高校信息化建設(shè)中信息安全問題及解決措施

　　摘要：隨著高校信息化建設(shè)的不斷推進(jìn)和信息技術(shù)的飛速發(fā)展，高等院校對(duì)信息資源的依賴日益凸顯，信息安全逐漸成為高校信息化建設(shè)進(jìn)程中一個(gè)不容忽視的問題。主要從外部威脅和內(nèi)部隱患兩方面對(duì)當(dāng)前高校信息化建設(shè)中存在的信息安全問題進(jìn)行梳理，并分析其產(chǎn)生的原因。并在此基礎(chǔ)上，從管理和技術(shù)兩方面提出有效對(duì)策，為今后高校信息化建設(shè)中信息安全方面提供參考。

　　關(guān)鍵詞：高校信息化;信息安全;對(duì)策;反病毒;虛擬技術(shù)

　　《中國(guó)信息化》雜志由新聞出版總署正式批準(zhǔn)、中華人民共和國(guó)工業(yè)和信息化部主管主辦的一本國(guó)家批準(zhǔn)創(chuàng)刊的唯一一份以關(guān)注工業(yè)化與信息化融合，推進(jìn)信息化進(jìn)程為使命的國(guó)家級(jí)信息化媒體國(guó)公開刊物。

　　一、高校信息化建設(shè)中信息安全的重要性

　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)被廣泛地應(yīng)用于高校信息化建設(shè)中的各個(gè)方面，如應(yīng)用于教學(xué)的ERP(企業(yè)資源計(jì)劃)系統(tǒng)、OA(辦公自動(dòng)化)系統(tǒng)以及各種考試信息管理系統(tǒng)、各種教學(xué)課件制作軟件等，這些都要涉及信息的存儲(chǔ)、傳輸與使用等問題，尤其重要的就是在信息處理過程中的信息安全問題。一旦存儲(chǔ)在計(jì)算機(jī)中的教育信息、資源、相關(guān)數(shù)據(jù)資料出現(xiàn)丟失、損壞、不能及時(shí)送達(dá)，都會(huì)給學(xué)校的正常教育教學(xué)造成重大影響。因此，高校信息化的信息安全問題、以及對(duì)信息的安全管理是至關(guān)重要的。

　　二、當(dāng)前高校信息化建設(shè)面臨的信息安全問題

　　當(dāng)前，高校信息化建設(shè)面臨的信息安全問題主要有：

　　1外部威脅

　　(1)計(jì)算機(jī)病毒。是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。它可以潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)(或程序)中，“當(dāng)達(dá)到某種條件時(shí)被激活，可以對(duì)其他程序或磁盤特殊扇區(qū)進(jìn)行自我傳播”，從而感染其他程序，破壞計(jì)算機(jī)存儲(chǔ)的信息資源。

　　(2)網(wǎng)絡(luò)攻擊。是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。主要分為主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊主要是攻擊者有目的的訪問所需要的信息。被動(dòng)攻擊主要包括：竊聽、欺騙、拒絕服務(wù)、數(shù)據(jù)驅(qū)動(dòng)攻擊。表現(xiàn)為破壞計(jì)算機(jī)中的硬盤、文件系統(tǒng)，非法復(fù)制、竊聽、篡改、偽造數(shù)據(jù)等。

　　(3)惡意軟件。當(dāng)前，很多網(wǎng)站容易感染惡意軟件，學(xué)校管理者、教師或者學(xué)生使用計(jì)算機(jī)瀏覽網(wǎng)頁時(shí)極易在毫不知情的情況下安裝各類廣告軟件、間諜軟件等，這些惡意軟件在電腦上安裝后門，為攻擊者大開方便之門。

　　2內(nèi)部隱患

　　(1)管理方面。管理水平較低信息安全風(fēng)險(xiǎn)較大。目前高校內(nèi)部較低的信息化管理水平給信息安全帶來了較大風(fēng)險(xiǎn)。盡管管理層已經(jīng)意識(shí)到高校信息化的重要性，卻往往忽視了高校管理理念在信息化建設(shè)中的重要作用。

