校園網絡安全管理辦法范例6篇

前言：中文期刊網精心挑選了校園網絡安全管理辦法范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

校園網絡安全管理辦法范文1

【關鍵詞】校園網絡；安全問題；對策

隨著互聯網的普及和推廣，網絡逐漸成為人們生產生活中不可或缺的工具，網絡也改變了傳統校園教學和管理模式，在學校各個領域得到了深入推廣和普及。同時，在校園網絡快速普及的過程中，校園網絡安全問題也受到了越來越多人的注意。如今，校園網絡安全直接對學校正常教學活動和管理工作產生了嚴重威脅，它可以造成巨大的經濟損失和難以挽回的損害，可以說，提高校園網絡安全是當前教育部門必須認真面對的問題，而針對校園網絡安全問題提出有效應對措施，無疑具有十分重要的現實意義。

1、當前校園網絡主要安全問題

當前，學校計算機網絡主要安全問題可以分為兩類，一類是對網絡產生威脅的安全，包括對網絡信道、網絡操作系統以及網絡功能進行攻擊和損害；另一類是網絡信息泄密、竊取等，例如非法盜用網絡數據、惡意入侵非授權網站等。這兩類網絡安全問題都會產生嚴重的后果。

1.1網絡自身安全問題

1.1.1網絡物理設備的安全

網絡物理設備安全是指外力因素對網絡的破壞和影響，例如火災、山體滑坡、水災、設備失盜、線路破損以及天氣因素影響等，都會對網絡正常運轉產生致命威脅。這也是網絡安全需要認真面對的問題。在校園局域網內，由于網絡覆蓋區域相對較小，只要指定完善的安全管理制度，做好安全防范措施，就能夠有效提高網絡設備和機房的安全水平。

1.1.2軟件系統平臺的安全

系統安全，是指網絡系統正常運轉的可靠性。目前，尚沒有絕對安全的網絡系統可用，但是我們針對現有網絡系統進行升級改造，提高其安全配置和防范登記，加強網絡使用規范等來提高網絡系統安全性。因此，首先要選擇最可靠的運行系統，其次要嚴格規范網絡使用行為，保證一切操作符合安全管理制度規定；最后要針對網絡使用者操作權限加強管理，合理分配不同用戶的操作權限，將人為操作失誤控制在最低水平。

1.2網絡中信息的安全

1.2.1不良信息威脅

借助互聯網便捷的信息傳播功能，不健康信息可以在網絡上大肆蔓延，嚴重污染網絡環境。例如各種黃色、暴力和成人不良信息影響青少年健康成長的案例時有發生。雖然政府部門對此制定了嚴格的管理辦法，但是依然諸多安全隱患，對青少年的成長造成了巨大的威脅。

1.2.2計算機病毒

計算機病毒是互聯網的主要敵人。病毒傳播途徑和方式十分多樣化，例如可以通過數據下載、電子郵件、網頁等方式傳播和擴散，使得電腦病毒防不勝防。隨著科技的不斷進步，計算機病毒的傳播方式也在不斷發生變化，其的防范技術要求日益提高。任何信息工具和電腦配件都可能成為病毒傳播和寄生對象——互聯網、U盤、光盤等，傳統的病毒防范技術已難以有效控制病毒的擴散和蔓延。

1.2.3應用系統的安全

應用系統的安全涉及面很廣，以目前Intemet上應用最為廣泛的E-mail系統來說，其解決方案有幾十種，但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的，因此一套詳盡的測試軟件是必須的。但是應用系統是不斷發展且應用類型是不斷增加的，其結果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應用系統的安全也是一個隨網絡發展不斷完善的過程。

應用的安全性涉及到信息、數據的安全性：信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。對于有些特別重要的信息需要對內部進行保密的（比如學校學生成績、學生檔案、教師檔案、學校財務等重要信息）可以考慮在應用級進行加密。

1.2.4加強網絡安全管理

加強管理是提高網絡安全性主要手段和途徑。當前，不少互聯網用戶安全意識較弱，違反安全管理操作行為十分普遍，隨意將自己的登錄賬號和密碼給他人使用，或者在網絡上傳輸保密信息等，這些行為都增大的網絡安全風險，稍有不慎即會造成嚴重的網絡安全事故。

網絡一旦遇到惡意攻擊或者其他安全威脅時，就不能進行安全評估和預警。同時，安全事故發生后，計算機也不能搜集和追蹤網絡黑客的攻擊路徑信息和數據，為開展網絡安全管理造成了巨大的困難。因此，在日常工作中要對站點訪問活動進行多層次的記錄，提高對非法訪問行為的識別度。要創新網絡安全管理制度，重新評估當前網絡安全形勢并制定行之有效的應對措施，因此，最保險的做法是采取“制度+方案”的管理手段。

2、校園網絡安全對策

2.1網絡設備安全對策

首先要提高計算機網絡物理安全，這是最基本的工作要求，由于這類安全措施比較常見，本文不再贅述。

2.1.1環境安全

對系統所在環境的安全保護包括設備的防盜、電源保護如配制UPS電源，保證系統和設備的正常工作等等。

2.1.2媒體安全

包括媒體數據的安全及媒體本身的安全。在網絡的安全方面，主要考慮兩個層次，一是優化網絡結構，二是整個網絡系統的安全。

2.2網絡軟件系統平臺安全對策

2.2.1制訂嚴格的管理制度

用戶授權實施細則、口令及帳戶管理規范、權限管理制度。

2.2.2配備相應的安全設備

在內部網與外部網之間，設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、最有效、最經濟的措施之一。

2.3網絡中信息安全對策

由于在網絡環境下，計算機病毒有不可估量的威脅性和破壞力，計算機病毒的防范是網絡安全性建設中重要的一環。具體而言，磁盤分區格式為NTFS，它的安全性比FAT32格式要好；安裝完操作系統后，要打好漏洞補??；安裝好病毒防火墻，并且支持實時檢測的，同時要經常升級病毒代碼庫；文件夾和磁盤的安全選項千萬不要開完全共享，都開只讀共享，可以在一定程度上防止網絡病毒的人侵；不要安裝來歷不明的程序，防止被木馬控制，不要輕易打開來歷不明的電子郵件；將重要的數據經常備份，存放在安全的盤中或者是其他媒介中；對學校服務器的安全日志進行備份；經常對各種資源采取備份，最便捷的方法就是錄制光盤；經常對存貯設備進行常規檢查，盡可能早發現隱藏的問題。

3、結束語

總體而言，校園網絡安全管理工作是一項系統、艱巨的任務，不能將網絡安全寄托在單個殺毒軟件或者防火墻上，而是要綜合考慮網絡安全形勢，充分利用各種安全技術，打造一個多技術、高效安全的網絡安全系統，營造一個健康的校園網絡環境空間。

