對高校信息安全治理的思考

摘 要：總之，建立信息安全治理機(jī)制是一個(gè)動(dòng)態(tài)的過程，要在實(shí)踐中不斷發(fā)展和完善。由于網(wǎng)絡(luò)具有開放性、安全具有相對性，我們必須認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，同時(shí)，隨著新技術(shù)、新應(yīng)用的出現(xiàn)，信息安全治理方案必定要不斷進(jìn)行修正、補(bǔ)充和完善。

關(guān)鍵詞：高校；信息安全；網(wǎng)絡(luò)安全治理

引言：高校的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)已成為高校的教學(xué)、科研、行政管理等工作中重要的信息交換手段，發(fā)揮著越來越重要的作用。互聯(lián)網(wǎng)在世界范圍的迅速普及，使高校的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的關(guān)系越來越密切，為高校的國內(nèi)外交流提供了現(xiàn)代化手段。但是計(jì)算機(jī)網(wǎng)絡(luò)在給人們帶來方便的同時(shí)，也帶來了安全問題。計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性等多樣性，而且存在著技術(shù)上的弱點(diǎn)及人為因素，致使網(wǎng)絡(luò)容易受到黑客、病毒等的攻擊。例如網(wǎng)上數(shù)據(jù)被刪除、復(fù)制或被破壞，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重威脅。面對計(jì)算機(jī)網(wǎng)絡(luò)在安全方面的各種威脅，越來越多的高校在加快建設(shè)網(wǎng)絡(luò)系統(tǒng)的同時(shí)不得不考慮網(wǎng)上信息的安全這一重要問題。除了重視能全方位地處理各種不同的威脅，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性，使校園網(wǎng)既能向廣大師生開放、適應(yīng)教學(xué)、科研和管理需要的網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，同時(shí)還應(yīng)加強(qiáng)信息安全治理機(jī)制的建設(shè)和信息安全管理體系的建立，這樣才能保證網(wǎng)絡(luò)信息的安全。

1 建立信息安全框架及安全組織機(jī)構(gòu)

從戰(zhàn)略視角來看，信息安全是一項(xiàng)包括技術(shù)層面、管理層面、法律層面的社會(huì)系統(tǒng)工程，延伸開來還應(yīng)該包括觀念和文化層面，例如從文化意義上構(gòu)建信息技術(shù)的行為準(zhǔn)則，培育網(wǎng)絡(luò)空間的道德規(guī)范。安全組織包括建立健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門。制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)。在大多數(shù)高校，網(wǎng)絡(luò)中心是信息安全的主管部門和技術(shù)支持部門，身兼管理和技術(shù)兩項(xiàng)職能，但學(xué)校往往賦予網(wǎng)絡(luò)中心的只有技術(shù)支持的職能，沒有真正意義上的管理職能，出現(xiàn)安全事故只解決技術(shù)問題，遺留的很多問題就得不到明確的解決。而信息安全不是個(gè)產(chǎn)品，它是一個(gè)完整的過程。作為一個(gè)過程，它有人、技術(shù)、流程這三個(gè)組成部分，這些組成部分匹配得越好，過程進(jìn)展得越順利，這就亟需建立、健全統(tǒng)一指揮、統(tǒng)一步調(diào)的強(qiáng)有力的各級(jí)信息安全治理機(jī)制。因此，高校應(yīng)該建立了專門負(fù)責(zé)信息安全管理的組織機(jī)構(gòu)，該組織機(jī)構(gòu)由學(xué)校主要領(lǐng)導(dǎo)掛帥，并由技術(shù)部門和管理部門的人員構(gòu)成，其中包括網(wǎng)絡(luò)中心的負(fù)責(zé)人，并由網(wǎng)絡(luò)中心負(fù)責(zé)各部門間的協(xié)調(diào)和聯(lián)絡(luò)，真正的發(fā)揮這類機(jī)構(gòu)的作用，制定安全政策和策略以及一系列體現(xiàn)安全政策的規(guī)章制度并監(jiān)督執(zhí)行。

