社會影響。部分高校在數(shù)據(jù)應(yīng)用過程中,以技術(shù)本位取代人本位思想,刻板使用信息化手段度量、評價個體,導(dǎo)致教育活動缺乏人文關(guān)懷。
高校信息網(wǎng)絡(luò)生命周期是高校信息系統(tǒng)從產(chǎn)生到報廢的生命全過程,如圖1所示。其包括頂層設(shè)計與規(guī)劃、分析系統(tǒng)需求、設(shè)計系統(tǒng)軟件、開發(fā)系統(tǒng)程序編碼、系統(tǒng)投入使用和系統(tǒng)運行、評估與維護六個部分。“頂層設(shè)計與規(guī)劃”是對現(xiàn)有高校信息系統(tǒng)進行評估,確定現(xiàn)有問題及解決方案;“分析系統(tǒng)需求”是對新開發(fā)的系統(tǒng)進行分析,包括安全需求、容量需求等諸多方面;“設(shè)計系統(tǒng)軟件”和“開發(fā)系統(tǒng)程序編碼”是通過技術(shù)手段開發(fā)新系統(tǒng)的過程;“系統(tǒng)投入使用”是系統(tǒng)開發(fā)完成后進行測試的環(huán)節(jié);“系統(tǒng)運行、評估與維護”是新系統(tǒng)運行一段時間后,技術(shù)人員根據(jù)使用情況及新的漏洞問題進行評估與維護,從而使系統(tǒng)安全穩(wěn)定運行的環(huán)節(jié)。
高校信息化面臨的主要問題是頂層設(shè)計方面管理不健全、技術(shù)人才方面有所欠缺、觀念方面使用群體的安全意識薄弱、數(shù)據(jù)應(yīng)用方面存在不合理現(xiàn)象。針對以上問題,針對性地制定防護策略,構(gòu)建出高校信息網(wǎng)絡(luò)安全治理的基本模型,如圖 2所示。
通過聯(lián)動分析高校信息網(wǎng)絡(luò)生命周期與高校信息網(wǎng)絡(luò)安全治理基本模型,找到其共同脈絡(luò)并加以整合,在基本模型的基礎(chǔ)上融合高校信息網(wǎng)絡(luò)生命周期6部分,確定高校信息網(wǎng)絡(luò)安全治理的多重性架構(gòu),如圖 3所示。
圖1 信息系統(tǒng)生命周期結(jié)構(gòu)圖Fig.1 Structure diagram of information system life cycle
圖2 高校信息網(wǎng)絡(luò)安全治理基本模型Fig.2 Basic model of university information network security governance
圖3 高校信息網(wǎng)絡(luò)安全治理框架Fig.3 Framework of university information network security governance
高校應(yīng)當在頂層設(shè)計與規(guī)劃、分析系統(tǒng)需求這兩個階段集中處理頂層設(shè)計與管理體制維度問題,完成頂層框架設(shè)計和整體統(tǒng)籌;在設(shè)計系統(tǒng)軟件、開發(fā)系統(tǒng)程序編碼階段,應(yīng)處理技術(shù)人才維度的問題,提升核心科技競爭力,壯大專業(yè)人才隊伍;在系統(tǒng)投入使用,系統(tǒng)運行、評估與維護階段,應(yīng)處理安全觀念維度和合理應(yīng)用維度問題,向信息網(wǎng)絡(luò)使用群體普及安全知識,加強技術(shù)倫理教育。
以強有力的法律手段約束網(wǎng)絡(luò)行為,推動相關(guān)法律法規(guī)落地實施,使各項網(wǎng)絡(luò)行為有法可依,有法必依,違法必究。高校信息網(wǎng)絡(luò)安全相關(guān)法律法規(guī)必須加強實踐能動性,要能轉(zhuǎn)化為具體的、可行的實踐方案,必要時可增加相應(yīng)的數(shù)據(jù)報告和指導(dǎo)性文件,避免僅停留在對表面文字的理解。推動法律法規(guī)實施的過程中,要加強責任監(jiān)管和責任落實,對于參與高校信息網(wǎng)絡(luò)建設(shè)的各部門行為和產(chǎn)品要嚴格審查和評估,但不可過度干預(yù)使高校信息網(wǎng)絡(luò)生態(tài)喪失靈活性和豐富性。
