席攀锋
甘肃建筑职业技术学院甘肃兰州730050
摘要:目前高校教学管理信息中安全问题频发,暴露出了诸多安全管理问题,文章对高校教学管理信息安全中存在的问题进行了仔细分析,并提出了相应的解决措施。
教育期刊网 http://www.jyqkw.com
关键词 :信息安全;问题;措施
随着信息化建设进程的加快,信息安全问题逐步成为各高校所面临的难题。高校经过多年的不断努力,通过物理、技术、管理等方面的各种措施,来保障整个校园信息的安全,通过近年来的管理,也取得了一定的成效,但是高校网络信息安全的管理不单单是技术上的问题,也不单单是出台几个管理条例就能解决的事情。根据信息安全管理体系理论对高校信息安全管理的基本要求,高校要建成相对比较完善的信息安全管理制度体系、管理措施等。而通过对高校目前的信息安全管理现状分析来看,仍然存在多方面的不足。
1 高校信息安全管理存在的问题
1.1 信息安全意识淡薄。目前,高校在信息系统防御能力方面薄弱,网络硬件、软件、协议和安全防护存在较多缺陷和错误,且无法及时、定期修复,严重滞后于信息技术的发展。部分高校教师缺乏安全知识和信息技术水平,对防护措施漠不关心,片面认为学校信息安全是属于专业技术人员的工作。有些学校也不重视高校信息安全管理,导致缺乏安全管理人才及专业指导,同时缺少信息安全系统规划和合理整体布局,风险分析不彻底,制定保障策略存在漏洞。
1.2 过分依赖软硬件技术保护。投入信息安全产品,如专业防火墙、专业的VPN 通道设置等之后,软件和设备防护能力提高,起到信息安全保护与防范作用。但是仍然存在“重技术、轻管理”的思想,管理的意识不够,观念没有彻底转变。信息安全不仅是技术层面的工作,还需考虑物理、技术、管理安全方面的因素。目前,高校在技术措施上投入大量经费,购买安全产品,却在管理措施上投入较少,过分依赖于硬件技术的保护。信息安全事件主要是人为的管理不善,管理意识的淡薄、条例的不健全、操作过程不当等造成的。
1.3 信息安全管理人员配备不足。做好信息安全管理工作,需要有一支高素质的管理队伍,但高校在信息化办公室人员配置上数量较少,专业结构不合理,信息技术部门的工作人员只是购买安全软件装在服务器上。在服务器的管理和维护工作上,通常采用与校外公司签订维护服务协议解决人员紧缺及技术问题,但因不是本校员工,难免出现因事务繁杂而导致责任心不强的问题,有所疏忽将造成重大的损失。还有一种不能忽视的问题,在各个高校普遍存在,就是有部分信息安全管理人员不是计算机或者网络安全专业出身,不能胜任专业的信息安全管理工作,从一定意义上来说,这部分人员不是信息安全管理的专业人员。
1.4 管理制度体系不够完善。目前,很多高校没有成立信息安全组织机构,未配备专门人员,尽管部分高校制定了管理办法和规章制度,但达不到信息安全的管理要求。根据信息安全现状和管理要求,各高校都应成立相应的安全组织、管理和技术机构,形成系统的信息安全管理机制。同时,还有部分高校在信息安全管理方面,几乎没有应急预案,一旦出现信息安全问题,后果不堪设想,一些高校虽然制定了《大学网络与信息安全报告管理办法》,但没有真正发挥作用,未能起到预防信息安全事件发生和消除事件影响的作用。因此,完善高校信息安全管理体系还有很多工作要做。
1.5 信息安全管理和技术有待提高。高校信息安全管理规章制度权威性不足,没有形成长效机制,是目前普遍存在的问题。任何管理措施都需要执行力,尽管目前高校在教学、管理、服务等方面都普及了数字化,但由于信息安全风险的不确定性,致使信息安全不被充分重视,信息安全管理和保障设备投入有限,设施陈旧,组织框架混乱,安全管理工作的分工不明,导致不能预防和及时处理信息安全方面的问题。信息安全管理制度的落实是高校的重点工作,各高校要高度重视,加强软硬件建设,提高管理人员技术水平,保证高校信息的安全性和可恢复性。
2 高校信息安全防护措施
2.1 建立有效的信息安全防护系统。合理配置操作系统端口,详细设置防火墙,开放必须利用的端口,关闭其他不必要的端口;免费提供正版杀毒软件,供全校师生免费下载使用,定期修复系统漏洞,发送错误报告并进行分析处理,升级防毒软件,保障校内所有计算机的安全运行;安装与配置IDS 入侵检测系统,检测防火墙过滤后的隐匿攻击,安装漏洞扫描系统,内外兼防确保信息终端的可信赖性。
2.2 建立安全管理体系。在了解高校当前信息安全管理面临的威胁和风险,分析原因的基础上,结合现有信息安全管理现状,整体规划设计信息安全管理体系。制定相应的安全管理工作机制,明确各管理部门责权,对重点部门、重点节点重点进行安全风险的防控,有效确保整个信息安全管理工作的高效落实。
2.3 加强信息安全管理人员的配备和管理。成立学校信息安全管理机构,采取激励政策,引进培养素质高、数量足的高水平网络、数据管理人才队伍,并培养部门信息安全管理员,充分调动他们的积极性和主动性,为学校信息安全保驾护航。对全体师生进行信息安全技术培训,使广大师生熟练掌握日常的安全操作和系统维护,针对性的加强部门、学生内部安全意识和技术人才的培养,使教师学生掌握基本的网络防御技能和安全保密素质。
2.4 提高高校信息安全管理应急处理能力。信息安全事件具有隐蔽性、突发性的特征,甚至是具有灾难性和传播性的恶性事件。因此,要充分考虑信息安全事件发生时的影响度、损坏度,并进行风险评估,建立和完善信息安全预警与应急处理机制。各校要成立网络信息安全应急处理小组,明确应急处置流程、落实相关处置人员职责,以加强预防为主,在网络信息安全应急事件发生时,迅速实施应急预案,有效控制突发事件,妥善处理问题。在处理信息安全突发事件时,要兼顾高校正常工作中对网络的需求,在有效控制校园网络信息安全突发事件后尽快恢复校园网络,避免影响正常办公。
3 结语
总体来讲,高校目前在信息安全管理方面还存在很多缺陷,已有的安全管理规章和制度只是一种局部的、事后纠正式的安全管理方式,要从根本上避免和降低信息安全事件发生的概率,就必须要根据自身的实际情况,借鉴其他高校的相关经验,制定一套适合本校的安全管理策略和措施体系。
教育期刊网 http://www.jyqkw.com
参考文献:
[1]聂磊,刘小玲.浅谈校园网络信息安全管理[J].教育教学论坛,2010(21).
[2]张锡周.高等学校校园网信息安全管理体系的构建[J].软件导刊·教育技术,2011(6).
[3]李华.高等教育信息化发展中的几个热点问题研究———网络安全与信息管理[J].电化教育研究,2009(9).