论文部分内容阅读
[摘 要]随着信息化技术的飞速发展,高校管理与信息化已密不可分,但网络空间安全问题也日益突显。在构建安全智慧校园的进程中,高校有必要对校园网络空间安全问题进行分析评估,并结合已颁布实施的《中华人民共和国网络安全法》,探讨高校加强网络空间安全体系建设的可行性办法。
[关键词]高校;网络空间;网络安全法;风险
doi:10.3969/j.issn.1673 - 0194.2018.04.066
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2018)04-0-02
随着信息通信技术的不断进展,互联网和信息化浪潮遍及全球,形成了独立于陆地、海洋、航空、航天之外的第5维空间——网络空间(Cyberspace)。教育行业在“互联网 ”的时代背景下有了跨越式发展。《教育信息化十年发展规划(2011-2020)》中提到:“高等教育信息化是促进高等教育改革创新和提高质量的有效途径,是教育信息化发展的创新前沿”。网络技术在高校教学、科研等工作中发挥着重要的作用。网络的最大特点就是开放性,使高校网络空间安全问题日益突出。
1 高校信息安全的内涵及重要性
2014年,国家成立了由习近平总书记亲自挂帅的网络安全和信息化领导小组。2017年6月1日,国家正式施行《中华人民共和国网络安全法》,这部法律的出台奠定了网络安全和网络强国的法律基础,将信息安全工作提到了前所未有的高度。
信息安全主要由三方面组成,即完整性、可用性和保密性。高校信息安全是指在高校网络空间中运行的各类软硬件及数据能够被有效保护,不会被攻击者破坏并泄露数据,使各系统服务和网络服务能够稳定运行。信息安全的实质是防止内部数据泄露、被篡改,防止应用系统被攻克。高校人员众多,会有很多科研数据,一旦发生信息安全事故,极易造成规模化的教学秩序混乱,因此信息安全建设是高校信息化发展的重要前提。
2 高校信息安全存在的问题
教育部官方网站的数据显示,截至2016年,我国共有高等院校2 879所,在校学生约3 700万人。高校师生在享受网络带来便捷的同时,也时常发生一些信息安全问题,成为高校管理的一大难题。
2.1 从师生角度分析,存在的问题
(1)病毒與木马。计算机病毒会破坏计算机的信息资源,导致系统无法正常运行。有不少用户计算机不安装防病毒软件、防火墙,一旦感染病毒,不仅会危害计算机安全,还会消耗学校网络资源,造成网络拥塞,影响全校整体用户。
(2)账号和密码被盗取。高校拥有各类应用系统,如校园门户平台、邮件系统、OA系统、财务系统等,账号和密码是用户在网络中的钥匙,也是不法分子主要瞄准的盗取对象。许多用户为了方便使用,设置的密码过于简单,如果账户被盗用,用户一般无法快速知晓,不法分子就会继续潜伏使用。由于现在很多高校普遍使用单点登陆技术,不法分子一旦成功盗取密码,就可以访问用户的所有系统,从而会带来极大的危害。
(3)个人信息泄露。用户的个人信息一旦泄露,不法分子便可以精准地开展具有很强目的性的犯罪行为,如网络诈骗、篡改破坏数据,严重威胁个人信息安全。
2.2 从学校角度分析存在的问题
(1)不重视安全问题。网络信息安全问题没有引起校方重视,一方面,高校没有认识到安全问题的重要性,也没有认识到信息安全事故的危害性,缺少相应的安全培训,认为是否发生安全事故是一种“运气”。另一方面,部分师生认为高校的信息安全是学校网络部门的责任,与自己无关,在业务运行方面则重服务轻安全,例如抱怨在校外通过VPN访问校内资源太麻烦。
(2)缺乏完善的安全制度。不少高校在信息化规划、运营服务等方面的制度存在较多空白,或是长期滞后,这样不仅容易出现信息安全风险,而且无法将信息安全落到实处。高校各部门、院系在信息安全建设上各自为战,缺少统一制度体系引领,各院系的不平衡发展将直接影响全校的信息化发展进程,导致安全事件发生的频率往往要高于那些不重视信息安全的部门院系。
(3)专业安全人员缺失。高校的岗位设置中会有网络技术部门,但是普遍缺少专职的信息安全管理岗位。网络技术部门内部也分为多个职能岗位,每个岗位的技术人员会从自身业务的需求考虑信息安全问题,其本身已经将体系化的安全建设工作进行了分割,对于各院系而言,更谈不上能基于学校总体层面的信息安全要求去开展建设工作。
