淺論校園網(wǎng)絡(luò)的信息安全治理＊

田碩果

(中南林業(yè)科技大學(xué)招生就業(yè)處，湖南長(zhǎng)沙410004)

淺論校園網(wǎng)絡(luò)的信息安全治理＊

田碩果

(中南林業(yè)科技大學(xué)招生就業(yè)處，湖南長(zhǎng)沙410004)

目前中國(guó)的高校已基本進(jìn)入了網(wǎng)絡(luò)信息化時(shí)代。但是，校園網(wǎng)絡(luò)安全事故時(shí)有發(fā)生，究其原因主要在于校園網(wǎng)絡(luò)自身還存諸多問題:一是網(wǎng)絡(luò)自身的安全缺陷，二是用戶安全意識(shí)不強(qiáng)，三是網(wǎng)民法律意識(shí)淡漠，四是網(wǎng)絡(luò)監(jiān)控管理不完善。為此，應(yīng)針對(duì)校園網(wǎng)絡(luò)信息安全的這些問題采取治理對(duì)策。

校園網(wǎng)絡(luò);信息安全;治理對(duì)策

高校計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)已成為高校的教學(xué)、科研、行政管理等工作中重要的信息交換手段，發(fā)揮著越來越重要的作用?；ヂ?lián)網(wǎng)在世界范圍的迅速普及，使高校的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的關(guān)系越來越密切，為高校的國(guó)內(nèi)外交流提供了現(xiàn)代化手段。但是計(jì)算機(jī)網(wǎng)絡(luò)在給人們帶來方便的同時(shí)，也帶來了安全問題。計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性等多樣性，而且存在著技術(shù)上的弱點(diǎn)及人為破壞因素，致使網(wǎng)絡(luò)容易受到黑客、病毒等的攻擊。例如網(wǎng)上數(shù)據(jù)被刪除、復(fù)制或被破壞，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重威脅。面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)在安全方面的各種威脅，越來越多的高校在加快建設(shè)網(wǎng)絡(luò)系統(tǒng)的同時(shí)不得不考慮網(wǎng)上信息的安全問題。除了重視能全方位地處理各種不同的威脅，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性，使校園網(wǎng)既能向廣大師生開放、適應(yīng)教學(xué)、科研和管理需要的網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，同時(shí)還應(yīng)加強(qiáng)信息安全治理機(jī)制的建設(shè)和信息安全管理體系的建立，這樣才能保證網(wǎng)絡(luò)信息的安全。目前我國(guó)的高校大都建立了校園網(wǎng)絡(luò)中心，擁有萬兆級(jí)的主核心路由交換機(jī)負(fù)責(zé)整個(gè)學(xué)校網(wǎng)絡(luò)的接入，通過防火墻與中國(guó)教育科研網(wǎng)和CHINANET互聯(lián)，這些核心設(shè)備大都可以滿足一定時(shí)期內(nèi)學(xué)校師生教學(xué)、科研的應(yīng)用需求。各個(gè)校園區(qū)域還有第二層次的區(qū)域匯聚交換機(jī)，用來負(fù)責(zé)每個(gè)校區(qū)的數(shù)據(jù)交換，以提高每棟樓宇接入設(shè)備的訪問效率，減少接入用戶直接對(duì)校園網(wǎng)絡(luò)中心核心路由交換設(shè)備的沖擊，接入層設(shè)備一般采用了具有安全智能的可網(wǎng)管的二層樓棟交換機(jī)，基本上實(shí)現(xiàn)了通過千兆上聯(lián)到各區(qū)域匯聚交換機(jī)。巨大的投入，完善的網(wǎng)絡(luò)硬件設(shè)備，為高校信息化水平的提升發(fā)揮了巨大的作用。但是我們不能只注重硬件建設(shè)，而忽視了信息安全問題。為此，積極地將校園網(wǎng)絡(luò)信息安全及其治理的內(nèi)容納入校園網(wǎng)建設(shè)項(xiàng)目中，與整個(gè)校園網(wǎng)的建設(shè)一起規(guī)劃、同步進(jìn)行很有必要。這樣的效果比建好校園網(wǎng)后發(fā)現(xiàn)安全威脅或隱患再去進(jìn)行信息安全治理強(qiáng)得多。對(duì)此，認(rèn)真研究校園網(wǎng)絡(luò)建設(shè)過程中的信息安全治理也就具有十分重要的現(xiàn)實(shí)意義。

