高校信息安全風(fēng)險(xiǎn)分析

摘要：在教育信息化過程中，信息安全已經(jīng)成為高校不可忽視的一個(gè)大問題。文章分析了高校存在的信息安全風(fēng)險(xiǎn)。

關(guān)鍵詞：高校；信息；安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）30-0024-02

Analysis of Information Security Risk in Universities

LUO Nan

（Center for Educational Technology，Gannan Normal University，Ganzhou 341000， China）

Abstract： In the process of education informatization， information security has become a major problem that cannot be ignored in universities. This paper analyzes the information security risk.

Key words： university； information； security

1 引言

近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展，高校普遍加快了教育信息化的建設(shè)步伐，校園網(wǎng)絡(luò)不斷地得到優(yōu)化和擴(kuò)容，網(wǎng)站、網(wǎng)絡(luò)教學(xué)、精品課程、教務(wù)管理、學(xué)生學(xué)籍管理、校園一卡通、辦公自動(dòng)化、財(cái)務(wù)管理、資產(chǎn)管理等眾多的信息系統(tǒng)被廣泛地應(yīng)用于學(xué)校的教育、教學(xué)和管理。由此，高校對(duì)信息系統(tǒng)產(chǎn)生了嚴(yán)重的依賴，同時(shí)，也帶來了極大的風(fēng)險(xiǎn)。信息安全已經(jīng)成為高校不可忽視的一個(gè)大問題。特別是云計(jì)算和大數(shù)據(jù)的發(fā)展，將原先分散的數(shù)據(jù)集中起來處理，一旦發(fā)生數(shù)據(jù)泄漏，危害程度不可想象。因此，高校有必要對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估，制定出周全的信息安全防護(hù)措施。

2 信息安全的概念

信息安全并沒有絕對(duì)權(quán)威的定義，通常，我們將信息安全定義為信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。

據(jù)此，高校的信息安全可以概括為四個(gè)方面。一是校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施能夠支持高校信息系統(tǒng)連續(xù)可靠正常地運(yùn)行，二是支持高校信息系統(tǒng)運(yùn)行的軟件環(huán)境具備快速安全解決方案，三是高校信息系統(tǒng)能夠確保自身不受外部破壞導(dǎo)致出現(xiàn)系統(tǒng)運(yùn)行故障，四是確保信息系統(tǒng)的數(shù)據(jù)不被未經(jīng)授權(quán)的訪問。

3 高校存在的信息安全問題

3.1 網(wǎng)絡(luò)和信息核心技術(shù)受制于人

目前，網(wǎng)絡(luò)和信息產(chǎn)品的核心技術(shù)掌握在國外少數(shù)機(jī)構(gòu)和公司手中，我們國家對(duì)關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)無法做到安全可控，有可能危及各行各業(yè)的安全，甚至危及國家安全?，F(xiàn)階段，高校在招標(biāo)采購校園網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)時(shí)，不可避免會(huì)全部或部分采購到國外的硬件和軟件產(chǎn)品，或者包含國外關(guān)鍵零部件的國產(chǎn)設(shè)備，信息安全隱患較大。特別是涉密網(wǎng)絡(luò)和信息系統(tǒng)，有可能遭到敵對(duì)勢(shì)力的破壞和竊取情報(bào)。

3.2 信息安全法規(guī)制度與信息發(fā)展脫節(jié)

在PC互聯(lián)網(wǎng)時(shí)代，為了加強(qiáng)對(duì)互聯(lián)網(wǎng)的管理，保障信息交流的健康發(fā)展，從國家到省級(jí)的立法機(jī)構(gòu)和行政職能部門陸續(xù)出臺(tái)了一系列的法律和法規(guī)，用于規(guī)范互聯(lián)網(wǎng)的接入和信息的制作、查閱、復(fù)制、傳播。各高校也會(huì)出臺(tái)相應(yīng)的網(wǎng)絡(luò)信息安全制度，規(guī)范師生的上網(wǎng)行為，保障校園信息的安全。但是，在跨入移動(dòng)互聯(lián)網(wǎng)時(shí)代后，“互聯(lián)網(wǎng)+”應(yīng)用正在蓬勃興起，遍布政府服務(wù)、醫(yī)療、教育、金融、交通等各行各業(yè)。高校為了順應(yīng)這股潮流，正在將“互聯(lián)網(wǎng)+”應(yīng)用和教育信息化進(jìn)行有機(jī)結(jié)合，打造校園移動(dòng)信息服務(wù)平臺(tái)。而原有的法律法規(guī)和學(xué)校管理制度已經(jīng)不能完全適應(yīng)當(dāng)前信息技術(shù)發(fā)展形勢(shì)，急需修訂完善。

