筑起“數(shù)字化校園”安全防火墻

陳小銀

[摘 要] 智慧校園建設(shè)發(fā)展深刻改變了教學(xué)方式。智慧校園建設(shè)的利益相關(guān)者要樹(shù)立正確的網(wǎng)絡(luò)安全觀，從基本合規(guī)逐步真正轉(zhuǎn)到安全防護(hù)需求，增強(qiáng)自身貫徹實(shí)施法律的緊迫感和自覺(jué)性，努力維護(hù)數(shù)字化校園空間安全。面對(duì)目前各數(shù)字化校園建設(shè)者實(shí)施網(wǎng)絡(luò)安全保護(hù)方面存在的不足，應(yīng)不斷強(qiáng)化師生網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，提高網(wǎng)絡(luò)安全管理能力，完善網(wǎng)絡(luò)安全配套的管理制度，建立健全信息安全組織和管理體制、機(jī)制，加強(qiáng)信息安全工作的組織保障力度，消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患。

[關(guān) 鍵 詞] 信息系統(tǒng)；網(wǎng)絡(luò)安全；保障；安全風(fēng)險(xiǎn)

[中圖分類(lèi)號(hào)] TP393.18 [文獻(xiàn)標(biāo)志碼] A [文章編號(hào)] 2096-0603（2018）30-0007-01

數(shù)字校園建設(shè)發(fā)展深刻改變了教學(xué)方式，信息安全問(wèn)題也隨著信息技術(shù)的應(yīng)用滲透到校園管理的方方面面，校園的各種業(yè)務(wù)對(duì)信息化的依賴(lài)使信息安全問(wèn)題復(fù)雜化。

一、我國(guó)信息安全保障工作概況

我國(guó)信息安全保障工作發(fā)展共經(jīng)過(guò)三個(gè)階段：2001年-2002年為啟動(dòng)階段，本階段國(guó)家信息化小組重組、網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立；2003—2005年為逐步展開(kāi)積極推進(jìn)階段，本階段國(guó)家出臺(tái)了指導(dǎo)性政策、召開(kāi)了第一次全國(guó)信息安全保障會(huì)議、發(fā)布了國(guó)家信息安全戰(zhàn)略，國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開(kāi)四次會(huì)議；2006年至今為深化落實(shí)階段，本階段成果包括標(biāo)準(zhǔn)化、信息安全法律、法規(guī)和人才培養(yǎng)方面工作的進(jìn)展、風(fēng)險(xiǎn)評(píng)估和信息安全等級(jí)保護(hù)的進(jìn)展。

我國(guó)信息安全保障工作建設(shè)主要有六方面內(nèi)容：一是信息安全工作組織保障方面，國(guó)家要建立健全信息安全組織和管理體制機(jī)制；二是在信息安全的法律法規(guī)建設(shè)上，要建立健全信息安全法律法規(guī)體系；三是在信息安全工作的標(biāo)準(zhǔn)化上，要建立和完善信息安全標(biāo)準(zhǔn)體系；四是信息化技術(shù)發(fā)展要做到自主可控，建立信息安全技術(shù)體系；五是在國(guó)家對(duì)信息安全支撐保障能力上，建設(shè)好信息安全基礎(chǔ)設(shè)施；六是要加快信息安全人才的培養(yǎng)及信息安全學(xué)科的建設(shè)，建立信息安全人才的培養(yǎng)體系。

二、信息安全相關(guān)特征及屬性

信息安全特征主要包括：（1）系統(tǒng)性，信息安全問(wèn)題需要從整體考慮，是復(fù)雜的問(wèn)題；（2）動(dòng)態(tài)性，信息安全是動(dòng)態(tài)的；（3）開(kāi)放互通性，信息安全的問(wèn)題是無(wú)邊界的；（4）相對(duì)性，信息系統(tǒng)不存在絕對(duì)的安全；（5）非傳統(tǒng)性，網(wǎng)絡(luò)安全問(wèn)題與傳統(tǒng)安全問(wèn)題相比有顯著不同。

信息安全屬性包括：（1）保密性，確保用戶(hù)得不到、用不了未經(jīng)授權(quán)的信息；（2）完整性，確保信息前后一致，非法用戶(hù)不能竄改任何數(shù)據(jù)；（3）可用性，確保系統(tǒng)數(shù)據(jù)在需要的時(shí)候能夠正常被使用，不被拒絕；（4）不可抵賴(lài)性，即不可否認(rèn)性，什么時(shí)候做過(guò)什么不得抵賴(lài)。

