侯 娟,张金俊,李 艺
(1.南京市高淳中等专业学校,江苏 南京 211300;
2.南京市金陵中学,江苏 南京 210005;
3.南京师范大学 教育科学学院,江苏 南京 210097)
教育信息安全管理体系设计*
侯 娟1,张金俊2,李 艺3
(1.南京市高淳中等专业学校,江苏 南京 211300;
2.南京市金陵中学,江苏 南京 210005;
3.南京师范大学 教育科学学院,江苏 南京 210097)
教育信息的安全问题日益突出,文章立足于教育信息特征以及教育管理机制特征,分析教育系统信息安全的风险性因素,并结合企业的信息安全经验,构建出符合教育系统实际需要的信息安全管理体系。
信息安全;教育信息;管理体系
教育信息化的高速发展,必然促使学校的日常工作实现一定程度的电子化,由此必将产生大量的教育信息。此外,以功能为导向的教育管理信息化标准旨在透过基础数据映射教育系统信息化建设的物理层面,这一标准一旦付诸实施,数据信息的作用将再次提升,因而保障信息的安全显得极其重要。但是,教育领域相关人士对如何保障教育信息的安全却比较迷茫,一方面他们不断加大信息安全的设施设备、软件硬件的投入,另一方面又不断承受着信息流失、泄露等不安全事件的打击,因而探求保障信息安全的方法已迫在眉睫。
企业是我国较先发展信息化事业的领域,对信息安全的研究也走在其它领域的前面。笔者在中国知网中以 “企业信息安全管理”为关键字进行精确搜索,搜到符合要求的文章有23篇。通过阅读发现这23篇文章都是从管理和技术两方面来谈如何加强信息安全建设的,具体经验梳理如表1。
由表1可见,管理和技术是企业信息安全成功的两大法宝,值得教育领域借鉴。但由于教育领域信息的特征、教育系统管理机制的特点以及风险点与企业存在着差异,因而并不适合完全照搬企业的经验。
表1 企业信息安全建议
闫一渡和赵丽娟对教育信息的内涵给予了清晰的描述:“简单地说,教育信息指教育系统、教学过程中某一编码系统(自然的或人工的)的有机组合所包含的内容(如果进一步细分:教育信息可专指教育系统中传递的内容;教学信息专指教学过程中教、学双方相互交流的内容)。”[1]笔者认为,在教育系统中传递的教育信息是作为管理之用,因而可暂且理解为教育管理信息,这样教育信息实际上是教育管理信息和教学信息的综合。
某些学者对信息化环境下教育信息的特征做了总结,如基于教育信息对教育决策作用的角度,认为教育信息具有真实性、有效性、时效性的特征。当然这与安全角度教育信息所表现的特征有所区别,而且就安全角度来讲,由于教育管理信息和教学信息的使用者不同,他们本身所表现的特征就有所区别。
1.二者相同特征
(1)真实性。教育管理信息最主要的作用是为领导决策提供服务,所以教育管理信息要求实事求是。而教学信息也只有真实,才能为学生的学习提供切实的帮助,有助于学生健康成长。
(2)时效性。信息的效用依赖于时间并有一定的期限,且价值的大小与提供信息的时间密切相关。教育管理信息和教学信息皆表现出这种特征。如课堂教学的反馈信息能够及时地传达给教师,对提高教学质量将会非常有帮助。另外某些教育信息在某些时间段非常有价值,伴随时间的推移,其价值可能会下降。
2.二者不同特征
(1)流动性。教育管理信息是日常教学秩序得以维持的保障,是在教育系统中传递的信息,传递意味着流动。从教育系统的日常工作中我们发现,教育管理信息的流动主要有单位内部之间的信息流动及与外单位之间的信息流动两种形式。如教务处生成的信息可能同时在学生处、教学处流动使用,中小学德育活动的信息需要向区县的相关部门汇报等等。无论教育管理信息以哪种形式流动,归根到底都是不同部门间的流动,而且这种流动在教育系统的管理工作中是非常常见的。
(2)流动中的增值性。与教育管理信息的流动性不同,教学信息在流动中还具有增值的特点。网络及Web2.0等技术的兴起使这种特点表现得更加明显。学习者不仅可以通过网络查找信息,而且可以自主参与对知识的构建编辑,如维基百科就是一种典型的人人可编辑的百科全书。
