淺談高校信息安全策略

向運瓊

四川大學(xué)保衛(wèi)處

近年來，科技突飛猛進，隨著網(wǎng)絡(luò)與教育的有機結(jié)合，高校教育已走向網(wǎng)絡(luò)化、信息化和個性化。高校校園也不再是封閉式的“象牙塔”，呈現(xiàn)出辦學(xué)現(xiàn)代化、國際化的特點，不斷出現(xiàn)新情況、新問題，教育信息和網(wǎng)絡(luò)的安全問題已經(jīng)成為保持校園正常教學(xué)、管理的重要課題。

1 高校信息安全所存在問題

管理制度不完善?，F(xiàn)代化管理體系和機制尚未建立起來,傳統(tǒng)管理方式造成安全更加脆弱。

部分師生員工信息安全意識不強。許多高校師生員工、相關(guān)工作者還沒有真正認(rèn)識到互聯(lián)網(wǎng)給高校安全穩(wěn)定帶來的嚴(yán)重威脅。他們的思想認(rèn)識、工作機制大多還停留在傳統(tǒng)狀態(tài), 信息時代的隱形安全隱患還沒有引起他們的警惕。

技術(shù)力量薄弱。信息時代帶來的互聯(lián)網(wǎng)是高新技術(shù)行業(yè), 而從事高校安全保衛(wèi)及信息安全相關(guān)工作的人員大都對網(wǎng)絡(luò)只知其表不知其理, 網(wǎng)絡(luò)監(jiān)管力量單薄，缺乏專業(yè)技術(shù)人員、專業(yè)技術(shù)的有力支撐。

投入不足，設(shè)施不全。目前，信息化設(shè)備采購成本還比較高，加之還沒有引起重視，因此很多高校信息化設(shè)備陳舊，設(shè)施不全。

2 加強高校信息安全建議

2.1 明確機構(gòu)，完善信息安全管理機制

2.1.1 建立健全信息安全管理機構(gòu)。網(wǎng)絡(luò)對高校環(huán)境影響的多樣性和復(fù)雜性，要求高校必須重視網(wǎng)絡(luò)信息安全管理工作，必須要有一支獨立的既懂技術(shù)又懂管理的專職隊伍來從事信息安全工作。

2.1.2 落實信息安全責(zé)任制。建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機構(gòu)和崗位，明確每個崗位的職責(zé)與任務(wù)，落實安全管理責(zé)任制。建立安全教育和培訓(xùn)制度，對信息系統(tǒng)運維人員、管理人員、使用人員等定期進行培訓(xùn)和考核，提高相關(guān)人員的安全意識和操作水平。建立定期檢查制度，定期對全校的所有應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進行相關(guān)信息安全檢查，形成日志，作為緊急處理程序的重要參考及發(fā)生信息安全問題后追查相關(guān)責(zé)任人和責(zé)任單位的重要文檔。

2.1.3 明確信息資源安全等級、信息安全保護等級。對于信息資源，校內(nèi)各信息資源管理部門，按照《信息安全等級保護定級技術(shù)指南》[1]規(guī)定，對內(nèi)部信息資源根據(jù)信息的性質(zhì)和重要程度實行分級管理。

根據(jù)劃分的信息資源等級和國家頒布的《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》[2]，對于存放在計算機系統(tǒng)中的信息，可將校園計算機系統(tǒng)安全保護劃分為以下等級：[3]用戶自主保護級，如教務(wù)、招就、黨籍、團籍、離退休信息管理系統(tǒng)等；系統(tǒng)審計保護級，如圖書、審計信息系統(tǒng)；安全標(biāo)記保護級，如檔案管理、人事勞資管理、財務(wù)管理、資產(chǎn)管理信息系統(tǒng)；由于科研信息的保護在高校至關(guān)重要，一旦泄露，后果嚴(yán)重，甚至危害國家安全，所以根據(jù)科研的安全等級分為結(jié)構(gòu)化保護級和訪問驗證保護級，一般科研項目、重要科研及校園監(jiān)控等系統(tǒng)可劃分為結(jié)構(gòu)化保護級，而有關(guān)涉密信息、科研、項目應(yīng)歸為訪問驗證保護級。

2.1.4 根據(jù)安全等級劃分安全人員，做好人員安全管理。信息安全與信息資源管理領(lǐng)導(dǎo)小組根據(jù)信息資源安全等級、信息安全保護等級，按照《信息系統(tǒng)安全等級保護基本要求》[4]中“人員安全管理”要求，在信息安全員隊伍中確定每一級別的安全人員，選擇好安全人員，做好人員安全管理。人員安全管理主要包括人員錄用、離崗、教育培訓(xùn)、績效考核等內(nèi)容。規(guī)范人員錄用、離崗、考核，關(guān)鍵崗位要根據(jù)《中華人民共和國保密法》(2010年修訂)簽署保密協(xié)議，對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對關(guān)鍵崗位的人員進行全面、嚴(yán)格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等加以控制。

2.2 加強信息安全意識的宣傳教育及信息安全的培訓(xùn)工作

自互聯(lián)網(wǎng)接入我國后，信息傳播速度得到了迅速提升，給人們的生活帶來了很大的便利，但是在傳播信息的同時，一些惡意信息在網(wǎng)絡(luò)中肆意橫行，怎樣在信息量大、傳播速度快、覆蓋面廣，具有高度的開放性和交互性的互聯(lián)網(wǎng)中如何趨利避害，讓校內(nèi)人員自身認(rèn)識到信息安全并不是一個離自己比較遠的話題，它就在我們身邊，與每個人都密切相關(guān)呢？

