淺析院校信息安全風險及保障策略

陸松

【摘 要】近年來，黑客、病毒、釣魚軟件等非法侵入各級院校網絡頻繁發生，使得院校信息安全受到嚴重威脅。維護信息安全是推動院校信息化建設的前提保障，為此，文章從當前院校信息安全風險出發，分析了存在的問題，并提出了維護院校信息安全的保障策略，希望有所幫助。

【關鍵詞】院校 信息安全 風險 保障策略

一、緒論

院校信息安全指的是保證信息自身、信息處理以及信息利用的安全，確保院校信息的完整性、機密性、可用性。院校信息安全內容主要包括三個方面：一是院校網絡設備的安全；二是系統運行的安全，例如信息系統不被損壞、篡改等；三是流通數據的安全，例如院校網絡內流通的數據不被盜用、增刪等。

近年來，伴隨信息時代環境的影響，引發各級院校信息安全的要素越來越多，例如黑客、病毒、釣魚軟件等非法侵入系統，使得院校公共信息、科研資料信息、師生個人信息等被竊取和泄露。而維護信息安全作為推動各級院校信息化的前提保障，只有深入分析院校信息安全存在的風險，才能采取有效的策略保障信息安全。

二、當前院校信息安全存在的風險問題

（一）對院校信息安全認識不足，防護不夠

一是作為管理院校信息的工作人員，他們本身的安全意識不強。管理院校信息的工作人員缺乏專業的信息安全培訓教育，尤其防病毒、防黑客的意識不強，例如對外來的惡意攻擊缺乏有效的防御措施。或者是一些院校信息安全正處于搭建階段，專業性的信息安全人才匱乏，造成院校信息安全體系形同虛設，漏洞百出。

二是作為使用院校網絡信息的人員，他們對信息安全缺乏保護意識。例如，學生們對學校信息安全認識不深，認為維護信息安全是學校的事，與自己使用信息無關，進而導致學生們無意中泄露了信息，使得黑客、病毒、釣魚軟件有機可乘，最終找到入侵口對學校信息系統進行篡改破壞。

三是對院校信息系統未能定時檢查并對漏洞進行及時修復。例如，一些防護信息安全的軟件存在一定缺陷，但是院校信息安全管理人員未能及時下載更新安裝，導致黑客、病毒、釣魚軟件等有機可攻擊。

（二）院校信息安全制度不完善，管理存漏洞

盡管各院校目前的信息化建設非常迅速，然而絕大多數院校在信息安全的監管上還是存在較為嚴重的漏洞。例如，一些院校的信息安全管理制度尚未健全完善，院校對信息管理部門的監管還較為松懈，雖然己建有總體規章制度，但是對于具體精細的監督和管理缺乏明確的機制，導致監管機構形同虛設，無法真正地履行應負的職責。另一方面是缺乏對校園突發信息安全問題的應急處置機制，導致問題出現后未能及時有效地處理。

（三）院校信息安全經費投入欠缺，保障設施不足

院校數字信息化建設是一項巨大的工程，包括信息安全保障設施、信息安全管理人員、數字信息服務的提供以及軟硬件系統設施的更新維護都需要經費，然而各院校投入到信息安全的資金非常有限。例如，通常保障院校信息安全的設施成本比較高，再加上信息風險的產生存在不確定性，這就使得有些院校領導認為信息安全的防范可有可無，或者一些極少可能發生的防范就省略掉，認為做好常規防范就行，進而節約了院校網絡的運營成本，減少了對院校網絡安全維護不必要的經費投入。正是這些漏洞，往往導致網絡不安全因素從忽視的地方入侵，進而危害整個校園網絡的安全。

（四）院校目前應對大數據、云計算、BYOD等安全問題的方案尚未成熟

目前，隨著手機的智能化，越來越多的智能手機參與到PC的操作中來，使得信息的獲取更加快速便捷。然而，在實踐中我們發現，部分院校尚未制訂有關于BYOD、云計算、大數據等的安全管理舉措，這就使得廣大師生無意間出現丟失賬號、泄露數據、操作不當等行為，進而使院校網絡遭受到外部的惡意攻擊。為此，如何規范廣大師生在學習工作場合正確使用自己的移動設備維護學校的信息安全成了師生們共同的任務之一。

三、保障院校信息安全的策略

（一）加強信息主體的安全知識教育培訓，強化防護網絡安全的意識

一是不斷強化各院校信息主體在國外與國內信息安全方面的法律法規的教育培訓，切實增強廣大師生們維護信息安全的法律意識。例如，院校可以定期與不定期組織學校負責信息管理的工作人員以及師生們共同來學習網絡安全管理制度，計算機信息網絡國際互聯網安全保護管理辦法，信息發布審核、登記制度等國內外信息安全法律法規的培訓教育，向廣大師生和信息管理人員普及信息安全知識，不斷提升廣大師生和信息管理人員的安全保密意識，使廣大師生和信息管理人員明白維護院校信息安全的重要意義，營造維護院校信息安全“人人有責”的良好氛圍，最大限度地調動廣大師生在維護信息安全當中的主體作用。

