高校信息系统的安全分析及解决方案

王艳芳

摘 要：在高校建设过程中，信息化建设越来越占据重要的地位，几乎所有部门都纳入了信息化平台。但是，信息安全并没有受到足够的重视，安全事故频发，这给高校的信息化建设蒙上一层阴影。本文对高校的信息系统安全问题进行了详细分析，并提出具体的解决方案。

关键词：高校；信息系统；安全

近年来，高校信息化建设快速发展，高校的网络系统持续地扩容，教学系统、自动化办公、图书系统、学生管理、校园一卡通等几乎所有系统都上了信息系统平台。随之而来的安全问题日益突出，比如，系统故障、网络攻击、黑客入侵、网络窃密和内部人员违规操作，使高校信息网受到了前所未有的挑战。因此，非常有必要对高校进行信息系统安全的分析评估，制订应急预案，采取有效措施，把风险损失降低到最小。

一、高校信息系统安全现状分析

高校信息系统安全分为以下几个部分：网络硬件设施安全、网络软件系统安全、网络系统防范外部攻击的安全和信息系统数据不被非授权访问。

以上海地区为例，2012年上海市科委曾对某高校进行3个拟定级为三级等级保护的信息系统和6个拟定等级为二级等级保护的信息系统按照国家相关等级保护标准的评测，发现三级系统情况是在所有评测项目中，部分符合和不符合项占比60%以上，所评测系统在技术和管理等方面都存在很大程度的缺失，二级系统稍好，但也不尽如人意。其他所评院校也大致如此，总结发现，高校的信息系统安全存在如下问题。

（一）高校对信息系统安全的重视不到位，定级比较低

互联网遍布世界各地，高校信息系统只要接入它，就直面所有人，包括黑客。尽管高校是非盈利机构，但高等教育资源同样宝贵，高校对这一点没有充分的重视，所以没有对师生进行必要的安全普及教育，进而放松了对外在攻击的警惕，使针对高校信息系统的攻击屡屡得手，甚至可能成为黑客的靶场。

（二）高校对信息系统安全投入的资金远未达标，且缺乏持续资金的跟进和投入

部分高校办学资金有限，更愿意把資金投入到硬件建设中去，更多地关注校园风貌的再建设，使信息系统安全这方面最多仅有框架，没有预想到网络环境变化日新月异，安全攻击更加疯狂，信息系统安全体系岌岌可危，需要较多资金进行维护，殊不知校园信息系统安全一旦出现问题，负面影响极大。

（三）信息系统安全的管理机构设置不完善或虚设

在接受评测的高校信息系统中，部分院校根本没有制定安全管理制度，或者即使有，也是一些老旧的，根本不符合现在新环境的要求，更别提应急预案了。

（四）信息安全技术防护力量不强，就受制于他人

有些高校没有专职的信息安全管理专员，只是兼职管理；有些虽然有专业管理人员，但人员素质不达标，也没有开展持续的培训；还有些高校把这部分管理业务外包出去，这样就更受制于他人，风险管理就更没有保障。

（五）没有对信息系统进行风险评估

高校在迅速发展，信息系统也随之扩容，高校的管理越来越离不开校园的电子化，安全保障问题日益突出，及时地进行安全风险评估，对系统进行定性定量的考核，风险控制迫在眉睫，如果一旦遭遇外在攻击，会在第一时间响应，及时规避风险，降损失于最小。

（六）对攻击校园的违法行为打击难度较大

首先校园信息系统的安全防护能力不及公司强大，尤其主动性防御能力更是薄弱，对于有经验的黑客，可以做到修改系统日志，给网络警察破案增加相当的难度；其次是打击不能做到及时到位，以造成攻击不绝。

二、高校的安全解决方案

（一）加强高校信息系统安全的法律法规建设

进行信息安全法制建设，照规办事。建立信息安全组织体系，是做好信息安全前提。我国《刑法》中已经有破坏信息系统安全罪及对应的量刑标准。同时，《中华人民共和国计算机信息系统安全保护条例》也在1994年发布并执行。但形势多变，急需专业人士参与到继续完善法律法规的建设中去。

（二）通过宣传教育和岗位培训来提高高校师生的安全意识

高校信息系统安全离不开全校师生的共同努力，所谓校园信息安全，人人有责并不为过，养成良好的安全行为规范尤其重要。对相关技术人员进行全方位的技术培训必不可少，对出现的安全事故进行严厉处罚，以形成良好的安全氛围，有效维护信息系统的正常运行。

（三）高校建立专项安全基金，保证系统正常运行

在高校建设规划中，建立专项基金，用于安全软硬件设施，内部人员持续系统培训，外部人才不断引进，使信息系统安全完全不依赖外部的介入而减少安全风险，充分保障这方面资金的投入。

（四）管理与技术相辅相成

高校的信息安全系统需要技术与管理的完全融合，一般来说，是三分技术七分管理，坚持管理为主，技术价钱为辅的原则，管理制度应包括相关人员的专岗设置，安全代码库的建立及日常更新的周期和发现攻击的规范处理程序等。

（五）充分利用先进的云技术备份

高校信息系统服务器一般是专项使用的，百密也有一疏，一旦出现安全事故，会造成难以弥补的损失。因此，应该充分利用现在先进的云备份技术，以保障系统能在受到重大攻击时及时恢复正常运行。

三、结语

高校信息化安全管理水平也是衡量高校办学水平的重要标准。随着高等教育的进一步发展，对教学管理的水平要求越来越高，高校信息系统安全工作形势会更加严峻，会产生更大的安全信息风险，加大这方面的投入力度，建立行之有效的信息安全保障体系，为高校的发展保驾护航。

参考文献：

[1]罗南.高校信息安全风险分析[J].电脑知识与技术，2016（10）.

[2]王强民，张保稳，张竞.高校信息系统安全等级保护工作的现状分析[C]//.第二届全国信息安全等级保护技术大会.第二届全国信息安全等级保护技术大会论文集，2013.endprint