高校信息安全論文

前言：尋找寫作靈感？中文期刊網用心挑選的高校信息安全論文，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1信息安全是推進高等教育信息化的前提保障

1.1高校信息安全的概念

目前，信息安全并沒有明確的定義。ISO/IEC17799中將信息安全定義為：通過實施一組控制而達到的、包括策略、措施、過程、組織結構及軟件功能，是對機密性、完整性和可用性保護的一種特性。美國對信息安全的定義是：對信息、系統以及使用、存儲和傳輸信息的硬件的保護。美國從技術和管理兩個角度出發，將信息安全概括為信息環境安全、信息數據安全、信息程序安全、信息運行系統安全四個方面。沈昌祥院士將信息安全定義為：“保護信息和信息系統不被未經授權的訪問、使用、泄露、修改和破壞，為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性。”我國關于信息安全的定義基本上從技術和管理角度提出（主要指信息系統安全）。在本文中，筆者將高校信息安全界定為：高校信息安全是指確保涵蓋信息處理系統的安全、信息自身的安全和信息利用安全在內的，從電腦硬件安全、處理系統運行安全、信息數據安全、信息內容本身安全四個維度出發，對具有機密性、完整性和可用性的高校信息保護的一種特性。

1.2高校信息安全的內容

通過上文對高校信息安全概念的界定，筆者認為高校信息安全主要內容歸納為以下四個方面：一是從物理安全維度看，主要是校園網絡內運行的硬件設備的安全。涉及的是動力安全、設備安全、電磁安全、環境安全等；二是從運行安全維度看，主要涉及網絡系統的可控性、可用性、可信賴性等，即保障信息系統不被篡改、破壞或不被非法操作等；三是從數據安全維度看，保障校園網絡中流通數據的安全，既網絡中的數據不被篡改、非法增刪、復制、解密、盜用等；四是從內容安全維度看，是對信息本身內容真實性的鑒定、隱藏信息的發現以及對信息的選擇性阻斷。其中物理安全和運行安全是信息安全的基礎。

1.3高校信息風險表現及信息安全保障之必要性

高校信息風險主要表現為：一是高校“信息風險人群”比例遠高于國內其他行業“風險人群”。據360安全中心的《2013年第一季度中國個人電腦網上安全報告》顯示，國內高校“風險人群”比例為28.7%。比全國“風險人群”的25.8%高近3個百分點。二是高校引發信息安全的因素種類繁多。除自然因素外，如計算機病毒、黑客、釣魚網站、非法入侵盜號、系統的漏洞、人為操作等。三是高校的私有機密信息如學校公共數據、師生的個人信息、財務信息、檔案信息、設備資產信息、教務信息等重要數據容易泄露或被非法竊取。針對高校信息風險表現，積極探索高校信息安全保障策略具有重大意義。一是有利于提高高校信息安全管理整體意識；二是有助于制定行之有效的信息安全管理制度，三是能促進高校信息安全保障機制的不斷完善，有效推進高校信息化進程；四是是能提高師生信息安全意識，促進我國信息安全專業人才的培養。

2高校信息安全風險分析

信息風險分析是一種主動識別信息風險的過程。筆者分別采用定性分析、定量分析、定性和定量相結合的方法對高?，F實信息系統的實際情況做了調查研究、結合學校信息泄露案例進行分析，從共性上看，認為信息安全風險因素可以歸納為以下幾類。

2.1高校信息安全保護機制普遍存在認識不足，防護不夠的現象

首先，高校網絡系統使用人員信息安全意識淡薄。主要表現為大學生對信息安全缺乏足夠的重視，高校沒有成型的大學生信息安全教育模式，對大學生進行信息安全教育處于形式。高校對大學生的信息安全教育不夠重視，嚴重滯后于信息技術的發展。大學生對學校信息安全缺乏正確認識，對相關信息安全法律法規缺乏了解，信息安全意識淡薄。作為系統使用人員的教師，由于缺乏必要的信息安全知識和信息技術，對信息安全防護漠不關心，片面的以為學校信息安全屬于專業技術人員，于己無關。其次，高校信息管理人員安全意識淡薄。對于缺乏信息安全教育專業培訓的技術管理人員來說，他們缺乏“防黑防毒”意識，對于來自外部或內部的惡意攻擊缺乏警惕性，缺乏積極防御、保障信息安全的主動性。再次，高校信息安全專業人才的培養尚處于起步階段，高校貧缺專業信息安全管理人才。由于缺乏專業信息安全人才的專業指導，導致高校信息安全建設缺乏系統規劃和整體布局，對信息風險認識不夠，分析不徹底，所制定的信息保障策略存在漏洞。最后，對信息系統安全漏洞未能及時、定期修復。安全漏洞是指在網絡系統硬件、軟件、協議和系統安全策略存在的缺陷和錯誤。攻擊者就是通過研究這些漏洞向高校的信息系統傳播病毒，或者人為控制計算機系統。管理者只有及時修復這些漏洞，才可以確保信息安全。

