陜西省教育系統網絡信息安全管理問題與對策研究

傅鋼善，李運福，李享陽

（1.陜西師范大學教育技術系，陜西西安 710062；

2.陜西省教育廳信息與學校保障工作處，陜西西安 710062）

陜西省教育系統網絡信息安全管理問題與對策研究

傅鋼善1，李運福1，李享陽2

（1.陜西師范大學教育技術系，陜西西安 710062；

2.陜西省教育廳信息與學校保障工作處，陜西西安 710062）

參考公安部、國務院等四部委2007年頒發的《信息安全等級保護管理辦法》以及信息安全保護等級的相關文獻，以陜西省教育廳信息與學校保障工作處于2011年10月對陜西省教育系統各單位發放的《陜西省教育系統網絡信息安全調查問卷》所得數據為基礎，文章從管理的角度對陜西省教育系統管理現狀做了進一步分析，在此基礎上提出了針對性措施，希望對我國教育系統網絡信息安全的保障有所啟示。

教育系統；網絡信息安全；現狀；對策

引言

網絡技術的發展使網絡在教育系統的應用越來越廣泛。然而，近年來發生的各種網絡安全事件，使網絡信息安全的問題日益突出，雖然國家相關部門針對網絡安全提出了不同的要求，但是這并沒有改變教育系統內網絡安全問題，其主要根源是管理存在問題，因此，針對教育系統中的網絡管理現狀進行調查，針對問題建立一套合理的對策是一個亟須完成的任務。

一、教育系統網絡安全管理調研

筆者選取了陜西省教育系統內86所單位 （其中包括陜西省教育系統下屬的普通高校：普通高等院校、成人高等學校、獨立學院、直屬中等專業學校，直屬中小學：西安中學、西安小學，各級教育行政部門）進行調查，選取主管領導與責任部門、安全管理制度、安全管理機構、人員作為四個觀測點，并對數據進行統計分析，具體數據如下：

1.主管領導與責任部門層次，60.5%的單位具有專門主管網絡信息安全的工作部門 （如網絡中心、教育技術/電教中心、信息中心等），其余單位則主要由黨政辦公室、教務處、實驗教學中心、辦公室等部門兼管；各單位雖均設有責任部門負責人，但最終領導權仍歸該單位內副校長、黨委書記、副院長等具有一定行政職務的人員所有。

2.安全管理制度層次，高達93%的單位制定了不同程度的網絡安全規章制度，結果較為樂觀。然而，各單位間差異性程度 sig=.039＜.05，即各單位間存在一定的差異。在制定網絡安全管理制度的單位中，僅有67.53%的單位對該網絡安全管理制度進行定期的評議和修訂，比例偏低。但是，差異性程度sig=.274＞.05，各單位間不存在差異。

3.安全管理機構層次，有61.6%的單位設置了系統管理員崗位，90.7%的單位設置了網絡管理員崗位，51.2%的單位設置了安全管理員崗位。經進一步分析，各單位間顯著性差異程度分別為.280、.799和.236，即均不存在差異。結果如圖1所示。

通過進一步分析，在安全管理崗位設置中，僅設置其中一項崗位的單位占到總數的30.23%，僅設置其中任意兩項崗位的單位占到總數的36.05%，三項崗位全部設置的占總數的33.73%。在所統計的單位至少設置兩項安全管理崗位居多，占總數的69.78%。對各單位中專職安全管理人員的數量進行統計，結果如圖2所示。

專職人員數量在3人及3人以上占總數的51.2%，且差異性程度sig=0.199＞0.05，各單位間不存在差異。但是，與各單位平均專業技術人員統計結果（專業技術人員平均數量為5人，最少1人，最多14人）相比仍有一定差距。在安全檢查方面，93%的單位內部人員或上級單位對本單位網絡信息安全進行定期、全面地安全檢查，且各單位間不存在差異，較為樂觀。

4.安全管理人員層次，通過數據分析在人員錄用、人員離崗、人員考核以及人員培訓方面具有嚴格管理制度的單位統計如圖3所示。

顯然，在宏觀方面，人員離崗和人員培訓方面欠缺，均不到50%。具備任意一項人員管理制度的占總數的26.74%，具備任意兩項人員管理制度的占29.07%，具備任意三項人員管理制度的占23.26%，四項人員管理制度兼備的占總數29.07%，基本分布均勻。且各單位在人員管理制度方面的差異性程度sig分 別 為 .246、.252、.651 以及.597，均不存在差異。

此外，各單位在系統建設、運維方面，通過數據分析表明，僅有52.30%的單位能夠明確信息系統的邊界以及安全保護等級，單位間差異性程度sig為.798,不存在差異；能夠對單位供配電、空調以及溫濕度控制等環境設施以及系統中的軟硬件設備進行定期檢查和維護的單位分別占到86%和95.30%，各單位間均不存在顯著性差異。

二、教育系統中網絡安全管理存在的主要問題

通過數據分析表明，我省教育系統中網絡安全管理存在的主要問題有：

1.管理機制不健全

部分單位未成立專門負責網絡信息安全的責任部門，仍由其他教學或行政部門兼管，并且最終領導權或決策權主要集中于單位內高層行政領導。

2.管理制度不完善

雖然絕大部分單位制定了網絡信息安全相關制度，但是能夠對其進行定期評議和修訂的比例相對不足，無法保證制度與時代、技術的同步變革，缺乏先進性。

3.管理機構不健全

各單位中管理崗位設置不均勻，其中設置網絡管理員的占絕大多數，系統管理員與安全管理員相對不足，三項崗位均設置的單位占總數的33.73%，以設置兩項及以上崗位居多，崗位設置不全面就會造成一崗多職、責任不明確等弊端；其次專業技術人員數量相對不足，且專業化程度不高。

