張瑜潔

（北京國家會計學(xué)院，北京 101312）

1 校園網(wǎng)絡(luò)信息安全的特點

當(dāng)今的數(shù)字化校園建設(shè)，將整個校園的功能范疇以信息化形式囊括起來，其涵蓋了教學(xué)教務(wù)管理、行政辦公建設(shè)、信息技術(shù)保障和后勤保障等多方位范疇，并逐步趨向智慧型校園快速發(fā)展。校園網(wǎng)絡(luò)信息安全基于校園生活的特殊性，并作為技術(shù)保障重點，貫穿于整個數(shù)字化校園建設(shè)過程中，其主要體現(xiàn)了以下四個特點。

（1）校園局域網(wǎng)絡(luò)安全問題蔓延快、影響大。目前，校園網(wǎng)絡(luò)普遍使用了千兆及萬兆網(wǎng)絡(luò)與主干網(wǎng)絡(luò)互聯(lián)，其承載著上千甚至上萬的校園網(wǎng)用戶，且用戶群體密集、帶寬利用率高位運行。因此，當(dāng)校園網(wǎng)出現(xiàn)信息網(wǎng)絡(luò)安全問題時，極易導(dǎo)致安全問題在局域網(wǎng)內(nèi)迅速蔓延，網(wǎng)絡(luò)用戶受影響性呈群體性、廣泛性。

（2）校園網(wǎng)計算機網(wǎng)絡(luò)系統(tǒng)涉及面廣、管理復(fù)雜。處于校園網(wǎng)中的計算機網(wǎng)絡(luò)設(shè)備，不僅包含校園數(shù)字化建設(shè)相關(guān)的服務(wù)器與網(wǎng)絡(luò)設(shè)備，還包括教師自主采購的授課計算機硬件及軟件、學(xué)生宿舍的個人計算機和計算機教室的各類專業(yè)硬件設(shè)備及軟件資源。其中包含學(xué)校信息技術(shù)部門統(tǒng)一管理的信息資源，還包含未經(jīng)專人統(tǒng)一定期維護的計算機網(wǎng)絡(luò)設(shè)備。面對校園網(wǎng)中所有的計算機網(wǎng)絡(luò)終端，欲實施統(tǒng)一的資產(chǎn)管理和安全管理辦法非常困難。

（3）校園網(wǎng)用戶自身使用特點。使用校園網(wǎng)的學(xué)生用戶作為最活躍的校園網(wǎng)用戶，好奇心強、法律意識比較淡薄，若學(xué)校沒有對其進行充分的信息網(wǎng)絡(luò)安全教育，極易導(dǎo)致學(xué)生用戶以校園網(wǎng)為試驗對象，學(xué)習(xí)大量計算機網(wǎng)絡(luò)專業(yè)知識，編寫病毒程序或產(chǎn)生黑客行為對校園網(wǎng)進行技術(shù)攻擊。

（4）共享資源缺乏管理。由于在校學(xué)生普遍缺乏版權(quán)意識，盜版軟件、盜版影視資源，甚至非法軟件在校園網(wǎng)中被普遍復(fù)制和使用，其中可能隱藏病毒、木馬、后門等惡意代碼，極易被攻擊者侵入和利用。這些資源的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給校園信息網(wǎng)絡(luò)帶來了相當(dāng)大的安全隱患[1]。

2 校園信息網(wǎng)絡(luò)安全問題分析

2.1 正確的信息安全觀樹立不足

（1）信息安全體系的整體性布局考慮欠缺。在信息時代，網(wǎng)絡(luò)信息安全同許多其他方面（文化安全、社會安全、資源安全等）都有著密切關(guān)系。整體考慮，而不只關(guān)注一點，是當(dāng)前信息安全整體戰(zhàn)略布局需要思考的問題。

（2）信息安全技術(shù)是動態(tài)發(fā)展而非靜態(tài)停滯。信息技術(shù)變化越來越快，過去分散獨立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)、相互依賴，網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化，企圖依靠裝某幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜。

