基于大數(shù)據(jù)的教育信息化安全管理現(xiàn)狀及建議

陳迎春

（中共青海省委黨校，青海 西寧 810001）

一、引言

隨著大數(shù)據(jù)技術(shù)的成熟和校園信息化數(shù)據(jù)的迅速積累，我國教育信息化的發(fā)展勢頭十分的迅猛。大數(shù)據(jù)、云計算與物聯(lián)網(wǎng)等信息技術(shù)充分融合應(yīng)用于教育信息化各個方面，各類教育尤其是高等教育已經(jīng)逐步邁入了智慧教育時代，教育新模式新觀念早已貫穿于廣大師生的工作，學(xué)習(xí)，生活等方方面面。經(jīng)過多年的教育資源共建共享建設(shè)，教育資源每年以幾何級數(shù)增長，數(shù)據(jù)早已突破TB級甚至達(dá)到PB級，基于這么龐大的數(shù)據(jù)建立的各類校園教育信息化應(yīng)用，數(shù)據(jù)安全顯得尤為重要。大數(shù)據(jù)為教育信息化帶來了發(fā)展機遇，也同時帶來了巨大安全挑戰(zhàn)，我們必須從思想上采取積極的態(tài)度，從被動防御轉(zhuǎn)化為主動防范，必須從全局的角度分析、認(rèn)識和處理大數(shù)據(jù)生命周期內(nèi)的各種安全保障。本文重點討論如何從管理層面積極應(yīng)對大數(shù)據(jù)環(huán)境下的教育信息化建設(shè)中的新挑戰(zhàn)新威脅。

二、教育信息化建設(shè)安全管理現(xiàn)狀

（一）信息網(wǎng)絡(luò)安全管理體制不健全

目前，經(jīng)調(diào)研發(fā)現(xiàn)多數(shù)學(xué)校管理者安全意識淡漠，在信息化建設(shè)初期設(shè)計時就忽視了信息化安全保障部分，沒有將信息安全保障題放在一個戰(zhàn)略高度去考慮，造成信息安全管理較為薄弱，許多安全案例（比如個人信息泄密等）都是由于管理缺失、責(zé)任不明確造成的。一是教育信息化建設(shè)中重應(yīng)用，輕安全。在教育信息化應(yīng)用相關(guān)管理條例中，雖然對內(nèi)部應(yīng)用、對外服務(wù)等制定了嚴(yán)格的管理制度，但是對于信息安全方面缺乏具有針對性和實用性的制度，通常停留于大而化之的方向性制度和理論層面，沒有真正坐下了制定具體的有承擔(dān)后果的安全管理條例，使得教育信息化信息安全管理體系缺乏實操性。二是信息安全制度責(zé)任不明確，落實不到位。在教育信息化建設(shè)的應(yīng)用和管理中，我們在項目前期只關(guān)注技術(shù)層面的制度，在項目后期也著眼于如何提升應(yīng)用服務(wù)的制度，但實際上信息安全責(zé)任落實制度才真正是教育信息化信息保障的根本，只有在安全的環(huán)境中才可能充分發(fā)揮教育應(yīng)用的最大效能，我們應(yīng)盡早出臺詳盡的安全責(zé)任，細(xì)致到規(guī)定教育信息化各種信息安全問題何種情況下何人負(fù)責(zé)，責(zé)任明確不僅保證了信息安全，也提高了管理和技術(shù)人員的安全責(zé)任感。三是用戶安全意識淡漠。不管是技術(shù)人員還是客戶端使用者都存在僥幸心理，總是認(rèn)為信息安全問題也許不會造成太嚴(yán)重?fù)p失，致使教育信息化建設(shè)初期的頂層設(shè)計中就缺乏對教育信息化建設(shè)信息安全體制的整體規(guī)劃。

