对高校信息安全治理的思考
来源:用户上传
作者:
摘 要:总之,建立信息安全治理机制是一个动态的过程,要在实践中不断发展和完善。由于网络具有开放性、安全具有相对性,我们必须认清网络的脆弱性和潜在威胁,同时,随着新技术、新应用的出现,信息安全治理方案必定要不断进行修正、补充和完善。
关键词:高校;信息安全;网络安全治理
引言:高校的计算机网络信息系统已成为高校的教学、科研、行政管理等工作中重要的信息交换手段,发挥着越来越重要的作用。互联网在世界范围的迅速普及,使高校的内部网络与互联网的关系越来越密切,为高校的国内外交流提供了现代化手段。但是计算机网络在给人们带来方便的同时,也带来了安全问题。计算机网络具有开放性、互联性等多样性,而且存在着技术上的弱点及人为因素,致使网络容易受到黑客、病毒等的攻击。例如网上数据被删除、复制或被破坏,数据的安全性和自身的利益受到了严重威胁。面对计算机网络在安全方面的各种威胁,越来越多的高校在加快建设网络系统的同时不得不考虑网上信息的安全这一重要问题。除了重视能全方位地处理各种不同的威胁,确保网络信息的保密性、完整性和可用性,使校园网既能向广大师生开放、适应教学、科研和管理需要的网络安全技术的应用,同时还应加强信息安全治理机制的建设和信息安全管理体系的建立,这样才能保证网络信息的安全。
1 建立信息安全框架及安全组织机构
从战略视角来看,信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应该包括观念和文化层面,例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。安全组织包括建立健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。在大多数高校,网络中心是信息安全的主管部门和技术支持部门,身兼管理和技术两项职能,但学校往往赋予网络中心的只有技术支持的职能,没有真正意义上的管理职能,出现安全事故只解决技术问题,遗留的很多问题就得不到明确的解决。而信息安全不是个产品,它是一个完整的过程。作为一个过程,它有人、技术、流程这三个组成部分,这些组成部分匹配得越好,过程进展得越顺利,这就亟需建立、健全统一指挥、统一步调的强有力的各级信息安全治理机制。因此,高校应该建立了专门负责信息安全管理的组织机构,该组织机构由学校主要领导挂帅,并由技术部门和管理部门的人员构成,其中包括网络中心的负责人,并由网络中心负责各部门间的协调和联络,真正的发挥这类机构的作用,制定安全政策和策略以及一系列体现安全政策的规章制度并监督执行。
从人力资源的角度看,由于西部地区高校的校园网建设和发展都比较滞后,很多高校的网络中心都是近几年来新成立的部门,普遍存在校园网建设任务繁重、技术和管理人才缺乏的矛盾。学校应该重视网络中心的人力资源配置工作,引进高层次的技术人才和管理人才分别负责网络建设、管理和维护、信息资源建设、信息安全治理等工作,做到分工明确、责任到人,这样才能使信息安全治理得到人力资源上的保证。
2 加强信息安全的思想认识培养,树立信息安全第一的意识
加强对师生员工的信息安全意识和安全教育。网络中心应充分发挥其管理职能,与学校保卫处、学工部、校团委等相关部门协调配合,积极在全校范围内开展有关信息安全的宣传活动,邀请信息安全方面的专家对师生员工进行安全培训,定期举行关于信息安全的学术报告等等,将安全意识扩展为一种氛围,努力提高和强化学校内的信息安全观念意识,确立信息安全管理的基本思想与策略,加快信息安全人才的培养。这就将焦点从强制性的安全策略转换为自主接受的安全策略文化,这也是实现信息安全目标的基本前提。
3 确保信息安全得到成熟有效的技术保证
环境的动态性决定了信息安全工作将是一个长期的、无止境的攻防与挑战,因此必须确定所使用的安全产品在技术上是成熟的、有效的。高校网络系统安全,从技术角度来说,主要涉及到网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全等三个方面。对网络系统进行科学的安全分析,结合具体应用,将上述三个方面密切结合,在网络信息系统中建立了一整套安全机制,实现从外到内的安全防护。
4 定期进行信息安全审核和评估
正如前所述,环境的动态性决定了信息安全工作将是一个长期的、无止境的攻防与挑战。因此,必须定期的对学校的信息安全过程进行严格的审核,并对学校的信息安全进行新的风险分析和风险评估,以制定更适合现状的信息安全策略。
5 高校信息安全治理的动态模型
从管理层面上高度重视信息安全,依据要实现安全目标与安全标准制定相关制度文件,进行合理的职责划分、人员配置,对信息安全进行宏观管理与调控,根据应用环境与网络环境的变化不断优化安全管理策略。管理人员和用户的安全意识及技术水平提高是信息安全管理中重要的环节,其实施力度将直接关系到安全产品、安全策略被理解的程度和被应用的效果,使信息安全从人力上得到保障。定期组织风险评估、实施动态管理,及时调整相关的安全制度、安全策略、软硬件环境的配置与再提高人员安全防御水平。使管理与技术得到有效的结合,从而提高对网络事故的应急能力和防御能力。通过软硬件,从技术层面来保障信息系统的安全性(防火墙、入侵检测系统、防毒软件),应用环境发生变化时,及时调整相应设备与参数配置。
结语:从郑州地区高校网络建设的情况来看,“西部大学校园计算机网络建设工程”是一个很好的契机。这是一个经国务院批准,国家计委批复立项,由教育部组织实施的重点建设项目。该项目建设总体目标是:用一年左右的时间,建设西部 152所大学校园网网络基础设施;实现校园网与中国教育与科研计算机网(CERNET)高速连网;建设一批基于校园网的教学、科研和管理的应用系统。该项目建设内容包括建设校园计算机光纤主干网、校园网网络中心、开放网络机房、多媒体网络教室、省会城市城域网和非省会城市高速接入工程、网络管理和运行系统、教学、科研、管理系统和网络安全保障体系等。如果郑州高校在西部大学校园计算机网络建设工程过程中,积极地将网络信息安全治理的内容纳入校园网建设项目中,与整个校园网的建设一起规划、同步进行的话,其效果要比建好校园网后发现安全威胁或隐患再将信息安全治理提上议事日程好的多。因此,在这个时期对郑州地区高校在校园网络建设过程中的信息安全治理情况进行实证研究,找出问题与不足,提出合理可行的建议,具有非常重要的现实意义和实用意义。
参考文献
[1] 沈昌祥:加强信息安全保障体系的思考,《信息网络安全》, 2002 年 11 期
[2] 冯登国:国内外信息安全研究现状及发展趋势, 中国科学院软件所信息安全国家重点实验室
[3] 冉晓:信息安全策略,《信息网络安全》, 2003 年 04 期
作者简介:1979年6月生、2004.8郑州经贸职业学院计算机系至今。研究方向:计算机软件、数据库。
转载注明来源:https://www.xzbu.com/8/view-8857366.htm