(3)保密性。随着网络的不断发展,人们在深得网络益处的同时也意识到网络对他们的隐私有一定侵犯。现在的教育管理信息很多都涉及学生及其家人的个人信息,需要进行保密。另外部分教学统计信息可能会涉及学校甚至国家的机密,也需要保密。
(4)共享相对性。教学信息虽然不涉及学生隐私,但其共享的范围也具有相对性。如某校购买一个资源库,在学校范围内对所有师生免费开放,即实现了资源共享,但这种共享只限定在学校范围内。
综上所述,真实性、保密性和流动中的增值性对教育信息安全管理提出了要求,这是要保证的;时效性、流动性以及共享相对性在提出要求的同时,也为安全管理提供了一定的思路,这是可以借鉴和利用的。
1.教育管理体制特点
教育管理体制是指教育系统各要素之间的联系、制约和作用方式,这种方式同样影响着教育信息安全的管理。笔者通过参阅相关文献,简单归纳了现行教育体制的特点:
(1)权限有所增大,但层次不一。依据目前各个学校自主权实现的程度,有学者将之归纳为三个层次:一般学校都有的自主权;较大的自主权,同时也是具有限制要素的自主权,以防盲目扩大;更大的自主权,减少某些限制,放松某些限定的自主经营,接近私立学校的自主经营。
(2)竞争更加激烈。《面向21世纪教育振兴行动计划》中提出实行教师聘任制和全员聘用制,加强考核,竞争上岗,优化教师队伍。这种聘用制是根据科学设定的岗位及实际工作任务,对单位内部各类各级人员按“双向选择,优化组合,竞争上岗”的原则进行聘用,因而人员竞争也较改革前激烈很多。
(3)岗位责任认定更加明确。岗位责任制的确立可以追溯到1985年发布的《中国教育改革和发展纲要》,它的提出使各科室乃至每个教职员工都有了明确的职责,并伴之以严格的考核和奖惩。
(4)监督制约机制更加完善。按照教育部颁发的《关于全面推进校务公开工作的意见》以及《全国校务公开经验交流会会议纪要》的有关内容,学校要实行校务公开,包括对内和对外两个方面,涉及的内容很多。
2.对信息安全管理提出的新要求
(1)学校虽是教育单位,但身处市场环境中,必然受到市场机制的影响,也必然导致学校要求更多的自主权,而学校自身的状况又决定了他们拥有的自主权不可能一致,所以应根据学校自主权所处的层次处理好学校和教育行政部门的职、责、权、利的关系,严格设定权限。同时,在市场因素的影响下,教育竞争也将更加激烈,学校作为相对独立的个体处于竞争之中,对自身发展格外重视,因而需要保密的数据信息点也会随之增加。
(2)实行全员聘用合同制意味着可能出现较多的人员调动,有些人员在原工作岗位所掌握的信息可能相对比较敏感,因而如何管理好这部分人员所掌握的信息变得非常重要。
(3)实行岗位责任认定制说明教育系统是一个既有分工又有合作的系统,分工体现了教育信息产生的唯一性,合作体现了教育信息部门间流动性强的特点。教育系统信息安全管理要充分借鉴并利用这种分工有序的工作形式。
(4)校务公开制度明确校务需要分对内和对外实行两种公开,对内公开的信息不可以在校外公布。此外教育管理信息的流动是以部门为单位,所以我们应对教育信息进行详细分析,确定其流动范围。
图1是我国信息技术安全性评估通用准则ISO15408,已被颁布为国家标准GB/T18336,简称通用准则。它是评估信息技术产品和系统安全性的基础准则。对应于教育机构的信息安全风险需求分析,笔者以GB/T18336框架为依据,结合风险分析的一般步骤、法律法规、教育系统内部标准及教育系统内部管理体制的要求,在访谈的基础上对教育系统
的信息安全风险做如
下分析。
1.确定保护对象
GB/T18336以资产作为保护对象。资产包括软资产和硬资产两方面,涉及机器设备设施、数据信息等多个方面,本文主要考虑的软资产即数据信息的安全。由前面的分析我们知道,涉及保密性的信息是安全管理的重点保护对象,而教育管理体制特点又决定保密的信息需要流动,因而我们要做的是减少流动中的风险因素,确保流动中的安全。