信息安全包括技術(shù)層面和管理層面兩個(gè)方面。

一、保障網(wǎng)絡(luò)信息安全必須組建信息安全組織管理機(jī)構(gòu)

法律層面的社會(huì)系統(tǒng)工程，延伸開來還應(yīng)該包括觀念和文化層面，例如從文化意義上構(gòu)建信息技術(shù)的行為準(zhǔn)則，培育網(wǎng)絡(luò)空間的道德規(guī)范。安全組織包括建立健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門。制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)。在大多數(shù)高校，網(wǎng)絡(luò)中心是信息安全的主管部門和技術(shù)支持部門，身兼管理和技術(shù)兩項(xiàng)職能，但學(xué)校往往賦予網(wǎng)絡(luò)中心的只有技術(shù)支持的職能，沒有真正意義上的管理職能，出現(xiàn)安全事故只解決技術(shù)問題，遺留的很多問題就得不到明確的解決。而信息安全不是個(gè)產(chǎn)品，它是一個(gè)完整的過程。作為一個(gè)過程，它有人、技術(shù)、流程這三個(gè)組成部分，這些組成部分匹配得越好，過程進(jìn)展得越順利，這就亟需建立、健全統(tǒng)一指揮、統(tǒng)一步調(diào)的強(qiáng)有力的各級(jí)信息安全治理機(jī)制。因此，高校應(yīng)該建立了專門負(fù)責(zé)信息安全管理的組織機(jī)構(gòu)，該組織機(jī)構(gòu)由學(xué)校主要領(lǐng)導(dǎo)掛帥，并由技術(shù)部門和管理部門的人員構(gòu)成，其中包括網(wǎng)絡(luò)中心的負(fù)責(zé)人，并由網(wǎng)絡(luò)中心負(fù)責(zé)各部門間的協(xié)調(diào)和聯(lián)絡(luò)，真正的發(fā)揮這類機(jī)構(gòu)的作用，制定安全政策和策略以及一系列體現(xiàn)安全政策的規(guī)章制度并監(jiān)督執(zhí)行。

從人力資源的角度看，很多高校的網(wǎng)絡(luò)中心都是近幾年來新成立的部門，普遍存在校園網(wǎng)建設(shè)任務(wù)繁重、技術(shù)和管理人才缺乏的矛盾。學(xué)校應(yīng)該重視網(wǎng)絡(luò)中心的人力資源配置工作，引進(jìn)高層次的技術(shù)人才和管理人才分別負(fù)責(zé)網(wǎng)絡(luò)建設(shè)、管理和維護(hù)、信息資源建設(shè)、信息安全治理等工作，做到分工明確、責(zé)任到人，這樣才能使信息安全治理得到人力資源上的保證。

二、提高思想認(rèn)識(shí)，樹立信息安全第一的意識(shí)

加強(qiáng)對(duì)師生員工的信息安全意識(shí)和安全教育。網(wǎng)絡(luò)中心應(yīng)充分發(fā)揮其管理職能，與學(xué)校保衛(wèi)處、學(xué)工部、校團(tuán)委等相關(guān)部門協(xié)調(diào)配合，積極在全校范圍內(nèi)開展有關(guān)信息安全的宣傳活動(dòng)，邀請(qǐng)信息安全方面的專家對(duì)師生員工進(jìn)行安全培訓(xùn)，定期舉行關(guān)于信息安全的學(xué)術(shù)報(bào)告等等，將安全意識(shí)擴(kuò)展為一種氛圍，努力提高和強(qiáng)化學(xué)校內(nèi)的信息安全觀念意識(shí)，確立信息安全管理的基本思想與策略，加快信息安全人才的培養(yǎng)。這就將焦點(diǎn)從強(qiáng)制性的安全策略轉(zhuǎn)換為自主接受的安全策略文化，這也是實(shí)現(xiàn)信息安全目標(biāo)的基本前提。