2.2高校信息安全制度不健全，存在信息安全管理漏洞

雖然高校信息化普及很快，但大部分高校對信息安全在監督和管理上都存在著漏洞。高校在信息安全管理上缺乏健全的制度，高校內部管理相對松散，已有的制度大多數是趨于形式的要求而設立，沒有嚴格的監督檢查機制，甚至連信息安全領導小組都未成立，對突發的信息安全問題缺乏應急處置預案，出現頭痛醫頭，腳痛醫腳的忙亂應對現象。據初步統計，大部分的信息安全問題是由于管理疏忽或者管理不善造成的，因此，從管理角度加強信息管理，是能夠有效保障信息安全的。

2.3高校信息安全投入不足，安全保障設施不健全

目前高校數字化建設已經取得一定成績，數字化教學、管理、服務基本普及。但在管理和保障信息安全的設備上投入資金十分有限。首先因為用于保障信息安全設備成本較高，而信息風險的不確定性導致信息安全本身又不被領導充分重視，大部分高校安全保障配套設施陳舊；其次伴隨高校擴張，大部分高校網絡缺乏戰略發展規劃，網絡邊界設備之間缺乏有效的聯動，網絡拓撲結構不合理，內網和外網在數據交換及數據流轉方面存在不安全因素；最后為節約網絡運行成本，學校采取與網絡營銷商合作的方式來減少學校網絡運行維護人員，忽視對網絡安全維護方面的投入。

2.4高校缺乏對BYOD、云計算和大數據安全問題應對方案

由于在智能手機、平板電腦、超極本的智能終端使用某些應用比在PC上操作方式更簡單快捷，2013年移動辦公設備的信息安全問題成為安全信息的新問題。調查顯示，高?；旧线€沒有制定相關的BYOD安全管理政策，以具體規定師生員工如何在學習工作場所中使用自己的移動。如何在確保信息安全的情況下更好的利用BYOD帶來好處成為高校信息安全風險分析的重要任務。高校在云計算信息安全方面專注于保護云計算主機站點的數據安全，對從移動終端訪問云數據的用戶安全重視不夠，他們經常面臨數據泄露、數據丟失、賬戶劫持、不安全的API、拒絕服務攻擊、內部人員的惡意操作、云計算服務的濫用、云服務規劃不合理、共享技術的漏洞等問題。

3高校信息安全保障策略

建立高效、協調、集成的數字化辦公系統是長春理工大學成為綜合性、研究型、開放式的國內一流大學的信息化保障，如何保障信息安全便成為建設數字化辦公系統需要面對的首要問題。

3.1加強信息安全知識教育和技能培訓，從信息主體層面增強網絡安全防護

為從根本上增強網絡安全防護，長春理工大學采取了一系列措施提高網絡信息主體——師生的信息安全防范意識和防范技能。一是加強國內外信息安全法律法規教育，增強師生信息安全法律意識。如：長春理工大學定期組織管理員、信息源接入人員、廣大師生學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息審核、登記制度》等國內外信息安全法律法規教育，普及信息安全知識，提高師生安全保密素質，讓師生明確維護信息安全的重要性和維護信息安全人人有責，充分發揮師生在信息安全維護中的主體作用。二是對師生進行信息安全技術培訓，提高師生信息安全防御技能。信息安全技術培訓主要是針對師生的實際需求，開展計算機應用和網絡運用技能的培訓，培養學生基本的網絡防御技能。長春理工大學多年來一直堅持定期邀請專職技術人員對學校師生進行信息安全技術培訓。如電腦操作系統定期更新，及時修補電腦安全漏洞，辨別不良網站等知識，讓師生學會日常的安全操作和系統維護。

