高校信息安全探討

摘要：全國(guó)首例網(wǎng)絡(luò)盜竊獎(jiǎng)學(xué)金案，再次對(duì)我們高校自身信息安全以及大學(xué)生的信息安全意識(shí)教育提出了警示。該文從兩個(gè)方面分析了校園網(wǎng)信息安全面臨威脅，提出了建議。同時(shí)對(duì)大學(xué)生信息安全教育進(jìn)行初步的探討。

關(guān)鍵詞：校園網(wǎng)；信息安全；信息安全教育

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)36-2955-02

Tht Discuss of University Infomation Security

YANG Ying

(School of Management Xinxiang Medical College， Xinxiang 453003，China)

Abstract: The first case of the national about the network theft of scholarships，it once again makes the warning on our university information security as well as the undergraduateinformation scurity awareness education.This paper analyzes the two sides of the campus network information security threats， and puts forward suggestions. At the same time，it also preliminarily discusses on the undergraduate information security education.

Key words:campus network; infomaiton security; information security education

1 引言

四川一名在校大學(xué)生通過(guò)一系列黑客的軟件以及手段，侵入了蘇州科技大學(xué)校園網(wǎng)，搜到一個(gè)關(guān)于大學(xué)生獎(jiǎng)學(xué)金的excel文檔。根據(jù)上面大約100多名大學(xué)生的相關(guān)招商銀行卡信息以及個(gè)人信息，猜測(cè)出這批獎(jiǎng)學(xué)金銀行卡的初始密碼，并且發(fā)現(xiàn)有同學(xué)沒(méi)有更改初始密碼，于是盜取了49個(gè)發(fā)放獎(jiǎng)學(xué)金的銀行卡帳戶內(nèi)的存款共計(jì)51619.12元。這起全國(guó)首例網(wǎng)絡(luò)盜竊獎(jiǎng)學(xué)金案，再次對(duì)我們高校自身信息安全以及大學(xué)生的信息安全意識(shí)教育提出了警示。該文從校園網(wǎng)信息安全以及大學(xué)生信息安全教育兩個(gè)方面進(jìn)行初步的探討。

我國(guó)高校建立的以計(jì)算機(jī)網(wǎng)絡(luò)為依托的校內(nèi)局域網(wǎng)絡(luò)、教學(xué)科研信息數(shù)據(jù)庫(kù)、數(shù)字檔案等網(wǎng)絡(luò)信息系統(tǒng)在高等院校日常信息交流工作、教學(xué)科研管理發(fā)揮著巨大作用。因此，在當(dāng)前新技術(shù)條件下，能否確保信息檔案的安全，將可能成為我國(guó)高校信息化發(fā)展的重要問(wèn)題。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)給大學(xué)生帶來(lái)海量信息的同時(shí)也帶來(lái)了太多不安全因素。因此，有必要大力加強(qiáng)對(duì)大學(xué)生計(jì)算機(jī)及網(wǎng)絡(luò)信息安全知識(shí)的教育。

2 現(xiàn)階段高校校園網(wǎng)信息安全面臨的主要問(wèn)題

2.1 外部問(wèn)題

目前的校園網(wǎng)絡(luò)信息安全正遭受病毒、黑客攻擊、拒絕服務(wù)攻擊以及各種災(zāi)難事故的發(fā)生等嚴(yán)峻挑戰(zhàn)，時(shí)刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和網(wǎng)絡(luò)信息安全。黑客侵入計(jì)算機(jī)系統(tǒng)，對(duì)整個(gè)信息網(wǎng)絡(luò)的信息安全造成極大的威脅。計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件系統(tǒng)，由于設(shè)計(jì)或人為的原因，常會(huì)存在一些缺陷或漏洞。通過(guò)這些漏洞，攻擊者可以侵入或控制計(jì)算機(jī)系統(tǒng)，甚至破壞計(jì)算機(jī)系統(tǒng)。隨著我國(guó)高校信息網(wǎng)絡(luò)速度的提高，黑客有充足的帶寬資源，可以更加隱蔽和容易實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)進(jìn)行攻擊。計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)和各種存儲(chǔ)介質(zhì)傳播的速度迅速提高，造成的危害也越來(lái)越大。特別是網(wǎng)絡(luò)蠕蟲(chóng)病毒已將傳統(tǒng)計(jì)算機(jī)病毒、蠕蟲(chóng)病毒和黑客攻擊技術(shù)結(jié)合于一身，不僅具有隱蔽性、傳染性和破壞性，還具有不依賴于人為操作的自主攻擊能力，并能在被感染病毒的主機(jī)上安裝后門(mén)程序，它可以針對(duì)多個(gè)系統(tǒng)漏洞，通過(guò)自我繁殖的方式，在網(wǎng)絡(luò)上高速傳播，造成網(wǎng)絡(luò)阻塞、服務(wù)器中斷和信息泄漏、失密。與此同時(shí)，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來(lái)自各方面的攻擊時(shí)，由防毒軟件和防火墻等獨(dú)立安全產(chǎn)品堆砌起來(lái)的措施極可能漏洞百出，處處遭受攻擊。