參考文獻

校園網絡安全管理辦法范文2

一、學校網絡與信息安全工作情況

本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面，同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析，通過差距分析，明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據。

從檢查情況看，我校網絡與信息安全總體運維情況良好，未出現任何一起重大網絡安全與信息安全事件（事故）。近幾年，學校領導重視學校網絡信息安全工作，始終把網絡信息安全作為信息化工作的重點內容；網絡信息安全工作機構健全、責任明確，日常管理維護工作比較規范；管理制度較為完善，技術防護措施得當，信息安全風險得到有效降低；比較重視信息系統（網站）系統管理員和網絡安全技術人員培訓，應急預案與應急處置技術隊伍有落實；加強對學生網絡宣傳引導教育，日常重視微信、微博、QQ群的管理，提倡爭當“綠色網民”；工作經費有一定保障，網絡安全工作經費納入年度預算，在最近一年學校信息化經費投入中，網絡建設與設備購置費用約占56、5%，數字資源與平臺開發費用約占40、6%，培訓費用約占0、6%，運行與維護費用約占1、04%，研究及其他費用約占1、23%，總計投入占學校同期教育總經費支出的比例約1、57%，基本保證了校園網信息系統（網站）持續安全穩定運行。

1、網絡信息安全組織管理

20xx年學校成立網絡與信息安全工作領導小組，校主要領導擔任組長，網絡與信息安全工作辦公室設在黨委工作部，領導小組全面負責學校網絡信息安全工作，教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作，對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年，由于人動，及時調整網絡安全和信息安全領導小組成員名單，依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，明確各部門負責人為部門網站的具體負責人，建立學校網絡信息員隊伍，同時，還組建網絡文明志愿者隊伍，對網絡出現的熱點問題，及時跟蹤、跟帖、匯報。

2、信息系統（含網站）日常安全管理

學校建有“校園網絡系統安全管理（暫行）條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例（試行）”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統（網站）使用單位基本能按要求，落實責任人，較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等，其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范，多數單位做到了杜絕弱口令并定期更改，嚴密防護個人電腦，定期備份數據，定期查看安全日志等，隨時掌握系統（網站）狀態，保證正常運行。

3、信息系統（網站）技術防護

學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件，20xx年為加強校園網絡安全管理，購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備，20xx年二月中旬完成校園信息系統（含網站）等級保護的定級和備案，并上報xxx市網安支隊。同時，按二級等保要求，約投資110萬元，完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造（物理安全）”等網絡安全設備的采購工作，目前，方案已經通過專家論證。

20xx年4月-6月及20xx年3月對網站系統進行安全測評，特別對系統層和應用層漏洞掃描，發現（教務管理系統、教學資源庫）出現漏洞，及時整改，并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時，對各防火墻軟件7個庫進行升級，對服務器操作系統存在的漏洞及時補丁和修復，做好網站的備份工作等。

4、網絡信息安全應急管理

20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位，在重大節日及敏感時期，采用24小時值班制度，對網絡安全問題即知即改，確保網絡安全事件快速有效處置。

二、檢查發現的主要問題

對照《通知》中的具體檢查項目，我校在網絡與信息安全技術和安全管理建設上還存在一定的問題：

1、由于學校信息化建設尚處于起步階段，學院數據中心建設相對薄弱，未建成完善的數據中心共享體系，各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時，網絡安全保障平臺（校園網絡安全及信息安全等級保護）尚在建設中。

2、部分系統（網站）日常管理維護不夠規范，仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題；學校子網頁網管員為兼職，投入精力難以保證，而且未取得相應資格證書；由于經費問題，個別應用系統未能及時升級，容易發生安全事故。

3、目前尚未開展網絡安全預案演練，還未真正組建一支校內外聯合的網絡安全專家隊伍，未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。

三、整改措施

針對存在的問題，學校網絡與信息安全工作領導小組專門進行了研究部署。

1、全面開展信息系統等級保護工作。按照相關《通知》要求，20xx年8月底全面完成網絡安全保障平臺建設，根據系統在不同階段的需求、業務特性及應用重點，采用等級化與體系化相結合的安全體系設計方案，形成整體的等級化的安全保障體系，同時根據安全技術建設和安全管理建設，保障信息系統整體的安全。

2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等，保障信息系統整體安全。

校園網絡安全管理辦法范文3

【關鍵詞】校園網信息安全現狀防范

【中圖分類號】G647【文獻標識碼】A【文章編號】1006-9682(2009)12-0051-01

隨著高校校園網絡的不斷擴建和升級,網絡規模日益龐大。在方便信息傳遞,實現資源共享,提高工作效率的同時,高校校園網的信息安全問題已成為高校日常工作中不可或缺的重要組成部分。校園網作為高校教學應用的內部網及教職工對外交流的窗口,具有開放共享的特點,使校園網的信息安全受到極大的危險。近年來高校中的信息安全事件時有發生,信息的泄密、數據的破壞、服務無法正常進行等屢屢發生,有些甚至導致校園網癱瘓,給高校校園網的管理和維護帶來了嚴重挑戰。

一、高校校園網信息安全的現狀

高校本身是研究和探索新科技、傳授新知識的場所,儲存了大量的科研成果和技術資料,是信息安全受到威脅的“集中營”。

1.工作人員對信息系統的應急處理能力不強,防范水平不高。

高校辦公室工作人員大都是非計算機專業的人員,計算機知識相對缺乏,對信息安全的防范意識尤為薄弱,缺乏對系統的基本維護能力,這勢必給高校校園網的信息安全造成威脅。

2.信息安全管理觀念薄弱,負責信息安全人員的意識不強。

高校校園網用戶對安全意識以及防范能力沒有足夠重視,且認為防范信息安全是網絡信息或專業人員的事情,與個人無關。負責信息安全人員把計算機安裝還原卡當作“萬事通”,只對出問題的計算機進行檢查并未對高校網絡檢查等。

3.信息安全保障管理機構和組織隊伍不健全

對于高校校園網,信息瀏覽人數多,流量大,加大了信息安全人員對其管理和維護難度。且高校普遍存在維護人員短缺、工作機制不完善、隊伍不健全、無法及時響應、快速解決,不能很好地保證校園網絡方便、快捷、規范地運行。

4.信息系統安全保障的必要設施短缺

信息系統軟硬件的內在缺陷不僅直接造成系統癱瘓,還會為一些人為的惡意攻擊提供機會。應用軟件的缺陷造成計算機信息系統的故障,降低系統安全性能,而設備的不完善、不更新,也給惡意攻擊有機可乘。