（二）信息安全防護能力普遍不足

一是信息安全專業(yè)人才不足。目前有些學(xué)校沒有專門配備安全技術(shù)人員，采用安全外包方式應(yīng)對安全問題，但過于依靠信息安全服務(wù)商無法準(zhǔn)確估算安全投入的績效，很難在事前和事后來對這些安全服務(wù)做出有效評估，外包人員的穩(wěn)定率和職業(yè)素養(yǎng)也無法保證。二應(yīng)用新技術(shù)帶來未知安全新挑戰(zhàn)。大數(shù)據(jù)時代的教育信息化系統(tǒng)會采用很多新技術(shù)新設(shè)備，用于數(shù)據(jù)的分析和挖掘，日新月異的網(wǎng)絡(luò)技術(shù)發(fā)展加劇了技術(shù)和設(shè)備的更新?lián)Q代速度，尤其是智能手機的快速發(fā)展致使病毒的傳播和攻擊的途徑更加容易。新技術(shù)新體驗提升了教育信息化應(yīng)用的效能，但也帶來了更大更多的未知安全挑戰(zhàn)，潛在的安全問題使教育信息化信息安全防御難度加大。三是教育信息化應(yīng)用信息系統(tǒng)之間存在極強的關(guān)聯(lián)性，某一個關(guān)聯(lián)子系統(tǒng)極有可能造成整個信息系統(tǒng)失效，這種連帶風(fēng)險將會大大提升。在教育信息化云計算環(huán)境下，服務(wù)終端與大數(shù)據(jù)平臺是一個統(tǒng)一系統(tǒng)，一旦從某點服務(wù)個體終端（比如智能手機）入侵或攻擊入核心平臺，其傳染性和破壞性是極強的，會造成嚴(yán)重后果，完全有可能會在幾分鐘內(nèi)導(dǎo)致整個服務(wù)系統(tǒng)的全面崩潰和癱瘓，或者造成數(shù)據(jù)的大量泄漏。四是海量教育信息化數(shù)據(jù)共建共享建設(shè)導(dǎo)致信息濫用和泄密現(xiàn)象頻發(fā)。目前許多教育信息化建設(shè)的數(shù)據(jù)中心的數(shù)據(jù)存儲、傳輸、處理都是跨學(xué)?？绮块T跨類別的，在這些數(shù)據(jù)流轉(zhuǎn)發(fā)布的過程中存在很大的安全風(fēng)險，除了在技術(shù)層面進(jìn)行主動防御外，我們還要建立完備的電子信息保護機制。

（三）信息安全的道德防線受到嚴(yán)重沖擊

非法攻擊者一般利用網(wǎng)絡(luò)對服務(wù)器端發(fā)起攻擊或潛伏其中，客戶端計算機或其他智能設(shè)備必須安裝殺毒軟件、防火墻等安全措施，但這也未必能完全阻擋病毒入侵和攻擊發(fā)生。

三、教育信息化建設(shè)的信息安全建議

（一）提升頂層設(shè)計的重要性和科學(xué)性

以往教育信息化建設(shè)的經(jīng)驗告訴我們，項目初期必須明確頂層設(shè)計的科學(xué)性和合理性，包括教育信息化。教育信息化建設(shè)前期首先要成立教育信息化建設(shè)信息安全保障的領(lǐng)導(dǎo)機構(gòu)和專家委員會。在頂層設(shè)計工作中應(yīng)立足于學(xué)?，F(xiàn)狀制定目標(biāo)，明確不同階段各類信息安全風(fēng)險，嚴(yán)禁好高騖遠(yuǎn)，保證頂層設(shè)計的科學(xué)性與合理性。教育信息化建設(shè)頂層設(shè)計中首先確立先進(jìn)的設(shè)計理念，只有制定可持續(xù)的可擴展性的信息安全發(fā)展戰(zhàn)略，才有可能在項目建設(shè)和應(yīng)用過程中對網(wǎng)絡(luò)安全管理不斷優(yōu)化。其次，在建設(shè)過程中和應(yīng)用服務(wù)中持續(xù)改善組織機制，充分重視信息安全保障的重要性，確保高效安全地推進(jìn)項目。

