淺論校園網絡的信息安全治理＊

田碩果

(中南林業科技大學招生就業處，湖南長沙410004)

淺論校園網絡的信息安全治理＊

田碩果

(中南林業科技大學招生就業處，湖南長沙410004)

目前中國的高校已基本進入了網絡信息化時代。但是，校園網絡安全事故時有發生，究其原因主要在于校園網絡自身還存諸多問題:一是網絡自身的安全缺陷，二是用戶安全意識不強，三是網民法律意識淡漠，四是網絡監控管理不完善。為此，應針對校園網絡信息安全的這些問題采取治理對策。

校園網絡;信息安全;治理對策

高校計算機網絡信息系統已成為高校的教學、科研、行政管理等工作中重要的信息交換手段，發揮著越來越重要的作用。互聯網在世界范圍的迅速普及，使高校的內部網絡與互聯網的關系越來越密切，為高校的國內外交流提供了現代化手段。但是計算機網絡在給人們帶來方便的同時，也帶來了安全問題。計算機網絡具有開放性、互聯性等多樣性，而且存在著技術上的弱點及人為破壞因素，致使網絡容易受到黑客、病毒等的攻擊。例如網上數據被刪除、復制或被破壞，數據的安全性和自身的利益受到了嚴重威脅。面對計算機網絡在安全方面的各種威脅，越來越多的高校在加快建設網絡系統的同時不得不考慮網上信息的安全問題。除了重視能全方位地處理各種不同的威脅，確保網絡信息的保密性、完整性和可用性，使校園網既能向廣大師生開放、適應教學、科研和管理需要的網絡安全技術的應用，同時還應加強信息安全治理機制的建設和信息安全管理體系的建立，這樣才能保證網絡信息的安全。目前我國的高校大都建立了校園網絡中心，擁有萬兆級的主核心路由交換機負責整個學校網絡的接入，通過防火墻與中國教育科研網和CHINANET互聯，這些核心設備大都可以滿足一定時期內學校師生教學、科研的應用需求。各個校園區域還有第二層次的區域匯聚交換機，用來負責每個校區的數據交換，以提高每棟樓宇接入設備的訪問效率，減少接入用戶直接對校園網絡中心核心路由交換設備的沖擊，接入層設備一般采用了具有安全智能的可網管的二層樓棟交換機，基本上實現了通過千兆上聯到各區域匯聚交換機。巨大的投入，完善的網絡硬件設備，為高校信息化水平的提升發揮了巨大的作用。但是我們不能只注重硬件建設，而忽視了信息安全問題。為此，積極地將校園網絡信息安全及其治理的內容納入校園網建設項目中，與整個校園網的建設一起規劃、同步進行很有必要。這樣的效果比建好校園網后發現安全威脅或隱患再去進行信息安全治理強得多。對此，認真研究校園網絡建設過程中的信息安全治理也就具有十分重要的現實意義。

信息安全包括技術層面和管理層面兩個方面。

一、保障網絡信息安全必須組建信息安全組織管理機構

法律層面的社會系統工程，延伸開來還應該包括觀念和文化層面，例如從文化意義上構建信息技術的行為準則，培育網絡空間的道德規范。安全組織包括建立健全組織體系，明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳、保衛部門。制定系統安全保障方案，實施安全宣傳教育、安全監管和安全服務。在大多數高校，網絡中心是信息安全的主管部門和技術支持部門，身兼管理和技術兩項職能，但學校往往賦予網絡中心的只有技術支持的職能，沒有真正意義上的管理職能，出現安全事故只解決技術問題，遺留的很多問題就得不到明確的解決。而信息安全不是個產品，它是一個完整的過程。作為一個過程，它有人、技術、流程這三個組成部分，這些組成部分匹配得越好，過程進展得越順利，這就亟需建立、健全統一指揮、統一步調的強有力的各級信息安全治理機制。因此，高校應該建立了專門負責信息安全管理的組織機構，該組織機構由學校主要領導掛帥，并由技術部門和管理部門的人員構成，其中包括網絡中心的負責人，并由網絡中心負責各部門間的協調和聯絡，真正的發揮這類機構的作用，制定安全政策和策略以及一系列體現安全政策的規章制度并監督執行。