5.信息安全管理制度和標準缺乏開發性

我國的信息安全管理制度結構比較單一,層次較低,難以適應信息網絡技術發展的需要和日新月異帶來的信息安全問題。我國現行的信息安全管理制度基本上是一些保護條例、管理辦法,缺少系統規范網絡行為的相應法律。

二、構建高校校園網信息安全的防范措施

1.培養高素質的安全運行維護隊伍

高校可以組建一支以學生為主體的安全運行維護隊伍,由網絡中心統一領導,中心專業老師負責對學生等用戶進行安全管理方面的培訓和指導,加強校園網的管理和維護力量,力爭對突發安全事件做到及時響應,快速解決,保證校園網方便、快捷、規范地運行。這樣不但能解決由于經費和維護人員不足造成的困難,而且也可以通過讓學生參與校園網的管理維護,來鍛煉他們的實際動手能力,為今后的工作奠定良好的基礎。

2.制定完善安全管理規章制度

安全管理貫穿于安全防范體系的始終,是保證網絡安全的基礎。各部門配備專職的信息安全管理人員,落實建立信息安全責任制度和工作章程,負責并保證組織內部的信息安全。管理人員必須做到及時進行漏洞修補、定期軟件升級和定期安全系統巡檢,保證對網絡的監控和管理。同時必須制訂一系列的安全管理制度,并遵循可操作、動態性、管理與技術的有機結合等原則,使校園網的信息安全工作進一步走向規范化和制度化。

3.利用多種形式進行信息安全教育

高校應利用多種形式進行信息安全教育:①是利用行政手段,通過各種會議進行信息安全教育;②是利用教育手段,通過信息安全學術研討會、安全知識競賽、安全知識講座等進行信息安全教育;③是利用學校傳播媒介、輿論工具等手段,通過校刊、校報、校園網絡、廣播、宣傳欄等進行信息安全教育。

4.構建良好的校園文化氛圍

信息安全是高校實現教育信息化的頭等大事,除先進的安全技術、完善的安全管理外,良好的校園文化氛圍也是保證高校信息安全工作順利開展的前提。

面對日益復雜的高校校園網信息安全及與日俱增的安全威脅,高校校園網的安全建設必須以了解校園網信息安全的現狀為前提。通過信息安全培訓加強所有用戶的安全意識,從而完善安全防范體系賴以生存的大環境,有效地實現校園網可靠、穩定地運行,創造出一個安全、便捷的網絡應用環境,有效地保障校園網的安全,提高網絡信息的保密性、完整性和可用性。

參考文獻

1 楊 東.高校校園網信息安全隱患與防范措施探討[J].江蘇科技信息,2009(4):32～33

2 汪 瑩、朱齊媛.關于高校校園網信息安全的現狀與對策[J].重慶工學院學報(自然科學),2008(6):126～128

3 孫 揚.淺析校園內部局域網信息安全[J].信息科學,2008(6):77

4 楊文娟.我國網絡信息安全問題及其立法現狀分析[J].情報探索,2008(1):121～123

5 張煥遠、尹凱敏、車 路.校園網網絡信息安全防護體系的研究與實踐[J].用戶之聲,2008(3):28～31

6 付 沙.高校校園網信息安全策略的探索[J].中國教育信息化,2008(1):121～123

7 薛 質、蘇 波、李建華.信息安全技術基礎和安全策略[M].北京:清華大學出版社,2007:167～181

8 賈童舒.如何使用電子政務信息更安全[J].信息系統工程,2009(6):92～93、97

校園網絡安全管理辦法范文4

1.1高校信息安全的概念

目前，信息安全并沒有明確的定義。ISO/IEC17799中將信息安全定義為：通過實施一組控制而達到的、包括策略、措施、過程、組織結構及軟件功能，是對機密性、完整性和可用性保護的一種特性。美國對信息安全的定義是：對信息、系統以及使用、存儲和傳輸信息的硬件的保護。美國從技術和管理兩個角度出發，將信息安全概括為信息環境安全、信息數據安全、信息程序安全、信息運行系統安全四個方面。沈昌祥院士將信息安全定義為：“保護信息和信息系統不被未經授權的訪問、使用、泄露、修改和破壞，為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性。”我國關于信息安全的定義基本上從技術和管理角度提出（主要指信息系統安全）。在本文中，筆者將高校信息安全界定為：高校信息安全是指確保涵蓋信息處理系統的安全、信息自身的安全和信息利用安全在內的，從電腦硬件安全、處理系統運行安全、信息數據安全、信息內容本身安全四個維度出發，對具有機密性、完整性和可用性的高校信息保護的一種特性。

1.2高校信息安全的內容

通過上文對高校信息安全概念的界定，筆者認為高校信息安全主要內容歸納為以下四個方面：一是從物理安全維度看，主要是校園網絡內運行的硬件設備的安全。涉及的是動力安全、設備安全、電磁安全、環境安全等；二是從運行安全維度看，主要涉及網絡系統的可控性、可用性、可信賴性等，即保障信息系統不被篡改、破壞或不被非法操作等；三是從數據安全維度看，保障校園網絡中流通數據的安全，既網絡中的數據不被篡改、非法增刪、復制、解密、盜用等；四是從內容安全維度看，是對信息本身內容真實性的鑒定、隱藏信息的發現以及對信息的選擇性阻斷。其中物理安全和運行安全是信息安全的基礎。

1.3高校信息風險表現及信息安全保障之必要性

高校信息風險主要表現為：一是高校“信息風險人群”比例遠高于國內其他行業“風險人群”。據360安全中心的《2013年第一季度中國個人電腦網上安全報告》顯示，國內高校“風險人群”比例為28.7%。比全國“風險人群”的25.8%高近3個百分點。二是高校引發信息安全的因素種類繁多。除自然因素外，如計算機病毒、黑客、釣魚網站、非法入侵盜號、系統的漏洞、人為操作等。三是高校的私有機密信息如學校公共數據、師生的個人信息、財務信息、檔案信息、設備資產信息、教務信息等重要數據容易泄露或被非法竊取。針對高校信息風險表現，積極探索高校信息安全保障策略具有重大意義。一是有利于提高高校信息安全管理整體意識；二是有助于制定行之有效的信息安全管理制度，三是能促進高校信息安全保障機制的不斷完善，有效推進高校信息化進程；四是是能提高師生信息安全意識，促進我國信息安全專業人才的培養。

2高校信息安全風險分析

信息風險分析是一種主動識別信息風險的過程。筆者分別采用定性分析、定量分析、定性和定量相結合的方法對高校現實信息系統的實際情況做了調查研究、結合學校信息泄露案例進行分析，從共性上看，認為信息安全風險因素可以歸納為以下幾類。