（二）努力營造良好信息化氛圍

一是根據(jù)國家法律、法規(guī)制定安全管理制度。學(xué)校需召開專題討論會，請安全領(lǐng)域?qū)＜矣懻摵?、安全技術(shù)人員和學(xué)校管理人員三方參會，共同討論制定針對本校教育信息化實際需求的安全管理制度，兼顧管理、技術(shù)和趨勢。這個制度必須明確安全管理職能，建立標(biāo)準(zhǔn)安全操作流程，并在實踐過程中不斷優(yōu)化、完善。二是建立信息安全保障的管理標(biāo)準(zhǔn)。建立統(tǒng)一的安全等級認(rèn)定和信息安全管理標(biāo)準(zhǔn)，用以保證和評估大數(shù)據(jù)環(huán)境下的應(yīng)用效能和安全；三是營造人人參與教育信息化建設(shè)，人人緊繃安全意識之弦，人人享受教育信息化服務(wù)的良好氛圍。在教育信息化建設(shè)和運行中，用戶一定是全程參與者，既是終端體驗者也是系統(tǒng)維護者，遵從良好的使用習(xí)慣，自覺維護信息安全。

（三）構(gòu)建信息安全管理體系

信息安全管理體系包括運維、應(yīng)急預(yù)案和保密三大體系，其建設(shè)既需要管理和安全技術(shù)的有效融合，也需要在統(tǒng)一部署基礎(chǔ)安全基礎(chǔ)設(shè)施，。一是建立信息安全運維體系。建立信息安全事件監(jiān)控檢測機制，第一時間定位信息系統(tǒng)安全問題。建立具備強大綜合分析能力的運維安全感知系統(tǒng)，利用安全大數(shù)據(jù)分析檢測和預(yù)判當(dāng)下網(wǎng)絡(luò)和數(shù)據(jù)的安全狀況，化被動為主動，為信息中心或決策者提供決策參考支持。二是建立信息安全應(yīng)急預(yù)案體系。包含信息安全事件應(yīng)急預(yù)案、綜合防范應(yīng)急預(yù)案，基礎(chǔ)設(shè)施防范應(yīng)急預(yù)案，數(shù)據(jù)災(zāi)難備份和恢復(fù)等。根據(jù)這些應(yīng)急預(yù)案定期模擬演練。三是建立信息安全保密體系。重點是建立信息發(fā)布保密審查機制，公開發(fā)布的信息專人發(fā)布專人審核，做到職權(quán)分明，確保涉密信息不公開，公開信息不涉密。加強涉密介質(zhì)的管理，涉密信息務(wù)必由專機專人處理負(fù)責(zé)。

（四）提高人員信息素養(yǎng)

一是信息安全人才的技術(shù)培訓(xùn)和道德。高水平的安全技術(shù)人員是網(wǎng)絡(luò)安全管理中最急需的技術(shù)人才，他們的能力直接影響安全結(jié)果。因此安全人才的培訓(xùn)必須是復(fù)合型人才，既要重點提升技術(shù)人員的業(yè)務(wù)能力，還要加強網(wǎng)絡(luò)安全意識形態(tài)的培訓(xùn)，在工作中必須堅守職業(yè)道德，在出現(xiàn)網(wǎng)絡(luò)攻擊或者安全事件時，通過數(shù)據(jù)分析，安全定位，輔助決策者分析當(dāng)前安全數(shù)據(jù)狀況和面臨的風(fēng)險，得出最佳安全解決方案。二是全員安全和責(zé)任意識教育。加強所有系統(tǒng)用戶的安全意識教育，尤其是主要領(lǐng)導(dǎo)和關(guān)鍵數(shù)據(jù)使用者的安全意識，做好安全日常監(jiān)控工作。作為應(yīng)用系統(tǒng)的所有用戶都要具備良好的操作習(xí)慣和安全意識，不使用不明WIFI，不上可疑網(wǎng)站，安裝殺毒軟件。學(xué)校定期舉辦信息安全教育活動。

四、結(jié)束語

大數(shù)據(jù)環(huán)境下的教育信息化改變了教育模式和管理模式，也凸顯了大數(shù)據(jù)安全保障問題。一方面，大數(shù)據(jù)應(yīng)用技術(shù)的迅猛發(fā)展，為攻擊者提供了多種多樣的攻擊和途徑，致使數(shù)據(jù)服務(wù)平臺面臨巨大安全威脅；另一方面，我們必須改變固有的傳統(tǒng)安全思維，建立全新的安全體系。本文在分析當(dāng)前學(xué)校教育信息化系統(tǒng)中普遍存在的信息安全保障問題的基礎(chǔ)上，有針對性地提出教育信息化信息安全保障體系建設(shè)的建議。