從人力資源的角度看，由于西部地區(qū)高校的校園網(wǎng)建設(shè)和發(fā)展都比較滯后，很多高校的網(wǎng)絡(luò)中心都是近幾年來新成立的部門，普遍存在校園網(wǎng)建設(shè)任務(wù)繁重、技術(shù)和管理人才缺乏的矛盾。學(xué)校應(yīng)該重視網(wǎng)絡(luò)中心的人力資源配置工作，引進(jìn)高層次的技術(shù)人才和管理人才分別負(fù)責(zé)網(wǎng)絡(luò)建設(shè)、管理和維護(hù)、信息資源建設(shè)、信息安全治理等工作，做到分工明確、責(zé)任到人，這樣才能使信息安全治理得到人力資源上的保證。

2 加強(qiáng)信息安全的思想認(rèn)識(shí)培養(yǎng)，樹立信息安全第一的意識(shí)

加強(qiáng)對師生員工的信息安全意識(shí)和安全教育。網(wǎng)絡(luò)中心應(yīng)充分發(fā)揮其管理職能，與學(xué)校保衛(wèi)處、學(xué)工部、校團(tuán)委等相關(guān)部門協(xié)調(diào)配合，積極在全校范圍內(nèi)開展有關(guān)信息安全的宣傳活動(dòng)，邀請信息安全方面的專家對師生員工進(jìn)行安全培訓(xùn)，定期舉行關(guān)于信息安全的學(xué)術(shù)報(bào)告等等，將安全意識(shí)擴(kuò)展為一種氛圍，努力提高和強(qiáng)化學(xué)校內(nèi)的信息安全觀念意識(shí)，確立信息安全管理的基本思想與策略，加快信息安全人才的培養(yǎng)。這就將焦點(diǎn)從強(qiáng)制性的安全策略轉(zhuǎn)換為自主接受的安全策略文化，這也是實(shí)現(xiàn)信息安全目標(biāo)的基本前提。

3 確保信息安全得到成熟有效的技術(shù)保證

環(huán)境的動(dòng)態(tài)性決定了信息安全工作將是一個(gè)長期的、無止境的攻防與挑戰(zhàn)，因此必須確定所使用的安全產(chǎn)品在技術(shù)上是成熟的、有效的。高校網(wǎng)絡(luò)系統(tǒng)安全，從技術(shù)角度來說，主要涉及到網(wǎng)絡(luò)通信系統(tǒng)的保密與安全、操作系統(tǒng)與數(shù)據(jù)庫平臺(tái)的安全、應(yīng)用軟件系統(tǒng)的安全等三個(gè)方面。對網(wǎng)絡(luò)系統(tǒng)進(jìn)行科學(xué)的安全分析，結(jié)合具體應(yīng)用，將上述三個(gè)方面密切結(jié)合，在網(wǎng)絡(luò)信息系統(tǒng)中建立了一整套安全機(jī)制，實(shí)現(xiàn)從外到內(nèi)的安全防護(hù)。

4 定期進(jìn)行信息安全審核和評估

正如前所述，環(huán)境的動(dòng)態(tài)性決定了信息安全工作將是一個(gè)長期的、無止境的攻防與挑戰(zhàn)。因此，必須定期的對學(xué)校的信息安全過程進(jìn)行嚴(yán)格的審核，并對學(xué)校的信息安全進(jìn)行新的風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評估，以制定更適合現(xiàn)狀的信息安全策略。