2.1高校信息安全保護機制普遍存在認識不足，防護不夠的現象

首先，高校網絡系統使用人員信息安全意識淡薄。主要表現為大學生對信息安全缺乏足夠的重視，高校沒有成型的大學生信息安全教育模式，對大學生進行信息安全教育處于形式。高校對大學生的信息安全教育不夠重視，嚴重滯后于信息技術的發展。大學生對學校信息安全缺乏正確認識，對相關信息安全法律法規缺乏了解，信息安全意識淡薄。作為系統使用人員的教師，由于缺乏必要的信息安全知識和信息技術，對信息安全防護漠不關心，片面的以為學校信息安全屬于專業技術人員，于己無關。其次，高校信息管理人員安全意識淡薄。對于缺乏信息安全教育專業培訓的技術管理人員來說，他們缺乏“防黑防毒”意識，對于來自外部或內部的惡意攻擊缺乏警惕性，缺乏積極防御、保障信息安全的主動性。再次，高校信息安全專業人才的培養尚處于起步階段，高校貧缺專業信息安全管理人才。由于缺乏專業信息安全人才的專業指導，導致高校信息安全建設缺乏系統規劃和整體布局，對信息風險認識不夠，分析不徹底，所制定的信息保障策略存在漏洞。最后，對信息系統安全漏洞未能及時、定期修復。安全漏洞是指在網絡系統硬件、軟件、協議和系統安全策略存在的缺陷和錯誤。攻擊者就是通過研究這些漏洞向高校的信息系統傳播病毒，或者人為控制計算機系統。管理者只有及時修復這些漏洞，才可以確保信息安全。

2.2高校信息安全制度不健全，存在信息安全管理漏洞

雖然高校信息化普及很快，但大部分高校對信息安全在監督和管理上都存在著漏洞。高校在信息安全管理上缺乏健全的制度，高校內部管理相對松散，已有的制度大多數是趨于形式的要求而設立，沒有嚴格的監督檢查機制，甚至連信息安全領導小組都未成立，對突發的信息安全問題缺乏應急處置預案，出現頭痛醫頭，腳痛醫腳的忙亂應對現象。據初步統計，大部分的信息安全問題是由于管理疏忽或者管理不善造成的，因此，從管理角度加強信息管理，是能夠有效保障信息安全的。

2.3高校信息安全投入不足，安全保障設施不健全

目前高校數字化建設已經取得一定成績，數字化教學、管理、服務基本普及。但在管理和保障信息安全的設備上投入資金十分有限。首先因為用于保障信息安全設備成本較高，而信息風險的不確定性導致信息安全本身又不被領導充分重視，大部分高校安全保障配套設施陳舊；其次伴隨高校擴張，大部分高校網絡缺乏戰略發展規劃，網絡邊界設備之間缺乏有效的聯動，網絡拓撲結構不合理，內網和外網在數據交換及數據流轉方面存在不安全因素；最后為節約網絡運行成本，學校采取與網絡營銷商合作的方式來減少學校網絡運行維護人員，忽視對網絡安全維護方面的投入。

2.4高校缺乏對BYOD、云計算和大數據安全問題應對方案

由于在智能手機、平板電腦、超極本的智能終端使用某些應用比在PC上操作方式更簡單快捷，2013年移動辦公設備的信息安全問題成為安全信息的新問題。調查顯示，高?；旧线€沒有制定相關的BYOD安全管理政策，以具體規定師生員工如何在學習工作場所中使用自己的移動。如何在確保信息安全的情況下更好的利用BYOD帶來好處成為高校信息安全風險分析的重要任務。高校在云計算信息安全方面專注于保護云計算主機站點的數據安全，對從移動終端訪問云數據的用戶安全重視不夠，他們經常面臨數據泄露、數據丟失、賬戶劫持、不安全的API、拒絕服務攻擊、內部人員的惡意操作、云計算服務的濫用、云服務規劃不合理、共享技術的漏洞等問題。

3高校信息安全保障策略

建立高效、協調、集成的數字化辦公系統是長春理工大學成為綜合性、研究型、開放式的國內一流大學的信息化保障，如何保障信息安全便成為建設數字化辦公系統需要面對的首要問題。

3.1加強信息安全知識教育和技能培訓，從信息主體層面增強網絡安全防護

為從根本上增強網絡安全防護，長春理工大學采取了一系列措施提高網絡信息主體——師生的信息安全防范意識和防范技能。一是加強國內外信息安全法律法規教育，增強師生信息安全法律意識。如：長春理工大學定期組織管理員、信息源接入人員、廣大師生學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息審核、登記制度》等國內外信息安全法律法規教育，普及信息安全知識，提高師生安全保密素質，讓師生明確維護信息安全的重要性和維護信息安全人人有責，充分發揮師生在信息安全維護中的主體作用。二是對師生進行信息安全技術培訓，提高師生信息安全防御技能。信息安全技術培訓主要是針對師生的實際需求，開展計算機應用和網絡運用技能的培訓，培養學生基本的網絡防御技能。長春理工大學多年來一直堅持定期邀請專職技術人員對學校師生進行信息安全技術培訓。如電腦操作系統定期更新，及時修補電腦安全漏洞，辨別不良網站等知識，讓師生學會日常的安全操作和系統維護。

3.2堅持校園網硬件投入和有效信息技術的充分融合，確保網絡運行安全

首先，建立完整的校園網絡病毒防御體系。一是安裝正版殺毒軟件。如：長春理工大學將正版的殺毒軟件掛在學校的信息中心網站上，讓學校教師免費使用正版殺毒軟件，通過利用正版殺毒軟件定期掃描殺毒，及時修復系統漏洞，遇到問題及時向軟件開發商發送錯誤報告并進行分析，定期升級防毒軟件、更新病毒庫等，有效保障了學校電腦的安全運行。二是詳細設置防火墻防范策略。對操作系統的端口配置嚴格把關，必須及時做到開放該開放的，關閉不需要的端口。對外提供網絡服務的服務器。把必須利用的端口開放，其他的端口必須全部關閉。三是安裝與配置IDS入侵檢測系統。入侵檢測系統主要監控內部網絡操作行為及多種攻擊，是檢測防火墻過濾后的隱匿攻擊。四是安裝漏洞掃描系統。如：長春理工大學為每位教工電腦安裝漏洞掃描系統，采用主動探測的方式快速獲取目標設備的脆弱點，從而協助系統操作人員對目標系統建立風險快照。分別采用ping掃描、端口掃描、OS探測、脆弱點探測等技術對指定的遠程或本地的計算機系統的安全威脅進行定期掃描檢測，及時修補各種漏洞。其次，以防內為主，內外兼防為輔，確保信息終端平臺的可信賴性。安全終端平臺的建設依靠密碼服務和安全操作系統支持。一是確保終端平臺用戶的合法性，用戶只能根據規定的權限和控制規則進行操作；二是采用身份認證、訪問控制、密碼加密等措施，構建計算機系統應用環境安全，如：長春理工大學教師采用一卡通的上網卡號進行身份認證；三是建立提供認證、授權、檢測、應急和處理非法訪問服務的信息安全管理中心，提供互聯互通的密碼配置，公鑰證書等密碼服務措施。具體保障措施如下：選用LOTUSNOTES／DOMINO作為辦公自動化系統的主要開發平臺。(1)數據加密。包括使用秘鑰對電子郵件文檔加密；網絡端口級加密；使用SSL對在INTERNET客戶機和DOMINO服務器間或在NOTES工作站和INTERNET服務器間傳送的住處進行加密；域、文檔和數據庫加密。（2）NOTES的數字簽名，身份認證包括NOTES工作站與DOMINO服務器之間的認證以及客戶端與mMmo服務器之間的認證。（3）NOTES還允許用戶通過建立群組的角色的方式來規劃NOTES數據庫的訪問安全性。（4）利用雙網卡主機技術實現辦公網絡安全隔離。（5）引入第三方的公鑰基礎結構（PK），進一步改善網絡系統的安全性。

