浅谈高校信息安全策略

向运琼

四川大学保卫处

近年来，科技突飞猛进，随着网络与教育的有机结合，高校教育已走向网络化、信息化和个性化。高校校园也不再是封闭式的“象牙塔”，呈现出办学现代化、国际化的特点，不断出现新情况、新问题，教育信息和网络的安全问题已经成为保持校园正常教学、管理的重要课题。

1 高校信息安全所存在问题

管理制度不完善。现代化管理体系和机制尚未建立起来,传统管理方式造成安全更加脆弱。

部分师生员工信息安全意识不强。许多高校师生员工、相关工作者还没有真正认识到互联网给高校安全稳定带来的严重威胁。他们的思想认识、工作机制大多还停留在传统状态, 信息时代的隐形安全隐患还没有引起他们的警惕。

技术力量薄弱。信息时代带来的互联网是高新技术行业, 而从事高校安全保卫及信息安全相关工作的人员大都对网络只知其表不知其理, 网络监管力量单薄，缺乏专业技术人员、专业技术的有力支撑。

投入不足，设施不全。目前，信息化设备采购成本还比较高，加之还没有引起重视，因此很多高校信息化设备陈旧，设施不全。

2 加强高校信息安全建议

2.1 明确机构，完善信息安全管理机制

2.1.1 建立健全信息安全管理机构。网络对高校环境影响的多样性和复杂性，要求高校必须重视网络信息安全管理工作，必须要有一支独立的既懂技术又懂管理的专职队伍来从事信息安全工作。

2.1.2 落实信息安全责任制。建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每个岗位的职责与任务，落实安全管理责任制。建立安全教育和培训制度，对信息系统运维人员、管理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。建立定期检查制度，定期对全校的所有应用系统和网络系统进行相关信息安全检查，形成日志，作为紧急处理程序的重要参考及发生信息安全问题后追查相关责任人和责任单位的重要文档。

2.1.3 明确信息资源安全等级、信息安全保护等级。对于信息资源，校内各信息资源管理部门，按照《信息安全等级保护定级技术指南》[1]规定，对内部信息资源根据信息的性质和重要程度实行分级管理。

根据划分的信息资源等级和国家颁布的《计算机信息系统安全保护等级划分准则》[2]，对于存放在计算机系统中的信息，可将校园计算机系统安全保护划分为以下等级：[3]用户自主保护级，如教务、招就、党籍、团籍、离退休信息管理系统等；系统审计保护级，如图书、审计信息系统；安全标记保护级，如档案管理、人事劳资管理、财务管理、资产管理信息系统；由于科研信息的保护在高校至关重要，一旦泄露，后果严重，甚至危害国家安全，所以根据科研的安全等级分为结构化保护级和访问验证保护级，一般科研项目、重要科研及校园监控等系统可划分为结构化保护级，而有关涉密信息、科研、项目应归为访问验证保护级。

2.1.4 根据安全等级划分安全人员，做好人员安全管理。信息安全与信息资源管理领导小组根据信息资源安全等级、信息安全保护等级，按照《信息系统安全等级保护基本要求》[4]中“人员安全管理”要求，在信息安全员队伍中确定每一级别的安全人员，选择好安全人员，做好人员安全管理。人员安全管理主要包括人员录用、离岗、教育培训、绩效考核等内容。规范人员录用、离岗、考核，关键岗位要根据《中华人民共和国保密法》(2010年修订)签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等加以控制。

2.2 加强信息安全意识的宣传教育及信息安全的培训工作

自互联网接入我国后，信息传播速度得到了迅速提升，给人们的生活带来了很大的便利，但是在传播信息的同时，一些恶意信息在网络中肆意横行，怎样在信息量大、传播速度快、覆盖面广，具有高度的开放性和交互性的互联网中如何趋利避害，让校内人员自身认识到信息安全并不是一个离自己比较远的话题，它就在我们身边，与每个人都密切相关呢？

