筑高校圖書館信息安全網(wǎng)

隨著信息化建設(shè)的不斷深入，信息交流與共享已經(jīng)成為現(xiàn)代社會(huì)的必然趨勢(shì)?；ヂ?lián)網(wǎng)的廣泛應(yīng)用對(duì)社會(huì)各領(lǐng)域都產(chǎn)生了重大影響，促使人類的生活方式和生產(chǎn)方式發(fā)生了深刻變革。因此，教育信息化建設(shè)已成為世界各國(guó)信息化建設(shè)的重要組成部分。現(xiàn)采用文獻(xiàn)研究法、跨學(xué)科研究法，對(duì)高校信息安全管理的歷史與現(xiàn)狀進(jìn)行分析。從公共管理角度出發(fā)，提出高校信息安全管理方面存在的問(wèn)題，進(jìn)而闡述高校信息安全管理中的相關(guān)概念，并針對(duì)這些問(wèn)題提出相應(yīng)的解決措施，包括加強(qiáng)高校師生的信息安全意識(shí)教育、健全高校信息安全應(yīng)急機(jī)制、配備高校專職信息安全管理工作隊(duì)伍、采用先進(jìn)的網(wǎng)絡(luò)安全管理設(shè)施和管理技術(shù)等。這些措施為我國(guó)高校信息安全方面的工作提供了重要的指導(dǎo)，為未來(lái)我國(guó)高校圖書館信息安全管理工作的開展提供了借鑒和參考。

高校信息安全管理概述

本文的重點(diǎn)在于界定“信息安全”“信息安全管理”“高校信息安全管理”的概念，并深入探討它們與我國(guó)國(guó)家安全的關(guān)系。高校信息化建設(shè)的核心內(nèi)容是信息安全，核心任務(wù)則是建立適用于我國(guó)高校信息發(fā)展的信息安全管理體系。

信息安全

國(guó)際標(biāo)準(zhǔn)化組織（ISO）對(duì)信息安全的定義為：“確保計(jì)算機(jī)軟件、數(shù)據(jù)和硬件惡意行為不因意外而被泄露、更改或破壞，需要在數(shù)據(jù)處理系統(tǒng)中建立并采用管理和技術(shù)上的安全保護(hù)措施。”戴宗坤院士在《信息安全管理指南》將信息安全定義為：“保證信息在計(jì)算機(jī)信息系統(tǒng)中以電磁信號(hào)的形式進(jìn)行獲取、處理、存儲(chǔ)、傳輸和利用，在各個(gè)傳輸介質(zhì)、存儲(chǔ)邏輯區(qū)域和物理位置中，保持靜態(tài)和動(dòng)態(tài)過(guò)程中的可審查性、機(jī)密性、可用性、不可抵賴性和完整性，并與環(huán)境、信息和人相關(guān)的管理和技術(shù)規(guī)定有機(jī)結(jié)合。”吳世忠院士強(qiáng)調(diào)，信息安全要考慮可用性、可控性、機(jī)密性和完整性四方面。

綜上所述，學(xué)界對(duì)信息安全主要從微觀和宏觀兩方面進(jìn)行界定。從微觀的角度看，信息安全是指在信息的產(chǎn)生、制作、傳播、 收集、處理和篩選等整個(gè)信息傳輸和使用過(guò)程中，保護(hù)信息資源的安全性。從宏觀層面來(lái)看，信息安全是指在整個(gè)國(guó)家或全球范圍內(nèi)，采取各種技術(shù)、政策、法規(guī)和行動(dòng)保護(hù)信息系統(tǒng)使信息不被惡意攻擊、破壞、篡改或泄露。

信息安全管理

在《信息安全管理論》中，王正德和楊世松給出信息安全管理的定義，即“通過(guò)協(xié)調(diào)控制各種信息安全風(fēng)險(xiǎn)來(lái)實(shí)現(xiàn)信息安全目標(biāo)的一種活動(dòng)”。因此，信息安全管理強(qiáng)調(diào)的應(yīng)該是“管理”，而不是技術(shù)活動(dòng)。信息安全管理的目標(biāo)是通過(guò)協(xié)調(diào)各種活動(dòng)來(lái)引導(dǎo)和控制各種信息安全風(fēng)險(xiǎn)，以保護(hù)信息資產(chǎn)的安全。信息安全管理需要整個(gè)組織共同參與，不應(yīng)只由安全管理部門單獨(dú)承擔(dān)責(zé)任。從業(yè)務(wù)角度，信息安全管理與所有信息相關(guān)的業(yè)務(wù)有關(guān)；而從工作人員的角度，信息安全管理與所有層面的員工有關(guān)，包括操作人員、技術(shù)人員和管理人員。