4.管理人員松懈、缺乏培訓

各單位中人員管理制度設置不全面，單獨設立其中任意一項、兩項或三項的比例相對均勻，但比例較低，僅為30%左右，人員錄用、離崗、考核和培訓四方面全部制定嚴格的管理制度的單位僅為29.07%，尤其缺乏對離崗人員的嚴格管理制度；其次是缺乏對管理人員的培訓，不能保持人員在技術和管理方面頭腦的先進性。

此外，通過相關分析，教育系統中網絡安全管理還存在著網絡管理人員和用戶的網絡安全意識相對較低、單位在網絡建設方面缺乏專項資金的投入以及與外部網絡安全公司或部門缺乏交流與合作等問題，這些管理層面的問題都將在不同程度上影響著單位內網絡信息的安全，亟待解決。

三、網絡安全管理的建議

通過上述分析，我省教育系統網絡安全管理存在的主要問題除管理制度制定方面以外，其余問題各單位均有共同特征。因此，面對越來越嚴峻的網絡安全形勢，我們針對上述教育系統中網絡安全管理存在的主要問題提出以下建議。

1.健全管理機制，加強領導

各單位領導應充分認識到保障網絡信息安全的必要性，根據自身實際設立類似網絡管理中心或信息中心等專門管理單位網絡信息的部門，并由專業且經驗豐富的人員擔任該部門主要負責人；領導權或決策權在一定程度上由院長、副院長等領導指導下劃歸該部門負責人，形成行政與業務分層領導。

2.定期評議、完善安全管理制度，保持其先進性

安全制度管理層次，各單位應根據自身實際，委托或授權專門人員或部門制定包括信息發布登記制度、信息內容審核制度、用戶備案制度、安全教育培訓制度以及電子公告系統的用戶登記和信息管理制度等在內的較為全面的網絡安全管理制度以及各項管理人員或系統人員執行的日常行為規范或守則，形成一個由安全策略、管理制度、操作規程等元素構成的較為全面的網絡信息安全管理制度體系；網絡安全管理制度在發布之前要經過專門人員或部門根據單位實際進行鑒定，且對制度的發布和登記等環節進行嚴格控制；制度在實施過程中應根據實際需求進行適當調節，由單位內專門技術人員提出修改建議，經專家或相應部門許可后方可執行；定期組織單位內外技術人員對制度根據技術的變遷以及社會經驗等進行適當的評議和修訂，保證單位內管理制度的先進性。

3.健全網絡安全管理機構

安全管理機構層次，各單位根據實際，適當地引進系統管理人員以及安全管理人員。在一定程度上使單位內的技術人員覆蓋范圍較為全面，尤其是專職的網絡信息安全管理人員，提高管理人員專業化程度，各崗位人員的職責明確化；加強與單位外部專業技術人員以及系統相應軟硬件公司間的溝通與交流，保持頭腦的與時俱進；組織專業技術人員加強對網絡進行安全檢查，匯總檢查數據，形成檢查報告，并將檢查結果進行及時通報，對檢查出的網絡安全問題進行及時商議和修訂。

4.完善人員管理，促進內外交流

人員安全管理層次，加強或設置嚴格的人員錄用、離崗、考核以及培訓制度，尤其是人員離崗或人員培訓制度。對于離崗人員應辦理嚴格的調離手續，關鍵崗位人員離崗前須承諾調離后的保密義務，并及時終止離崗員工的所有訪問權限；通過調查數據分析，65.1%的單位認為網絡技術人員與用戶的安全意識薄弱是造成各種網絡安全的主要原因。因此，加強網絡管理人員與用戶的安全意識，并對各崗位管理與技術人員提供針對性的技能培訓，尤其是關鍵崗位的技術人員，為其提供盡可能多的深造與交流的機會。

此外，通過調查分析，62.8%的單位認為缺乏網絡安全專項資金的投入是造成教育系統網絡信息安全問題的另一主要原因。因此，各教育行政部門、各單位適當加強教育系統內在網絡信息安全保護方面專項資金的投入，以保障專業技術人員的引進與培訓、系統內各項軟硬件設備的及時升級與更新（尤其是關鍵設備）以及網絡系統運行環境的改善。

小結

總之，我們在利用各種技術手段從網絡安全、主機安全、應用安全以及數據安全等層面提高單位內網絡信息安全性能的同時，也要不斷加強和完善主管領導與責任部門、制度安全、人員安全、系統建設與運維等管理層面的各項措施。做到技術和管理相輔相成，共同提升網絡在教育信息化中的關鍵作用。

[1]公安部辦公廳.關于印發《信息安全等級保護管理辦法》的通知.2007年6月27日.

[2]計算機信息網絡國際聯網安全保護管理辦法.公安部第33號令.

[3]教育部辦公廳關于進一步加強網絡信息系統安全保障工作的通知.教辦廳函[2011]83號.

[4]教育部辦公廳關于開展信息系統安全等級保護工作的通知.教辦廳函[2009]80號.

（編輯：郭桂真）

TP315

A

1673-8454（2012）04-0015-03