（3）信息安全的管理和宣傳相對封閉。只有立足開放環(huán)境，加強對外交流、合作、互動、博弈，吸收先進技術(shù)，信息安全水平才會不斷提高。

（4）信息安全的保障程度是相對的而不是絕對的。在網(wǎng)絡(luò)信息安全世界，沒有絕對的安全。應(yīng)立足校園自身發(fā)展實際，充分考慮自身的安全等級定義，避免不計成本追求絕對安全，導(dǎo)致背上沉重負擔(dān)，甚至可能顧此失彼。

（5）信息安全的建設(shè)主體是共同的而不是孤立的。信息安全是數(shù)字化信息化發(fā)展的基本保障，維護信息安全是校園內(nèi)所有組織機構(gòu)的共同責(zé)任，需要所有組織機構(gòu)、師生共同參與，共筑信息安全防線。

2.2 多層級安全防護機制有待提升

2.2.1 缺乏全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢的能力

對于日常發(fā)生的信息安全意外事件，相關(guān)信息技術(shù)人員試圖從中獲取故障發(fā)生的深層原因以解決根本問題，但這種方式非常被動。感知網(wǎng)絡(luò)安全態(tài)勢是最基本最基礎(chǔ)的工作，而全天候全方位感知的要求就更佳嚴格。全天候全方位是一種時間和空間上的全覆蓋，注重問題需防患于未然。也是目前校園信息化安全風(fēng)險監(jiān)控的短板。

2.2.2 需加快升級關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系

關(guān)鍵信息基礎(chǔ)設(shè)施是校園信息系統(tǒng)運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標?！拔锢砀綦x”防線可被跨網(wǎng)入侵，調(diào)配指令可被惡意篡改，交易信息可被竊取，這些都是重大風(fēng)險隱患。不出問題則已，一出就可能導(dǎo)致業(yè)務(wù)中斷，具有很大的破壞性和殺傷力。目前亟須深入研究，采取有效措施，切實做好校園關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護工作。

（1）信息安全建設(shè)管理分散、不成聚合。數(shù)字校園建設(shè)中的信息系統(tǒng)大多委托承建單位進行業(yè)務(wù)系統(tǒng)建設(shè)。隨業(yè)務(wù)系統(tǒng)數(shù)量的不斷增多，第三方供應(yīng)鏈安全管理、統(tǒng)一執(zhí)行相關(guān)責(zé)任部門的信息網(wǎng)絡(luò)安全行為管理已成為校園信息系統(tǒng)日常管理的新問題。如何處理好安全和發(fā)展的關(guān)系，做到網(wǎng)絡(luò)安全與信息化建設(shè)同時推進、保證業(yè)務(wù)連續(xù)運行，需要所有相關(guān)部門單位共同配合解決，這是管理與技術(shù)雙方面都需要考慮的綜合問題。

（2）需進一步落實綜合性的應(yīng)急方案和安全管理制度。目前，各大、中小學(xué)校針對信息化安全管理，基本制定了一系列信息網(wǎng)絡(luò)安全規(guī)章制度。但涉及的問題和范疇既有重合也有分散，并沒有從管理制度上形成一整套安全管理機制。隨著業(yè)務(wù)系統(tǒng)的不斷升級和增加，需要及時更新和完善相關(guān)的安全應(yīng)急保護制度。

與此同時，如何將《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》和《中華人民共和國數(shù)據(jù)安全法》與校園信息安全建設(shè)結(jié)合起來，使現(xiàn)有制度更加完善、新政策落地可行且行之有效，是管理與技術(shù)人員正在面對的棘手問題。

3 校園信息網(wǎng)絡(luò)安全問題應(yīng)對對策

3.1 完善并落實信息網(wǎng)絡(luò)安全綜合管理制度

實際上，一種方案并不能保證系統(tǒng)一勞永逸，網(wǎng)絡(luò)安全問題遠遠不是防毒軟件和防火墻能夠解決，也不是由大量安全防護產(chǎn)品堆砌而成。針對于校園信息安全管理工作的問題瓶頸，首先要確立一套完整的信息網(wǎng)絡(luò)安全綜合管理制度。具體包含以下方面。

