淺談學校信息安全管理問題

黃清

[摘要]伴隨著計算機技術和教育現代化的發展，電子信息和電子數據文件成為校園教學活動的重要載體。但是隨著用戶數量增多以及校園網互聯網化，校園信息安全日益成為一個重要問題。本文對當前校園面臨的信息安全問題、信息安全意義進行了詳細分析，提出了保障校園信息安全的完整解決方案，最后進行了總結并給出建議。

[關鍵詞]校園網 信息安全 防火墻 黑客攻擊 病毒

一、研究背景

隨著計算機網絡應用的發展以及信息化應用在校園等教育機構的加強，校園網絡在教學、科研、管理、實踐等各個領域的應用得到逐步深化，成為師生獲取信息、學習交流、豐富知識、提高能力的重要渠道。校園網在提高教學效率、提高學生綜合素質等方面起著重要的推動作用。然而，隨著校園網用戶數量的增多以及校園網的互聯網化，校園網面臨較為嚴重的信息安全問題。很多校園網存在組網結構簡單、網絡設備功能低下等問題，使得校園網在安全方面不能應付互聯網帶來的風險。因此，研究分析校園網信息安全問題并尋找解決方案成為日益重要的工作任務。

二、目前學校信息安全存在的主要問題

人為因素方面：

（1）人為無意識的因素。由于在設計建設初期對信息安全防護方面考慮不周，或者信息技術人員安全觀念淡薄、技術不熟練、責任心不強等原因，不執行安全操作制度，造成軟件或硬件設備的損壞、運行故障、數據丟失或誤刪除等責任事故。信息終端用戶的誤操作，也會造成一些不必要的損失。

（2）人為惡意破壞因素。網絡攻擊已經成為威脅學校信息安全的主要因素。攻擊者利用計算機系統等方面的漏洞和缺陷，采用惡意攻擊、網絡監聽、密碼暴力破解等手段侵入計算機系統，盜竊學校核心機密信息。

（3）計算機病毒。當前計算機病毒的破壞對象已經不僅僅只是對存儲數據和硬件設備造成破壞，新型病毒對網絡設備、數據存儲設備甚至一些信息安全設備進行攻擊和破壞。利用病毒自動傳播和黑客緩沖溢出技術相結合的特點使病毒產生連鎖反應，造成信息系統大面積的癱瘓。例如前幾年的熊貓燒香病毒，許多學校和政府機構受到病毒襲擾，其中不乏一些關系到與人民日常生活息息相關的要害單位，造成的損失不可估量。

三、學校信息安全的相應解決策略

（一）信息安全管理方面

（1）開展學校信息安全教育。信息安全實質上是為學校日常安全生產保駕護航，建議多組織召開包含各級部門“一把手”在內的學校信息安全宣教會，詳細介紹學校信息安全的基本理論、常識、發展主流以及一旦發生信息安全事故對學校科研、生產經營所造成的嚴重影響，在思想上提高對學校信息安全的認識，進而提高學校全體員工的重視程度。

（2）增加學校信息安全建設的資金投入。建立年度的信息安全建設投資預算計劃，將預計資金使用量匯總到學校年度技改計劃中，把信息安全建設納入學校信息化整體建設規劃中，以確保信息安全資金穩定的可持續性投入。

（3）加大對信息安全人才的重視。人才是學校信息安全建設中的重點，如果只偏重于軟硬件、基礎設施上的資金投入而在信息安全上得不到有效的管理和使用，那就是本末倒置了。成立由公司高管直接負責的信息化部門，負責整個學校的信息安全人才培養和相關信息安全建設的事務。

（4）建立完善的信息安全制度并加大監督執行力度。良好的管理制度可以為信息安全創造有力的執行環境和條件，信息安全技術又促進了管理更有效更優良的發展。同時強有力的監督執行，使之在使用和操作上也加強了使用規范和效率，避免了一些人為失誤造成的損失。

（二）信息安全技術方面

為了切實保障學校信息的機密性、完整性、可控性和安全性，必須采用一系列相應的技術手段，這是信息安全技術中最直接有效的部分。

（1）硬件防火墻和入侵檢測、漏洞掃描系統。硬件防火墻是內部網絡與外部互聯網之間的一道安全關口。它在學校內部網絡和外部互聯網絡之間設置了一道安全壁壘，有效防止外部對內網進行非法訪問。入侵檢測系統對網絡傳輸進行實時監控，在發現可疑傳輸時發出報警或者采取主動反應措施，漏洞掃描系統對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，及早發現可被利用的安全漏洞。它們可以相互配套，增強系統管理員的安全防范能力。

（2）網絡安全審計。網絡安全審計是指按照一定的安全策略，審查和檢驗操作事件的活動，從而發現系統漏洞、入侵行為。實際是記錄與審查用戶操作和使用活動的過程，如用戶所調用的信息、使用時間、執行的操作等。安全審計對系統記錄和行為進行獨立的審查和估計，可以有效監控用戶的使用情況，對內部潛在的非法攻擊者起到威懾作用。

（3）虛擬局域網技術。按照公司的實際生產管理需要劃分，使用虛擬局域網絡技術將持有敏感信息的用戶組與網絡的其他部分隔離，從而降低泄露機密信息的可能性，增強局域網的安全性。

（4）網絡殺毒軟件的使用。使用網絡版殺毒軟件，網絡管理員能夠利用其實現對全網電腦進行遠程統、有效清除計算機病毒，徹底解決局域網病毒殺而不絕、四處流竄的夢魘。

（5）定時備份重要數據。學校應使用統一的數據備份系統，由專人對數據進行定時備份定時檢查，確保數據的完整性可靠性。并且保證備份介質異地存放，專人管理。

四、結論

信息安全工作是一項系統工程，“攻擊”與“防范”、“威脅”與“脆弱性，之間經常此消彼長，不斷發展。健全學校信息安全防護基礎體系，必須從管理和技術兩方面入手，夯實物理安全、網絡安全、系統安全、應用安全、數據安全和用戶安全。以安全區域劃分、系統等級保護、安全邊界防護、訪問控制技術、主動監控措施、安全通報機制和應急響應體系為手段，多方面構筑全方位、多層次的安全防護體系，初步實現網絡與信息系統全方位、細粒度的安全管理，做到“安全風險可控制，內部操作可審計，措施執行可度量，安全管理精細化，運行維護主業化”。實現學校信息安全防御的重點從“以網絡層防護為主”轉向為“網絡和應用防護并舉”，從“以防外為主轉向為“防內防外并舉”的二個轉變。其中，信息外網以“防攻擊、防泄露”為主，信息內網以“強內控，防外聯”為主，實現信息內外網的深度安全防護，確保應用系統的安全穩定運行，保障學校信息安全。