2.2 內(nèi)部問(wèn)題

2.2.1 高校人員在使用網(wǎng)絡(luò)方面安全意識(shí)不強(qiáng)

高校人員在使用網(wǎng)絡(luò)時(shí)，不及時(shí)打系統(tǒng)安全補(bǔ)丁、安裝時(shí)為方便使用簡(jiǎn)單口令而后來(lái)又不更改、沒(méi)有進(jìn)行適當(dāng)?shù)哪夸浐臀募?quán)限設(shè)置、沒(méi)有進(jìn)行適當(dāng)?shù)挠脩魴?quán)限設(shè)置、打開(kāi)了過(guò)多的不必要的服務(wù)、沒(méi)有對(duì)自己的應(yīng)用系統(tǒng)進(jìn)行安全檢測(cè)。

2.2.2 當(dāng)前高校校園網(wǎng)的建設(shè)存在重規(guī)模輕安全的誤區(qū)

很多高校多年來(lái)主要精力集中于校園網(wǎng)的擴(kuò)容建設(shè)，網(wǎng)絡(luò)安全意識(shí)不夠重視，在網(wǎng)絡(luò)方面的資金、人力投入不足，相應(yīng)的硬件和軟件建設(shè)嚴(yán)重滯后，未能架構(gòu)行之有效的網(wǎng)絡(luò)安全防衛(wèi)系統(tǒng)。

2.2.3 高校校園網(wǎng)建設(shè)缺乏綜合管理人員

很多高校的網(wǎng)絡(luò)中心成為純粹的技術(shù)部門(mén)，大部分人員不能兼顧專業(yè)技能和管理技能，一定程度上限制了校園網(wǎng)的建設(shè)。所以，高校校園網(wǎng)建設(shè)急需既懂技術(shù)又懂管理的人才。

3 高校自身的信息安全的措施

3.1 加強(qiáng)高校信息及信息系統(tǒng)軟硬件的安全防護(hù)

高校信息安全的重點(diǎn)部門(mén)應(yīng)當(dāng)采取多種方式提高信息安全技術(shù)水平。使用全局化、智能化的安全網(wǎng)絡(luò)體系代替陳舊的安防措施。實(shí)行“多兵種協(xié)同作戰(zhàn)”，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備(網(wǎng)絡(luò)交換機(jī)、路由器等)和網(wǎng)絡(luò)終端設(shè)備(用戶PC、服務(wù)器等)，使之成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，也應(yīng)能提供強(qiáng)大的日志、事后追蹤及審計(jì)功能，在網(wǎng)絡(luò)出現(xiàn)異常時(shí)可以根據(jù)記錄迅速查找源頭，防止事態(tài)進(jìn)一步擴(kuò)大;在網(wǎng)絡(luò)遭到攻擊后，能迅速準(zhǔn)確的定位攻擊源頭，嚴(yán)懲肇事者并能及時(shí)恢復(fù)重要數(shù)據(jù)，保證網(wǎng)絡(luò)的正常運(yùn)行。對(duì)于非涉密的網(wǎng)絡(luò)信息，可以使用統(tǒng)一的信息安全技術(shù)標(biāo)準(zhǔn)建立內(nèi)部系統(tǒng)網(wǎng)，并定期對(duì)新建或在建信息系統(tǒng)及網(wǎng)絡(luò)實(shí)施安全檢查與風(fēng)險(xiǎn)評(píng)估；對(duì)于涉密信息，選擇信息安全產(chǎn)品時(shí)，從硬件到軟件，從防火墻到數(shù)據(jù)恢復(fù)，都應(yīng)選擇具有我國(guó)自主知識(shí)產(chǎn)權(quán)的高安全性產(chǎn)品，部分重要涉密信息則可以考慮統(tǒng)一采購(gòu)進(jìn)行特殊改造過(guò)的電子設(shè)備和使用特殊軟件，避免黑客襲擊。加強(qiáng)對(duì)涉密電子文件的管理，進(jìn)一步細(xì)化電子文件的密級(jí)，做到“涉密信息不上網(wǎng)，上網(wǎng)信息不涉密”。