三、數(shù)字化校園信息系統(tǒng)安全保障基本管理措施

一家專(zhuān)業(yè)信息安全機(jī)構(gòu)做過(guò)一項(xiàng)調(diào)查，結(jié)果顯示雖然85%的系統(tǒng)都安裝了防毒軟件，但其中依然有80%的系統(tǒng)感染了病毒；大約55%的系統(tǒng)配備有入侵檢測(cè)系統(tǒng)，83%的系統(tǒng)安裝了防火墻，但依然有30%遭受了外來(lái)入侵，89%有安全漏洞。

數(shù)字校園信息系統(tǒng)安全保障基本管理措施的安全起點(diǎn)應(yīng)當(dāng)是基于信息安全最佳實(shí)踐和法律要求來(lái)選擇的控制措施。第一部分提供了一套由最佳慣例構(gòu)成的安全控制，涉及11個(gè)方面包括39個(gè)控制目標(biāo)和133項(xiàng)控制措施，可作為參考文檔使用，其中8個(gè)基礎(chǔ)方面如下：

（1）安全方針：做到定義信息安全、說(shuō)明特定的原則、責(zé)任分派、陳述管理層的意圖、對(duì)維護(hù)策略的復(fù)查過(guò)程加以定義、對(duì)信息安全管理的范圍進(jìn)行約定。

（2）信息安全組織：管理組織內(nèi)部信息安全，確保組織被外部組織訪問(wèn)、溝通、處理及管理信息和信息處理設(shè)備的安全。

（3）資產(chǎn)管理安全：對(duì)組織資產(chǎn)實(shí)現(xiàn)并保持適當(dāng)保護(hù)；確保對(duì)信息資產(chǎn)的保護(hù)達(dá)到恰當(dāng)水平。

（4）物理和環(huán)境安全：對(duì)安全區(qū)域，做到防止未經(jīng)授權(quán)的訪問(wèn)、干擾和破壞業(yè)務(wù)運(yùn)行的前提信息及條件；對(duì)設(shè)備安全，要預(yù)防資產(chǎn)損壞、丟失或被盜，及可能對(duì)組織業(yè)務(wù)的干擾。

（5）通信和操作管理安全：確保正確、安全的操作信息處理設(shè)施。

（6）訪問(wèn)控制：對(duì)信息的訪問(wèn)做控制，包括用戶(hù)責(zé)任、用戶(hù)訪問(wèn)管理、網(wǎng)絡(luò)訪問(wèn)控制、應(yīng)用訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制等。

（7）人力資源安全：在雇傭前、雇傭中、解聘了解員工的責(zé)任及適合于他們所考慮的角色，第三方或合同方用戶(hù)了解他們的責(zé)任，減少偷竊、設(shè)施誤用或?yàn)E用的風(fēng)險(xiǎn)。

（8）符合性：做好與法律法規(guī)規(guī)定的符合性，避免出現(xiàn)違反法律、法規(guī)、規(guī)章和合同要求的安全規(guī)定。

四、結(jié)論

數(shù)字校園信息系統(tǒng)安全成敗取決于兩個(gè)重要因素，即管理和技術(shù)。安全相關(guān)的技術(shù)是信息系統(tǒng)安全的構(gòu)筑材料，安全管理是黏合劑和催化劑。面對(duì)目前各數(shù)字化校園建設(shè)者實(shí)施網(wǎng)絡(luò)安全保護(hù)方面存在的不足，應(yīng)不斷強(qiáng)化師生網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)校園網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)，完善網(wǎng)絡(luò)安全配套的管理制度，提高網(wǎng)絡(luò)安全管理能力，建立健全信息安全組織和管理體制、機(jī)制，加強(qiáng)信息安全工作的組織保障力度，消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患。

參考文獻(xiàn)：

[1]杜國(guó)真.數(shù)字化校園網(wǎng)絡(luò)的安全現(xiàn)狀及防御對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（4）：141-142.

[2]肖宏亮.構(gòu)建安全有效的數(shù)字化校園網(wǎng)絡(luò)環(huán)境[J].科技風(fēng)，2017（10）：60.