3.3建構多重信息安全管理渠道，加強信息安全運行的制度保障

首先，設置層次明晰，職能合理的信息安全管理機構。依照“預防為主，綜合治理”、“制度防范和技術防范相結合”的原則，信息安全管理實行三級管理機制，由領導決策并負監督，中層干部管理，基層操作者具體執行。以長春理工大學為例，近年來學校建立了信息安全管理的三級管理機制，成立了專門的信息中心，處級單位，配備具有專業知識的工作人員，由一名副校長分管學校信息安全工作，中層領導分管本部門的信息安全工作，基層建立兼職信息員隊伍，具體負責本部門的信息安全工作，使得信息安全工作層層落實。同時學校還制定了具體的組織體系和信息安全工作職責，厘清三級體制下各級各部門的具體職責；制定了《長春理工大學信息員管理辦法》，詳細規定各信息安全崗位人員管理考核辦法，使信息安全工作落到實處。其次，建立常規管理制度、應急處理和定期評估制度。一是針對信息安全具有復雜性、動態性和突發性強的特點，制定常規化信息管理制度。如長春理工大學先后制定了《長春理工大學操作系統和數據庫的安全配置程序管理制度》、《長春理工大學網絡信息中心機房管理制度》、《長春理工大學計算機案件和事故報告制度》、《長春理工大學計算機病毒及有害數據報告制度》、《長春理工大學病毒檢測和安全漏洞檢測制度》、《長春理工大學網絡設備管理制度》、《長春理工大學信息審核制度》等多項信息管理制度。二是制定應急處理機制，對于突發的、涉及范圍廣，危害性大或影響深的信息安全事件采取有效的應對措施，有效控制信息危機的發生。如長春理工大學成立信息危機應急處理小組，及時應急處理方案和信息，有效控制信息危機的發生。三是注意日常信息安全動態，建立定時測評，不定期檢查，隨時抽查的信息檢查制度，如：長春理工大學建立了信息檢查制度，不定期檢查各基層單位信息安全情況，并對相關測評、檢查、抽查的情況進行匯總形成相關信息安全檢查日志，及時通報相關部門。

3.4設立信息技術咨詢指導部門，促進信息安全防護與前沿信息技術的緊密結合

沒有一勞永逸的信息安全保障策略。隨著信息技術的發展，保障策略要不斷更新、完善。例如：長春理工大學組建專業技術咨詢指導部門，成立了長春理工大學信息中心，由專職工作人員跟蹤最前沿的安全信息及新信息技術的發展動態，尋找已有防御網絡隱患，積極引進前沿網絡技術，并為信息安全保障系統建設提供專業、合理、可行化建議，積極完善和革新信息安全保護措施，取得了較好的效果。學校還將最新的技術發展及時體現在校園網絡系統中，并對相關信息維護人員進行專業化培訓，應對隨時可能爆發的信息安全事件，增加廣大師生的信息安全知識，提高信息安全意識，使學校的信息安全工作切實做到實處，收到了實效。

4結語

校園網絡安全管理辦法范文5

【 關鍵詞 】 校園一卡通；安全性；分析和設計

1 引言

校園一卡通在高校的應用非常廣泛，對于提升高校校務管理效率、優化學生學習、老師教學方面具有非常重要的作用，但是目前校園一卡通的安全問題不容忽視，特別是很多學生通過一卡通在學校超市、圖書館以及餐廳進行消費，所以很多黑客通過盜取一卡通密碼或者其他信息來獲得不法收入，對校園一卡通的使用和推廣造成一定的困難和威脅。本文結合校園一卡通的各種應用來具體分析校園一卡通的安全設計和分析，從而為學校數字化建設提供安全策略方面的支持。

2 一卡通安全目標和設計原則

校園一卡通的主要應用體現在消費、門禁、身份識別以及融入學校信息管理系統成為校園數字化的基礎和核心。校園一卡通不僅僅是學生在使用，凡是在學校的工作人員都可以會涉及到校園一卡通?？梢哉f校園一卡通就是學校內部的身份系統，如果校園卡的安全性存在問題，那就會影響到整個系統的正常運行，進而會對整個學校的正常運行都會產生不良的影響。因此在建設校園一卡通系統時，安全性是放在最為重要的地位的。

在安全性設計和目標上一定要充分考慮到多方面的因素，從卡片、讀卡機具以及服務器和軟件、網絡安全、軟件安全、運行管理等諸多方面進行安全控制。在安全設計上應該緊密結合當前先進的安全技術以及管理手段來對確保系統的安全性設計能夠得以貫徹執行。另外在系統的使用過程中，還需要對安全技術和管理方式進行升級，以應對可能存在的新的安全問題。

3 一卡通安全策略設計和分析

校園一卡通系統主要有兩大模塊構成，分別是硬件模塊和軟件模塊。

3.1 一卡通硬件方面的安全策略

（1）卡片以及有關卡片的讀取設備的安全策略

目前校園一卡通的卡片主要有兩種，一種是ID卡也就是射頻卡，另一種就是IC卡。相對于ID卡來說，IC卡仿造難度大，所以有利于卡片的安全性，目前校園一卡通所使用的卡片大多數選用的就是IC卡。IC卡主要是通過天線感應進行讀寫操作，這就意味著一旦在讀寫設備附近有電磁干擾就會導致讀寫錯誤。因此可以通過將相關信息分別放在IC卡的不同扇區就能夠有效的防止這種讀錯的概率。另外為了防止IC卡被仿制，還需要在卡內增添信息校驗算法，這樣就算是能夠從電子的角度上仿制一模一樣的卡片，但是卻不能夠盜取卡片里的經過加密的信息。