3.2堅持校園網硬件投入和有效信息技術的充分融合，確保網絡運行安全

首先，建立完整的校園網絡病毒防御體系。一是安裝正版殺毒軟件。如：長春理工大學將正版的殺毒軟件掛在學校的信息中心網站上，讓學校教師免費使用正版殺毒軟件，通過利用正版殺毒軟件定期掃描殺毒，及時修復系統漏洞，遇到問題及時向軟件開發商發送錯誤報告并進行分析，定期升級防毒軟件、更新病毒庫等，有效保障了學校電腦的安全運行。二是詳細設置防火墻防范策略。對操作系統的端口配置嚴格把關，必須及時做到開放該開放的，關閉不需要的端口。對外提供網絡服務的服務器。把必須利用的端口開放，其他的端口必須全部關閉。三是安裝與配置IDS入侵檢測系統。入侵檢測系統主要監控內部網絡操作行為及多種攻擊，是檢測防火墻過濾后的隱匿攻擊。四是安裝漏洞掃描系統。如：長春理工大學為每位教工電腦安裝漏洞掃描系統，采用主動探測的方式快速獲取目標設備的脆弱點，從而協助系統操作人員對目標系統建立風險快照。分別采用ping掃描、端口掃描、OS探測、脆弱點探測等技術對指定的遠程或本地的計算機系統的安全威脅進行定期掃描檢測，及時修補各種漏洞。其次，以防內為主，內外兼防為輔，確保信息終端平臺的可信賴性。安全終端平臺的建設依靠密碼服務和安全操作系統支持。一是確保終端平臺用戶的合法性，用戶只能根據規定的權限和控制規則進行操作；二是采用身份認證、訪問控制、密碼加密等措施，構建計算機系統應用環境安全，如：長春理工大學教師采用一卡通的上網卡號進行身份認證；三是建立提供認證、授權、檢測、應急和處理非法訪問服務的信息安全管理中心，提供互聯互通的密碼配置，公鑰證書等密碼服務措施。具體保障措施如下：選用LOTUSNOTES／DOMINO作為辦公自動化系統的主要開發平臺。(1)數據加密。包括使用秘鑰對電子郵件文檔加密；網絡端口級加密；使用SSL對在INTERNET客戶機和DOMINO服務器間或在NOTES工作站和INTERNET服務器間傳送的住處進行加密；域、文檔和數據庫加密。（2）NOTES的數字簽名，身份認證包括NOTES工作站與DOMINO服務器之間的認證以及客戶端與mMmo服務器之間的認證。（3）NOTES還允許用戶通過建立群組的角色的方式來規劃NOTES數據庫的訪問安全性。（4）利用雙網卡主機技術實現辦公網絡安全隔離。（5）引入第三方的公鑰基礎結構（PK），進一步改善網絡系統的安全性。

3.3建構多重信息安全管理渠道，加強信息安全運行的制度保障

首先，設置層次明晰，職能合理的信息安全管理機構。依照“預防為主，綜合治理”、“制度防范和技術防范相結合”的原則，信息安全管理實行三級管理機制，由領導決策并負監督，中層干部管理，基層操作者具體執行。以長春理工大學為例，近年來學校建立了信息安全管理的三級管理機制，成立了專門的信息中心，處級單位，配備具有專業知識的工作人員，由一名副校長分管學校信息安全工作，中層領導分管本部門的信息安全工作，基層建立兼職信息員隊伍，具體負責本部門的信息安全工作，使得信息安全工作層層落實。同時學校還制定了具體的組織體系和信息安全工作職責，厘清三級體制下各級各部門的具體職責；制定了《長春理工大學信息員管理辦法》，詳細規定各信息安全崗位人員管理考核辦法，使信息安全工作落到實處。其次，建立常規管理制度、應急處理和定期評估制度。一是針對信息安全具有復雜性、動態性和突發性強的特點，制定常規化信息管理制度。如長春理工大學先后制定了《長春理工大學操作系統和數據庫的安全配置程序管理制度》、《長春理工大學網絡信息中心機房管理制度》、《長春理工大學計算機案件和事故報告制度》、《長春理工大學計算機病毒及有害數據報告制度》、《長春理工大學病毒檢測和安全漏洞檢測制度》、《長春理工大學網絡設備管理制度》、《長春理工大學信息審核制度》等多項信息管理制度。二是制定應急處理機制，對于突發的、涉及范圍廣，危害性大或影響深的信息安全事件采取有效的應對措施，有效控制信息危機的發生。如長春理工大學成立信息危機應急處理小組，及時應急處理方案和信息，有效控制信息危機的發生。三是注意日常信息安全動態，建立定時測評，不定期檢查，隨時抽查的信息檢查制度，如：長春理工大學建立了信息檢查制度，不定期檢查各基層單位信息安全情況，并對相關測評、檢查、抽查的情況進行匯總形成相關信息安全檢查日志，及時通報相關部門。

3.4設立信息技術咨詢指導部門，促進信息安全防護與前沿信息技術的緊密結合

沒有一勞永逸的信息安全保障策略。隨著信息技術的發展，保障策略要不斷更新、完善。例如：長春理工大學組建專業技術咨詢指導部門，成立了長春理工大學信息中心，由專職工作人員跟蹤最前沿的安全信息及新信息技術的發展動態，尋找已有防御網絡隱患，積極引進前沿網絡技術，并為信息安全保障系統建設提供專業、合理、可行化建議，積極完善和革新信息安全保護措施，取得了較好的效果。學校還將最新的技術發展及時體現在校園網絡系統中，并對相關信息維護人員進行專業化培訓，應對隨時可能爆發的信息安全事件，增加廣大師生的信息安全知識，提高信息安全意識，使學校的信息安全工作切實做到實處，收到了實效。

4結語

高等教育現代化的前提是信息化的快速發展，而高校信息化發展的前提則是信息安全的有效保障。信息安全是與信息風險相伴而生的，隨著高校信息化進程的不斷推進，新的信息安全隱患不斷涌現，信息風險也不斷加大，建立一套高效、協調、集成的信息安全保障體系勢在必行。因此，高校應根據實際情況，不斷補充與完善現有信息安全保障體系，通過信息安全教育、網絡安全防護、信息安全管理、信息技術咨詢等機制的建設及相互作用，規避信息風險，提高信息安全保障強度，確保信息安全保障體系高效運作和良性發展。

作者：王延明 許寧 單位：長春理工大學發展規劃與政策法規處