浅析院校信息安全风险及保障策略

2016-11-19 08:41陆松
教育界·下旬 2016年4期
关键词:风险信息安全院校

陆松

【摘 要】近年来,黑客、病毒、钓鱼软件等非法侵入各级院校网络频繁发生,使得院校信息安全受到严重威胁。维护信息安全是推动院校信息化建设的前提保障,为此,文章从当前院校信息安全风险出发,分析了存在的问题,并提出了维护院校信息安全的保障策略,希望有所帮助。

【关键词】院校 信息安全 风险 保障策略

一、绪论

院校信息安全指的是保证信息自身、信息处理以及信息利用的安全,确保院校信息的完整性、机密性、可用性。院校信息安全内容主要包括三个方面:一是院校网络设备的安全;二是系统运行的安全,例如信息系统不被损坏、篡改等;三是流通数据的安全,例如院校网络内流通的数据不被盗用、增删等。

近年来,伴随信息时代环境的影响,引发各级院校信息安全的要素越来越多,例如黑客、病毒、钓鱼软件等非法侵入系统,使得院校公共信息、科研资料信息、师生个人信息等被窃取和泄露。而维护信息安全作为推动各级院校信息化的前提保障,只有深入分析院校信息安全存在的风险,才能采取有效的策略保障信息安全。

二、当前院校信息安全存在的风险问题

(一)对院校信息安全认识不足,防护不够

一是作为管理院校信息的工作人员,他们本身的安全意识不强。管理院校信息的工作人员缺乏专业的信息安全培训教育,尤其防病毒、防黑客的意识不强,例如对外来的恶意攻击缺乏有效的防御措施。或者是一些院校信息安全正处于搭建阶段,专业性的信息安全人才匮乏,造成院校信息安全体系形同虚设,漏洞百出。

二是作为使用院校网络信息的人员,他们对信息安全缺乏保护意识。例如,学生们对学校信息安全认识不深,认为维护信息安全是学校的事,与自己使用信息无关,进而导致学生们无意中泄露了信息,使得黑客、病毒、钓鱼软件有机可乘,最终找到入侵口对学校信息系统进行篡改破坏。

三是对院校信息系统未能定时检查并对漏洞进行及时修复。例如,一些防护信息安全的软件存在一定缺陷,但是院校信息安全管理人员未能及时下载更新安装,导致黑客、病毒、钓鱼软件等有机可攻击。

(二)院校信息安全制度不完善,管理存漏洞

尽管各院校目前的信息化建设非常迅速,然而绝大多数院校在信息安全的监管上还是存在较为严重的漏洞。例如,一些院校的信息安全管理制度尚未健全完善,院校对信息管理部门的监管还较为松懈,虽然己建有总体规章制度,但是对于具体精细的监督和管理缺乏明确的机制,导致监管机构形同虚设,无法真正地履行应负的职责。另一方面是缺乏对校园突发信息安全问题的应急处置机制,导致问题出现后未能及时有效地处理。

(三)院校信息安全经费投入欠缺,保障设施不足

院校数字信息化建设是一项巨大的工程,包括信息安全保障设施、信息安全管理人员、数字信息服务的提供以及软硬件系统设施的更新维护都需要经费,然而各院校投入到信息安全的资金非常有限。例如,通常保障院校信息安全的设施成本比较高,再加上信息风险的产生存在不确定性,这就使得有些院校领导认为信息安全的防范可有可无,或者一些极少可能发生的防范就省略掉,认为做好常规防范就行,进而节约了院校网络的运营成本,减少了对院校网络安全维护不必要的经费投入。正是这些漏洞,往往导致网络不安全因素从忽视的地方入侵,进而危害整个校园网络的安全。

(四)院校目前应对大数据、云计算、BYOD等安全问题的方案尚未成熟

目前,随着手机的智能化,越来越多的智能手机参与到PC的操作中来,使得信息的获取更加快速便捷。然而,在实践中我们发现,部分院校尚未制订有关于BYOD、云计算、大数据等的安全管理举措,这就使得广大师生无意间出现丢失账号、泄露数据、操作不当等行为,进而使院校网络遭受到外部的恶意攻击。为此,如何规范广大师生在学习工作场合正确使用自己的移动设备维护学校的信息安全成了师生们共同的任务之一。

三、保障院校信息安全的策略

(一)加强信息主体的安全知识教育培训,强化防护网络安全的意识

一是不断强化各院校信息主体在国外与国内信息安全方面的法律法规的教育培训,切实增强广大师生们维护信息安全的法律意识。例如,院校可以定期与不定期组织学校负责信息管理的工作人员以及师生们共同来学习网络安全管理制度,计算机信息网络国际互联网安全保护管理办法,信息发布审核、登记制度等国内外信息安全法律法规的培训教育,向广大师生和信息管理人员普及信息安全知识,不断提升广大师生和信息管理人员的安全保密意识,使广大师生和信息管理人员明白维护院校信息安全的重要意义,营造维护院校信息安全“人人有责”的良好氛围,最大限度地调动广大师生在维护信息安全当中的主体作用。

二是在师生中开展信息安全技术教育培训,切实提升广大师生防范信息安全风险的能力。例如,举办计算机技能培训、网络维护技能培训以及教会师生们简易的网络防御技能。

(二)加大网络软硬件投入和整合有效信息技术,保障网络运营的安全

一是建立健全完善的高校网络病毒防御体系。例如,装载正规出版权、威认证的杀毒软件。院校可以把正版的杀毒软件放在校园网内的网络信息管理中心的网页上供广大学生和教职工免费下载安装,并通过杀毒软件的定期更新,帮助广大学生和教职工及时扫描杀毒和修复存在的安全漏洞,并开设留言专栏及时收集学生和教职工反映的问题,能处理的及时帮师生处理,不能处理的向软件开发商寻求帮助,以此有效地确保院校内电脑的安全运转。另一方面,需要周密制订防火墙防范对策。例如,需要严格把关好操作系统的端口配置,坚持该开放的开放,不许开放的则坚决关闭。需要对外开放的网络服务,应当将需要开放的服务器端口开放,不需要的端口坚决关闭。与此同时,需要安装有能及时检测IDS入侵的系统,以该系统来监控内部网络遭受到的攻击。此外,还需要安装漏洞扫描系统,以便及时扫描发现系统存在的漏洞并及时进行各种漏洞的修复。