高校信息安全管理

高校信息安全管理是指高校為確保信息系統(tǒng)和信息的安全穩(wěn)定運(yùn)行，制定并執(zhí)行的一系列策略、規(guī)程、制度和技術(shù)措施。這些措施包括但不限于防火墻、入侵檢測(cè)、密碼策略、數(shù)據(jù)備份與恢復(fù)、安全培訓(xùn)等，以保護(hù)高校內(nèi)部信息的機(jī)密性、完整性、可用性。因此，高校信息安全管理指的是在高等教育機(jī)構(gòu)中，針對(duì)校內(nèi)各類信息資源和信息系統(tǒng)采取的一系列措施和管理活動(dòng)，以確保這些信息資源和系統(tǒng)的機(jī)密性、完整性、可用性和可信度不受未經(jīng)授權(quán)的訪問(wèn)、使用、修改、刪除、泄露等威脅，這些管理活動(dòng)和措施包括實(shí)施安全技術(shù)措施、開展信息安全培訓(xùn)和宣傳、進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估和漏洞掃描、制定信息安全政策和規(guī)范、建立信息安全監(jiān)督和管理機(jī)制等。通過(guò)高校信息安全管理，可以保障學(xué)校的教學(xué)、科研和管理活動(dòng)的正常進(jìn)行，保障學(xué)生、教職工和學(xué)校的利益和形象，也有助于推進(jìn)信息化建設(shè)和發(fā)展。

我國(guó)高校圖書館信息安全管理現(xiàn)狀

近年來(lái)，我國(guó)針對(duì)高校信息安全管理工作出臺(tái)了一系列政策和文件。2013年，教育部和國(guó)家互聯(lián)網(wǎng)信息辦公室出臺(tái)《關(guān)于進(jìn)一步加強(qiáng)高等學(xué)校網(wǎng)絡(luò)建設(shè)和管理工作的意見》；2020年，教育部發(fā)布《2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》，包括11大方面、32項(xiàng)重點(diǎn)任務(wù)；2021年，中央信息安全和信息化委員會(huì)印發(fā)《“十四五”國(guó)家信息化規(guī)劃》。鑒于此，可以說(shuō)高校在新時(shí)期加強(qiáng)信息管理非常必要。

缺乏信息安全防護(hù)體系

高校圖書館信息安全管理中存在薄弱點(diǎn)，缺乏不同層級(jí)的反應(yīng)機(jī)制，難以實(shí)現(xiàn)有效的信息安全防御聯(lián)動(dòng)，這可能導(dǎo)致出現(xiàn)信息安全問(wèn)題。雖然高校已經(jīng)安裝了信息安全設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)，但缺乏對(duì)這些設(shè)備的運(yùn)行情況以及信息安全隱患的了解，也就無(wú)法敏銳感知信息安全態(tài)勢(shì)。前期規(guī)劃不足，后期在安全、擴(kuò)容和可靠性等方面存在問(wèn)題，使一些高校在整體信息建設(shè)中缺乏安全預(yù)警機(jī)制和有效的防護(hù)體系。這種情況通常會(huì)導(dǎo)致學(xué)校在出現(xiàn)安全問(wèn)題后才開始采取措施，這種滯后做法會(huì)對(duì)學(xué)校信息系統(tǒng)造成不可逆的損失和影響。