三、加強(qiáng)信息安全分析，讓信息安全得到成熟有效的技術(shù)保證

環(huán)境的動(dòng)態(tài)性決定了信息安全工作將是一項(xiàng)長(zhǎng)期的、無止境的攻防并舉的基礎(chǔ)性工作。因此必須確定所使用的安全產(chǎn)品在技術(shù)上是成熟的、有效的。高校網(wǎng)絡(luò)系統(tǒng)安全，從技術(shù)角度來說，主要涉及到網(wǎng)絡(luò)通信系統(tǒng)的保密與安全、操作系統(tǒng)與數(shù)據(jù)庫平臺(tái)的安全、應(yīng)用軟件系統(tǒng)的安全等三個(gè)方面。要保證校園網(wǎng)絡(luò)信息的安全，要先對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行科學(xué)的安全分析，結(jié)合具體應(yīng)用，將上述三個(gè)方面密切結(jié)合，在網(wǎng)絡(luò)信息系統(tǒng)中建立一整套安全機(jī)制，實(shí)現(xiàn)從外到內(nèi)的完整的安全防護(hù)系統(tǒng)。

四、建立制度，定期進(jìn)行信息安全檢查、審核和評(píng)估

正如前所述，環(huán)境的動(dòng)態(tài)性決定了信息安全工作將是一個(gè)長(zhǎng)期的、無止境的攻防并舉的基礎(chǔ)性工作。因此，必須定期對(duì)學(xué)校的信息安全過程進(jìn)行嚴(yán)格的檢查、審核工作，并不斷地對(duì)學(xué)校的信息安全進(jìn)行風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估，以制定更適合現(xiàn)狀的信息安全策略。

五、建立動(dòng)態(tài)模型，提高高校信息安全治理效果

保證信息安全要從管理層面上高度重視信息安全，依據(jù)實(shí)現(xiàn)的安全目標(biāo)與安全標(biāo)準(zhǔn)制定相關(guān)制度文件。在管理上。要進(jìn)行合理的職責(zé)劃分、人員配備;要對(duì)信息安全進(jìn)行宏觀管理與調(diào)控，根據(jù)應(yīng)用環(huán)境與網(wǎng)絡(luò)環(huán)境的變化不斷優(yōu)化安全管理策略;定期組織風(fēng)險(xiǎn)評(píng)估、實(shí)施動(dòng)態(tài)管理，及時(shí)調(diào)整相關(guān)的安全制度、安全策略、軟硬件環(huán)境的配置，促進(jìn)提高網(wǎng)路工作人員的安全防御水平。只有使管理和技術(shù)得到有效的結(jié)合，才能提高對(duì)網(wǎng)絡(luò)事故應(yīng)急能力和防御能力。管理人員和用戶的安全意識(shí)及技術(shù)水平提高是信息安全管理中重要的環(huán)節(jié)，其實(shí)施力度將直接關(guān)系到安全產(chǎn)品、安全策略被理解的程度和被應(yīng)用的效果，為此，首先要使信息安全從人力上得到保障。只有加強(qiáng)軟硬件全方位的管理，特別是從技術(shù)層面來保障信息系統(tǒng)的安全性(防火墻、入侵檢測(cè)系統(tǒng)、防毒軟件)，才會(huì)當(dāng)應(yīng)用環(huán)境發(fā)生變化時(shí)，可以及時(shí)調(diào)整相應(yīng)設(shè)備與參數(shù)配置。

總之，建立信息安全治理機(jī)制是一個(gè)動(dòng)態(tài)的過程，要在實(shí)踐中不斷發(fā)展和完善。由于網(wǎng)絡(luò)具有開放性、安全具有相對(duì)性，我們必須認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅;同時(shí)，隨著新技術(shù)、新應(yīng)用軟件的出現(xiàn)，信息安全治理方案必定要不斷進(jìn)行修正、補(bǔ)充和完善。信息安全，“三分技術(shù)，七分管理”，要提高校院網(wǎng)絡(luò)建設(shè)中的信息安全治理水平，必須明確高校信息安全治理評(píng)價(jià)方法和評(píng)價(jià)指標(biāo)體系，然后找出存在的問題并分析原因，對(duì)癥治理。

2011－07－20

田碩果(1974－)，男，湖南湘陰人，講師。