高校信息安全防護(hù)淺議.doc

高校信息安全防護(hù)淺議 席攀鋒 甘肅建筑職業(yè)技術(shù)學(xué)院甘肅蘭州730050 摘要:目前高校教學(xué)管理信息中安全問題頻發(fā)，暴露出了諸多安全管理問題，文章對高校教學(xué)管理信息安全中存在的問題進(jìn)行了仔細(xì)分析，并提出了相應(yīng)的解決措施。 關(guān)鍵詞：信息安全；問題；措施 隨著信息化建設(shè)進(jìn)程的加快，信息安全問題逐步成為各高校所面臨的難題。高校經(jīng)過多年的不斷努力，通過物理、技術(shù)、管理等方面的各種措施，來保障整個校園信息的安全，通過近年來的管理，也取得了一定的成效，但是高校網(wǎng)絡(luò)信息安全的管理不單單是技術(shù)上的問題，也不單單是出臺幾個管理條例就能解決的事情。根據(jù)信息安全管理體系理論對高校信息安全管理的基本要求，高校要建成相對比較完善的信息安全管理制度體系、管理措施等。而通過對高校目前的信息安全管理現(xiàn)狀分析來看，仍然存在多方面的不足。 1高校信息安全管理存在的問題 1.1信息安全意識淡薄。目前，高校在信息系統(tǒng)防御能力方面薄弱，網(wǎng)絡(luò)硬件、軟件、協(xié)議和安全防護(hù)存在較多缺陷和錯誤，且無法及時、定期修復(fù)，嚴(yán)重滯后于信息技術(shù)的發(fā)展。部分高校教師缺乏安全知識和信息技術(shù)水平，對防護(hù)措施漠不關(guān)心，片面認(rèn)為學(xué)校信息安全是屬于專業(yè)技術(shù)人員的工作。有些學(xué)校也不重視高校信息安全管理，導(dǎo)致缺乏安全管理人才及專業(yè)指導(dǎo)，同時缺少信息安全系統(tǒng)規(guī)劃和合理整體布局，風(fēng)險分析不徹底，制定保障策略存在漏洞。 1.2過分依賴軟硬件技術(shù)保護(hù)。投入信息安全產(chǎn)品，如專業(yè)防火墻、專業(yè)的VPN通道設(shè)置等之后，軟件和設(shè)備防護(hù)能力提高，起到信息安全保護(hù)與防范作用。但是仍然存在“重技術(shù)、輕管理”的思想，管理的意識不夠，觀念沒有徹底轉(zhuǎn)變。信息安全不僅是技術(shù)層面的工作，還需考慮物理、技術(shù)、管理安全方面的因素。目前，高校在技術(shù)措施上投入大量經(jīng)費(fèi)，購買安全產(chǎn)品，卻在管理措施上投入較少，過分依賴于硬件技術(shù)的保護(hù)。信息安全事件主要是人為的管理不善，管理意識的淡薄、條例的不健全、操作過程不當(dāng)?shù)仍斐傻摹?1.3信息安全管理人員配備不足。做好信息安全管理工作，需要有一支高素質(zhì)的管理隊伍，但高校在信息化辦公室人員配置上數(shù)量較少，專業(yè)結(jié)構(gòu)不合理，信息技術(shù)部門的工作人員只是購買安全軟件裝在服務(wù)器上。在服務(wù)器的管理和維護(hù)工作上，通常采用與校外公司簽訂維護(hù)服務(wù)協(xié)議解決人員緊缺及技術(shù)問題，但因不是本校員工，難免出現(xiàn)因事務(wù)繁雜而導(dǎo)致責(zé)任心不強(qiáng)的問題，有所疏忽將造成重大的損失。還有一種不能忽視的問題，在各個高校普遍存在，就是有部分信息安全管理人員不是計算機(jī)或者網(wǎng)絡(luò)安全專業(yè)出身，不能勝任專業(yè)的信息安全管理工作，從一定意義上來說，這部分人員不是信息安全管理的專業(yè)人員。 1.4管理制度體系不夠完善。目前，很多高校沒有成立信息安全組織機(jī)構(gòu)，未配備專門人員，盡管部分高校制定了管理辦法和規(guī)章制度，但達(dá)不到信息安全的管理要求。根據(jù)信息安全現(xiàn)狀和管理要求，各高校都應(yīng)成立相應(yīng)的安全組織、管理和技術(shù)機(jī)構(gòu)，形成系統(tǒng)的信息安全管理機(jī)制。同時，還有部分高校在信息安全管理方面，幾乎沒有應(yīng)急預(yù)案，一旦出現(xiàn)信息安全問題，后果不堪設(shè)想，一些高校雖然制定了大學(xué)網(wǎng)絡(luò)與信息安全報告管理辦法，但沒有真正發(fā)揮作用，未能起到預(yù)防信息安全事件發(fā)生和消除事件影響的作用。因此，完善高校信息安全管理體系還有很多工作要做。 1.5信息安全管理和技術(shù)有待提高。