摘要:信息技术的快速发展推动了高校管理模式和人才培养模式的改变,但信息化的普及应用,也带来了信息安全上的困扰,该文旨在阐述建立党委领导下的信息安全保障体系,推动网络安全责任的落实。
关键词:党委领导;信息安全;治理体系;安全保障
中图分类号:TP399 文献标识码:A
文章编号:1009-3044(2020)08-0027-02
如今,高校智慧校园的信息的安全管理工作,已被提到前所未有的重要性上。学校理所当然要建立党委统一领导下,分管校级领导直接负责,各有关部门分工协作的体制,才能从全局部署和控制信息安全的管理工作。主要职责大体为:总体调配信息安全工作的资源;对信息安全方面的重大项目进行审核;管理和负责维护校园网络与信息安全技术平台的部门。具体实施的内容为:党委监督具体部门负责信息系统和校园主网站建设与维护、网上舆情分析与引导、网络信息监控、网络文化建设等工作,并对各二级网站的内容进行日常监控、指导。按“谁主管、谁负责”的原则,对可能出现的各类网络安全问题采取预警措施,防患于未然。
本文将对建立安全保障体系和防护机制从组织原则、安全培训、治理体系、运行维护保障和应急响应四个方面,阐述建立党委领导下的信息安全保障体系的必要性。
1 建立、健全信息安全的决策机构,是推进信息安全制度、加强组织领导最为重要的抓手
建立党委统一领导下的智慧校园的信息安全保障体系,是要以国家的法律法规为依据,以国家网络安全法等条例为准绳,结合各地地方政府相关的地方性法规和地方政府的规章条例,建立符合自己学校情况的智慧校园信息安全保障的基本要求,具体工作操作层面上的规定和基本原则,并在实践中不断完善。
2 建立学校信息安全等级保护、培养和培训师生安全意识
高校网络安全的风险是多方面的,在国家信息系统安全等级保护相关制度和标准指导下,配备相应的网安设备如防火墙、入侵防御系统、日志审计、Web应用防火墙等,建立高校信息系统相应级别的安全保护能力,以对抗各类安全威胁。在信息安全建设方面要综合平衡信息安全风险和建设成本,进一步确定校内重点保护部位,将优先的资源用到最核心、最急需的地方,根据安全等级要求进行建设和管理,确保核心系统的安全。实行信息安全等级保护,本质上就是要明确重点、确保重点。
对智慧校园信息系统中的管理人员和技术操作人员进行定期安全培训,提升相关人员的安全意识和技能。培训内容可以包括政策法规、安全制度、安全技能、安全意识、安全管理等。
学校的整体安全水平不仅要看专职的安全管理与技术人员的能力,还要看全体师生的安全意识是否到位,这与持续的安全意识教育与培训是密不可分的。
因此,在学校内部相关部门(宣传部、学工处、校团委、信息中心等)工作人员和部分学生干部为骨干,建立和培养起一支政冶觉悟高、业务能力强、熟悉学生思想情况和上网偏好的管理队伍是必须的,既能解决技术问题又可以实施监控网络舆情的能力。学校可根据实际情况每年都要安排有关人员进行业务进修,接受专门培训,提高他们甄别问题、应对问题的工作能力。学校凭借这支工作队伍,建立了功能完备、多级防范的网络管理体系,坚决杜绝反动的及黄色的网络文化,着力疏导不健康和灰色的网络文化,积极营造绿色和红色的校园网络文化环境。针对广大师生,主要是加强信息安全知识的普及教育,进行相关信息安全意识的培训,如信息安全概念、日常安全行为准则、密码使用规范、保密条例等内容。
以上是我们对多年来信息安全工作的一点浅显的总结。我们越来越深地体会到,随着高校智慧校园信息建设的不断深入和全面渗透,主要依靠信息部门推进的模式已滞后。高校信息化建设要求全员参与,意味着全体教职员工是掌握信息技术的主体,党委根据实际协调工作步骤,才是实际显效的工作方式之一。
3 构建信息安全技术治理体系,全面提升网络与信息安全技术保障水平
网络与信息安全问题始终是党委领导的智慧校园建设关注的核心焦点。学校关键信息基础设施一旦遭到攻击或破坏,就有可能对学校公共秩序构成致命打击。面对此等安全风险,除了规定关键信息基础设施运营者的法律责任和义务外,必须辅之技术准备、组织保障、风险预警等措施,才能构建信息安全技术治理体系。
3.1 加强学校域名和IP地址的管理
凡使用校内域名资源,必须在学校网络管理部门登记、备案,落实IP地址分配使用责任制,网站必须定期检查清理废弃域名及无效链接,防止盗链。
3.2 完善校内网络审批制度
利用校园网络资源开办的各类网站(网页)及服务,必须经过学院相关管理部门批准,未经批准,任何机构、个人不得私自在校园网上开设网站(网页),提供网络服务。经批准设立的网站应按有关规定在当地通信部门备案,并接受网络主管部门的年度审核。
3.3 规范校园网接入互联网管理
