高校信息安全防护浅议.doc

高校信息安全防护浅议 席攀锋 甘肃建筑职业技术学院甘肃兰州730050 摘要:目前高校教学管理信息中安全问题频发，暴露出了诸多安全管理问题，文章对高校教学管理信息安全中存在的问题进行了仔细分析，并提出了相应的解决措施。 关键词：信息安全；问题；措施 随着信息化建设进程的加快，信息安全问题逐步成为各高校所面临的难题。高校经过多年的不断努力，通过物理、技术、管理等方面的各种措施，来保障整个校园信息的安全，通过近年来的管理，也取得了一定的成效，但是高校网络信息安全的管理不单单是技术上的问题，也不单单是出台几个管理条例就能解决的事情。根据信息安全管理体系理论对高校信息安全管理的基本要求，高校要建成相对比较完善的信息安全管理制度体系、管理措施等。而通过对高校目前的信息安全管理现状分析来看，仍然存在多方面的不足。 1高校信息安全管理存在的问题 1.1信息安全意识淡薄。目前，高校在信息系统防御能力方面薄弱，网络硬件、软件、协议和安全防护存在较多缺陷和错误，且无法及时、定期修复，严重滞后于信息技术的发展。部分高校教师缺乏安全知识和信息技术水平，对防护措施漠不关心，片面认为学校信息安全是属于专业技术人员的工作。有些学校也不重视高校信息安全管理，导致缺乏安全管理人才及专业指导，同时缺少信息安全系统规划和合理整体布局，风险分析不彻底，制定保障策略存在漏洞。 1.2过分依赖软硬件技术保护。投入信息安全产品，如专业防火墙、专业的VPN通道设置等之后，软件和设备防护能力提高，起到信息安全保护与防范作用。但是仍然存在“重技术、轻管理”的思想，管理的意识不够，观念没有彻底转变。信息安全不仅是技术层面的工作，还需考虑物理、技术、管理安全方面的因素。目前，高校在技术措施上投入大量经费，购买安全产品，却在管理措施上投入较少，过分依赖于硬件技术的保护。信息安全事件主要是人为的管理不善，管理意识的淡薄、条例的不健全、操作过程不当等造成的。 1.3信息安全管理人员配备不足。做好信息安全管理工作，需要有一支高素质的管理队伍，但高校在信息化办公室人员配置上数量较少，专业结构不合理，信息技术部门的工作人员只是购买安全软件装在服务器上。在服务器的管理和维护工作上，通常采用与校外公司签订维护服务协议解决人员紧缺及技术问题，但因不是本校员工，难免出现因事务繁杂而导致责任心不强的问题，有所疏忽将造成重大的损失。还有一种不能忽视的问题，在各个高校普遍存在，就是有部分信息安全管理人员不是计算机或者网络安全专业出身，不能胜任专业的信息安全管理工作，从一定意义上来说，这部分人员不是信息安全管理的专业人员。 1.4管理制度体系不够完善。目前，很多高校没有成立信息安全组织机构，未配备专门人员，尽管部分高校制定了管理办法和规章制度，但达不到信息安全的管理要求。根据信息安全现状和管理要求，各高校都应成立相应的安全组织、管理和技术机构，形成系统的信息安全管理机制。同时，还有部分高校在信息安全管理方面，几乎没有应急预案，一旦出现信息安全问题，后果不堪设想，一些高校虽然制定了大学网络与信息安全报告管理办法，但没有真正发挥作用，未能起到预防信息安全事件发生和消除事件影响的作用。因此，完善高校信息安全管理体系还有很多工作要做。 1.5信息安全管理和技术有待提高。高校信息安全管理规章制度权威性不足，没有形成长效机制，是目前普遍存在的问题。任何管理措施都需要执行力，尽管目前高校在教学、管理、服务等方面都普及了数字化，但由于信息安全风险的不确定性，致使信息安全不被充分重视，信息安全管理和保障设备投入有限，设施陈旧，组织框架混乱，安全管理工作的分工不明，导致不能预防和及时处理信息安全方面的问题。信息安全管理制度的落实是高校的重点工作，各高校要高度重视，加强软硬件建设，提高管理人员技术水平，保证高校信息的安全性和可恢复性。 2高校信息安全防护措施 2.1建立有效的信息安全防护系统。合理配置操作系统端口，详细设置防火墙，开放必须利用的端口，关闭其他不必要的端口；正版杀毒软件，供全校师生下载使用，定期修复系统漏洞，发送错误报告并进行分析处理，升级防毒软件，保障校内所有计算机的安全运行；安装与配置IDS入侵检测系统，检测防火墙过滤后的隐匿攻击，安装漏洞扫描系统，内外兼防确保信息终端的可信赖性。 2.2建立安全管理体系。在了解高校当前信息安全管理面临的威胁和风险，分析原因的基础上，结合现有信息安全管理现状，整体规划设计信息安全管理体系。制定相应的安全管理工作机制，明确各管理部门责权，对重点部门、重点节点重点进行安全风险的防控，有效确保整个信息安全管理工作的高效落实。 2.3加强信息安全管理人员的配备和管理。成立学校信息安全管理机构，采取激励政策，引进培养素质高、数量足的高水平网络、数据管理人才队伍，并培养部门信息安全管理员，充分调动他们的积极性和主动性，为学校信息安全保驾护航。对全体师生进行信息安全技术培训，使广大师生熟练掌握日常的安全操作和系统维护，针对性的加强部门、学生内部安全意识和技术人才的培养，使教师学生掌握基本的网络防御技能和安全保密素质。 2.4提高高校信息安全管理应急处理能力。信息安全事件具有隐蔽性、突发性的特征，甚至是具有灾难性和传播性的恶性事件。因此，要充分考虑信息安全事件发生时的影响度、损坏度，并进行风险评估，建立和完善信息安全预警与应急处理机制。各校要成立网络信息安全应急处理小组，明确应急处置流程、落实相关处置人员职责，以加强预防为主，在网络信息安全应急事件发生时，迅速实施应急预案，有效控制突发事件，妥善处理问题。在处理信息安全突发事件时，要兼顾高校正常工作中对网络的需求，在有效控制校园网络信息安全突发事件后尽快恢复校园网络，避免影响正常办公。 3结语 总体来讲，高校目前在信息安全管理方面还存在很多缺陷，已有的安全管理规章和制度只是一种局部的、事后纠正式的安全管理方式，要从根本上避免和降低信息安全事件发生的概率，就必须要根据自身的实际情况，借鉴其他高校的相关经验，制定一套适合本校的安全管理策略和措施体系。 参考文献： 1聂磊，刘小玲.浅谈校园网络信息安全管理J.教育教学论坛，xx（21）. 2张锡周.高等学校校园网信息安全管理体系的构建J.软件导刊教育技术,xx(6). 3李华.高等教育