（1）結(jié)合國家法規(guī)建立信息安全綜合管理制度。結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等法規(guī)建立信息安全綜合管理制度，同時整合校園現(xiàn)有制度內(nèi)容，改變現(xiàn)在的信息安全管理制度中不匹配、重疊、交叉的環(huán)節(jié)，從安全體系架構(gòu)的角度合理規(guī)劃、合理建設(shè)、甚至適度精簡，具體建設(shè)思路是：一是站在數(shù)字化校園建設(shè)整體發(fā)展角度把握整體規(guī)劃大方向；二是從按功能性區(qū)分管理變更為統(tǒng)一整體規(guī)劃；三是將現(xiàn)有信息安全辦法合并，進行統(tǒng)一更新并持續(xù)跟進。

（2）完善各業(yè)務(wù)系統(tǒng)責(zé)任管理辦法。為了落實業(yè)務(wù)系統(tǒng)的安全保護管理工作，進一步強化全系統(tǒng)安全的監(jiān)督管理工作，進一步降低風(fēng)險產(chǎn)生。

（3）落實網(wǎng)絡(luò)安全責(zé)任制和監(jiān)督檢查工作。信息安全工作應(yīng)首先明確工作任務(wù)內(nèi)容，并執(zhí)行定期巡檢機制，落實日常安全保護工作。定期進行報表檢查和安全現(xiàn)場檢查，對網(wǎng)絡(luò)安全設(shè)施責(zé)任人進行監(jiān)督問責(zé)。

（4）增設(shè)“提升用戶計算機網(wǎng)絡(luò)安全意識”的定期宣傳工作。定期做好日常計算機安全防護的宣傳工作，不僅為了保護師生個人的數(shù)據(jù)安全，而且也從另一角度防止黑客或病毒用過攻陷個人計算機從而進一步大肆攻擊校園內(nèi)部網(wǎng)絡(luò)。

（5）加強網(wǎng)絡(luò)安全教育培訓(xùn)。一是定期對在校師生開展全面網(wǎng)絡(luò)安全意識培訓(xùn)，提高網(wǎng)絡(luò)安全意識。二是對于校園信息化管理人員和技術(shù)人員，開展網(wǎng)絡(luò)安全素養(yǎng)培訓(xùn)。三是使校園系統(tǒng)運維和安全技術(shù)人員參加專業(yè)技術(shù)培訓(xùn)，獲得相關(guān)資質(zhì)證書，全面提升網(wǎng)絡(luò)安全防范技能和水平。

（6）開展安全監(jiān)測和應(yīng)急演練。重視日常安全威脅檢測工作，通過配備工具或購買服務(wù)的方式對系統(tǒng)進行安全實時檢測，確保第一時間發(fā)現(xiàn)問題。根據(jù)國家和教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案制訂符合校園自身條件的專項應(yīng)急預(yù)案和配套管理制度，如有條件，可開展實戰(zhàn)攻防演練。

3.2 轉(zhuǎn)變傳統(tǒng)思路是信息化安全建設(shè)的里程碑

大量的實踐案例證明，傳統(tǒng)的安全解決思路和技術(shù)手段已不適合現(xiàn)代大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境。調(diào)整思路、突破技術(shù)核心，掌握安全防護主動權(quán)，是新一代信息安全建設(shè)的前提條件。

（1）以“控制風(fēng)險”代替“防范威脅”。提升系統(tǒng)運行穩(wěn)定性，應(yīng)該變“被動防御安全威脅”為“主動控制安全風(fēng)險”，以“主動出擊”的理念進行實際工作部署，其防御效果會極大地提升。

（2）以“持續(xù)跟蹤系統(tǒng)健康狀態(tài)”取代“關(guān)注應(yīng)激響應(yīng)事件”。對于日常發(fā)生的系統(tǒng)意外事件，試圖從中獲取故障發(fā)生規(guī)律以解決根本問題，但這種方式非常被動。以“持續(xù)跟蹤系統(tǒng)健康狀態(tài)”取代“關(guān)注應(yīng)激響應(yīng)事件”，以主動姿勢進行管理維護工作，將極大地降低業(yè)務(wù)系統(tǒng)的故障發(fā)生率，提升業(yè)務(wù)連續(xù)性。

（3）將執(zhí)行信息網(wǎng)絡(luò)安全工作常態(tài)化。將信息安全工作進行定義、分類、量化，制定常態(tài)化安全工作目標，并建設(shè)安全工作基線與工作流程，對日常信息安全工作進行分解和落實，最終實現(xiàn)安全工作部署、安全事件分析、安全狀態(tài)預(yù)測預(yù)測和輔助安全規(guī)劃決策的常態(tài)化運行。