(4)设施配备滞后。高校的各类软硬件技术发展很快,但相关设备却发展滞后。在保障基础的信息安全前提下,高校并非要紧跟技术潮流,采购部署新设施,因为安全水平并不是仅仅依赖设施的先进程度和多寡来决定,但保障信息安全的设施是必须配备的,如防火墙、入侵防御设备、网络病毒防御系统、各类审计设备和正版软件等。
(5)缺少资金保障。中国高等教育学会教育信息化分会发布的《2015高校网络信息安全调研报告》显示,全国有47.76%的高校每年在网络信息安全方面的总投入少于40万,其中有13.43%的高校无资金投入。随着校园业务应用信息化的普及,校园数据信息资产不断增长,但安全防护投入未见显著增长。如果网络安全防护未跟上信息化建设步伐,整体防护水平必然下降,这也将大大延缓高校整体信息化的速度。
3 加强高校信息安全管理的策略
《网络安全法》是我国第一部针对网络安全领域规范化管理的法律,将网络信息安全规范提升到国家法律层面,就高校而言,读透《网络安全法》是十分必要的。本文将从高校管理工作角度出发,结合高校当前工作状况,探讨加强高校信息安全管理的策略。
3.1 制度建设与落实并重
由于高校网络具有系统庞大、逻辑关系复杂的特点,高校可从技术和管理两方面着手建立制度体系,技术方面涉及物理、网络、主机、应用和数据安全,管理方面涉及安全、机构、人员、系统建设和系统运维,以制度形式确立,落实责任人、分管人,并签订安全责任书。同时,高校要积极引进信息安全人员,加强内部信息管理人员专业培训。《网络安全法》做了明确要求:“网络运营者应当制订网络安全事件应急预案,及时处置计算机病毒、网络攻击、网络侵入等安全风险”。这些法律要求使高校必须重视网络安全问题,除了加强制定符合高校特点的安全管理制度外,还必须加强落实,将行政规范落实到具体的工作中。 3.2 技术与管理并重
“互联网 教育”已逐步在高校中普及,要保障这些应用的正常运行,需要配备相应的安全政策和技术手段。《网络安全法》中要求:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行”。在此基础上,高校需调研当前的网络安全水平,通过建立等级保护体系,系统进行安全风险评估。在管理过程中,高校要建立网络系统安全配置基线,规定操作系统、数据库、中间件、Web应用等系统的入网安全必须项。同时,高校要建立服务器准入门槛,施行申请、审核、准入管理流程;固定管理人员、加强安全检测;校外开发人员由专人申请,通过校内VPN访问校内资源。
3.3 运行监管与应急并重
运行在网络空间内的是信息数据,需重视数据的安全管理。因此高校应对新建系统进行合规性和安全检测,对已有系统进行安全漏洞扫描,与上级部门、高校安全工作组、公测平台建立联系,第一时间获取学校信息系统的安全测评情况,完善风险评估和应急工作机制,制订安全事件应急预案。《网络安全法》指出:“網络运营者应当严格保密收集的用户信息,并建立健全的用户信息保护制度”。高校作为校园网的运营者,需要严控审查校园数据流通,对数据进行必要的脱敏处理,并对应急预案进行分级处理,将应急措施明确到具体的责任部门及人员。此外,高校每年要进行安全演练,并结合网络安全状况对网络安全事件应急预案进行修订。
4 结 语
高校网络空间安全是一项长期且艰难的工作,涉及面越来越广,众多因素和变量导致其始终处于一种“不确定的状态”,要在这种不确定下实现安全,只能维持一种动态、可控、可接受的风险管理状态。信息化是提升高校核心竞争力的必要途径之一,而信息安全是信息化建设中的重要部分,因此需要高校常抓不懈,抓住《网络安全法》的出台契机,自查学校网络空间安全现状,通过策略、保护、检测、响应的安全模型,努力为师生提供一个安全、稳定、可靠的网络空间,为提升学校核心竞争力,创建一流高校提供强有力的保障。
主要参考文献
[1]马新科.大安全观下高校网络信息安全建设[J].中国科技信息,2016(12).
[2]王江.浅谈高校网络信息安全问题与对策[J].中小企业管理与科技,2016(11).
[3]胡修龙.校园网网络信息安全防护体系的研究[J].科技与创新,2016(24).
[4]吴世忠,李斌.信息安全保障导论[M].北京:机械工业出版社,2014.
[5]施骏栋.虚实之间:大学生在网络空间中的自我呈现——以高校BBS论坛网络互动平台为例[J].三峡大学学报:人文社会科学版,2017(1).
[6]朱富丽.高校网络学习空间的建设与推广——以河南牧业经济学院为例[J].数字教育,2016(4).