師生信息安全意識(shí)淡薄

高校師生是龐大的社會(huì)群體，消費(fèi)方式已經(jīng)從現(xiàn)金支付向網(wǎng)絡(luò)支付轉(zhuǎn)變。在學(xué)生注冊(cè)網(wǎng)銀、社交平臺(tái)和應(yīng)用軟件時(shí)，經(jīng)常需要進(jìn)行實(shí)名認(rèn)證。然而，不同平臺(tái)的密保技術(shù)參差不齊，高校教師和學(xué)生尤其缺乏信息安全防范意識(shí)，對(duì)安全相關(guān)技術(shù)基礎(chǔ)知識(shí)的了解程度較低。具體表現(xiàn)為各類網(wǎng)站登錄口令和密碼設(shè)置過(guò)于簡(jiǎn)單，極易被黑客破解。彭國(guó)軍和張煥國(guó)的論文《論高校師生信息安全意識(shí)培養(yǎng)的必要性》對(duì)武漢大學(xué)某次全校師生信息安全意識(shí)調(diào)查問(wèn)卷結(jié)果進(jìn)行了詳細(xì)分析。問(wèn)卷結(jié)果表明，目前高校師生信息安全意識(shí)相對(duì)薄弱，會(huì)危及學(xué)校的信息安全。因此，加強(qiáng)高校師生信息安全意識(shí)迫在眉睫，高校在信息安全管理過(guò)程中要提高師生的信息安全意識(shí)。

高校網(wǎng)站日常管理維護(hù)不足

高校圖書館網(wǎng)站是展示學(xué)校形象和傳播信息的重要渠道。在現(xiàn)代信息社會(huì)中，網(wǎng)站的安全性越來(lái)越受到重視，因?yàn)樗鼈兇鎯?chǔ)了大量的敏感信息，包括學(xué)生和教職員工的個(gè)人信息、研究成果、機(jī)構(gòu)運(yùn)作等。然而，在高校信息安全管理過(guò)程中，因?yàn)楦咝＞W(wǎng)站日常管理維護(hù)不足會(huì)出現(xiàn)一些問(wèn)題。

缺乏專業(yè)安全維護(hù)人員是高校網(wǎng)站容易出現(xiàn)安全漏洞的原因之一。高校網(wǎng)站只注重功能升級(jí)，使得一些已知的漏洞得不到及時(shí)修復(fù)。張光勇等學(xué)者指出，網(wǎng)站遭到篡改、掛上暗鏈、植入木馬、張貼反動(dòng)標(biāo)語(yǔ)等情況時(shí)有發(fā)生，而這些問(wèn)題難以及時(shí)發(fā)現(xiàn)和處理。

信息安全制度體系缺失

在高校信息安全管理過(guò)程中，信息安全制度體系可以幫助高校滿足相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的要求，如信息安全管理體系標(biāo)準(zhǔn)ISO/IEC 27001，從而保證高校的信息安全管理合規(guī)。長(zhǎng)期的實(shí)踐經(jīng)驗(yàn)表明，任何管理活動(dòng)都需要一套完備的管理制度體系，高校信息安全管理同樣需要遵循這一原則。過(guò)去，出于尊重用戶隱私的原則，高校很少對(duì)用戶進(jìn)行監(jiān)控。但隨著信息安全意識(shí)的提高，高校開始意識(shí)到實(shí)施信息監(jiān)管的必要性，但由于用戶數(shù)量過(guò)多，監(jiān)管難度較大。用戶缺乏安全防范意識(shí)是引發(fā)信息安全問(wèn)題的重要原因。由于缺乏對(duì)信息安全問(wèn)題的正確認(rèn)識(shí)，用戶使用可能存在安全隱患的上網(wǎng)設(shè)備，或從不知名的網(wǎng)站上瀏覽和下載文件，這都會(huì)增加校園信息的安全風(fēng)險(xiǎn)。

我國(guó)高校信息安全管理存在的問(wèn)題的分析

信息是一柄“雙刃劍”，隨著信息化、數(shù)字化在學(xué)校工作中的不斷普及，網(wǎng)絡(luò)空間的不安全特征日益明顯，其無(wú)中心、無(wú)管理、不可控、不可信等特點(diǎn)對(duì)學(xué)校穩(wěn)定的秩序和大學(xué)生健康的成長(zhǎng)環(huán)境構(gòu)成了威脅，給高校信息安全管理帶來(lái)更多的挑戰(zhàn)和風(fēng)險(xiǎn)，這必須引起高校管理者的重視。

缺乏有效的信息安全管理系統(tǒng)