讀卡設備主要有POS機和圈存機兩種，其中POS機是使用最為頻繁的設備，各種消費以及門禁授權方面都需要使用到POS機，所以POS機的安全穩定性是非常關鍵的，一旦出現讀取數字錯誤，將原本消費只要10元變成100元，或者是100元變成10元都會對消費者和經營者造成損失。為了提升POS機讀寫數據的安全屬性一方面要從讀寫電路上設計安全性保護。另一方面在IC卡中還要存貯備用數據，一旦發現錯誤可以通過追溯的方式恢復。

圈存機是一種將銀行卡中的賬戶金額轉存到校園卡上的一種設備，這種設備操作時間較長，由于涉及到金額的轉存，如果圈存機出現安全問題就很容易造成經濟上的損失。因此需要從兩個方面解決，其一在持卡人意外從圈存機中取出校園卡后的安全恢復設計，防止校園卡改存上銀行卡賬戶的金額而沒有存儲上的問題。

（2）網絡硬件方面的安全策略

一卡通系統主要是依托于整個校園網建設的，所以校園網的安全性也往往影響到一卡通系統的安全屬性。如果網絡設備損害或者出現故障就會導致數據的存貯問題、因此為了確保數據傳輸的穩定和安全，要制定硬件設備安全管理制度，加強巡檢以及服務器數據的備份工作，在網絡設備上要盡可能的增添冗余設備。為了確保校園一卡通的網絡資源的專屬性，就需要通過建立VLAN虛擬專用網絡的方式來完成對源地址和目的地址的訪問控制。

3.2 一卡通軟件方面的安全策略

（1） 數據庫的安全策略

在軟件方面，數據庫的安全重要性是不言而喻的，校園卡中的所有信息都通過中心數據庫進行轉存，校園卡的任何交易都會記錄在數據庫中，是校園卡系統實現的基礎。因此對于數據庫的安全策略需要從三個方面進行解決：

其一要做好備份，這個備份不僅僅是對數據庫的備份，而是從服務器開始，準備另一臺服務器進行雙機熱備份，實現兩臺服務器數據庫的同步；

其二要定期升級殺毒軟件以及防火墻軟件，防范黑客攻擊主數據庫盜取數據庫中的重要數據，在操作系統上要采用更加安全的服務器操作系統，關閉一些和互聯網連接的服務，比如MEETING服務，遠程組件服務等；

其三要對數據庫進行安全設置，為數據庫中的數據增加加密保護層，同時設置密碼，將數據庫中的默認密碼全部修改，同時利用數據庫中的角色為不同的使用者設定權限，確保數據庫中的數據使用能夠得到授權和監控。

（2） 軟件系統的安全策略

一卡通系統軟件在使用上需要通過各種控制和授權來提升軟件的安全屬性。圈存機在校園卡系統中類似銀行的ATM設備，不過很多用戶都喜歡在柜臺上辦理金融事務，所以很多學生在校園卡系統中，也會選擇通過柜臺辦理有關事宜，因此就需要對校園卡軟件系統設置一定的權限，普通的操作員只能夠進行存儲操作，但是不能夠進行刪除操作。

具體的安全策略可以從登錄控制、操作員權限控制以及數據庫防止篡改和日志監控這四種方式進行。通過登錄控制能夠防范非法用戶進入軟件系統。通過操作員權限和數據庫防篡改能夠有效的規避數據風向。而日志監控手段則能夠對某些擁有權限的管理者非法使用其權限進行監控，從而全面提升軟件系統的安全性。

（3） 交易數據的安全側路

在一卡通系統的交易過程中，POS機會包含大容量的穩定的存儲空間，能夠保存足夠多的黑名單以及脫機交易記錄。當POS機的內存芯片存儲的信息快要滿倉時，就會發出警報信息。當POS機中的數據滿倉時就會立刻報警并停止消費工作，這種設計能夠保證POS機中的存儲的信息的安全性。

另外在存儲脫機交易的流水信息時，這些信息記錄都會經過加密算法確保數據不被篡改。讀卡機本身要在一卡通系統軟件中進行注冊，非注冊的讀卡器或者POS機是非法機，POS機中的所有數據通過通訊器傳入到系統軟件中都要經過數據校驗，以確保采集的數據的正確性和合法性。

當數據傳輸過程中一旦出現硬件損害或者網絡故障時，此時需要在POS或者讀卡機等設備中增加可以重復采集的功能，也就是說當采集脫機信息時，只是通過內存中的指針移動內存地址找到相關信息并傳輸到軟件系統，內存里存貯的信息并沒有刪除，這樣只要重新采集就能夠解決因為數據通訊故障導致的數據丟失問題。當然為了保證POS內存中的指針的安全性，也要增加多個指針設計，這樣能夠確保指針損毀導致數據讀不出來的問題。

（4） 網絡數據傳輸的安全策略

目前一卡通系統大多數采用的是三層架構。軟件中的諸多功能都是通過Web服務來實現，用戶能夠通過瀏覽器來實現遠程訪問和控制，這樣有利于提升軟件的便捷性和易擴展性，但是同時也給安全帶來了巨大的隱患。因為數據是通過網絡傳輸，如果沒有經過加密和認證那就很容易被黑客竊取到這些數據，所以為了確保校園一卡通的安全屬性，可以采用CA認證方案，當然也可以采用U盤密鑰式認證。這能夠有效地防范數據在網絡傳輸過程中被盜取的問題。

另外所有接入校園一卡通的系統，都應該采用加密方式完成對身份的認證，目前大多數都是采用eKey技術，這是經過國家密碼管理委員會認證的硬件加密產品，能夠有效提升數據傳輸安全。

（5）防范網絡病毒策略

這是影響校園卡系統安全的另一個非常重要的難題，而且隨著網絡安全威脅越來越重，這方面的問題也會變得越來越突出，因為一卡通系統采用的B/S架構模式，少不了會和互聯網有聯系，這就很容易為客戶機甚至是服務器找來木馬以及其他的病毒，所以要想提升校園卡系統的安全屬性，就需要嚴格進行防范網絡病毒的策略，除了安裝企業版的網絡防病毒產品之外，還需要制定信息安全管理辦法，來控制操作員的不當使用。與此同時還要定期為殺毒軟件升級，系統盡心升級，修復系統漏洞，引入最新的病毒防范技術，從而全面的提升整個網絡系統的安全性。

4 結束語

數字化校園不僅僅能夠提升校園管理的效率，更是校園現代化的一個重要體現，能夠對學校的發展起到積極的推動作用。校園一卡通作為數字化校園的核心系統，其安全性設計的重要性是不言而喻的，但是任何的安全防范策略都是百密一疏，所以當學校在使用一卡通系統時，要建立良好的安全防范制度，不僅僅要從技術上來提升和促進一卡通的安全性，還要從管理制度上來不斷優化一卡通系統，從而提升系統的安全性。

參考文獻

[1] 丁蓉，余海蕓.保障青海大學校園一卡通的網絡安全策略[J].價值工程，2012年10期.