　　(2)人員方面。在高校信息化建設(shè)過程中，管理人員、教師、學(xué)生等對(duì)于信息安全意識(shí)相對(duì)薄弱，往往容易忽視對(duì)信息資源的保護(hù)。同時(shí)，高校信息化系統(tǒng)的應(yīng)用水平不斷提高，而教師、教輔人員等技術(shù)水平?jīng)]有得到及時(shí)培訓(xùn)，部分網(wǎng)絡(luò)管理人員水平較低，可能導(dǎo)致一些錯(cuò)誤的操作，給內(nèi)網(wǎng)安全帶來隱患。

　　三、高校信息化建設(shè)信息安全問題產(chǎn)生的原因分析

　　通過分析，當(dāng)前高校信息化建設(shè)進(jìn)程中普遍存在上述問題的主要原因是：管理不到位，工作人員信息安全意識(shí)淡薄;人才缺乏，技術(shù)相對(duì)落后。

　　1管理不到位，工作人員信息安全意識(shí)淡薄一方面，一些人認(rèn)為高校信息資產(chǎn)沒有有形的固定資產(chǎn)重要，沒有將信息安全與高校的核心競(jìng)爭(zhēng)力結(jié)合;再者，不少高校信息安全機(jī)制本身并不健全，相關(guān)信息安全措施并不科學(xué)，而且很少能嚴(yán)格執(zhí)行，“普遍存在‘重建設(shè)，輕管理’思想，在安全防護(hù)實(shí)踐中單純重視對(duì)信息防護(hù)系統(tǒng)中軟硬件購置和建設(shè)，忽視信息系統(tǒng)操作人員信息安全意識(shí)的提高，導(dǎo)致軟硬件系統(tǒng)防護(hù)效果起不到應(yīng)有的作用”。

　　2人才缺乏，技術(shù)相對(duì)落后

　　“任何安全設(shè)施和安全產(chǎn)品都需要專業(yè)管理人員的審核、跟蹤和維護(hù)”，因此，高校信息系統(tǒng)管理人才的素質(zhì)在很大程度上直接影響著高校信息系統(tǒng)的安全。我國(guó)很多高校的網(wǎng)站容易遭到攻擊的一個(gè)重要原因就是管理人員沒能及時(shí)更新系統(tǒng)補(bǔ)丁程序。對(duì)于專業(yè)化的信息安全技術(shù)人員很少引進(jìn)、培養(yǎng)和提高，有的規(guī)模較小的學(xué)校往往只有一兩個(gè)技術(shù)人員，這使得高校“要么是信息安全人才極度匱乏，要么就是信息安全人員專業(yè)素質(zhì)不高，很難肩負(fù)起信息安全責(zé)任。從而導(dǎo)致高校信息安全防護(hù)措施處于較低水平，當(dāng)出現(xiàn)新的攻擊事件時(shí)無能為力。

　　四、解決高校信息化建設(shè)信息安全問題的策略

　　高等院校如何在充分利用信息技術(shù)帶來的巨大潛力的前提下，保證信息資源的安全、可靠，實(shí)現(xiàn)教育管理機(jī)制的高效運(yùn)作，提高教育教學(xué)質(zhì)量，已成為當(dāng)前高校信息化建設(shè)中的熱點(diǎn)問題，筆者依據(jù)上述信息安全問題產(chǎn)生的原因，提出以下幾點(diǎn)措施：

　　1管理措施

　　(1)建立、健全高校信息安全管理制度。“明確信息安全管理方案、產(chǎn)品采購使用、授權(quán)管理機(jī)制、密碼使用、軟件開發(fā)、安全服務(wù)等管理內(nèi)容;建立人員安全管理制度，明確人員錄用、離崗、考核、教育培訓(xùn)等管理內(nèi)容”;建立信息安全責(zé)任制，明確各個(gè)部門、領(lǐng)導(dǎo)、人員的信息安全責(zé)任;建立系統(tǒng)運(yùn)維制度，明確設(shè)備環(huán)境安全、存儲(chǔ)介質(zhì)安全、病毒防范、備份與恢復(fù)、各種應(yīng)急預(yù)案等管理內(nèi)容;建立并落實(shí)監(jiān)督檢查機(jī)制，定期進(jìn)行自查和監(jiān)督檢查，嚴(yán)格執(zhí)行。

