大數(shù)據(jù)時代高校信息安全策略的設(shè)計與實現(xiàn)

◆湯志軍

大數(shù)據(jù)時代高校信息安全策略的設(shè)計與實現(xiàn)

◆湯志軍

（南京審計大學(xué) 江蘇 211815）

應(yīng)用大數(shù)據(jù)思維和技術(shù)，能夠推進高校信息安全策略的有效實施。本文首先進行了高校信息安全風(fēng)險分析，其次提出大數(shù)據(jù)思維和技術(shù)下高校信息安全策略設(shè)計，從風(fēng)險治理視角切入，對大數(shù)據(jù)時代的高校信息安全進行研究，最后闡述了“大數(shù)據(jù)”時代高校信息安全策略的實現(xiàn)，從而提高高校信息化管理服務(wù)的水平。

校園網(wǎng)；信息安全風(fēng)險；安全策略

隨著移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新一代信息技術(shù)的創(chuàng)新和應(yīng)用普及，全球正逐步進入數(shù)據(jù)社會階段。在這樣的背景之下，越來越多的高校進行了智慧校園的建設(shè)，將各種網(wǎng)絡(luò)教育資源切實有效地應(yīng)用到教育教學(xué)中，為現(xiàn)代化教學(xué)提供新的理念和方式，提高了教學(xué)效率和教學(xué)效果，同時在管理方面增加了眾多業(yè)務(wù)應(yīng)用軟件，推動了學(xué)校管理、教學(xué)和發(fā)展模式的改革，提高了日常工作效率，但也這對校園網(wǎng)的依賴越來越高，容易導(dǎo)致網(wǎng)絡(luò)黑客和計算機病毒通過校園網(wǎng)形成新型的攻擊手段。為了更好地對信息安全進行防范，信息安全技術(shù)也應(yīng)當適應(yīng)現(xiàn)行的發(fā)展形勢，轉(zhuǎn)變思維。針對上述問題，特別是信息安全風(fēng)險的逐步深化，高校開始關(guān)注加強大數(shù)據(jù)信息安全系統(tǒng)設(shè)計，加強信息安全應(yīng)對措施，增強對信息安全風(fēng)險的抵御能力，保障高校校園網(wǎng)在管理、教學(xué)、科研及日常生活等各方面正常運行，這也是該課題研究意義所在。

1 大數(shù)據(jù)時代高校信息安全風(fēng)險分析

1.1 管理安全風(fēng)險

《教育部關(guān)于加強教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》明確要求高校建立網(wǎng)絡(luò)與信息安全工作組織體系，建立健全信息安全管理制度，明確信息安全責(zé)任人，落實信息安全等級保護措施，防范、控制信息安全風(fēng)險，增強信息安全應(yīng)急處置和災(zāi)難恢復(fù)能力，提高高校信息安全整體防護水平。目前大部分高校成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組等信息安全管理機構(gòu)，也出臺了相應(yīng)的信息安全管理辦法，但校園信息安全管理架構(gòu)還不完善，信息安全組織機構(gòu)僅體現(xiàn)在文件表面，沒有實質(zhì)性地發(fā)揮作用，相關(guān)職責(zé)劃分還不明確，信息安全系統(tǒng)規(guī)劃仍顯不周，信息安全管理人員配備不足，缺乏校園信息安全突發(fā)事件的應(yīng)急預(yù)案。

1.2 人員安全風(fēng)險

校園網(wǎng)信息安全的人員安全風(fēng)險分為兩類，一是校園網(wǎng)內(nèi)部用戶，也即是使用校園網(wǎng)的師生，信息安全意識淡薄，可能導(dǎo)致眾多的風(fēng)險：①統(tǒng)一身份認證的賬號和密碼保管不力，存在外泄的風(fēng)險，在校園網(wǎng)各業(yè)務(wù)系統(tǒng)都接入門戶網(wǎng)站，采取統(tǒng)一身份認證的前提下，賬號和密碼一旦外泄，對校園網(wǎng)信息安全的影響是巨大的；②師生所用的臺式電腦、筆記本電腦、平板電腦或其他智能設(shè)備病毒防控不到位，容易感染病毒、木馬，在該設(shè)備接入校園網(wǎng)后給整體校園網(wǎng)帶來安全隱患；二是校園網(wǎng)外部人員，分為專業(yè)黑客和一般人員，專業(yè)黑客通過網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)破解程序侵入校園網(wǎng)，非法獲取或更改數(shù)據(jù)；一般人員大多則是通過校內(nèi)用戶外泄的賬號和密碼侵入校園網(wǎng)，出于好奇或某種目的獲取或更改數(shù)據(jù)。