高校信息管理系統(tǒng)的安全性對(duì)于教學(xué)、科研等業(yè)務(wù)的連續(xù)性具有至關(guān)重要的作用，建立信息安全制度體系可以保障業(yè)務(wù)的連續(xù)性，避免信息系統(tǒng)因故障或被攻擊而導(dǎo)致業(yè)務(wù)中斷。學(xué)者劉敏認(rèn)為，目前計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理還沒(méi)有建立起相對(duì)完善、有效的信息安全管理體系。網(wǎng)絡(luò)信息安全防護(hù)水平不夠，相關(guān)管理機(jī)制和信息安全管理制度缺乏責(zé)任落實(shí)。這就需要在信息安全管理制度、技術(shù)手段、管理者監(jiān)管等方面加強(qiáng)建設(shè)和完善，確保高校信息資源的安全性和可靠性。

高校信息安全管理技術(shù)人員素質(zhì)有待提高

在高校信息化建設(shè)和網(wǎng)絡(luò)化運(yùn)營(yíng)的背景下，高校面臨著日益復(fù)雜和嚴(yán)峻的信息安全威脅。而高校信息安全管理技術(shù)人員是保障高校信息系統(tǒng)安全的關(guān)鍵，其素質(zhì)直接影響高校信息系統(tǒng)的安全水平。高校信息安全管理存在信息技術(shù)人員素質(zhì)不高的問(wèn)題，這一問(wèn)題是高校信息化建設(shè)管理中比較突出的問(wèn)題。部分高校缺少專業(yè)的信息技術(shù)人員，特別是在文科院校，雖有一定數(shù)量的技術(shù)人員，但其業(yè)務(wù)素質(zhì)不適應(yīng)目前高校信息化建設(shè)管理的需要，表現(xiàn)在無(wú)法為師生提供校園網(wǎng)應(yīng)用的有效培訓(xùn)。因此，盡管有部分老師和學(xué)生已經(jīng)意識(shí)到校園網(wǎng)的重要性，但因?yàn)椴恢廊绾螒?yīng)用網(wǎng)絡(luò)為教學(xué)和學(xué)習(xí)服務(wù)，從而無(wú)法提高工作和學(xué)習(xí)效率。

高校應(yīng)該加強(qiáng)對(duì)信息安全管理技術(shù)人員的培訓(xùn)和教育，不斷提升他們的專業(yè)技能，同時(shí)注重培養(yǎng)溝通協(xié)調(diào)和應(yīng)急處理能力，以提升高校信息安全管理水平。

高校師生信息安全意識(shí)薄弱

高校師生信息安全意識(shí)薄弱是出現(xiàn)高校信息安全管理問(wèn)題的原因之一。因此，只有重視全校師生網(wǎng)絡(luò)安全知識(shí)的普及教育，才能有效提升師生的網(wǎng)絡(luò)安全防范意識(shí)。2018年9月，中國(guó)科學(xué)技術(shù)大學(xué)一名學(xué)生在圖書館隨意使用充電寶，結(jié)果被發(fā)現(xiàn)該充電寶植入了間諜軟件，導(dǎo)致該學(xué)生的個(gè)人信息被泄露。這一事件表明，高校師生在信息安全方面的防范意識(shí)和能力亟待提高，高校需要加強(qiáng)安全管理和監(jiān)管力度。

完善我國(guó)高校信息安全管理措施

面對(duì)復(fù)雜嚴(yán)峻的信息安全形勢(shì)，為了確保信息安全，我們需要樹立正確的信息安全觀念，建立快速應(yīng)對(duì)信息威脅的關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。同時(shí)，需要全面了解信息安全態(tài)勢(shì)，提高信息安全防御和威懾能力。

加強(qiáng)高校師生的信息安全意識(shí)教育

高校師生的信息安全意識(shí)教育可以幫助他們了解信息安全的重要性，掌握保護(hù)信息安全的方法，避免在使用網(wǎng)絡(luò)和信息系統(tǒng)時(shí)出現(xiàn)安全問(wèn)題。這些都有助于預(yù)防威脅信息安全的事件發(fā)生，降低信息安全風(fēng)險(xiǎn)。高校信息化建設(shè)中，信息安全教育比較薄弱。由于缺乏必要的安全意識(shí)，許多學(xué)校在信息資源開發(fā)過(guò)程中暴露出許多安全隱患。學(xué)者張光勇認(rèn)為，加強(qiáng)全校師生的安全意識(shí)可以幫助高校提高信息安全管理能力。2021年4月，北京大學(xué)某研究所的一名教授因?yàn)槭褂昧吮I版軟件，被微軟公司起訴。據(jù)悉，該教授在其個(gè)人電腦上安裝了多個(gè)盜版軟件，包括Windows 7操作系統(tǒng)、Office辦公軟件等，涉案金額高達(dá)4萬(wàn)元。該事件引發(fā)了人們對(duì)高校知識(shí)產(chǎn)權(quán)保護(hù)和信息安全的關(guān)注。因此，宣傳與普及教育工作對(duì)提升學(xué)校師生信息安全意識(shí)至關(guān)重要，也是信息安全管理中不可或缺的一環(huán)。