3.2 加強(qiáng)信息安全人才隊(duì)伍建設(shè)

信息安全人才隊(duì)伍建設(shè)是高校信息化健康發(fā)展的重要保證。高校的信息安全人才隊(duì)伍建設(shè)從兩個(gè)方面入手。一方面，從高校應(yīng)該發(fā)揮院校的優(yōu)勢(shì)，積極支持信息安全學(xué)科專業(yè)和培訓(xùn)機(jī)構(gòu)的建設(shè)，制定相應(yīng)的培訓(xùn)計(jì)劃，建立培訓(xùn)基地，完善以院校為主要渠道的人才培養(yǎng)機(jī)制。努力培養(yǎng)一支管理能力強(qiáng)、業(yè)務(wù)水平高、技術(shù)素質(zhì)過(guò)硬的復(fù)合型人才隊(duì)伍，為加強(qiáng)校園網(wǎng)信息安全管理提供堅(jiān)實(shí)的人才保障和智力支持。另一方面，高校廣大的非專業(yè)教師和職工應(yīng)加強(qiáng)信息安全技能培訓(xùn)，提高信息安全綜合素質(zhì)。

4 大學(xué)生信息安全意識(shí)的教育

4.1 大學(xué)生信息泄露的途徑

大學(xué)生需要保護(hù)的信息類(lèi)型大概分為個(gè)人身份資料類(lèi)和個(gè)人網(wǎng)絡(luò)痕跡的隱私保護(hù)。前者包括姓名、生日、家庭住址、電話、電子郵件、銀行卡號(hào)碼、圖像、錄音、學(xué)校名稱、財(cái)務(wù)狀況等等可以單獨(dú)或者聯(lián)合起來(lái)識(shí)別個(gè)人的信息。后者包括例如個(gè)人的言論觀點(diǎn)、行為特征、上網(wǎng)偏好等等。大學(xué)生信息主要的泄露的途徑有四種。第一，通過(guò)網(wǎng)上調(diào)查。一些網(wǎng)站通過(guò)網(wǎng)上調(diào)查非法收集用戶上網(wǎng)習(xí)慣；第二，發(fā)送垃圾郵件。雖然各大郵件提供商都制訂了反垃圾郵件策略，但是垃圾郵件依然是網(wǎng)絡(luò)環(huán)境下個(gè)人信息的一大威脅；第三，在BBS 泄漏個(gè)人信息。BBS 中人們有意無(wú)意可能會(huì)批露個(gè)人的信息，這些無(wú)異于暴露于大庭廣眾，可能被任何BBS 登陸者發(fā)現(xiàn)并使用。第四，實(shí)名博客等對(duì)他人的相關(guān)描述是個(gè)人信息保護(hù)的新挑戰(zhàn)，風(fēng)險(xiǎn)甚至高于BBS 。

4.2 增強(qiáng)大學(xué)生信息安全意識(shí)應(yīng)當(dāng)采取的措施

4.2.1 信息安全法律法規(guī)教育

當(dāng)今的大學(xué)生，作為使用計(jì)算機(jī)及網(wǎng)絡(luò)機(jī)會(huì)多而且很活躍的群體，更應(yīng)該熟悉和掌握我國(guó)的信息安全方面的法律法規(guī)。