校内电子阅览室、计算机教室、、办公室、宿舍等需要接入互联网的场所,必须通过学院网络管理部门统一出口接入互联网,统一管理,禁止私自接入校园网外的其他网络。学院办公内网必须建立切实有效的安防保障,确保运行稳定和内容安全
3.4 加强校内交互式网络平台的管理
加强日常监控及时掌握BBS、博客、“QQ公众平台”“微信公众平台”等栏目的设置和运行状况,通过有效措施,及时清除不良信息,积极引导网上舆论。
3.5 确保重要信息系统的安全運行
做好教学、人事、招生、就业等重要信息系统的数据库保护和安全运行,加强数据恢复手段和系统灾难备份措施。同时,要加强对重要信息系统和数据库的供电保障和环境保障,及时消除安全隐患。
3.6 严格执行国家关于重要数据库的保密要求,防止泄漏或被篡改
在重点防范区严格控制网络数据流向与访问权限,发现网络攻击行为实现有害信息的监测和过滤,对网络和信息资产统一管理,全面梳理关键设备列表,自动梳理资产、应用服务、业务数据流、监控异常互联关系和安全隐患,提高设备的安全性,提升系统的安全配置、病毒防护、恶意代码防范能力。
4 努力实现智慧校园网络安全风险的可管可控,在建立合乎规范的管理运行维护体系下,掌控安全事件的应急响应工作
4.1 网络安全管理运行维护体系的建设
网络安全管理运行维护体系的建设包含三个方面,一是通过梳理运行服务管理现状流程,依照行业化建设标准,建立起完整可靠的运维体系;二是针对现在的运行系统管理体系和人员配置,重新建立满足业务需求的运行服务管理规范;三是按照编制的服务管理规范监督各项服务实施。
4.2 高校智慧校园信息系统突发事件应急处置
高校智慧校园信息系统必须具备应急处置各种突发事件的能力,有效预防和最大限度地降低信息系统各类突发事件的危害和影响。参考国家《信息安全事件分类分级指南》《信息技术安全技术信息安全事件管理指商》《国家突发公共事件总体应急预案》及有关法律、法规的规定,结合实际,制定校园网络突发事件应急预案。
4.2.1 信息网络安全事件应急处置实行部门负责制
信息网络安全事件应急处置实行部门负责制,各部门是处置安全事件的主体,要承担处置的首要责任。学校信息部门,宣传部和其他有关部门要主动配合、密切协作、信息共享、形成合力,保证安全事件快速有效处置。
4.2.2 建立预警预防机制
学校信息部门和党委宣传部负责信息网络安全的运行监控、预警工作,对监控信息进行汇总分析;对信息网络安全状况进行收集、汇总分析并做出报告。学院其他部门组成监控网络,各部门设立信息网络安全监察员对本部门的信息网络安全进行检查监督。
4.2.3 加强对网络信息的监控和舆情分析
依靠技术手段对各类不良信息进行技术把关、过滤。如对网络上可能出现的过激言论及时给予纠正和引导,针对一些热点问题要善于从学生的视角、用学生的语言提出正确的见解,进行正面引导。敏锐捕捉一些苗头性、倾向性问题,对学生访问率高的校内外主流网站、论坛、贴吧上的主流观点、敏感观点以条目的形式进行归类整理,并列出简要评析和对策建议,呈报学校领导和有关职能部门参阅,牢牢把握网上工作主动权,增强了工作的预见性。
4.2.4 信息网络安全处置
信息管理部门在接到信息网络安全事件报告后,可根据信息网络安全事件的严重程度启动相应的应急预案,为信息网络安全事件涉及的部门应急工作提供协调和技术支持;超出本级应急处置能力时,及时报请启动上一级应急预案实施应急处理;开通与信息中心、党办、校办、宣传部等有关方面的联系;需要与公安机关和上级教育主管部门进行配合时,第一时间向校党委和行政提出请求。
4.2.5 信息网络安全应急预案的修订与完善
信息管理部门要根据学院应急管理的有关文件和应急资源的变化情况、发现的问题,及时修订完善预案。
综上所述,如果没有建立在党委统一领导下,校级领导直接负责各有关部门分工协作的体制,实现智慧校园网络安全风险的可管可控,将很难得到真正落实。
參考文献:
[1]范渊,智慧城市与信息安全[M].北京:电子工业出版社,2018.
[2]肖涛,袁罡,姜帅.高校信息安全体系建设漫谈[J].江西电力职业技术学院学报,2018,31(10):119-120,123.
[3]冯海晶.新时代高校网络意识形态安全的现状与对策研究[J].教育现代化,2019,6(67):230-231.
【通联编辑:唐一东】
收稿日期:2019-11-25
基金项目:2018年度省建设系统科技项目(指导类)《“互联网+”职教特色小镇建设的研究与探索一以常州殷村职教特色小镇为例》(2018ZD167)的研究成果
作者简介:徐顺清(1963-),男,江苏常州人,本科,高级讲师,江苏城乡建设职业学院教育技术与信息中心主任,研究方向为教育信息化。