以健全的管理體系規(guī)范高校信息化過程中的網(wǎng)絡(luò)行為和數(shù)據(jù)流程。由于高校信息網(wǎng)絡(luò)體量龐大,涉及多個部門和不同的應(yīng)用系統(tǒng),信息治理過程需要經(jīng)過多個環(huán)節(jié),因此必須形成體系化的管理機制,統(tǒng)一規(guī)劃、統(tǒng)一部署,采取統(tǒng)一的技術(shù)標準,明確各環(huán)節(jié)中不同主體的責任和義務(wù),加強部門聯(lián)動,使信息化建設(shè)在技術(shù)、資金、人力資源等各方面都處于集中部署和管理之下,減少因管理不規(guī)范帶來的安全風險。
技術(shù)是推動我國高校信息網(wǎng)絡(luò)安全可持續(xù)發(fā)展的關(guān)鍵,掌握核心技術(shù),加快研發(fā)步伐,提高自主創(chuàng)新能力,是高校信息網(wǎng)絡(luò)安全治理在設(shè)計系統(tǒng)軟件、開發(fā)系統(tǒng)程序編碼兩個階段的重要任務(wù)。目前需要攻破和有效提升的技術(shù)領(lǐng)域包括風險評估技術(shù)、病毒檢測技術(shù)、動態(tài)防護技術(shù)和傷害恢復(fù)技術(shù)。這些技術(shù)可以評估可能出現(xiàn)的安全漏洞,快速進行數(shù)據(jù)備份,并實時監(jiān)測、實時處理、實時防護,是重要的應(yīng)急技術(shù)[4]。高校研發(fā)部門應(yīng)按照國家相關(guān)標準,加快以上技術(shù)創(chuàng)新和應(yīng)用,為高校信息網(wǎng)絡(luò)安全治理提供強大的技術(shù)支撐。
在專業(yè)人才方面,應(yīng)保障人力資源的數(shù)量供應(yīng),杜絕一人多用、一部分多用的情況,及時補充高校信息化建設(shè)所需人力,使人員各司其職,各盡其責。高校是人才孵化的大本營,應(yīng)充分發(fā)揮高校自身的教育資源優(yōu)勢,壯大專業(yè)IT人才隊伍,建立完善的人才培養(yǎng)和管理體系,明確不同人才的責任和義務(wù),如管理型、組織型、任務(wù)型等,使人才有效、有序地投入到高校信息化建設(shè)中。
在安全觀念、風險意識方面,高??梢詫⑿畔⒕W(wǎng)絡(luò)安全常識納入教師職業(yè)培訓(xùn)中,通過課程教育的方式對學(xué)生群體進行宣傳引導(dǎo),開展網(wǎng)絡(luò)安全知識普及課,教育學(xué)生重視病毒查殺,提高警惕性,拒絕網(wǎng)絡(luò)黑灰產(chǎn)交易,保護好個人隱私數(shù)據(jù)。
在數(shù)據(jù)合理應(yīng)用方面,高校應(yīng)尊重學(xué)生的知情權(quán)及正確認識技術(shù)與教育的關(guān)系。學(xué)生的知情權(quán)是學(xué)生自主參與、監(jiān)督公共事務(wù)的權(quán)利,學(xué)生有權(quán)公開并自主處理個人信息,高校不得以任何名義在信息網(wǎng)絡(luò)中侵犯學(xué)生的知情參與權(quán)。與此同時,高校應(yīng)加強宣傳,依據(jù)法律法規(guī)科學(xué)普及相關(guān)知識,幫助學(xué)生正確行使權(quán)利。技術(shù)倫理教育有助于高校正確認識技術(shù)與教育的關(guān)系,防止踏上技術(shù)本位的偏路。高校應(yīng)明確以人為本的教學(xué)觀,教育者不得單純以數(shù)據(jù)表現(xiàn)對學(xué)生個體進行度量、評價和賞罰,否則將會打擊智慧校園的社會信任度。此外,數(shù)字高校教育還應(yīng)當加強實踐性,因材施教,調(diào)動學(xué)生的主觀能動性,注重學(xué)生的個人體驗,融入人文關(guān)懷,在體驗式教學(xué)中合理應(yīng)用數(shù)字校園信息網(wǎng)絡(luò)系統(tǒng)[1]。
數(shù)字校園、智慧校園正在逐漸取代傳統(tǒng)的高校治理模式。結(jié)合當前高校信息化安全治理現(xiàn)狀,搭建多重性治理架構(gòu),提出適應(yīng)性、針對性的防護策略,為高校信息網(wǎng)絡(luò)安全治理提供參考路徑,呼應(yīng)了新時代“互聯(lián)網(wǎng)+教育”的需求。未來,高校信息化建設(shè)應(yīng)兼顧高校信息網(wǎng)絡(luò)安全建設(shè),走多維度、全方位、高質(zhì)量發(fā)展道路。