我國(guó)的信息安全立法仍處在起步階段，還沒(méi)有形成一個(gè)具有完整性、適用性、針對(duì)性的法律體系。這個(gè)法律體系的形成一方面要依賴我國(guó)信息化進(jìn)程的深化，另一方面要依賴對(duì)信息化、信息安全的深刻認(rèn)識(shí)和技術(shù)、法學(xué)意義上的超前研究。我國(guó)已有的法律法規(guī)從不同的層次對(duì)信息安全問(wèn)題做出了規(guī)范， 例如：我國(guó)的《憲法》、《國(guó)家安全法》、《國(guó)家保密法》等法律從國(guó)家和部門(mén)的高度對(duì)公民、法人及其他組織在有關(guān)信息活動(dòng)中涉及國(guó)家安全的權(quán)利義務(wù)進(jìn)行了規(guī)范；《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)絡(luò)安全保護(hù)管理辦法》等法律直接約束計(jì)算機(jī)安全和國(guó)際互聯(lián)網(wǎng)安全的法規(guī)； 對(duì)信息內(nèi)容、信息安全技術(shù)及信息安全產(chǎn)品的授權(quán)審批，我國(guó)也有相關(guān)的規(guī)定， 如《電子出版物管理暫行規(guī)定》、《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法》、《商用密碼管理?xiàng)l理》等；對(duì)計(jì)算機(jī)違法犯罪的懲罰處理， 我國(guó)在刑法修訂時(shí)補(bǔ)充了有關(guān)計(jì)算機(jī)犯罪的相關(guān)條款，使我們初步有了處罰計(jì)算機(jī)犯罪的法律依據(jù)。通過(guò)引導(dǎo)學(xué)生學(xué)習(xí)有關(guān)法律、法規(guī)，加強(qiáng)對(duì)他們的網(wǎng)絡(luò)法制教育，可以起到調(diào)整、控制、矯正高校學(xué)生網(wǎng)上行為的作用；通過(guò)對(duì)網(wǎng)絡(luò)法律知識(shí)的講解，使高校學(xué)生明確網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)違規(guī)所要承擔(dān)的責(zé)任，從而能夠自覺(jué)地遵守法律。

4.2.2 充分運(yùn)用高校教育資源，積極開(kāi)展信息安全教育

青少年學(xué)生，應(yīng)注重信息辨別能力的培養(yǎng)和信息安全常識(shí)教育。信息安全教育是一種理論知識(shí)與實(shí)際技能相結(jié)合的學(xué)習(xí)過(guò)程， 能夠很好地體現(xiàn)學(xué)以致用的原則，必然會(huì)受到高校學(xué)生的歡迎。信息安全教育可以通過(guò)以下三個(gè)途徑：第一，在大學(xué)基礎(chǔ)教學(xué)中開(kāi)設(shè)專門(mén)的網(wǎng)絡(luò)信息安全教育課程， 使廣大學(xué)生能夠系統(tǒng)地、全面地掌握網(wǎng)絡(luò)安全知識(shí)；第二，大學(xué)期間通過(guò)網(wǎng)絡(luò)信息安全學(xué)術(shù)研討會(huì)、安全知識(shí)競(jìng)賽、安全知識(shí)講座等多樣化的教育形式進(jìn)行網(wǎng)絡(luò)信息安全教育。這樣可以督促大學(xué)生自覺(jué)、主動(dòng)的搜集、學(xué)習(xí)網(wǎng)絡(luò)信息安全方面的知識(shí)；第三，利用學(xué)校傳播媒介和輿論工具，通過(guò)校刊、校報(bào)、校園網(wǎng)絡(luò)、廣播、宣傳欄等進(jìn)行網(wǎng)絡(luò)信息安全教育。

5 結(jié)論

信息安全問(wèn)題十分復(fù)雜，加強(qiáng)高校的信息安全管理是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù)。一方面，各高校校園網(wǎng)應(yīng)加強(qiáng)安全管理和，增大投入，健全網(wǎng)絡(luò)安全管理體制和隊(duì)伍，做好校園網(wǎng)安全管理這項(xiàng)重要的工作，為高校的教學(xué)與科研，建設(shè)一個(gè)安全、可信的網(wǎng)絡(luò)環(huán)境。另一方面，各高校應(yīng)加強(qiáng)對(duì)高校職工的技術(shù)培訓(xùn)以及大學(xué)生的信息安全教育。

參考文獻(xiàn)：

[1] 肖軍模，劉軍，周海剛.網(wǎng)絡(luò)信息安全[M ].北京:機(jī)械工業(yè)出版社，2003.

[2] 胡錚.網(wǎng)絡(luò)與信息安全[M].北京:清華大學(xué)出版社，2006.

[3] 戴英俠.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2004.

[4] 付沙，肖葉枝.試論加強(qiáng)高校網(wǎng)絡(luò)信息安全教育[J].當(dāng)代教育論壇(學(xué)科教育研究)，2007.(5).

[5] 我國(guó)高校網(wǎng)絡(luò)信息系統(tǒng)中涉密數(shù)字信息的安全隱患與對(duì)策[J].湖北經(jīng)濟(jì)學(xué)院學(xué)報(bào)（人文社會(huì)科學(xué)版），2007.(03).