摘要:随着高校信息化建设的不断推进和信息技术的飞速发展,高等院校对信息资源的依赖日益凸显,信息安全逐渐成为高校信息化建设进程中一个不容忽视的问题。主要从外部威胁和内部隐患两方面对当前高校信息化建设中存在的信息安全问题进行梳理,并分析其产生的原因。并在此基础上,从管理和技术两方面提出有效对策,为今后高校信息化建设中信息安全方面提供参考。
关键词:高校信息化;信息安全;对策;反病毒;虚拟技术
《中国信息化》杂志由新闻出版总署正式批准、中华人民共和国工业和信息化部主管主办的一本国家批准创刊的唯一一份以关注工业化与信息化融合,推进信息化进程为使命的国家级信息化媒体国公开刊物。
一、高校信息化建设中信息安全的重要性
随着网络技术的发展,计算机网络被广泛地应用于高校信息化建设中的各个方面,如应用于教学的ERP(企业资源计划)系统、OA(办公自动化)系统以及各种考试信息管理系统、各种教学课件制作软件等,这些都要涉及信息的存储、传输与使用等问题,尤其重要的就是在信息处理过程中的信息安全问题。一旦存储在计算机中的教育信息、资源、相关数据资料出现丢失、损坏、不能及时送达,都会给学校的正常教育教学造成重大影响。因此,高校信息化的信息安全问题、以及对信息的安全管理是至关重要的。
二、当前高校信息化建设面临的信息安全问题
当前,高校信息化建设面临的信息安全问题主要有:
1外部威胁
(1)计算机病毒。是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。它可以潜伏在计算机的存储介质(或程序)中,“当达到某种条件时被激活,可以对其他程序或磁盘特殊扇区进行自我传播”,从而感染其他程序,破坏计算机存储的信息资源。
(2)网络攻击。是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。主要分为主动攻击和被动攻击。主动攻击主要是攻击者有目的的访问所需要的信息。被动攻击主要包括:窃听、欺骗、拒绝服务、数据驱动攻击。表现为破坏计算机中的硬盘、文件系统,非法复制、窃听、篡改、伪造数据等。
(3)恶意软件。当前,很多网站容易感染恶意软件,学校管理者、教师或者学生使用计算机浏览网页时极易在毫不知情的情况下安装各类广告软件、间谍软件等,这些恶意软件在电脑上安装后门,为攻击者大开方便之门。
2内部隐患
(1)管理方面。管理水平较低信息安全风险较大。目前高校内部较低的信息化管理水平给信息安全带来了较大风险。尽管管理层已经意识到高校信息化的重要性,却往往忽视了高校管理理念在信息化建设中的重要作用。
(2)人员方面。在高校信息化建设过程中,管理人员、教师、学生等对于信息安全意识相对薄弱,往往容易忽视对信息资源的保护。同时,高校信息化系统的应用水平不断提高,而教师、教辅人员等技术水平没有得到及时培训,部分网络管理人员水平较低,可能导致一些错误的操作,给内网安全带来隐患。
三、高校信息化建设信息安全问题产生的原因分析
通过分析,当前高校信息化建设进程中普遍存在上述问题的主要原因是:管理不到位,工作人员信息安全意识淡薄;人才缺乏,技术相对落后。
1管理不到位,工作人员信息安全意识淡薄一方面,一些人认为高校信息资产没有有形的固定资产重要,没有将信息安全与高校的核心竞争力結合;再者,不少高校信息安全机制本身并不健全,相关信息安全措施并不科学,而且很少能严格执行,“普遍存在‘重建设,轻管理’思想,在安全防护实践中单纯重视对信息防护系统中软硬件购置和建设,忽视信息系统操作人员信息安全意识的提高,导致软硬件系统防护效果起不到应有的作用”。
2人才缺乏,技术相对落后
“任何安全设施和安全产品都需要专业管理人员的审核、跟踪和维护”,因此,高校信息系统管理人才的素质在很大程度上直接影响着高校信息系统的安全。我国很多高校的网站容易遭到攻击的一个重要原因就是管理人员没能及时更新系统补丁程序。对于专业化的信息安全技术人员很少引进、培养和提高,有的规模较小的学校往往只有一两个技术人员,这使得高校“要么是信息安全人才极度匮乏,要么就是信息安全人员专业素质不高,很难肩负起信息安全责任。从而导致高校信息安全防护措施处于较低水平,当出现新的攻击事件时无能为力。
四、解决高校信息化建设信息安全问题的策略
高等院校如何在充分利用信息技术带来的巨大潜力的前提下,保证信息资源的安全、可靠,实现教育管理机制的高效运作,提高教育教学质量,已成为当前高校信息化建设中的热点问题,笔者依据上述信息安全问题产生的原因,提出以下几点措施:
1管理措施
(1)建立、健全高校信息安全管理制度。“明确信息安全管理方案、产品采购使用、授权管理机制、密码使用、软件开发、安全服务等管理内容;建立人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容”;建立信息安全责任制,明确各个部门、领导、人员的信息安全责任;建立系统运维制度,明确设备环境安全、存储介质安全、病毒防范、备份与恢复、各种应急预案等管理内容;建立并落实监督检查机制,定期进行自查和监督检查,严格执行。
(2)定期评估,不断改进、完善。“信息技术日新月异,安全防护软件系统由于其复杂性,在研制开发过程中不可避免的会出现这样或那样的问题,势必决定了安全防护系统和设备不可能百分百地防御各种已知和未知的信息安全威胁”。必须引入信息安全风险评估制度,定期对网络安全状况进行风险评估,找出薄弱点,调整防护策略,改进安防方案,进一步降低信息安全风险。
2技术措施
在技术措施方面主要是对高校信息化建设中相关的设备(如资源客户端、路由器、交换机、服务器等)安装防病毒软件、设置防火墙、入侵检测技术、网络安全扫描技术、SSL安全套接层协议等,重重保护,消除技术上存在的安全隐患。
(1)安装防病毒软件
自计算机病毒问世以来,给数以万计的用户造成了无法挽回的损失。网络技术的不断发展使得计算机病毒变得愈加复杂,对教育信息化系统构成极大威胁。目前的病毒防范中大多使用防病。毒软件(如卡巴斯基、金山毒霸、360安全卫士、小红伞、诺顿等防病毒软件)定期查杀病毒,并对需要下载的软件、文档以及连接的移动存储设备进行安全控制,及时对防病毒软件进行更新和升级,以防软件本身的漏洞
(2)设置防火墙
“防火墙技术是通过对网络拓扑结构和服务类型上的隔离来加强网络安全的一种手段。在校园网与外网之间设置防火墙,执行访问控制策略,通过过滤存在安全隐患的服务,将危险信号阻隔于校园网之外,同时对网络存取和访问进行监控和审计,做出日志记录,提高校园内部网络的安全性。
五、结语
信息资源的安全防范体系的建立并不是一劳永逸的,随着计算机网络技术的发展,新的安全隐患将不断涌现,高校信息化建设面临的信息安全问题将进一步复杂化,高校必须根据实际情况,立足内部管理措施和信息安全技术这两个基础。以计算机网络技术为支撑,加强高校内部管理,及时进行设备维护和技术更新,实时监控信息安全,提高工作人员信息安全意识;同时加大资金投入,积极引进专业技术人才,保证信息资源网络安全防范体系的高效运作和良性发展。总之,信息安全是一个伴随高校信息化发展的永恒课题。
参考文献
[1]耿相真.浅析计算机病毒及防范的措施[J].价值工程,2011,(1):176-177.
[2]刘文华.企业信息安全问题研究[J].中国信息界,2012,(12):37-38.