高校信息系統(tǒng)的安全分析及解決方案

王艷芳

摘 要：在高校建設過程中，信息化建設越來越占據(jù)重要的地位，幾乎所有部門都納入了信息化平臺。但是，信息安全并沒有受到足夠的重視，安全事故頻發(fā)，這給高校的信息化建設蒙上一層陰影。本文對高校的信息系統(tǒng)安全問題進行了詳細分析，并提出具體的解決方案。

關鍵詞：高校；信息系統(tǒng)；安全

近年來，高校信息化建設快速發(fā)展，高校的網(wǎng)絡系統(tǒng)持續(xù)地擴容，教學系統(tǒng)、自動化辦公、圖書系統(tǒng)、學生管理、校園一卡通等幾乎所有系統(tǒng)都上了信息系統(tǒng)平臺。隨之而來的安全問題日益突出，比如，系統(tǒng)故障、網(wǎng)絡攻擊、黑客入侵、網(wǎng)絡竊密和內(nèi)部人員違規(guī)操作，使高校信息網(wǎng)受到了前所未有的挑戰(zhàn)。因此，非常有必要對高校進行信息系統(tǒng)安全的分析評估，制訂應急預案，采取有效措施，把風險損失降低到最小。

一、高校信息系統(tǒng)安全現(xiàn)狀分析

高校信息系統(tǒng)安全分為以下幾個部分：網(wǎng)絡硬件設施安全、網(wǎng)絡軟件系統(tǒng)安全、網(wǎng)絡系統(tǒng)防范外部攻擊的安全和信息系統(tǒng)數(shù)據(jù)不被非授權訪問。

以上海地區(qū)為例，2012年上海市科委曾對某高校進行3個擬定級為三級等級保護的信息系統(tǒng)和6個擬定等級為二級等級保護的信息系統(tǒng)按照國家相關等級保護標準的評測，發(fā)現(xiàn)三級系統(tǒng)情況是在所有評測項目中，部分符合和不符合項占比60%以上，所評測系統(tǒng)在技術和管理等方面都存在很大程度的缺失，二級系統(tǒng)稍好，但也不盡如人意。其他所評院校也大致如此，總結發(fā)現(xiàn)，高校的信息系統(tǒng)安全存在如下問題。

（一）高校對信息系統(tǒng)安全的重視不到位，定級比較低

互聯(lián)網(wǎng)遍布世界各地，高校信息系統(tǒng)只要接入它，就直面所有人，包括黑客。盡管高校是非盈利機構，但高等教育資源同樣寶貴，高校對這一點沒有充分的重視，所以沒有對師生進行必要的安全普及教育，進而放松了對外在攻擊的警惕，使針對高校信息系統(tǒng)的攻擊屢屢得手，甚至可能成為黑客的靶場。

（二）高校對信息系統(tǒng)安全投入的資金遠未達標，且缺乏持續(xù)資金的跟進和投入

部分高校辦學資金有限，更愿意把資金投入到硬件建設中去，更多地關注校園風貌的再建設，使信息系統(tǒng)安全這方面最多僅有框架，沒有預想到網(wǎng)絡環(huán)境變化日新月異，安全攻擊更加瘋狂，信息系統(tǒng)安全體系岌岌可危，需要較多資金進行維護，殊不知校園信息系統(tǒng)安全一旦出現(xiàn)問題，負面影響極大。

（三）信息系統(tǒng)安全的管理機構設置不完善或虛設

在接受評測的高校信息系統(tǒng)中，部分院校根本沒有制定安全管理制度，或者即使有，也是一些老舊的，根本不符合現(xiàn)在新環(huán)境的要求，更別提應急預案了。

（四）信息安全技術防護力量不強，就受制于他人

有些高校沒有專職的信息安全管理專員，只是兼職管理；有些雖然有專業(yè)管理人員，但人員素質不達標，也沒有開展持續(xù)的培訓；還有些高校把這部分管理業(yè)務外包出去，這樣就更受制于他人，風險管理就更沒有保障。

（五）沒有對信息系統(tǒng)進行風險評估

高校在迅速發(fā)展，信息系統(tǒng)也隨之擴容，高校的管理越來越離不開校園的電子化，安全保障問題日益突出，及時地進行安全風險評估，對系統(tǒng)進行定性定量的考核，風險控制迫在眉睫，如果一旦遭遇外在攻擊，會在第一時間響應，及時規(guī)避風險，降損失于最小。

（六）對攻擊校園的違法行為打擊難度較大

首先校園信息系統(tǒng)的安全防護能力不及公司強大，尤其主動性防御能力更是薄弱，對于有經(jīng)驗的黑客，可以做到修改系統(tǒng)日志，給網(wǎng)絡警察破案增加相當?shù)碾y度；其次是打擊不能做到及時到位，以造成攻擊不絕。

二、高校的安全解決方案

（一）加強高校信息系統(tǒng)安全的法律法規(guī)建設

進行信息安全法制建設，照規(guī)辦事。建立信息安全組織體系，是做好信息安全前提。我國《刑法》中已經(jīng)有破壞信息系統(tǒng)安全罪及對應的量刑標準。同時，《中華人民共和國計算機信息系統(tǒng)安全保護條例》也在1994年發(fā)布并執(zhí)行。但形勢多變，急需專業(yè)人士參與到繼續(xù)完善法律法規(guī)的建設中去。

（二）通過宣傳教育和崗位培訓來提高高校師生的安全意識

高校信息系統(tǒng)安全離不開全校師生的共同努力，所謂校園信息安全，人人有責并不為過，養(yǎng)成良好的安全行為規(guī)范尤其重要。對相關技術人員進行全方位的技術培訓必不可少，對出現(xiàn)的安全事故進行嚴厲處罰，以形成良好的安全氛圍，有效維護信息系統(tǒng)的正常運行。

（三）高校建立專項安全基金，保證系統(tǒng)正常運行

在高校建設規(guī)劃中，建立專項基金，用于安全軟硬件設施，內(nèi)部人員持續(xù)系統(tǒng)培訓，外部人才不斷引進，使信息系統(tǒng)安全完全不依賴外部的介入而減少安全風險，充分保障這方面資金的投入。

（四）管理與技術相輔相成

高校的信息安全系統(tǒng)需要技術與管理的完全融合，一般來說，是三分技術七分管理，堅持管理為主，技術價錢為輔的原則，管理制度應包括相關人員的專崗設置，安全代碼庫的建立及日常更新的周期和發(fā)現(xiàn)攻擊的規(guī)范處理程序等。

（五）充分利用先進的云技術備份

高校信息系統(tǒng)服務器一般是專項使用的，百密也有一疏，一旦出現(xiàn)安全事故，會造成難以彌補的損失。因此，應該充分利用現(xiàn)在先進的云備份技術，以保障系統(tǒng)能在受到重大攻擊時及時恢復正常運行。

三、結語

高校信息化安全管理水平也是衡量高校辦學水平的重要標準。隨著高等教育的進一步發(fā)展，對教學管理的水平要求越來越高，高校信息系統(tǒng)安全工作形勢會更加嚴峻，會產(chǎn)生更大的安全信息風險，加大這方面的投入力度，建立行之有效的信息安全保障體系，為高校的發(fā)展保駕護航。

參考文獻：

[1]羅南.高校信息安全風險分析[J].電腦知識與技術，2016（10）.

[2]王強民，張保穩(wěn)，張競.高校信息系統(tǒng)安全等級保護工作的現(xiàn)狀分析[C]//.第二屆全國信息安全等級保護技術大會.第二屆全國信息安全等級保護技術大會論文集，2013.endprint