[2] 齊冠然.基于數字化校園架構的智能卡管理系統設計與實現[D].鄭州大學.2010年.

[3] 金華，趙烽.ATA5567卡有源仿真設計與實現研究.信息網絡安全，（7），77-79，2012.

[4] 張敬濤，李向陽，鄒秀香.校園一卡通系統的應用研究[J].山東師范大學學報（自然科學版）.2008（03）.

[5]王永明.校園一卡通系統的基礎平臺建設和應用功能分析[J].智能建筑與城市信息，2009（01）.

作者簡介：

校園網絡安全管理辦法范文6

【 關鍵詞 】 軍校學員；信息安全；風險評估

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

（1.Second Military Medical University， Department of Health Services Corps Shanghai 200433；

2.Second Military Medical University， Department of Health Services， Public Health Management Shanghai 200433；

3.Second Military Medical University， Department of Computer Shanghai 200433）

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information， meanwhile， make a huge challenge to information security.So， Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing， point out the problems of information security risk assessment， and the specific implementation of countermeasures.

【 Keywords 】 cadet； information security； risk assessment

1 引言

軍隊院校信息化建設始于上個世紀90年代初開始，如今軍校教育教學、機關辦公、學員管理等基礎業務對網絡信息系統的依賴程度越來越大，同時面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然學校采取了安全監測、入侵防護等安全技術措施，但由于學員網絡安全保密意識不強，網絡安全技術掌握不到位的欠缺，管理方法針對性不強，軍隊院校學員網絡安全風險高，以至網絡安全事件甚至泄密事件時有發生。而衛勤軍校學員在平時的學習工作中均有可能會涉及并接觸到更多的軍事秘密，面臨的信息安全問題更加嚴峻。因此，迫切需要對衛勤軍校學員的網絡信息安全現狀及風險因素進行客觀有效的分析和評估，依據評估結果為針對軍校學員的網絡信息安全管理提供指導，進而有針對性地采取綜合性網絡安全風險的有效管理措施。

2 軍校學員信息安全面臨的風險

2.1 網絡信息環境復雜，安全風危險性高

信息時代，互聯網的應用已經深入到各個領域，但其共享性、開放性和互聯性的特點，使得環境越來越復雜，危險不安全因素越來越多。

一是網絡黑客攻擊。網絡攻擊包括黑客攻擊、病毒感染以及針對性軍事機構、軍隊人員的網絡監視，如軍校附近的企業、網絡監聽。目前信息系統技術發達，網絡黑客可以通過極限攻擊、讀取受限文件、拒絕服務以及口令恢復等一系列技術獲取信息，對軍隊保密安全形成威脅。學員在使用網絡時感染病毒導致文件丟失、破壞，發生嚴重的安全事故。此外，針對軍事機構和軍事人員的網絡監視并不少見， 增加了軍校學員網絡信息安全的風險。

二是網絡陷阱。特別是一些博客、論壇，借軍事愛好、討論敏感話題、套取軍事信息此外，有些人在網絡上設置陷阱，一旦發現軍人身份的網絡用戶便主動接近，通過交流和獲取軍隊內部信息。同時，由網絡海量信息形成的巨大信息流，其中摻雜著諸多不良信息，更有人借網絡進行非法活動的傳播，對大學生進行鼓動和教唆，嚴重危害學員身心健康。現代社會的多元化很大程度上反映到了互聯網上，隨著網絡的發展，論壇社區、交友網站的興起，微博、QQ、MSN等交流交互方式的流行，智能手機的廣泛應用，吸引著軍校學員接觸網絡，給學員自身、學校甚至軍隊的信息安全都帶來很大的威脅。

三是病毒感染網絡沉迷。互聯網的虛擬性極大程度地吸引著學員不斷接觸網絡，其中網絡戀情和網絡游戲是最主要的沉迷對象。人生觀和價值觀正在形成過程中的大學生分辨能力和自制能力較差，加上軍隊院校相對封閉的環境，部分軍校學員沉迷于網絡戀情或網絡游戲而不能自拔，安全意識更加薄弱，往往將自身信息和軍事機密信息透漏出去，甚至引發安全事故。

2.2 信息安全意識差，抵御能力弱

一方面隨著智能終端的不斷研發，信息化進程的不斷推進，上網方式已經不再局限于計算機，智能手機、平板電腦以及各種無線網絡設備都可以方便連接網絡。學生作為網絡的主體，網絡信息安全意識差，依賴上網方式的多樣化和便捷性頻繁的接觸網絡。另一方面，隨著微時代的到來，微文化流行，參與便捷，加之學員的信息安全意識不強，將校區所處的環境圖片、課件、聽看到的信息、消息等隨手轉發到網絡上，給學校和軍事機構帶來嚴重的安全隱患。更有甚者，學員利用網絡散播不良信息，參與黑客等網絡破壞活動，給國家和軍隊帶來嚴重的損失。迅速發展和廣泛應用的互聯網，是廣大軍校學員獲取信息的有效途徑，同時也對信息安全形成巨大挑戰?；ヂ摼W大量的信息集成，是對每個涉足互聯網人員的沖擊，沒有強烈的安全意識，很容易導致安全事故的發生。在管理方式上，大多數只停留在接受口頭安全教育的層面上，沒有意識到現代高端的信息技術和間諜技術帶來的威脅。

2.3 網絡信息安全管理差，處理方法少

目前軍校面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然殺毒軟件、防火墻、入侵檢測等安全技術的應用起到一定的防御作用，但由于管理方法針對性不強，對于安全事件的處理不到位，信息安全事故依舊不減。軍隊院校是培養軍隊專門人才的特殊教育訓練機構，互聯網、校園網、軍事信息綜合網等各類網絡廣泛應用。軍校學員在生活、學習過程中，有機會了解和掌握軍隊的編制體制、方針政策、武器裝備等涉及軍事秘密等信息，而針對軍校學員的網絡信息安全管理辦法少、科學性不強，主要體現在兩方面。

一是宣傳式教育過于形式化。大多數學校的網絡信息安全教育是以口頭說教、安全講座、安全知識考試以及教育傳單的形式展開，而這些宣傳式的教育流于表面，沒有真正讓學員體會到現代網絡環境存在的風險，也沒有意識到自己的網絡行為所造成的安全隱患。

