對高校信息安全治理的思考

摘 要：總之，建立信息安全治理機制是一個動態的過程，要在實踐中不斷發展和完善。由于網絡具有開放性、安全具有相對性，我們必須認清網絡的脆弱性和潛在威脅，同時，隨著新技術、新應用的出現，信息安全治理方案必定要不斷進行修正、補充和完善。

關鍵詞：高校；信息安全；網絡安全治理

引言：高校的計算機網絡信息系統已成為高校的教學、科研、行政管理等工作中重要的信息交換手段，發揮著越來越重要的作用。互聯網在世界范圍的迅速普及，使高校的內部網絡與互聯網的關系越來越密切，為高校的國內外交流提供了現代化手段。但是計算機網絡在給人們帶來方便的同時，也帶來了安全問題。計算機網絡具有開放性、互聯性等多樣性，而且存在著技術上的弱點及人為因素，致使網絡容易受到黑客、病毒等的攻擊。例如網上數據被刪除、復制或被破壞，數據的安全性和自身的利益受到了嚴重威脅。面對計算機網絡在安全方面的各種威脅，越來越多的高校在加快建設網絡系統的同時不得不考慮網上信息的安全這一重要問題。除了重視能全方位地處理各種不同的威脅，確保網絡信息的保密性、完整性和可用性，使校園網既能向廣大師生開放、適應教學、科研和管理需要的網絡安全技術的應用，同時還應加強信息安全治理機制的建設和信息安全管理體系的建立，這樣才能保證網絡信息的安全。

1 建立信息安全框架及安全組織機構

從戰略視角來看，信息安全是一項包括技術層面、管理層面、法律層面的社會系統工程，延伸開來還應該包括觀念和文化層面，例如從文化意義上構建信息技術的行為準則，培育網絡空間的道德規范。安全組織包括建立健全組織體系，明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳、保衛部門。制定系統安全保障方案，實施安全宣傳教育、安全監管和安全服務。在大多數高校，網絡中心是信息安全的主管部門和技術支持部門，身兼管理和技術兩項職能，但學校往往賦予網絡中心的只有技術支持的職能，沒有真正意義上的管理職能，出現安全事故只解決技術問題，遺留的很多問題就得不到明確的解決。而信息安全不是個產品，它是一個完整的過程。作為一個過程，它有人、技術、流程這三個組成部分，這些組成部分匹配得越好，過程進展得越順利，這就亟需建立、健全統一指揮、統一步調的強有力的各級信息安全治理機制。因此，高校應該建立了專門負責信息安全管理的組織機構，該組織機構由學校主要領導掛帥，并由技術部門和管理部門的人員構成，其中包括網絡中心的負責人，并由網絡中心負責各部門間的協調和聯絡，真正的發揮這類機構的作用，制定安全政策和策略以及一系列體現安全政策的規章制度并監督執行。

從人力資源的角度看，由于西部地區高校的校園網建設和發展都比較滯后，很多高校的網絡中心都是近幾年來新成立的部門，普遍存在校園網建設任務繁重、技術和管理人才缺乏的矛盾。學校應該重視網絡中心的人力資源配置工作，引進高層次的技術人才和管理人才分別負責網絡建設、管理和維護、信息資源建設、信息安全治理等工作，做到分工明確、責任到人，這樣才能使信息安全治理得到人力資源上的保證。

2 加強信息安全的思想認識培養，樹立信息安全第一的意識

加強對師生員工的信息安全意識和安全教育。網絡中心應充分發揮其管理職能，與學校保衛處、學工部、校團委等相關部門協調配合，積極在全校范圍內開展有關信息安全的宣傳活動，邀請信息安全方面的專家對師生員工進行安全培訓，定期舉行關于信息安全的學術報告等等，將安全意識擴展為一種氛圍，努力提高和強化學校內的信息安全觀念意識，確立信息安全管理的基本思想與策略，加快信息安全人才的培養。這就將焦點從強制性的安全策略轉換為自主接受的安全策略文化，這也是實現信息安全目標的基本前提。

3 確保信息安全得到成熟有效的技術保證

環境的動態性決定了信息安全工作將是一個長期的、無止境的攻防與挑戰，因此必須確定所使用的安全產品在技術上是成熟的、有效的。高校網絡系統安全，從技術角度來說，主要涉及到網絡通信系統的保密與安全、操作系統與數據庫平臺的安全、應用軟件系統的安全等三個方面。對網絡系統進行科學的安全分析，結合具體應用，將上述三個方面密切結合，在網絡信息系統中建立了一整套安全機制，實現從外到內的安全防護。

4 定期進行信息安全審核和評估

正如前所述，環境的動態性決定了信息安全工作將是一個長期的、無止境的攻防與挑戰。因此，必須定期的對學校的信息安全過程進行嚴格的審核，并對學校的信息安全進行新的風險分析和風險評估，以制定更適合現狀的信息安全策略。

5 高校信息安全治理的動態模型

從管理層面上高度重視信息安全，依據要實現安全目標與安全標準制定相關制度文件，進行合理的職責劃分、人員配置，對信息安全進行宏觀管理與調控，根據應用環境與網絡環境的變化不斷優化安全管理策略。管理人員和用戶的安全意識及技術水平提高是信息安全管理中重要的環節，其實施力度將直接關系到安全產品、安全策略被理解的程度和被應用的效果，使信息安全從人力上得到保障。定期組織風險評估、實施動態管理，及時調整相關的安全制度、安全策略、軟硬件環境的配置與再提高人員安全防御水平。使管理與技術得到有效的結合，從而提高對網絡事故的應急能力和防御能力。通過軟硬件，從技術層面來保障信息系統的安全性（防火墻、入侵檢測系統、防毒軟件），應用環境發生變化時，及時調整相應設備與參數配置。

結語：從鄭州地區高校網絡建設的情況來看，“西部大學校園計算機網絡建設工程”是一個很好的契機。這是一個經國務院批準，國家計委批復立項，由教育部組織實施的重點建設項目。該項目建設總體目標是：用一年左右的時間，建設西部 152所大學校園網網絡基礎設施；實現校園網與中國教育與科研計算機網（CERNET）高速連網；建設一批基于校園網的教學、科研和管理的應用系統。該項目建設內容包括建設校園計算機光纖主干網、校園網網絡中心、開放網絡機房、多媒體網絡教室、省會城市城域網和非省會城市高速接入工程、網絡管理和運行系統、教學、科研、管理系統和網絡安全保障體系等。如果鄭州高校在西部大學校園計算機網絡建設工程過程中，積極地將網絡信息安全治理的內容納入校園網建設項目中，與整個校園網的建設一起規劃、同步進行的話，其效果要比建好校園網后發現安全威脅或隱患再將信息安全治理提上議事日程好的多。因此，在這個時期對鄭州地區高校在校園網絡建設過程中的信息安全治理情況進行實證研究，找出問題與不足，提出合理可行的建議，具有非常重要的現實意義和實用意義。

參考文獻

[1] 沈昌祥：加強信息安全保障體系的思考，《信息網絡安全》， 2002 年 11 期

[2] 馮登國：國內外信息安全研究現狀及發展趨勢， 中國科學院軟件所信息安全國家重點實驗室

[3] 冉曉：信息安全策略，《信息網絡安全》， 2003 年 04 期

作者簡介：1979年6月生、2004.8鄭州經貿職業學院計算機系至今。研究方向：計算機軟件、數據庫。