二是在師生中開展信息安全技術教育培訓，切實提升廣大師生防范信息安全風險的能力。例如，舉辦計算機技能培訓、網絡維護技能培訓以及教會師生們簡易的網絡防御技能。

（二）加大網絡軟硬件投入和整合有效信息技術，保障網絡運營的安全

一是建立健全完善的高校網絡病毒防御體系。例如，裝載正規出版權、威認證的殺毒軟件。院校可以把正版的殺毒軟件放在校園網內的網絡信息管理中心的網頁上供廣大學生和教職工免費下載安裝，并通過殺毒軟件的定期更新，幫助廣大學生和教職工及時掃描殺毒和修復存在的安全漏洞，并開設留言專欄及時收集學生和教職工反映的問題，能處理的及時幫師生處理，不能處理的向軟件開發商尋求幫助，以此有效地確保院校內電腦的安全運轉。另一方面，需要周密制訂防火墻防范對策。例如，需要嚴格把關好操作系統的端口配置，堅持該開放的開放，不許開放的則堅決關閉。需要對外開放的網絡服務，應當將需要開放的服務器端口開放，不需要的端口堅決關閉。與此同時，需要安裝有能及時檢測IDS入侵的系統，以該系統來監控內部網絡遭受到的攻擊。此外，還需要安裝漏洞掃描系統，以便及時掃描發現系統存在的漏洞并及時進行各種漏洞的修復。

二是堅持“預防為主，防患未然”的防御策略，確保信息安全。首先，需建立值得信賴的終端平臺，并在終端平臺上按照一定的規矩設置一定的用戶使用權限以及操作權限。其次，需采取密碼加密、訪問控制、身份認證等舉措，建構良好的計算機網絡安全應用環境。例如，學校可以通過向教師發放實名制“一卡通”的方式進行網上“一卡一號”的身份認證。再次，健全提供認證、授權、檢測、應急以及處理非法訪問服務的信息安全管理中心，提供互聯互通的密碼配置、公鑰證書等密碼服務措施。具體表現在：a.數據的加密，包含采用密鑰的方式對電子郵件和文檔進行加密，對網絡端口以及服務端口的加密等；b.NOTES的數字簽名，身份認證包含DOMI-NO服務器和NOTES工作站彼此間的認證及客戶端和mMmo服務器彼此間的認證；c.通過雙網卡主機技術來隔離辦公網絡；d.引進第三方的公鑰基礎結構（PK）進一步完善網絡系統的安全。

（三）構建多重校園信息安全管理機制，用制度保障信息安全運行

一是科學設置責權清晰、職能完善的校園網絡信息安全管理中心。根據“預防為主，防患未然”和技術防范與制度防范相結合的準則，對院校的信息安全管理采取“三級聯動”的管理機制，第一層由學校領導統籌決策和監管，第二層由學校中層干部實施管理，第三層由學校一線操作工作人員負責具體執行，層層對上級負責。例如，院校建立“三級聯動”信息安全管理機制，可以專門成立管理學校信息安全的信息管理中心，并設置為學校二層處級單位，配備一定數量的專業技術人員，并由學校一名副校長專門管理學校信息安全工作，信息管理中心設置一名處長、二名副處長專門管理本中心的信息安全工作，信息管理中心的專業技術人員具體負責本中心的信息安全工作，使得信息安全工作層層落實。此外，學校也需要制訂詳細的管理機制以及信息安全工作職責，確保工作落到實處。

二是健全完善的日常管理制度、定期評估制度以及應急處理制度。首先，需針對院校內具有復雜的、動態的、突發特征的信息安全制訂常規的信息管理制度。例如，學校可以制訂《×××大學網絡信息管理中心管理制度》《×××學校校園網絡設備管理制度》《×××院校信息發布審核制度》等，不斷規范校園內網絡的日常管理。其次，需制訂具有突發性、緊急性、危害深遠等特征的應急處理制度，積極主動采取有力策略，有效控制信息危機的發生。最后，需制訂定期和不定期開展信息安全檢查與評測制度，時刻監控日常網絡信息安全動態。

（四）積極與信息安全技術部門開展交流與合作，將校園信息安全防護跟前沿的信息技術緊密結合

21世紀是信息技術迅猛發展的時代，沒有哪一種信息安全保障策略是一勞永逸的。伴隨著現代信息技術的日新月異，保障策略也需不斷更新完善。為此，院校信息安全管理中心應當積極走出去，加強與社會權威信息安全技術部門的交流與合作，及時了解社會信息安全發展動態，及時跟蹤最前沿的安全信息及新信息技術的發展動態，堅持與時俱進，尋找已有防御網絡隱患，積極引進前沿網絡技術，并為信息安全保障系統建設提供專業、合理、可行化建議，積極完善和革新本校的信息安全保護措施。此外，各院校還應當把最新的技術發展及時體現在校園網絡系統中，并對相關信息維護人員進行專業培訓，應對隨時可能爆發的信息安全事件，提高廣大師生和教職工的信息安全意識，讓院校的信息安全工作切實做到實處，為院校的信息安全筑造一道天然的保障屏障。

四、結束語

院校信息化發展的前提是信息安全的有效保障，伴隨著現代社會信息技術的日新月異，院校信息安全也存在著一定風險，只有建立一整套高效、協調、集成的信息安全保障體系才能有效地保障高校信息安全。所以，院校需結合實際情況，通過不斷強化信息主體的安全知識教育培訓，強化防護網絡安全的意識；加大網絡軟硬件投入和整合有效信息技術，保障網絡運營的安全；構建多重校園信息安全管理機制，用制度保障信息安全運行；積極與信息安全技術部門開展交流與合作，將校園信息安全防護跟前沿的信息技術緊密結合等策略，不斷提升信息安全保障強度，減少信息安全風險，保障院校信息安全高效良性運行。

【參考文獻】

[1]劉志龍，張淋江.高校信息安全的風險評估問題研究[J].河南科技，2015（03）.

[2]付沙.高校校園網信息安全策略的探索[J].中國教育信息化（高教職教），2008（01）：63-65.

[3]汪瑩，朱齊媛.關于高校校園網信息安全的現狀與對策[J].重慶工學院學報（自然科學版），2008（06）：126-128.

[4]姜少軍，盧金海.高校信息安全保障體系分析[J].青島遠洋船員學院學報，2005（03）：81-83.