1.3 數(shù)據(jù)安全風(fēng)險

大數(shù)據(jù)時代高校信息化涉及的業(yè)務(wù)應(yīng)用不斷增多，涵蓋了教務(wù)管理、學(xué)生管理、科研管理、財務(wù)管理資產(chǎn)管理、教室管理、公寓管理、維修管理、醫(yī)療管理、物業(yè)管理、車輛管理、一卡通管理、門禁管理等十幾種應(yīng)用，應(yīng)用中的各類業(yè)務(wù)流程數(shù)據(jù)、用戶信息數(shù)據(jù)也在不斷擴大，數(shù)據(jù)流繁多、產(chǎn)生了海量的業(yè)務(wù)數(shù)據(jù)。這些個人隱私數(shù)據(jù)和校內(nèi)業(yè)務(wù)部門的一些機密信息、重要數(shù)據(jù)等，在校園網(wǎng)中傳輸、分析、處理與儲存時存在被“偵聽”、“截取”、“更改”的風(fēng)險。

1.4 計算機基礎(chǔ)設(shè)施風(fēng)險

隨著高校智慧校園建設(shè)和應(yīng)用的加快，從數(shù)據(jù)中心的高性能服務(wù)器、小型機、大容量存儲設(shè)備、精密空調(diào)、核心交換機到各樓宇的匯聚交換機、安防監(jiān)控設(shè)備、智慧后勤、智慧教室、智慧實驗室設(shè)備等各類智能化的設(shè)備相互連接，構(gòu)成了龐大的智慧校園系統(tǒng)，實現(xiàn)了大數(shù)據(jù)的聯(lián)通與共享，提升了教學(xué)、科研、管理與服務(wù)的智能化水平。但是越是高度集成、高度自動化、師生依賴度越高的系統(tǒng)，一旦出現(xiàn)問題，導(dǎo)致的結(jié)果也是可怕的。計算機基礎(chǔ)設(shè)施風(fēng)險包括設(shè)備的可用性、可靠性、可維護性及穩(wěn)定性風(fēng)險。

2 高校信息安全策略設(shè)計

大數(shù)據(jù)時代高校信息安全是以安全策略為核心，安全設(shè)施為支撐，安全技術(shù)為手段，管理和服務(wù)為保障來構(gòu)建校園信息安全風(fēng)險防范體系。基于這樣的考慮，大數(shù)據(jù)時代高校信息安全策略設(shè)計可從風(fēng)險治理視角切入，通過識別校園信息安全漏洞及安全風(fēng)險，評估和防范潛在信息安全風(fēng)險來實現(xiàn)校園信息安全風(fēng)險的治理。所以校園信息安全策略設(shè)計從兩方面考慮：管理和技術(shù)。管理方面包含：組織機構(gòu)、管理制度、政策法規(guī)、標準規(guī)范、人員配備和應(yīng)急處置機制。技術(shù)方面要考慮系統(tǒng)安全、信息安全、網(wǎng)絡(luò)安全、應(yīng)用安全，將校園信息系統(tǒng)的技術(shù)層級分為基礎(chǔ)層、數(shù)據(jù)層、應(yīng)用層和服務(wù)層，每個層級根據(jù)不同的安全風(fēng)險采取相應(yīng)的安全技術(shù)。

3 高校信息安全策略實現(xiàn)

3.1 完善高校信息安全管理體系

大數(shù)據(jù)時代高校信息安全策略的實現(xiàn)從管理和技術(shù)兩個方面進行，全面考慮校園信息安全面臨的各種風(fēng)險，對于形成完整的信息安全管理體系將有所幫助。根據(jù)高校信息安全布局，大數(shù)據(jù)時代高校信息安全體系框架如圖１所示。

圖1 大數(shù)據(jù)時代高校信息安全體系框架

3.1.1安全管理體系

安全管理體系保障了整個信息安全管理體系的高效運作和持續(xù)改進。具體實施包括建立健全信息安全組織機構(gòu)，完善信息安全相關(guān)制度，熟悉信息安全政策法規(guī)，遵守信息安全標準規(guī)范，實現(xiàn)信息安全工作的規(guī)范化和程序化。

3.1.2安全技術(shù)體系

安全技術(shù)體系保障了系統(tǒng)安全和數(shù)據(jù)安全。分為基礎(chǔ)層、數(shù)據(jù)層、應(yīng)用層和服務(wù)層共四個層級。

（1）基礎(chǔ)層。基礎(chǔ)層是高校信息安全基礎(chǔ)支撐平臺，依托高校校園網(wǎng)絡(luò)，由網(wǎng)絡(luò)基礎(chǔ)、硬件設(shè)備、系統(tǒng)軟件等構(gòu)成實現(xiàn)高校校園信息安全基礎(chǔ)設(shè)施平臺。

（2）數(shù)據(jù)層。主要包括資源庫和共享數(shù)據(jù)庫等。該層為高校信息安全的基礎(chǔ)數(shù)據(jù)來源，包含標準規(guī)范數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、人員信息數(shù)據(jù)等。該層包含數(shù)據(jù)抽取、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)清洗、數(shù)據(jù)加載，通過數(shù)據(jù)挖掘技術(shù)對高校信息安全進行風(fēng)險評估，深入分析高校信息安全。