3.3 師生信息安全意識(shí)淡薄

互聯(lián)網(wǎng)的特點(diǎn)之一就是打破了時(shí)空界限和地域疆界，因此，黑客的攻擊往往會(huì)令人防不勝防。當(dāng)前，高校普遍對(duì)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)缺乏足夠的重視，很少會(huì)對(duì)師生進(jìn)行必要的網(wǎng)絡(luò)信息安全教育，或者即使有網(wǎng)絡(luò)信息安全教育，也是流于形式，走過場(chǎng)。由此導(dǎo)致師生對(duì)網(wǎng)絡(luò)信息安全知識(shí)知之甚少，對(duì)來自外部的惡意攻擊缺乏警惕性，對(duì)信息被盜取的危害性認(rèn)識(shí)不足。這種對(duì)信息安全防護(hù)漠不關(guān)心的態(tài)度，使得高校成為信息安全的重災(zāi)區(qū)。

3.4 缺乏合格的信息安全技術(shù)人才

目前，高校在機(jī)構(gòu)設(shè)置中雖然有信息部門，但在崗位設(shè)置中普遍沒有信息安全管理崗位，沒有安排專職的信息安全管理人員從事全校信息安全的咨詢、建議、指導(dǎo)工作。信息安全工作一般都由信息系統(tǒng)管理員兼任。由于信息系統(tǒng)分屬不同的業(yè)務(wù)部門，所以信息系統(tǒng)管理員大多由所在部門的人員擔(dān)任。由于信息系統(tǒng)管理人員的專業(yè)技術(shù)水平參差不齊，大多缺乏信息安全專業(yè)技術(shù)知識(shí)，對(duì)于信息安全防范工作心有余而力不足，甚至不得不把信息安全保障責(zé)任轉(zhuǎn)嫁到信息系統(tǒng)開發(fā)公司。

3.5 保障信息系統(tǒng)運(yùn)行的物理環(huán)境不理想

高校各類信息系統(tǒng)服務(wù)器和數(shù)據(jù)存儲(chǔ)設(shè)備一般集中存放在數(shù)據(jù)中心機(jī)房。數(shù)據(jù)中心機(jī)房作為信息系統(tǒng)和數(shù)據(jù)的存放地點(diǎn)，是信息化的核心場(chǎng)所。數(shù)據(jù)中心機(jī)房的安全直接影響著全校信息安全。數(shù)據(jù)中心機(jī)房的安全隱患包括電氣故障、網(wǎng)絡(luò)故障、設(shè)備故障、電磁干擾，以及高溫、潮濕、停電、火災(zāi)、雷擊等災(zāi)害。因此，數(shù)據(jù)中心機(jī)房的建設(shè)和管理水平直接關(guān)系著信息化水平。高校大多數(shù)信息事故都是由于機(jī)房物理環(huán)境不能支持信息系統(tǒng)正常運(yùn)行所造成的。

3.6 信息安全建設(shè)缺乏全局規(guī)劃和整體布局

一方面，由于缺乏專業(yè)的信息安全技術(shù)人才，高校沒有精力也沒有能力去跟蹤當(dāng)今社會(huì)最前沿的信息安全技術(shù)，無法全盤統(tǒng)籌全校的信息安全工作。制定的信息安全保障策略，往往存在很大的局限性和片面性。另一方面，信息安全的建設(shè)規(guī)劃往往不受重視，缺乏統(tǒng)籌安排、整體布局的思路。信息安全項(xiàng)目與信息化建設(shè)項(xiàng)目沒有做到同步規(guī)劃、同步建設(shè)、同步運(yùn)行，或者雖然做到了同步規(guī)劃，卻采取分步實(shí)施的思路，信息安全被放到了次要位置。