從人力資源的角度看，很多高校的網絡中心都是近幾年來新成立的部門，普遍存在校園網建設任務繁重、技術和管理人才缺乏的矛盾。學校應該重視網絡中心的人力資源配置工作，引進高層次的技術人才和管理人才分別負責網絡建設、管理和維護、信息資源建設、信息安全治理等工作，做到分工明確、責任到人，這樣才能使信息安全治理得到人力資源上的保證。

二、提高思想認識，樹立信息安全第一的意識

加強對師生員工的信息安全意識和安全教育。網絡中心應充分發揮其管理職能，與學校保衛處、學工部、校團委等相關部門協調配合，積極在全校范圍內開展有關信息安全的宣傳活動，邀請信息安全方面的專家對師生員工進行安全培訓，定期舉行關于信息安全的學術報告等等，將安全意識擴展為一種氛圍，努力提高和強化學校內的信息安全觀念意識，確立信息安全管理的基本思想與策略，加快信息安全人才的培養。這就將焦點從強制性的安全策略轉換為自主接受的安全策略文化，這也是實現信息安全目標的基本前提。

三、加強信息安全分析，讓信息安全得到成熟有效的技術保證

環境的動態性決定了信息安全工作將是一項長期的、無止境的攻防并舉的基礎性工作。因此必須確定所使用的安全產品在技術上是成熟的、有效的。高校網絡系統安全，從技術角度來說，主要涉及到網絡通信系統的保密與安全、操作系統與數據庫平臺的安全、應用軟件系統的安全等三個方面。要保證校園網絡信息的安全，要先對網絡系統進行科學的安全分析，結合具體應用，將上述三個方面密切結合，在網絡信息系統中建立一整套安全機制，實現從外到內的完整的安全防護系統。

四、建立制度，定期進行信息安全檢查、審核和評估

正如前所述，環境的動態性決定了信息安全工作將是一個長期的、無止境的攻防并舉的基礎性工作。因此，必須定期對學校的信息安全過程進行嚴格的檢查、審核工作，并不斷地對學校的信息安全進行風險分析和風險評估，以制定更適合現狀的信息安全策略。

五、建立動態模型，提高高校信息安全治理效果

保證信息安全要從管理層面上高度重視信息安全，依據實現的安全目標與安全標準制定相關制度文件。在管理上。要進行合理的職責劃分、人員配備;要對信息安全進行宏觀管理與調控，根據應用環境與網絡環境的變化不斷優化安全管理策略;定期組織風險評估、實施動態管理，及時調整相關的安全制度、安全策略、軟硬件環境的配置，促進提高網路工作人員的安全防御水平。只有使管理和技術得到有效的結合，才能提高對網絡事故應急能力和防御能力。管理人員和用戶的安全意識及技術水平提高是信息安全管理中重要的環節，其實施力度將直接關系到安全產品、安全策略被理解的程度和被應用的效果，為此，首先要使信息安全從人力上得到保障。只有加強軟硬件全方位的管理，特別是從技術層面來保障信息系統的安全性(防火墻、入侵檢測系統、防毒軟件)，才會當應用環境發生變化時，可以及時調整相應設備與參數配置。

總之，建立信息安全治理機制是一個動態的過程，要在實踐中不斷發展和完善。由于網絡具有開放性、安全具有相對性，我們必須認清網絡的脆弱性和潛在威脅;同時，隨著新技術、新應用軟件的出現，信息安全治理方案必定要不斷進行修正、補充和完善。信息安全，“三分技術，七分管理”，要提高校院網絡建設中的信息安全治理水平，必須明確高校信息安全治理評價方法和評價指標體系，然后找出存在的問題并分析原因，對癥治理。

2011－07－20

田碩果(1974－)，男，湖南湘陰人，講師。