[7]张静.打造高校图书馆的形象经济——论网络时代高校图书馆的知识公共空间建设策略[J].科技情报开发与经济,2014(11).
[关键词]高校;网络空间;网络安全法;风险
doi:10.3969/j.issn.1673 - 0194.2018.04.066
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2018)04-0-02
随着信息通信技术的不断进展,互联网和信息化浪潮遍及全球,形成了独立于陆地、海洋、航空、航天之外的第5维空间——网络空间(Cyberspace)。教育行业在“互联网 ”的时代背景下有了跨越式发展。《教育信息化十年发展规划(2011-2020)》中提到:“高等教育信息化是促进高等教育改革创新和提高质量的有效途径,是教育信息化发展的创新前沿”。网络技术在高校教学、科研等工作中发挥着重要的作用。网络的最大特点就是开放性,使高校网络空间安全问题日益突出。
1 高校信息安全的内涵及重要性
2014年,国家成立了由习近平总书记亲自挂帅的网络安全和信息化领导小组。2017年6月1日,国家正式施行《中华人民共和国网络安全法》,这部法律的出台奠定了网络安全和网络强国的法律基础,将信息安全工作提到了前所未有的高度。
信息安全主要由三方面组成,即完整性、可用性和保密性。高校信息安全是指在高校网络空间中运行的各类软硬件及数据能够被有效保护,不会被攻击者破坏并泄露数据,使各系统服务和网络服务能够稳定运行。信息安全的实质是防止内部数据泄露、被篡改,防止应用系统被攻克。高校人员众多,会有很多科研数据,一旦发生信息安全事故,极易造成规模化的教学秩序混乱,因此信息安全建设是高校信息化发展的重要前提。
2 高校信息安全存在的问题
教育部官方网站的数据显示,截至2016年,我国共有高等院校2 879所,在校学生约3 700万人。高校师生在享受网络带来便捷的同时,也时常发生一些信息安全问题,成为高校管理的一大难题。
2.1 从师生角度分析,存在的问题
(1)病毒與木马。计算机病毒会破坏计算机的信息资源,导致系统无法正常运行。有不少用户计算机不安装防病毒软件、防火墙,一旦感染病毒,不仅会危害计算机安全,还会消耗学校网络资源,造成网络拥塞,影响全校整体用户。
(2)账号和密码被盗取。高校拥有各类应用系统,如校园门户平台、邮件系统、OA系统、财务系统等,账号和密码是用户在网络中的钥匙,也是不法分子主要瞄准的盗取对象。许多用户为了方便使用,设置的密码过于简单,如果账户被盗用,用户一般无法快速知晓,不法分子就会继续潜伏使用。由于现在很多高校普遍使用单点登陆技术,不法分子一旦成功盗取密码,就可以访问用户的所有系统,从而会带来极大的危害。
(3)个人信息泄露。用户的个人信息一旦泄露,不法分子便可以精准地开展具有很强目的性的犯罪行为,如网络诈骗、篡改破坏数据,严重威胁个人信息安全。
2.2 从学校角度分析存在的问题
(1)不重视安全问题。网络信息安全问题没有引起校方重视,一方面,高校没有认识到安全问题的重要性,也没有认识到信息安全事故的危害性,缺少相应的安全培训,认为是否发生安全事故是一种“运气”。另一方面,部分师生认为高校的信息安全是学校网络部门的责任,与自己无关,在业务运行方面则重服务轻安全,例如抱怨在校外通过VPN访问校内资源太麻烦。
(2)缺乏完善的安全制度。不少高校在信息化规划、运营服务等方面的制度存在较多空白,或是长期滞后,这样不仅容易出现信息安全风险,而且无法将信息安全落到实处。高校各部门、院系在信息安全建设上各自为战,缺少统一制度体系引领,各院系的不平衡发展将直接影响全校的信息化发展进程,导致安全事件发生的频率往往要高于那些不重视信息安全的部门院系。
(3)专业安全人员缺失。高校的岗位设置中会有网络技术部门,但是普遍缺少专职的信息安全管理岗位。网络技术部门内部也分为多个职能岗位,每个岗位的技术人员会从自身业务的需求考虑信息安全问题,其本身已经将体系化的安全建设工作进行了分割,对于各院系而言,更谈不上能基于学校总体层面的信息安全要求去开展建设工作。
(4)设施配备滞后。高校的各类软硬件技术发展很快,但相关设备却发展滞后。在保障基础的信息安全前提下,高校并非要紧跟技术潮流,采购部署新设施,因为安全水平并不是仅仅依赖设施的先进程度和多寡来决定,但保障信息安全的设施是必须配备的,如防火墙、入侵防御设备、网络病毒防御系统、各类审计设备和正版软件等。