5 高校信息安全治理的動(dòng)態(tài)模型

從管理層面上高度重視信息安全，依據(jù)要實(shí)現(xiàn)安全目標(biāo)與安全標(biāo)準(zhǔn)制定相關(guān)制度文件，進(jìn)行合理的職責(zé)劃分、人員配置，對信息安全進(jìn)行宏觀管理與調(diào)控，根據(jù)應(yīng)用環(huán)境與網(wǎng)絡(luò)環(huán)境的變化不斷優(yōu)化安全管理策略。管理人員和用戶的安全意識(shí)及技術(shù)水平提高是信息安全管理中重要的環(huán)節(jié)，其實(shí)施力度將直接關(guān)系到安全產(chǎn)品、安全策略被理解的程度和被應(yīng)用的效果，使信息安全從人力上得到保障。定期組織風(fēng)險(xiǎn)評估、實(shí)施動(dòng)態(tài)管理，及時(shí)調(diào)整相關(guān)的安全制度、安全策略、軟硬件環(huán)境的配置與再提高人員安全防御水平。使管理與技術(shù)得到有效的結(jié)合，從而提高對網(wǎng)絡(luò)事故的應(yīng)急能力和防御能力。通過軟硬件，從技術(shù)層面來保障信息系統(tǒng)的安全性（防火墻、入侵檢測系統(tǒng)、防毒軟件），應(yīng)用環(huán)境發(fā)生變化時(shí)，及時(shí)調(diào)整相應(yīng)設(shè)備與參數(shù)配置。

結(jié)語：從鄭州地區(qū)高校網(wǎng)絡(luò)建設(shè)的情況來看，“西部大學(xué)校園計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)工程”是一個(gè)很好的契機(jī)。這是一個(gè)經(jīng)國務(wù)院批準(zhǔn)，國家計(jì)委批復(fù)立項(xiàng)，由教育部組織實(shí)施的重點(diǎn)建設(shè)項(xiàng)目。該項(xiàng)目建設(shè)總體目標(biāo)是：用一年左右的時(shí)間，建設(shè)西部 152所大學(xué)校園網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施；實(shí)現(xiàn)校園網(wǎng)與中國教育與科研計(jì)算機(jī)網(wǎng)（CERNET）高速連網(wǎng)；建設(shè)一批基于校園網(wǎng)的教學(xué)、科研和管理的應(yīng)用系統(tǒng)。該項(xiàng)目建設(shè)內(nèi)容包括建設(shè)校園計(jì)算機(jī)光纖主干網(wǎng)、校園網(wǎng)網(wǎng)絡(luò)中心、開放網(wǎng)絡(luò)機(jī)房、多媒體網(wǎng)絡(luò)教室、省會(huì)城市城域網(wǎng)和非省會(huì)城市高速接入工程、網(wǎng)絡(luò)管理和運(yùn)行系統(tǒng)、教學(xué)、科研、管理系統(tǒng)和網(wǎng)絡(luò)安全保障體系等。如果鄭州高校在西部大學(xué)校園計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)工程過程中，積極地將網(wǎng)絡(luò)信息安全治理的內(nèi)容納入校園網(wǎng)建設(shè)項(xiàng)目中，與整個(gè)校園網(wǎng)的建設(shè)一起規(guī)劃、同步進(jìn)行的話，其效果要比建好校園網(wǎng)后發(fā)現(xiàn)安全威脅或隱患再將信息安全治理提上議事日程好的多。因此，在這個(gè)時(shí)期對鄭州地區(qū)高校在校園網(wǎng)絡(luò)建設(shè)過程中的信息安全治理情況進(jìn)行實(shí)證研究，找出問題與不足，提出合理可行的建議，具有非常重要的現(xiàn)實(shí)意義和實(shí)用意義。

參考文獻(xiàn)

[1] 沈昌祥：加強(qiáng)信息安全保障體系的思考，《信息網(wǎng)絡(luò)安全》， 2002 年 11 期

[2] 馮登國：國內(nèi)外信息安全研究現(xiàn)狀及發(fā)展趨勢， 中國科學(xué)院軟件所信息安全國家重點(diǎn)實(shí)驗(yàn)室

[3] 冉曉：信息安全策略，《信息網(wǎng)絡(luò)安全》， 2003 年 04 期

作者簡介：1979年6月生、2004.8鄭州經(jīng)貿(mào)職業(yè)學(xué)院計(jì)算機(jī)系至今。研究方向：計(jì)算機(jī)軟件、數(shù)據(jù)庫。