3.7 信息安全防護(hù)缺少長期資金投入

高校在數(shù)字化校園建設(shè)過程中，往往重視網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的建設(shè)，而忽視信息安全防護(hù)的投入。信息安全防護(hù)被放在次要位置。一旦投入資金建好信息安全防護(hù)體系后，即認(rèn)為可以一勞永逸了，后期只要做好管理和維護(hù)即可。殊不知，當(dāng)今信息安全防護(hù)的理念在不斷更新，信息安全防護(hù)的產(chǎn)品在不斷升級(jí)換代。如果還是拿多年前老舊的信息安全防護(hù)設(shè)備來長期提供信息安全服務(wù)，那么，信息安全防護(hù)的效果就會(huì)大打折扣。要使得信息安全防護(hù)體系充分發(fā)揮作用，需要資金的長期投入。

3.8 沒有進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估

隨著高校教育信息化進(jìn)程的不斷推進(jìn)，校內(nèi)信息系統(tǒng)數(shù)量在不斷增多，高校對(duì)信息系統(tǒng)的依賴性也越來越高，信息安全風(fēng)險(xiǎn)也在逐漸顯現(xiàn)。信息風(fēng)險(xiǎn)評(píng)估可以科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險(xiǎn)控制方法之間做出決策。但是，高校普遍沒有對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。當(dāng)遇到突發(fā)信息事故時(shí)，只能被動(dòng)應(yīng)對(duì)，無法從容決策。

3.9 信息系統(tǒng)自身安全性很難得到保障

高校的信息系統(tǒng)來源一般分為三種情況，一是購買商品軟件，二是外包開發(fā)，三是自行開發(fā)。不管采用哪種方式，信息系統(tǒng)都是由軟件程序員開發(fā)完成。受各種主客觀因素的影響，開發(fā)出來的軟件不可避免地會(huì)出現(xiàn)各種缺陷，需要不斷地測(cè)試和完善。開發(fā)過程中，如果軟件的安全防護(hù)措施考慮不周全，就會(huì)出現(xiàn)各種安全漏洞。如果信息系統(tǒng)交付使用后，后期的系統(tǒng)更新和升級(jí)維護(hù)工作得不到保障，信息系統(tǒng)的安全性令人擔(dān)憂。

3.10 難于打擊信息安全違法犯罪行為

高校校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)保持著互聯(lián)互通，因此，在校園網(wǎng)上運(yùn)行的信息系統(tǒng)很容易遭到黑客的攻擊和入侵。對(duì)于有經(jīng)驗(yàn)的黑客來說，可以做到入侵信息系統(tǒng)后消除痕跡、全身而退。國家安全部門很難有效追蹤并查找到實(shí)施入侵并從事破壞、竊取行為的違法犯罪分子。因此，對(duì)于此類信息安全違法犯罪行為缺乏有效的打擊手段。信息管理人員只能在防控方面加強(qiáng)措施，查堵漏洞，增添網(wǎng)絡(luò)安全設(shè)備，盡量減少信息安全風(fēng)險(xiǎn)。

4 結(jié)束語

信息安全是高校教育信息化的重要保障。高校只有克服困難，加強(qiáng)人力和物力投入，大力提高預(yù)警和應(yīng)急處置能力，努力消除各種信息安全風(fēng)險(xiǎn)，不斷完善信息安全保障體系，才能確保信息安全處于可控狀態(tài)。

參考文獻(xiàn)：

[1] 羅南. 高校教育信息化實(shí)施策略[J]. 科教導(dǎo)刊，2012（12）.

[2] 梁紹柱. 高校信息安全體系建設(shè)研究[J]. 軟件導(dǎo)刊，2012（11）.