二是限制網絡使用效果不明顯。為了防止安全保密事故的發生，學校常常用會限制學員的網絡使用，但是這種 “堵”的方式只能限制了學員對學校網絡和網絡設備的使用，學員依舊可以方便選擇通過其他智能終端使用網絡，而且這種方式與現代信息社會格格不入，阻礙和影響到了學員正常獲取學校正常教學、辦公信息和知識的途徑，引起教學辦公人員的不滿。這些辦法并沒有真正加強學員的安全意識以及阻止安全事件的發生，也為信息安全帶來了風險。

3 軍校學員信息安全評估存在的問題

3.1 針對性不強，評估指標不完善

目前大多數軍校都會定期對網絡進行檢測和維護，對于信息安全的風險評估大多數側重于網絡硬件和軟件的基本情況，忽視了針對學員的信息風險評估。認為通過限制使用就可以避免風險，這樣不但浪費了資源，也沒有真正起到降低風險的作用。很多風險評估沒有針對學員的評估指標，或者沒有深入研究學員的網絡行為，其指標缺乏有針對性，導致評估在學員信息安全防范措施這一環節上的薄弱。

3.2 科學性不高，風險量化能力差

對于軍校學員的信息安全風險評估大多數指標是定性的，而定性的安全風險評估無法準確地確定風險的大小，無法對安全風險進行精確地排序，從而難以確定系統面臨的真正風險。這就要求軍校學員信息安全風險評估工作所運用的評估方法必須具備一定的量化能力。量化風險評估分析方法的關鍵在于輸入參數的量化。對制定的量表進行有效的賦值，并在此基礎上歸類分析是量化評估的難點，而目前軍校在對學員進行信息安全風險評估時，處理這些量化難點做的還不夠到位。

3.3 系統性評估流于形式，對評估結果沒有充分利用

多數軍校只有上級安全部門進行的檢查評估時才進行信息安全風險評估工作，并沒有進行自評估，或者自評估的次數少，不能及時發現學員存在的信息安全隱患。風險評估在國內發展的時間較短，在軍校學員中開展系統性的信息安全風險評估，軍校引入的并不多，所以評估的形式欠科學性。同時評估流于形式，有些軍校雖然開展了對學員的評估，但不能根據評估結果采取相應的安全措施，失去了評估的意義。

4 軍校學員風險評估實施策略

4.1 提高重視程度，采用先進管理方法

提高對學員信息安全風險評估的重視程度是決定風險評估效果的關鍵因素。首先，軍校工作人員在對學校整個信息系統進行風險評估時，應當把對學員的信息安全風險評估單獨列出，著重從倫理道德、紀律規范、網絡技能和網絡行為等方面進行評估，提高學員的安全思想意識。其次，要引進先進的管理辦法，不能只停留在宣傳式教育和限制網絡上。宣傳形式要新穎，可以用實例向學員宣講，同時模擬真實的環境，讓學員參與其中，從而加深印象，提高意識。管理上可以對學員進行跟蹤監測，發現學員在網絡使用上的漏洞，將其列為控制的關鍵環節加強管理；也可以對學員進行調研，了解學員對于網絡行為和信息安全的認識程度，及時進行針對性教育。同時，領導層面要加強重視，才能提供更多的人力物力支持評估工作。各級干部和學員要抓好落實，養成良好的安全習慣，配合好風險評估工作。

4.2 深入研究風險，有針對性地建立指標體系

合理有效的評估指標體系是進行風險評估的基礎要素。建立有針對性的評估指標體系：一是要要充分調研學員信息安全存在的風險，跟蹤學員的網絡行為，發現關鍵環節；二是要把握指標體現建立的原則。首先是一般性原則，包括系統性原則、典型性原則、導向性原則、針對性原則、簡約性原則、可操作性原則以及可延續性原則。風險評估設計要考慮到學員心理行為、網絡安全技術和安全管理制度等多方面因素，依照一般性原則的同時也要綜合考慮這些特殊因素；三是要多維度建立評估指標體系。依據信息安全風險評估成熟的理論和方法，根據對軍校學員網絡行為的研究結果，從法律法規、倫理道德、安全保密和安全技術等維度入手，在每個維度中確立定性和定量的指標，建立網絡安全風險評估架構。

4.3 充分利用評估結果，將風險評估制度化

在完成了對學員信息安全風險的評估后，要對采集的數據進行科學的分析。針對學員的信息安全風險評估存在大量的定性指標，具有結構復雜、不確定性和非線性的特點，傳統的權重賦值方法精度低。人工神經網絡是近幾年發展起來的一種新興的科學方法，它模仿人大腦的工作機理和思維本質，通過數學模型與計算機的結合，所建立起來的一套智能的系統。目前，人工神經網絡已經發展了十幾種，適用于不同的實際問題來建模。而徑向基神經網絡因其能夠逼近任意的非線性函數，解決系統內在難以解析的規律，因此在實際評估的過程中能很好地處理主觀與客觀的指標，得到較為完善的評估結果。針對評估結果，學校應當采取一系列管理措施，并制定長期的網絡使用規范和有關信息安全的紀律條例，并根據新的問題進行修改和完善。把對學員信息安全的風險評估制度化、規范化，真正展現發揮風險評估的效果效用，從而避免安全事故的發生。

參考文獻

[1] 賈玲.軍校網絡信息安全風險評估研究[J]. 武警學院學報，2010（8）：95-96.

[2] 賈衛國，許浩，王成.軍校網絡信息安全風險評估工作探討[J]. 計算機安全，2009（9）：78-80.

[3] 孫利娟，劉彩紅.高校信息安全教育問題研究[J]. 電腦技術與知識，2010（8）：30.

[4] 劉楓.大學生信息安全素養分析與形成[J]. 計算機教育，2010（21）：77-80.

[5] 申時凱，佘玉梅. 糊神經網絡在信息安全風險評估中的應用[J]. 計算機仿真，2011（10）：92-94.

[6] 黃婷婷.網絡安全防御管理研究及對策[J]. SILICONVALLEY，2010（6）：107.

[7] 趙軍勇. 網絡信息系統技術安全與防范[J]. 廣播電視技術，2011（4）：9-11.

[8] 任麗平. 加強大學生網絡安全教育[J]. 內江師范學院學報，2004（5）：97-100.

[9] 巢傳宣.大學生網絡安全問題研究[J]. 南昌工程學院學報，2010（5）：54-57.

[10] 韓立群.人工神經網絡理論、設計及應用（第2 版）[M].化學工業出版社，2011（9）：164.

[11] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，2012，（01）：5-9.

[12] 任偉.無線網絡安全問題初探[J].信息網絡安全，2012，（01）：10.

[13] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網WCSN數據偽造攻擊研究[J].信息網絡安全，2012，（01）：14-16.

基金項目：

基于神經網絡模型的大學生網絡信息安全風險評估及對策研究；項目級別：校創新能力基金；項目編號：ZD2012039。

作者簡介：