健全高校信息安全應(yīng)急機(jī)制

高校信息安全工作的特點(diǎn)在于其復(fù)雜性和動(dòng)態(tài)性。復(fù)雜性表明信息安全問(wèn)題不僅局限于特定領(lǐng)域，還涉及多方面的情況，且信息安全工作的目標(biāo)不僅是防止特定信息被非法使用，還可能需要?jiǎng)h除、屏蔽或隱藏某些信息以保障社會(huì)和集體利益。高校信息安全工作具有動(dòng)態(tài)性，意味著每個(gè)月可能會(huì)出現(xiàn)不同的信息熱點(diǎn)問(wèn)題，甚至可能出現(xiàn)數(shù)個(gè)不同的熱點(diǎn)問(wèn)題，因此需要及時(shí)調(diào)整應(yīng)對(duì)策略。由于信息安全問(wèn)題具有突發(fā)性，制定應(yīng)急處理機(jī)制是日常管理的必要措施，以確保在任何可能影響國(guó)家安全和高校穩(wěn)定的信息安全事件發(fā)生時(shí)能夠及時(shí)采取措施，控制危機(jī)并將損失降至最低。值得注意的是，信息安全問(wèn)題往往并非突發(fā)事件，而是逐漸積累的結(jié)果。高校需要進(jìn)行長(zhǎng)期規(guī)劃和有效管理，不能僅依靠臨時(shí)的應(yīng)急處理機(jī)制解決問(wèn)題。南京大學(xué)依據(jù)《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》《國(guó)家突發(fā)公共事件總體應(yīng)急預(yù)案》《教育系統(tǒng)突發(fā)事件總體應(yīng)急預(yù)案》《江蘇省突發(fā)事件應(yīng)急預(yù)案管理辦法》，以及江蘇省人民政府、江蘇省教育廳相關(guān)預(yù)案和有關(guān)要求，結(jié)合學(xué)校應(yīng)急管理工作實(shí)際，制定了《南京大學(xué)突發(fā)事件總體應(yīng)急預(yù)案》，以提高高校保障校園信息安全的能力，最大限度地預(yù)防和減少信息安全事件的發(fā)生及其造成的損害，維護(hù)學(xué)校的安全與穩(wěn)定，促進(jìn)社會(huì)和諧發(fā)展。高校信息安全保護(hù)的基礎(chǔ)是建立健全信息安全應(yīng)急響應(yīng)機(jī)制。這樣的機(jī)制不僅能夠幫助高校提高安全意識(shí)，及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)信息安全事件，還能夠減少損失、保護(hù)高校資產(chǎn)。

隨著科學(xué)技術(shù)的不斷進(jìn)步與發(fā)展創(chuàng)新，信息安全工作將面臨更多挑戰(zhàn)。事實(shí)上，信息安全并非絕對(duì)可靠，在實(shí)際工作中應(yīng)以人為本，注重知識(shí)儲(chǔ)備，關(guān)注信息安全和信息技術(shù)的最新發(fā)展，與時(shí)俱進(jìn)，提高信息安全工作人員的專業(yè)能力，不斷加強(qiáng)信息安全管理。除了遵循信息安全工作的原則，還需要注意方法和方式，以便獲得各單位信息安全和信息化管理人員的理解和支持，始終秉持為師生服務(wù)的理念，盡量減少對(duì)正常教學(xué)、科研和其他業(yè)務(wù)的影響。此外，在當(dāng)前國(guó)內(nèi)外形勢(shì)下，加強(qiáng)高校信息安全管理面臨諸多挑戰(zhàn)。在開展高校信息安全管理工作時(shí)，需要考慮到這些因素與挑戰(zhàn)，從人員、制度、管理等方面完善高校信息安全管理工作。對(duì)廣大高校來(lái)說(shuō)，信息安全的防護(hù)任重道遠(yuǎn)，且永不止步。