2.2.1 利用行政手段。通过各种会议进行信息安全宣传教育；

2.2.2 利用教育手段。通过定期开展信息安全学术研讨会、安全知识讲座、安全知识竞赛等进行信息安全教育方式，增强师生员工信息安全意识和维护信息安全的能力；

2.2.3 利用学校传播媒介、舆论工具等手段。通过校刊、校报、校园网络、广播、宣传栏等方式进行信息安全教育。

2.3 提高信息安全环境

我国网络信息安全技术研究起步相对较晚，信息安全体系建设尚处于不完善状态，国内计算机网络信息安全技术的研究,与发达国家相比,存在一定的差距。而高校信息安全技术较其他领域，目前处于滞后状态，借鉴其他领域相关经验，高校信息安全技术需要：

2.3.1 加强信息安全技术硬件的配备。由于目前高校人员安全意识不强，对信息安全技术硬件的投入不够，未能得到重视。俗话说“巧妇难为无米之炊”，硬件设施跟不上，安全环境就得不到基本的保障。既要配备网络信息防范设备，加强安全保密建设，做好物理环境的安全，尽量防止意外事件或人为破坏具体的物理设备，又要做好计算机设备安全，对计算机的机箱采取一定的物理隔离防护措施。

2.3.2 建立专门的信息安全员队伍。建立专门的信息安全员队伍，信息安全员的选择，保密觉悟排在第一位，其次安全意识要强，最后信息安全技术过硬也是必不可少的，信息安全管理人员必须做到及时进行漏洞修补、软件定期升级和安全系统定期巡检，保证对网络的监控和管理。在管理方面，要对信息安全工作人员定期举办信息安全培训，并定期与各部处学院的信息安全管理员进行沟通，及时发现相关论坛、BBS、内部资源系统及储存设置等存在的问题，并及时妥善处理。

2.3.3 完善技术防范体系。技防是人防和物防功能的延伸和加强，是对人防和物防防范漏洞的弥补。虽然目前大部分计算机使用了防火墙和计算机病毒防治产品, 安装了基本的技术防范设备, 但是技术防范措施比较薄弱。因此应加强这方面的指导,例如：大力使用加密技术。另外，加强高校信息科技安全技术,应确定哪些技术须自主开发,哪些技术可以加以利用，这样才能最终保障校内信息资源的安全，提高高校信息安全的技术防范能力。

2.4 建立应急处理机制

高校信息安全具有复杂性和动态性。复杂性是指高校的信息安全问题并非被限制在某个特定领域内讨论，信息安全工作不仅仅是保护特定的信息不被窃取非法使用，有时也可能是为了特定的社会和集体利益而对特定信息进行删除、屏蔽或隐藏。动态性主要是指高校信息安全工作总是处于动态变化之中，每个月都可能出现不同的信息热点问题，甚至一个月中可能会出现数个不同的信息热点问题。[5]

信息安全的复杂性和动态性，决定了在日常管理中需要未雨绸缪、居安思危，超前考虑可能出现的各种问题，根据不同的问题制订相应的应急处理机制，明确各单位职责、任务和处置措施，并定期进行操作演练，这样在真正出现影响国家安全利益与高校稳定的信息安全事件的时候才不至于手忙脚乱，能够立即采取措施，有效地控制危机，将损失减少到最低程度。

3 结语

高校信息安全是一项长期的、系统的、综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,又有物理的和逻辑的技术措施。世界上不存在绝对安全的信息系统，除了必要的硬件和技术作为有力支撑外，使用者和管理人员之间的默契配合、使用者安全意识、管理人员责任心等都是非常重要的。只有在建立健全组织机构、提高安全意识的同时，还要有完善的规章制度、超前的管理措施、一流的安全管理人员，这样才能保障高校信息安全工作顺利开展。

[1]信息系统安全等级保护定级指南(GB/T 22240-2008)[S]

[2]计算机信息系统安全保护划分准则(GB17859-1999)[S]

[3]刘玉燕.高校信息安全等级保护评测[J].信息技术，2011.02

[4]信息系统安全等级保护基本要求(GB/T 22239—2008)[S]

[5]李西明，鹿海涛.高校信息安全管理探讨[J].中国教育信息化，2010.01