高校信息安全管理規(guī)章制度權(quán)威性不足，沒有形成長效機(jī)制，是目前普遍存在的問題。任何管理措施都需要執(zhí)行力，盡管目前高校在教學(xué)、管理、服務(wù)等方面都普及了數(shù)字化，但由于信息安全風(fēng)險的不確定性，致使信息安全不被充分重視，信息安全管理和保障設(shè)備投入有限，設(shè)施陳舊，組織框架混亂，安全管理工作的分工不明，導(dǎo)致不能預(yù)防和及時處理信息安全方面的問題。信息安全管理制度的落實是高校的重點(diǎn)工作，各高校要高度重視，加強(qiáng)軟硬件建設(shè)，提高管理人員技術(shù)水平，保證高校信息的安全性和可恢復(fù)性。 2高校信息安全防護(hù)措施 2.1建立有效的信息安全防護(hù)系統(tǒng)。合理配置操作系統(tǒng)端口，詳細(xì)設(shè)置防火墻，開放必須利用的端口，關(guān)閉其他不必要的端口；正版殺毒軟件，供全校師生下載使用，定期修復(fù)系統(tǒng)漏洞，發(fā)送錯誤報告并進(jìn)行分析處理，升級防毒軟件，保障校內(nèi)所有計算機(jī)的安全運(yùn)行；安裝與配置IDS入侵檢測系統(tǒng)，檢測防火墻過濾后的隱匿攻擊，安裝漏洞掃描系統(tǒng)，內(nèi)外兼防確保信息終端的可信賴性。 2.2建立安全管理體系。在了解高校當(dāng)前信息安全管理面臨的威脅和風(fēng)險，分析原因的基礎(chǔ)上，結(jié)合現(xiàn)有信息安全管理現(xiàn)狀，整體規(guī)劃設(shè)計信息安全管理體系。制定相應(yīng)的安全管理工作機(jī)制，明確各管理部門責(zé)權(quán)，對重點(diǎn)部門、重點(diǎn)節(jié)點(diǎn)重點(diǎn)進(jìn)行安全風(fēng)險的防控，有效確保整個信息安全管理工作的高效落實。 2.3加強(qiáng)信息安全管理人員的配備和管理。成立學(xué)校信息安全管理機(jī)構(gòu)，采取激勵政策，引進(jìn)培養(yǎng)素質(zhì)高、數(shù)量足的高水平網(wǎng)絡(luò)、數(shù)據(jù)管理人才隊伍，并培養(yǎng)部門信息安全管理員，充分調(diào)動他們的積極性和主動性，為學(xué)校信息安全保駕護(hù)航。對全體師生進(jìn)行信息安全技術(shù)培訓(xùn)，使廣大師生熟練掌握日常的安全操作和系統(tǒng)維護(hù)，針對性的加強(qiáng)部門、學(xué)生內(nèi)部安全意識和技術(shù)人才的培養(yǎng)，使教師學(xué)生掌握基本的網(wǎng)絡(luò)防御技能和安全保密素質(zhì)。 2.4提高高校信息安全管理應(yīng)急處理能力。信息安全事件具有隱蔽性、突發(fā)性的特征，甚至是具有災(zāi)難性和傳播性的惡性事件。因此，要充分考慮信息安全事件發(fā)生時的影響度、損壞度，并進(jìn)行風(fēng)險評估，建立和完善信息安全預(yù)警與應(yīng)急處理機(jī)制。各校要成立網(wǎng)絡(luò)信息安全應(yīng)急處理小組，明確應(yīng)急處置流程、落實相關(guān)處置人員職責(zé)，以加強(qiáng)預(yù)防為主，在網(wǎng)絡(luò)信息安全應(yīng)急事件發(fā)生時，迅速實施應(yīng)急預(yù)案，有效控制突發(fā)事件，妥善處理問題。在處理信息安全突發(fā)事件時，要兼顧高校正常工作中對網(wǎng)絡(luò)的需求，在有效控制校園網(wǎng)絡(luò)信息安全突發(fā)事件后盡快恢復(fù)校園網(wǎng)絡(luò)，避免影響正常辦公。 3結(jié)語 總體來講，高校目前在信息安全管理方面還存在很多缺陷，已有的安全管理規(guī)章和制度只是一種局部的、事后糾正式的安全管理方式，要從根本上避免和降低信息安全事件發(fā)生的概率，就必須要根據(jù)自身的實際情況，借鑒其他高校的相關(guān)經(jīng)驗，制定一套適合本校的安全管理策略和措施體系。 參考文獻(xiàn)： 1聶磊，劉小玲.淺談校園網(wǎng)絡(luò)信息安全管理J.教育教學(xué)論壇，xx（21）. 2張錫周.高等學(xué)校校園網(wǎng)信息安全管理體系的構(gòu)建J.軟件導(dǎo)刊教育技術(shù),xx(6). 3李華.高等教育