3.3 多視角考慮網(wǎng)絡(luò)信息安全工作

（1）結(jié)合投資回報率的財務(wù)視角考慮信息化安全產(chǎn)品的選型問題。研究對于現(xiàn)有安全問題的解決策略，調(diào)研未來技術(shù)發(fā)展趨勢，同時也需要從安全系統(tǒng)投資回報率的財務(wù)視角進行思考。一是緊抓校園信息化建設(shè)重點。根據(jù)信息化建設(shè)重點制定風(fēng)險容忍度等級，統(tǒng)籌安排安全措施大類，在規(guī)范好的范圍內(nèi)進行產(chǎn)品選型工作。二是建立成本分析模型。將信息安全產(chǎn)品預(yù)算、成本、風(fēng)險可能的發(fā)生率和降低可能風(fēng)險的概率等參數(shù)進行量化。在量化過程中，可調(diào)整成本，對比不同方式的成本與投資回報率。

（2）從項目管理視角完整對待業(yè)務(wù)系統(tǒng)建設(shè)。在數(shù)字化校園信息系統(tǒng)建設(shè)過程中，按項目管理的方式進行監(jiān)控和檢查。對各信息系統(tǒng)承建單位提出的責(zé)任管理辦法是信息系統(tǒng)項目管理辦法中的一項針對信息安全的重要要求，應(yīng)在信息系統(tǒng)建設(shè)前即開始相應(yīng)的項目安全管理計劃，并明確相關(guān)工作人員的執(zhí)行責(zé)任與管理責(zé)任，以期將工作落實到位[2]。

3.4 校園網(wǎng)絡(luò)信息安全與信息化建設(shè)同步開展

網(wǎng)絡(luò)安全和信息化是一體之兩翼，必須統(tǒng)一籌劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。在學(xué)院黨組織領(lǐng)導(dǎo)下，在進行信息化建設(shè)的同時，將各部門的積極性調(diào)動起來，共同參與維護信息網(wǎng)絡(luò)安全，共同參與推動信息化發(fā)展，共同參與互聯(lián)網(wǎng)對外交流合作，共同為校園信息化安全發(fā)展獻計獻策，共筑網(wǎng)上網(wǎng)下“同心圓”，這是校園新時期信息化建設(shè)的新亮點，其中包含以下四個方面。

（1）加強網(wǎng)上正面宣傳，旗幟鮮明地堅持正確政治方向、輿論導(dǎo)向、價值取向，積極培育和踐行社會主義核心價值觀，推進網(wǎng)上宣傳理念、內(nèi)容、形式、方法、手段等創(chuàng)新。

（2）把網(wǎng)絡(luò)信息安全工作作為重要工作任務(wù)，當(dāng)成一件大事來抓，每年對網(wǎng)絡(luò)信息安全工作專門安排部署，經(jīng)常性召開會議，研究解決信息化安全方面的問題，推進網(wǎng)絡(luò)信息安全工作的開展。

（3）認真落實網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé)，堅持誰使用、誰管理、誰負責(zé)的原則，強化責(zé)任意識。

（4）對校園工作人員和在校學(xué)生加大信息安全宣傳力度，強化教育引導(dǎo)，請有關(guān)單位和專家不定期組織開展信息安全知識培訓(xùn)，引用反面典型案例，通過教育引導(dǎo)形成“加強信息安全，就是加強校園安全”的思想共識。

4 結(jié)束語

現(xiàn)代社會網(wǎng)絡(luò)大數(shù)據(jù)大發(fā)展的大環(huán)境對校園信息化建設(shè)和信息網(wǎng)絡(luò)安全建設(shè)提出了更高的要求。在教育新信息化2.0時代背景下，針對校園信息化建設(shè)實際情況，加強信息化安全保障具有時不我待的戰(zhàn)略意義。信息安全保障是一個綜合且互聯(lián)的整體，是人員、管理和技術(shù)三大要素的結(jié)合統(tǒng)一。在整體安全策略的控制和指導(dǎo)下，綜合運用管理方法和技術(shù)手段，將系統(tǒng)調(diào)整到“最高安全”和“最低風(fēng)險”狀態(tài)，是信息安全建設(shè)的總目標和意義所在?！?/p>