2.确定教育系统中信息安全的威胁和脆弱性
信息安全的风险主要是由威胁和脆弱性引起的。信息安全威胁是指由于某些事件的发生,信息系统有变坏或者被攻击的可能,这样的事件就被看做是信息安全威胁。脆弱性是指信息系统的软件和硬件的实现机制、软件和硬件控制机制和安全管理规程等方面存在的弱点,这些弱点可能被信息安全威胁利用,获得对信息的访问或者中断关键的处理,最终将信息系统置于非预期的利用之下。威胁和脆弱都是导致风险的因素。
教育系统的信息安全威胁可以分为自然威胁和人的威胁。自然威胁如地震火灾等,具有不可抗拒性。人的威胁有内外之分,外部威胁主要是利用网络技术以及计算机系统的漏洞来窃取内部信息,内部威胁主要是内部人员有意无意的违规操作导致教育信息泄露。
脆弱性常常被威胁利用,成为信息安全的风险因素。据调查,教育系统中尤其在不发达地区的中小学,技术上的脆弱性表现得相对明显:①很多学校使用的网络操作系统和业务应用系统都存在安全漏洞,而且在因特网中传输的数据信息没有加密控制,无法保证信息的机密性和完整性,影响了认证和不可否认功能的实现。②引进了新的安全技术设备,却不能够正确合理使用,参数的设置不合理。对数据库安全性采取的防范措施不到位,如口令设置缺失。③过于相信技术设备的安全性能。
笔者发现管理层面的脆弱性具有隐蔽的特点,很多时候它不为教育工作人员所察觉,但却是最具有安全风险的因素,也是教育信息安全最薄弱的环节。
(1)缺乏技术培训。由于网络和信息系统的复杂性,为保证学校信息系统的安全,教师需要经过良好培训或具有丰富的经验,但现有信息安全人才一般都集中分布在安全产品公司、研究机构,远远不能满足教育系统对信息安全人才的需求。缺乏经验的教师在没有接受良好培训的情况下,经常由于错误的安全配置、软硬件的错误使用使系统处于不安全状态,容易受到内外部的攻击。即使是教育系统的技术人员、操作人员、维护人员、管理人员,也常常由于个人知识、技能不足,不能解决工作中出现的紧急情况,也同样会造成安全风险。
(2)支持力度不够。教育系统的领导对信息安全的认识不够全面,很多安全策略得不到组织层面的决策支持。
(3)缺乏整体的、动态的信息安全计划。很多学校缺乏有效的信息安全计划,有的甚至没有。就算有,要么束之高阁,不采用;要么几年如一日,一成不变,缺乏更新。
(4)安全责任机制不明确,缺少惩罚措施。一旦出了信息安全问题,没有人知道具体发生的时间,也不知道向谁报告,更不知道要谁负责,也没有惩罚措施。
(5)管理与技术关系的认识不全面。就访谈来看,绝大多数教育工作者有技术崇拜的倾向,他们都将目光投向了保护信息安全的一些技术性方法,忽视了管理层面的重要性。
(6)人员管理存在隐患。前面已经提到实行全员聘用合同制会使人员岗位的调动相对频繁,较容易引发一些风险因素。
(7)法律法规宣传不到位。对适用法律的忽视同样是导致信息安全风险的一个重要因素。大多数学校都没有遵从信息安全的相关法律法规,他们认为不遵从法规成本更低。
(8)对物理设备的安全管理不完备。缺乏对建筑物、门、窗等基础支撑设施的物理保护和物理访问控制的监管,存在盗窃、故意破坏设施等行为。
安全体系设计
教育信息特征和教育管理体制的特点为安全管理提出要求的同时,也为安全管理提供了一些思路。本文在风险分析的基础上,以这种思路为指导,同时借鉴企业信息安全方面的经验,构建适合教育系统的信息安全管理体系。
与企业信息安全建设的现有经验成果相一致,教育系统的信息安全也应从管理与技术两个层面进行保护,技术是基础,是工具,管理是灵魂,是关键。
1.管理控制
就风险分析的结果来看,笔者将管理控制需要加强的内容归纳为五个方面:信息对象管理,组织管理、物理管理以及制度法规。
(1)信息对象管理