（3）應(yīng)用層。整合高校各業(yè)務(wù)系統(tǒng)，如資產(chǎn)、財務(wù)、招生、科研、學(xué)工、教務(wù)、后勤等系統(tǒng)，數(shù)據(jù)標準規(guī)范統(tǒng)一，是校方使用大數(shù)據(jù)共享資源體系的界面。

（4）服務(wù)層。主要是在高校信息安全的前提下服務(wù)于師生的應(yīng)用平臺界面，包括校園門戶、校園一卡通等。

信息安全技術(shù)保障具體實施則是綜合利用各種安全技術(shù)，如統(tǒng)一身份認證、入侵檢測、漏洞掃描、防火墻、VPN等手段對校園網(wǎng)進行保護，實時監(jiān)視和評估系統(tǒng)的安全狀態(tài)，強化訪問控制、權(quán)限控制、端口控制、安全控制等網(wǎng)絡(luò)安全措施，并通過相應(yīng)的響應(yīng)機制和預(yù)警機制將校園網(wǎng)安全調(diào)整到“風(fēng)險最低”狀態(tài)。

3.2 建立高校信息安全風(fēng)險評估機制

根據(jù)高校信息化建設(shè)與運維中的實際情況，結(jié)合ISO27001信息安全管理體系標準和信息安全等級保護的具體要求，構(gòu)建高校信息安全風(fēng)險評估的指標體系，全面評估高校信息安全風(fēng)險，再通過大數(shù)據(jù)技術(shù)評估信息安全的等級，在風(fēng)險評估的過程中根據(jù)不同的環(huán)境和需求，制定出不同的科學(xué)合理的評估整改措施，來強化校園信息安全風(fēng)險評估機制。

3.3 加強高校信息安全管理人員的配備和管理

高校信息安全風(fēng)險評估和防范，信息安全管理人員的因素不可忽視，建立三個層次的信息安全管理隊伍，一是信息化領(lǐng)導(dǎo)小組，包括相關(guān)部門的領(lǐng)導(dǎo)；二是信息安全管理部門的專業(yè)技術(shù)人員，一般是各高校的信息辦或信息中心的專業(yè)人員；三是各部門的信息安全員，還有部分學(xué)生信息安全員。對這三個層次的信息安全管理人員，一方面要加強培訓(xùn)，包括信息安全意識培養(yǎng)，信息安全專業(yè)知識傳授，以增強管理人員的安全意識和管理水平；另一方面，要從政策、待遇上給予激勵，調(diào)動管理人員的積極性和主動性，才能使他們更好地投身于校園信息安全工作中。

3.4 優(yōu)化高校信息安全管理應(yīng)急處置機制

高校信息安全事件頻發(fā)，主要涉及黑客攻擊、數(shù)據(jù)篡改、設(shè)備故障、網(wǎng)絡(luò)輿情、病毒侵犯等，這些信息安全事件具有隱蔽性、破壞性、傳播性、突發(fā)性等特征，所以優(yōu)化現(xiàn)有的高校信息安全應(yīng)急處理機制，成立信息安全應(yīng)急管理機構(gòu)，制定相應(yīng)應(yīng)急預(yù)案，明確應(yīng)急處置流程，落實相關(guān)處置人員，快速科學(xué)地處理信息安全突發(fā)事件則尤為重要。

4 結(jié)論

高校信息安全管理是一個系統(tǒng)工程，是一把手工程，涉及面較廣，需要全員重視，同時信息安全也是一個動態(tài)發(fā)展的過程，隨著互聯(lián)網(wǎng)經(jīng)濟環(huán)境的發(fā)展，須不斷適應(yīng)和完善。其信息安全策略的規(guī)劃，設(shè)計和實施過程應(yīng)根據(jù)高校具體實際情況進行不斷調(diào)整、改進、優(yōu)化，只有加強對信息安全管理工作上存在的安全風(fēng)險問題的持續(xù)改進，不斷優(yōu)化，才能進一步完善高校信息安全管理體系，改善高校信息安全狀況，提升高校信息安全管理水平。

[1]張明震.上海S高校信息安全管理問題研究[D].上海：上海師范大學(xué)論文，2013.

[2]李玉青.校園信息安全及組網(wǎng)策略研究[D].石家莊：河北師范大學(xué)論文，2012.

[3]邢凱.網(wǎng)絡(luò)信息安全技術(shù)管理與計算機應(yīng)用的相關(guān)研究[J].信息記錄材料，2020（2）：217-218.

[4]龍震岳，魏理豪,等.計算機網(wǎng)絡(luò)信息安全防護策略及評估算法探究[J].現(xiàn)代電子技術(shù)，2015（23）：89-93.

南京審計大學(xué)高教研究課題（2020JG015）