　　(2)定期評(píng)估，不斷改進(jìn)、完善。“信息技術(shù)日新月異，安全防護(hù)軟件系統(tǒng)由于其復(fù)雜性，在研制開發(fā)過程中不可避免的會(huì)出現(xiàn)這樣或那樣的問題，勢(shì)必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百地防御各種已知和未知的信息安全威脅”。必須引入信息安全風(fēng)險(xiǎn)評(píng)估制度，定期對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估，找出薄弱點(diǎn)，調(diào)整防護(hù)策略，改進(jìn)安防方案，進(jìn)一步降低信息安全風(fēng)險(xiǎn)。

　　2技術(shù)措施

　　在技術(shù)措施方面主要是對(duì)高校信息化建設(shè)中相關(guān)的設(shè)備(如資源客戶端、路由器、交換機(jī)、服務(wù)器等)安裝防病毒軟件、設(shè)置防火墻、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)、SSL安全套接層協(xié)議等，重重保護(hù)，消除技術(shù)上存在的安全隱患。

　　(1)安裝防病毒軟件

　　自計(jì)算機(jī)病毒問世以來，給數(shù)以萬計(jì)的用戶造成了無法挽回的損失。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展使得計(jì)算機(jī)病毒變得愈加復(fù)雜，對(duì)教育信息化系統(tǒng)構(gòu)成極大威脅。目前的病毒防范中大多使用防病。毒軟件(如卡巴斯基、金山毒霸、360安全衛(wèi)士、小紅傘、諾頓等防病毒軟件)定期查殺病毒，并對(duì)需要下載的軟件、文檔以及連接的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行安全控制，及時(shí)對(duì)防病毒軟件進(jìn)行更新和升級(jí)，以防軟件本身的漏洞

　　(2)設(shè)置防火墻

　　“防火墻技術(shù)是通過對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的一種手段。在校園網(wǎng)與外網(wǎng)之間設(shè)置防火墻，執(zhí)行訪問控制策略，通過過濾存在安全隱患的服務(wù)，將危險(xiǎn)信號(hào)阻隔于校園網(wǎng)之外，同時(shí)對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控和審計(jì)，做出日志記錄，提高校園內(nèi)部網(wǎng)絡(luò)的安全性。

　　五、結(jié)語

　　信息資源的安全防范體系的建立并不是一勞永逸的，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，新的安全隱患將不斷涌現(xiàn)，高校信息化建設(shè)面臨的信息安全問題將進(jìn)一步復(fù)雜化，高校必須根據(jù)實(shí)際情況，立足內(nèi)部管理措施和信息安全技術(shù)這兩個(gè)基礎(chǔ)。以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為支撐，加強(qiáng)高校內(nèi)部管理，及時(shí)進(jìn)行設(shè)備維護(hù)和技術(shù)更新，實(shí)時(shí)監(jiān)控信息安全，提高工作人員信息安全意識(shí);同時(shí)加大資金投入，積極引進(jìn)專業(yè)技術(shù)人才，保證信息資源網(wǎng)絡(luò)安全防范體系的高效運(yùn)作和良性發(fā)展。總之，信息安全是一個(gè)伴隨高校信息化發(fā)展的永恒課題。

　　參考文獻(xiàn)

　　[1]耿相真.淺析計(jì)算機(jī)病毒及防范的措施[J].價(jià)值工程，2011，(1)：176-177.

　　[2]劉文華.企業(yè)信息安全問題研究[J].中國(guó)信息界，2012，(12)：37-38.