岗位责任认定制体现了教育系统的分工有序,说明了系统内各部门的职责不同,所处理的教育信息需要保密的范围和程度都不相同。利用这一特点,对教育信息进行分流梳理,划分教育信息的共享级别。另外教育信息的共享级别划定后,电子文档的管理也需要制定专门的制度。
①教育信息共享级别划分。借鉴教育部门的文件信息管理机制,建立学校的文件信息共享级别制度,将各种文件信息分级管理,不同的文件信息有不同的共享级别,共享级别的划分可以考虑教育机构的不同部门职能,按照教育机构现实的情况进行确定,进一步明确哪些信息在哪些部门内共享;其次,根据工作人员所在部门以及岗位,结合文件信息的共享级别分配不同的权限,最终形成固定信息只在固定部门流动共享,固定信息只有固定群体访问的局面,从而方便责任落实。
②电子档案管理制度。教育信息具有一定的时效性,对教育电子文档的存贮和销毁可以做出明确规定。建议在电子文件形成、积累、归档、保管过程中进行妥善管理,确保归档电子文件的完整性和有效性;可以指定专门部门或人员负责,及时登记设备环境、相关数据等,以保证电子文件归档的质量,要保证已归档电子文件的安全;作为档案长期保管的电子文件应与相同的纸质文件一同归档;根据电子文档的时效周期,定期对电子文件进行销毁。
(2)组织管理
教育信息缺乏组织上系统的管理,包括对安全计划的、对人员的以及对安全责任的。
①信息安全的计划
信息安全的计划是从整体上把握信息安全,根据教育系统的自身信息安全状况分析信息安全的风险,选择策略措施,这是一套系统的动态的过程,需要不断更新变化,并且落到实处。计划中还应对信息安全突发状况作出紧急预案,信息安全管理的任何一个环节出了错,都有可能导致信息的不安全,因而要提前针对可能出现的情况制定好应急管理措施,一旦发生信息安全事件,立即启动预案应急措施。
②人员管理
信息安全对人的管理侧重从体制上、管理上、技术上约束,规范其个人行为,避免主客观的不安全因素。因为调职、退休或者其他原因离开的教育系统非在职人员的管理常常被忽视,教育系统的信息安全应该将这些隐性因素综合考虑在内。
权限的设定。教学信息共享的相对性、流动的增值性以及教育管理体制的特点均显示出权限管理的重要性。如果没有合理的权限设定,必然会使某些教育工作者或者部门的合法权益受到损害。对于权限的设定可以结合各岗位的实际工作需要、教学活动的实际需求,对照教育信息的共享级别,对人员信息访问和读写权限作出严格的设定。这种权限包括数字形式的准入,如账户、密码,也包括物理形式的准入,如访问存储重要信息的机房重地的出入证。另外对于非在职人员原有的权限要及时取消,并且要有相应的制度使他们对已经掌握的重要信息进行保密。
人员培训。教育系统应定期或不定期地对工作人员进行信息安全技能培训。信息化高速发展,为培训提供了很大空间,培训形式可以多样化,地点也可以不固定。
③安全管理责任认定
建议安全事件按其影响的后果划分事故等级,并结合岗位责任认定制将责任落实到部门和个人。个人出现问题,部门也应承担相应的责任。
虽然说有一定的法律条文对泄露信息的行为进行约束,但其约束面较窄,建议教育机构内部设定具体的惩罚措施作为补充。教育机构内部人员如有失误造成信息安全风险的,可视情节轻重、责任大小,给予当事人扣发奖金、诫勉以及内部处分、年度考核扣分等处罚;构成违纪的,给予党政纪处分;触犯刑律的,移送司法机关依法追究法律责任;取消本年度参加所有先进评选资格等处罚。惩罚措施还要配备相应的监督,教育机构内部可以定期监察。
(3)物理管理
主要涉及涉及自然灾害的预防和设施设备的防盗。①自然灾害的防范措施。机房重地的防火、防水等措施要做到位,如不要放易燃物,设有火警报警装置等,虽然大家熟知这点,但不够重视。②防盗。信息化相关设备设施都非常昂贵,防盗措施也需配套做好,监控的作用要发挥到实处。
(4)制度法规