2.2.1 利用行政手段。通過各種會議進行信息安全宣傳教育；

2.2.2 利用教育手段。通過定期開展信息安全學(xué)術(shù)研討會、安全知識講座、安全知識競賽等進行信息安全教育方式，增強師生員工信息安全意識和維護信息安全的能力；

2.2.3 利用學(xué)校傳播媒介、輿論工具等手段。通過?？?、校報、校園網(wǎng)絡(luò)、廣播、宣傳欄等方式進行信息安全教育。

2.3 提高信息安全環(huán)境

我國網(wǎng)絡(luò)信息安全技術(shù)研究起步相對較晚，信息安全體系建設(shè)尚處于不完善狀態(tài)，國內(nèi)計算機網(wǎng)絡(luò)信息安全技術(shù)的研究,與發(fā)達國家相比,存在一定的差距。而高校信息安全技術(shù)較其他領(lǐng)域，目前處于滯后狀態(tài)，借鑒其他領(lǐng)域相關(guān)經(jīng)驗，高校信息安全技術(shù)需要：

2.3.1 加強信息安全技術(shù)硬件的配備。由于目前高校人員安全意識不強，對信息安全技術(shù)硬件的投入不夠，未能得到重視。俗話說“巧婦難為無米之炊”，硬件設(shè)施跟不上，安全環(huán)境就得不到基本的保障。既要配備網(wǎng)絡(luò)信息防范設(shè)備，加強安全保密建設(shè)，做好物理環(huán)境的安全，盡量防止意外事件或人為破壞具體的物理設(shè)備，又要做好計算機設(shè)備安全，對計算機的機箱采取一定的物理隔離防護措施。

2.3.2 建立專門的信息安全員隊伍。建立專門的信息安全員隊伍，信息安全員的選擇，保密覺悟排在第一位，其次安全意識要強，最后信息安全技術(shù)過硬也是必不可少的，信息安全管理人員必須做到及時進行漏洞修補、軟件定期升級和安全系統(tǒng)定期巡檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。在管理方面，要對信息安全工作人員定期舉辦信息安全培訓(xùn)，并定期與各部處學(xué)院的信息安全管理員進行溝通，及時發(fā)現(xiàn)相關(guān)論壇、BBS、內(nèi)部資源系統(tǒng)及儲存設(shè)置等存在的問題，并及時妥善處理。

2.3.3 完善技術(shù)防范體系。技防是人防和物防功能的延伸和加強，是對人防和物防防范漏洞的彌補。雖然目前大部分計算機使用了防火墻和計算機病毒防治產(chǎn)品, 安裝了基本的技術(shù)防范設(shè)備, 但是技術(shù)防范措施比較薄弱。因此應(yīng)加強這方面的指導(dǎo),例如：大力使用加密技術(shù)。另外，加強高校信息科技安全技術(shù),應(yīng)確定哪些技術(shù)須自主開發(fā),哪些技術(shù)可以加以利用，這樣才能最終保障校內(nèi)信息資源的安全，提高高校信息安全的技術(shù)防范能力。

2.4 建立應(yīng)急處理機制

高校信息安全具有復(fù)雜性和動態(tài)性。復(fù)雜性是指高校的信息安全問題并非被限制在某個特定領(lǐng)域內(nèi)討論，信息安全工作不僅僅是保護特定的信息不被竊取非法使用，有時也可能是為了特定的社會和集體利益而對特定信息進行刪除、屏蔽或隱藏。動態(tài)性主要是指高校信息安全工作總是處于動態(tài)變化之中，每個月都可能出現(xiàn)不同的信息熱點問題，甚至一個月中可能會出現(xiàn)數(shù)個不同的信息熱點問題。[5]

信息安全的復(fù)雜性和動態(tài)性，決定了在日常管理中需要未雨綢繆、居安思危，超前考慮可能出現(xiàn)的各種問題，根據(jù)不同的問題制訂相應(yīng)的應(yīng)急處理機制，明確各單位職責(zé)、任務(wù)和處置措施，并定期進行操作演練，這樣在真正出現(xiàn)影響國家安全利益與高校穩(wěn)定的信息安全事件的時候才不至于手忙腳亂，能夠立即采取措施，有效地控制危機，將損失減少到最低程度。

3 結(jié)語

高校信息安全是一項長期的、系統(tǒng)的、綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,又有物理的和邏輯的技術(shù)措施。世界上不存在絕對安全的信息系統(tǒng)，除了必要的硬件和技術(shù)作為有力支撐外，使用者和管理人員之間的默契配合、使用者安全意識、管理人員責(zé)任心等都是非常重要的。只有在建立健全組織機構(gòu)、提高安全意識的同時，還要有完善的規(guī)章制度、超前的管理措施、一流的安全管理人員，這樣才能保障高校信息安全工作順利開展。

[1]信息系統(tǒng)安全等級保護定級指南(GB/T 22240-2008)[S]

[2]計算機信息系統(tǒng)安全保護劃分準(zhǔn)則(GB17859-1999)[S]

[3]劉玉燕.高校信息安全等級保護評測[J].信息技術(shù)，2011.02

[4]信息系統(tǒng)安全等級保護基本要求(GB/T 22239—2008)[S]

[5]李西明，鹿海濤.高校信息安全管理探討[J].中國教育信息化，2010.01