(5)缺少资金保障。中国高等教育学会教育信息化分会发布的《2015高校网络信息安全调研报告》显示,全国有47.76%的高校每年在网络信息安全方面的总投入少于40万,其中有13.43%的高校无资金投入。随着校园业务应用信息化的普及,校园数据信息资产不断增长,但安全防护投入未见显著增长。如果网络安全防护未跟上信息化建设步伐,整体防护水平必然下降,这也将大大延缓高校整体信息化的速度。
3 加强高校信息安全管理的策略
《网络安全法》是我国第一部针对网络安全领域规范化管理的法律,将网络信息安全规范提升到国家法律层面,就高校而言,读透《网络安全法》是十分必要的。本文将从高校管理工作角度出发,结合高校当前工作状况,探讨加强高校信息安全管理的策略。
3.1 制度建设与落实并重
由于高校网络具有系统庞大、逻辑关系复杂的特点,高校可从技术和管理两方面着手建立制度体系,技术方面涉及物理、网络、主机、应用和数据安全,管理方面涉及安全、机构、人员、系统建设和系统运维,以制度形式确立,落实责任人、分管人,并签订安全责任书。同时,高校要积极引进信息安全人员,加强内部信息管理人员专业培训。《网络安全法》做了明确要求:“网络运营者应当制订网络安全事件应急预案,及时处置计算机病毒、网络攻击、网络侵入等安全风险”。这些法律要求使高校必须重视网络安全问题,除了加强制定符合高校特点的安全管理制度外,还必须加强落实,将行政规范落实到具体的工作中。 3.2 技术与管理并重
“互联网 教育”已逐步在高校中普及,要保障这些应用的正常运行,需要配备相应的安全政策和技术手段。《网络安全法》中要求:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行”。在此基础上,高校需调研当前的网络安全水平,通过建立等级保护体系,系统进行安全风险评估。在管理过程中,高校要建立网络系统安全配置基线,规定操作系统、数据库、中间件、Web应用等系统的入网安全必须项。同时,高校要建立服务器准入门槛,施行申请、审核、准入管理流程;固定管理人员、加强安全检测;校外开发人员由专人申请,通过校内VPN访问校内资源。
3.3 运行监管与应急并重
运行在网络空间内的是信息数据,需重视数据的安全管理。因此高校应对新建系统进行合规性和安全检测,对已有系统进行安全漏洞扫描,与上级部门、高校安全工作组、公测平台建立联系,第一时间获取学校信息系统的安全测评情况,完善风险评估和应急工作机制,制订安全事件应急预案。《网络安全法》指出:“網络运营者应当严格保密收集的用户信息,并建立健全的用户信息保护制度”。高校作为校园网的运营者,需要严控审查校园数据流通,对数据进行必要的脱敏处理,并对应急预案进行分级处理,将应急措施明确到具体的责任部门及人员。此外,高校每年要进行安全演练,并结合网络安全状况对网络安全事件应急预案进行修订。
4 结 语
高校网络空间安全是一项长期且艰难的工作,涉及面越来越广,众多因素和变量导致其始终处于一种“不确定的状态”,要在这种不确定下实现安全,只能维持一种动态、可控、可接受的风险管理状态。信息化是提升高校核心竞争力的必要途径之一,而信息安全是信息化建设中的重要部分,因此需要高校常抓不懈,抓住《网络安全法》的出台契机,自查学校网络空间安全现状,通过策略、保护、检测、响应的安全模型,努力为师生提供一个安全、稳定、可靠的网络空间,为提升学校核心竞争力,创建一流高校提供强有力的保障。
主要参考文献
[1]马新科.大安全观下高校网络信息安全建设[J].中国科技信息,2016(12).
[2]王江.浅谈高校网络信息安全问题与对策[J].中小企业管理与科技,2016(11).
[3]胡修龙.校园网网络信息安全防护体系的研究[J].科技与创新,2016(24).
[4]吴世忠,李斌.信息安全保障导论[M].北京:机械工业出版社,2014.
[5]施骏栋.虚实之间:大学生在网络空间中的自我呈现——以高校BBS论坛网络互动平台为例[J].三峡大学学报:人文社会科学版,2017(1).
[6]朱富丽.高校网络学习空间的建设与推广——以河南牧业经济学院为例[J].数字教育,2016(4).
[7]张静.打造高校图书馆的形象经济——论网络时代高校图书馆的知识公共空间建设策略[J].科技情报开发与经济,2014(11).