①法规的宣传。相关的法律以及道德规范的宣传是必需的。法律及道德规范的宣传首先可以让教育工作者明白保守信息的重要性,其次可以让他们知道哪些信息需要保护及泄露将要承担怎样的后果。所以只有让教育工作者心中时刻铭记法律及道德规范,以此来约束他们的行为和思想,才能更进一步保障教育信息的安全。
②标准及法规的贯彻落实。信息安全标准和法规出台的目的就是规范信息安全的相关操作,然而很多标准规范出台之初似乎受到了人们的关注,但由于种种原因并没有得到贯彻和落实。所以教育系统相关负责人要认识到实施标准对信息安全的重要性并积极贯彻。
2.技术控制
技术管理是技术因素中管理思想的重要体现,建议教育系统对以下几方面多加关注。
(1)网络审计管理。包括通过对信息系统网络、操作系统、应用等环节的访问,线索的监视、记录、控制、分析来消除隐患,提高信息系统的安全性。及时对审计内容进行分析,可以找出潜在的安全威胁和异常行为,追查发生异常行为的原因和人员。
(2)口令管理。对人员访问的口令也应有相应的要求,比如访问敏感的教育信息,其口令的长度及复杂度都要相应提高。系统中所有口令的保存必须加密,严禁出现明码。为方便重要信息的管理,某些信息系统只在规定时间向特定群体开放。重要信息的访问者的用户名和密码应定期更换,特别重要的信息系统最好采用一次性口令。
(3)设备风险控制。大、中、小型计算机、个人电脑、路由器、中继器、桥接设备、调制解调器、交换机、集线器等都存在安全风险点,要对这些安全点进行控制。
(4)线路管理。线路是网络的血脉,线路管理主要是保证传输线的质量,定期检查,防止非法装置装入窃取信息。
(5)网络建设管理。网络建设的安全管理主要考虑网络规划设计的安全性、软件功能的安全性支持,这两点往往比较容易受到忽略。网络规划设计时就要融合安全因素充分考虑,力求做到在设计网络时就可以避免一些潜在的不安全因素。
除技术管理外,技术控制还要多关注其他几项技术在信息安全方面的使用。系统安全技术主要要求工作人员提高系统安全级别,采用口令隐蔽技术,检查服务功能,完善系统配置,及时修补系统漏洞;网络安全包含的技术种类很多,如采用路由技术、子网划分技术、VPN等技术实现对教育系统内外部隔离、系统内部部门间隔离等;加密技术和访问控制技术对信息安全非常重要。技术产品主要是指选购方面按照其技术指标与功能合理地进行,所以教育工作人员不仅要重视这些技术,还要将这些技术运用到实处。
教育系统信息安全工作需要形成体系,只有形成体系才能保障信息安全的长久。而建立一个完善的教育信息安全管理体系,首先要在良好的信息安全管理基础之上制定出相关的管理制度、策略和规章,然后才是在安全产品的帮助下搭建起整个架构。在运行过程中,还需要根据变化的环境不断改进,并将这种改进写入信息安全管理方法及策略中,并结合自身因素形成具有鲜明特色的信息安全管理体系。
[1]闫一渡,赵丽娟.教育信息若干问题探讨[J].中国电化教育,1997,(4).
[2]赵洪彪.信息安全风险分析的概念和框架[J].计算机安全,2004,(4).
[3]陈融圣等.对福建某企业信息安全需求的分析[J].电脑知识与技术,2008,(36).
[4]赵晓冬.论我国教育体制改革[J].黑龙江生态工程职业学院学报,2007,(5).
[5]程建华,靖继鹏.信息安全风险结构特征分析[J].情报科学,2008,(3).
[6]Soo Hoo,K.“How Much Is Enough?A Risk Management Approach to Computer Security.”Center for international Security and Cooperation working Paper,http://cisac.stanford.edu/doc/soohoo.pdf,2000.
(编辑:鲁利瑞)
TP393
A
1673-8454(2011)14-0066-06
*本文为2009年江苏省重大课题《江苏省基础教育管理信息化功能标准研制》(09SJB8006)的阶段性成果之一。