赵萍
摘 要:教育系统内部信息的利用价值体现在为领导决策的制定提供服务,因而需要保障其真实性。同时,由于时间期限会对内部信息的利用价值产生深入的影响,因而也需要保障信息的时效性。为此,做好信息安全及保密工作是极为必要的。文章针对教育系统内部信息安全与信息保密方面的现状进行分析,并在此基础上探讨能够积极应对威胁、保障信息安全的保密措施,构建一套完整体系。
关键词:教育系统 信息安全 信息保密
中图分类号:G622 文献标识码:A 文章编号:1674-2117(2014)08-0061-01
教育信息化技术的发展使教育系统的更新、升级更加迫在眉睫。教育系统的重要性促使各方人员关注信息数据的安全问题,但当前所采取的相关保密策略效果均不够理想,整个系统承受着信息安全方面的威胁。对于教育系统而言,由于其涉及对象广泛,自上而下覆盖教育局、招生办、院校等,基于各方需求的不同,致使保障信息安全的难度更大,也因此更需要引起各方人员的关注。
1信息安全威胁
广义上的信息安全威胁(即信息安全风险)主要是由信息系统自身脆弱性特点诱发的。其主要是指,在某些特定事件的发生下,信息系统存在的可被攻击性以及可被破坏性。由于信息系统当前仍处于发展过程当中,决定了无论是从硬件设置还是从软件配备的角度,均存在一定的弱点与缺陷,而一旦信息安全威胁成功利用了这部分弱点,则可能会对整个系统内部的关键信息产生恶劣的影响,造成不可估量的后果。对于本文所研究教育系统而言,其系统本身同样存在一定脆弱性:首先,以学校为例,系统所对应的业务应用以及网络操作模块存在安全方面的缺陷,在搭载互联网传输的情况下,未实现对上/下行信息的加密处理,不但无法确保信息的安全与保密,还可能对认证功能产生影响。其次,教育系统安全技术设备的使用率不够理想,参数设置不够合理。再次,缺乏对人员的管理,且教育系统领导对于信息安全与保密的认知不够全面,无法形成良好的支持力度,导致组织层面决策支持受损。同时,过于依赖技术设备自身的安全性能,未形成应对信息安全威胁的控制机制。
2信息安全及保密措施
2.1管理性措施
从管理控制的角度上来说,应当在对信息对象进行安全管理的过程中引入岗位责任认定制度,以教育系统为整体,明确各个工作部门所对应的信息保密范围与安全责任归属,并且以此为基础,对教育信息共享级别进行划分,同时制定针对性的电子文档管理制度。笔者建议,可以根据文件信息所对应信息安全共享级别的不同,结合教育部门职能差异,明确信息共享的范围。一方面可使访问群体与信息之间的关系倾向于固定,另一方面可有助于工作部门、人员对信息保密责任的落实。同时,还可在组织管理方面引入对信息安全的计划。结合教育系统的运行状态,确保出现信息安全威胁的第一时间可启动相应的应急预案措施。并且,考虑到教育系统中信息共享具有一定的增值性以及相对性特征,因而建议结合教育系统内部各个岗位的实际情况,对工作人员有关信息的操作(包括信息访问、信息输出/输入等在内)进行权限设置。特别是对于学校而言,需要及时取消非在职员工原有权限设置,并制定合理的制度,要求其对已掌握信息严格保密。
2.2技术性措施
根据前文中对教育系统内部潜在信息安全威胁因素的分析,建议进一步强化对整个系统网络的审计管理、口令管理、线路管理、资料管理以及建设管理方面的工作。具体的措施为:
(1)教育系统中的信息威胁可能存在于操作系统、应用系统、网络系统等等子系统当中,需要通过审计管理的方式,加强对线索的监视与控制,及时发现并控制、根除安全隐患。同时,还可以审计为手段,明确信息操作方面的异常行为,及时追查至责任部门及责任人员。
(2)口令管理的主要内涵在于,在对敏感性教育系统内部信息进行访问时,需要适当提高对应口令的长度、复杂度。同时,基于安全性因素考量,可对信息系统面向特定信息访问群体的开放时间进行限制。采取强制性措施对重要信息访问对象的用户名及密码进行更换,同时也可引入一次性口令,防止恶意入侵。
(3)网络线路作为教育系统的访问载体,需要确保其传输质量的安全可靠。要求安排专人定期对线路安全进行检查,重点评估线路是否搭载有非法装置窃取安全信息,一旦发现需要及时清除。
(4)为防止因技术性缺陷而造成的教育系统内部信息丢失问题,要求在系统更新、升级或定期检查时,对既有设备资料进行备份,并妥善保存。
(5)需要教育系统相关操作人员通过引入口令隐蔽技术的方式,对服务功能技术加以更新与完善,持续提高整个系统的安全级别,并对既有或潜在漏洞进行修补。
3结语
信息安全伴随着网络系统的发展而备受关注。对于教育系统而言,为确保信息的安全与保密,要求引入完整的工作体系,将管理性措施与技术性措施相互融合,形成健全的信息安全保障架构,并遵循教育系统的一般性特点,提高系统内部信息的安全性水平。
(成都市温江区东大街第二小学校,四川 成都 611130)
参考文献:
[1]陶遵适,孙若萍,柴丽文.三代远程教育系统信息传播子系统的分析[J].现代远程教育研究,2004(2):65-68.
[2]刘彩霞,王会寨,邱旭东.全国高等体育教育系统文献信息资源共享模式研究[J].中国体育科技,2003,39(6):35-37.
[3]林继熙.基于CSMS技术的高校安全教育系统的设计[J].福建农林大学学报(自然科学版),2011,40(1):101-105.
[4]吴启迪,凌培亮,陈其晖.基于多智能代理的协同网络化教育系统[J].同济大学学报(自然科学版),2004,32(11):1521-1525.endprint