二是坚持“预防为主,防患未然”的防御策略,确保信息安全。首先,需建立值得信赖的终端平台,并在终端平台上按照一定的规矩设置一定的用户使用权限以及操作权限。其次,需采取密码加密、访问控制、身份认证等举措,建构良好的计算机网络安全应用环境。例如,学校可以通过向教师发放实名制“一卡通”的方式进行网上“一卡一号”的身份认证。再次,健全提供认证、授权、检测、应急以及处理非法访问服务的信息安全管理中心,提供互联互通的密码配置、公钥证书等密码服务措施。具体表现在:a.数据的加密,包含采用密钥的方式对电子邮件和文档进行加密,对网络端口以及服务端口的加密等;b.NOTES的数字签名,身份认证包含DOMI-NO服务器和NOTES工作站彼此间的认证及客户端和mMmo服务器彼此间的认证;c.通过双网卡主机技术来隔离办公网络;d.引进第三方的公钥基础结构(PK)进一步完善网络系统的安全。

(三)构建多重校园信息安全管理机制,用制度保障信息安全运行

一是科学设置责权清晰、职能完善的校园网络信息安全管理中心。根据“预防为主,防患未然”和技术防范与制度防范相结合的准则,对院校的信息安全管理采取“三级联动”的管理机制,第一层由学校领导统筹决策和监管,第二层由学校中层干部实施管理,第三层由学校一线操作工作人员负责具体执行,层层对上级负责。例如,院校建立“三级联动”信息安全管理机制,可以专门成立管理学校信息安全的信息管理中心,并设置为学校二层处级单位,配备一定数量的专业技术人员,并由学校一名副校长专门管理学校信息安全工作,信息管理中心设置一名处长、二名副处长专门管理本中心的信息安全工作,信息管理中心的专业技术人员具体负责本中心的信息安全工作,使得信息安全工作层层落实。此外,学校也需要制订详细的管理机制以及信息安全工作职责,确保工作落到实处。

二是健全完善的日常管理制度、定期评估制度以及应急处理制度。首先,需针对院校内具有复杂的、动态的、突发特征的信息安全制订常规的信息管理制度。例如,学校可以制订《×××大学网络信息管理中心管理制度》《×××学校校园网络设备管理制度》《×××院校信息发布审核制度》等,不断规范校园内网络的日常管理。其次,需制订具有突发性、紧急性、危害深远等特征的应急处理制度,积极主动采取有力策略,有效控制信息危机的发生。最后,需制订定期和不定期开展信息安全检查与评测制度,时刻监控日常网络信息安全动态。

(四)积极与信息安全技术部门开展交流与合作,将校园信息安全防护跟前沿的信息技术紧密结合

21世纪是信息技术迅猛发展的时代,没有哪一种信息安全保障策略是一劳永逸的。伴随着现代信息技术的日新月异,保障策略也需不断更新完善。为此,院校信息安全管理中心应当积极走出去,加强与社会权威信息安全技术部门的交流与合作,及时了解社会信息安全发展动态,及时跟踪最前沿的安全信息及新信息技术的发展动态,坚持与时俱进,寻找已有防御网络隐患,积极引进前沿网络技术,并为信息安全保障系统建设提供专业、合理、可行化建议,积极完善和革新本校的信息安全保护措施。此外,各院校还应当把最新的技术发展及时体现在校园网络系统中,并对相关信息维护人员进行专业培训,应对随时可能爆发的信息安全事件,提高广大师生和教职工的信息安全意识,让院校的信息安全工作切实做到实处,为院校的信息安全筑造一道天然的保障屏障。

四、结束语

院校信息化发展的前提是信息安全的有效保障,伴随着现代社会信息技术的日新月异,院校信息安全也存在着一定风险,只有建立一整套高效、协调、集成的信息安全保障体系才能有效地保障高校信息安全。所以,院校需结合实际情况,通过不断强化信息主体的安全知识教育培训,强化防护网络安全的意识;加大网络软硬件投入和整合有效信息技术,保障网络运营的安全;构建多重校园信息安全管理机制,用制度保障信息安全运行;积极与信息安全技术部门开展交流与合作,将校园信息安全防护跟前沿的信息技术紧密结合等策略,不断提升信息安全保障强度,减少信息安全风险,保障院校信息安全高效良性运行。

【参考文献】

[1]刘志龙,张淋江.高校信息安全的风险评估问题研究[J].河南科技,2015(03).

[2]付沙.高校校园网信息安全策略的探索[J].中国教育信息化(高教职教),2008(01):63-65.

[3]汪莹,朱齐媛.关于高校校园网信息安全的现状与对策[J].重庆工学院学报(自然科学版),2008(06):126-128.

[4]姜少军,卢金海.高校信息安全保障体系分析[J].青岛远洋船员学院学报,2005(03):81-83.

猜你喜欢
风险信息安全院校
保护信息安全要滴水不漏
高校信息安全防护
中国经济转型的结构性特征、风险与效率提升路径
互联网金融的风险分析与管理
企业纳税筹划风险及防范措施
保护个人信息安全刻不容缓
信息安全
院校传真
院校传真
院校传真