大數(shù)據(jù)背景下高校信息網(wǎng)絡(luò)安全及其防護(hù)策略

朱世晨

(鄭州科技學(xué)院，鄭州 450000)

0 引言

近年來，以大數(shù)據(jù)為支撐的信息化建設(shè)深入各個(gè)領(lǐng)域，人工智能、“互聯(lián)網(wǎng)+”等信息技術(shù)被廣泛應(yīng)用于衣食住行、勞動(dòng)工作、休閑娛樂和社會(huì)交往，其中高校管理、教學(xué)和科研工作是重要的應(yīng)用領(lǐng)域。技術(shù)賦能給師生創(chuàng)造了便利，但同時(shí)也暴露了一些問題，只有盡快解決高校信息網(wǎng)絡(luò)安全漏洞，制定針對(duì)性的防護(hù)策略，才能為高校教育、科研和日常生活保駕護(hù)航。

“互聯(lián)網(wǎng)+教育”飛速發(fā)展，其隱患和風(fēng)險(xiǎn)也層出不窮，數(shù)字高校逐漸陷入治理困境，幾類突出問題包括：

頂層設(shè)計(jì)不完善，安全管理體系不健全。

從法制層面來看，近幾年，我國(guó)為凈化網(wǎng)絡(luò)生態(tài)環(huán)境，保護(hù)網(wǎng)民信息安全，頒布了相關(guān)法律法規(guī)和社會(huì)公約，為信息化建設(shè)統(tǒng)籌發(fā)展提供了法律依據(jù)，也為信息安全問題劃定了基本標(biāo)準(zhǔn)，但其落實(shí)程度還有待完善。

從管理機(jī)制來看，高校信息網(wǎng)絡(luò)規(guī)模大，周期長(zhǎng)，投入多，需要建立多主體有效參與的管理機(jī)制[1]。然而，部分高校內(nèi)部部門割裂，缺乏聯(lián)動(dòng)，沒有統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，沒有集中管理、集中監(jiān)控和集中審計(jì)的平臺(tái)支撐[2]，對(duì)于數(shù)據(jù)庫(kù)和信息技術(shù)的維護(hù)不及時(shí)。

使用群體安全意識(shí)淡薄。

高校信息網(wǎng)絡(luò)系統(tǒng)使用群體龐大，包括校內(nèi)的師生群體、行政管理群體和校外的社會(huì)公眾群體等。而這些群體并未接受過來自高?；蚱渌矫娴陌踩逃?，沒有形成敏感的危機(jī)感知度，面對(duì)龐雜的信息系統(tǒng)缺乏辨析力和防范意識(shí)。如對(duì)免費(fèi)WiFi、陌生鏈接、陌生郵件、陌生U盤等警惕性低，不重視病毒查殺，常常導(dǎo)致計(jì)算機(jī)受到病毒攻擊，造成數(shù)據(jù)被篡改或信息丟失。另外，高校信息網(wǎng)絡(luò)系統(tǒng)并不能完全篩除網(wǎng)絡(luò)上的黑灰產(chǎn)業(yè)，仍有一些學(xué)生遭遇電信詐騙，損失財(cái)產(chǎn)。部分學(xué)生受到網(wǎng)絡(luò)刷單等灰色兼職的誘惑，在法律邊緣打“擦邊球”。

核心技術(shù)受制于人，專業(yè)人才不足。

高校信息網(wǎng)絡(luò)安全工作的硬性條件是智能化資源，即技術(shù)和人才。目前，我國(guó)尚未實(shí)現(xiàn)信息化建設(shè)的技術(shù)自給，核心技術(shù)發(fā)展不成熟，重要設(shè)備依賴進(jìn)口。大數(shù)據(jù)背景下，信息技術(shù)更新?lián)Q代很快，在未掌握技術(shù)的前提下，這種快速更迭會(huì)為安全保護(hù)帶來更大阻力。

我國(guó)高校信息化部門人員不足，無法充分供給學(xué)校的信息化研發(fā)、建設(shè)、維護(hù)工作需求，甚至許多信息網(wǎng)絡(luò)運(yùn)維工作者并不是專業(yè)人員，對(duì)于高校信息網(wǎng)絡(luò)安全知識(shí)不了解，無法做好安全漏洞排查和清理工作，由此造成了安全危機(jī)無法盡快解決且重復(fù)出現(xiàn)的問題[3]。

數(shù)據(jù)應(yīng)用失范。

雖然高校信息網(wǎng)絡(luò)給師生教學(xué)生活帶來了便利，但倘若管理層無法正確獲取和使用數(shù)據(jù)，將會(huì)造成不良的社會(huì)影響。部分高校在數(shù)據(jù)應(yīng)用過程中，以技術(shù)本位取代人本位思想，刻板使用信息化手段度量、評(píng)價(jià)個(gè)體，導(dǎo)致教育活動(dòng)缺乏人文關(guān)懷。

1 研究原理及方法

高校信息網(wǎng)絡(luò)生命周期是高校信息系統(tǒng)從產(chǎn)生到報(bào)廢的生命全過程，如圖1所示。其包括頂層設(shè)計(jì)與規(guī)劃、分析系統(tǒng)需求、設(shè)計(jì)系統(tǒng)軟件、開發(fā)系統(tǒng)程序編碼、系統(tǒng)投入使用和系統(tǒng)運(yùn)行、評(píng)估與維護(hù)六個(gè)部分?！绊攲釉O(shè)計(jì)與規(guī)劃”是對(duì)現(xiàn)有高校信息系統(tǒng)進(jìn)行評(píng)估，確定現(xiàn)有問題及解決方案；“分析系統(tǒng)需求”是對(duì)新開發(fā)的系統(tǒng)進(jìn)行分析，包括安全需求、容量需求等諸多方面；“設(shè)計(jì)系統(tǒng)軟件”和“開發(fā)系統(tǒng)程序編碼”是通過技術(shù)手段開發(fā)新系統(tǒng)的過程；“系統(tǒng)投入使用”是系統(tǒng)開發(fā)完成后進(jìn)行測(cè)試的環(huán)節(jié)；“系統(tǒng)運(yùn)行、評(píng)估與維護(hù)”是新系統(tǒng)運(yùn)行一段時(shí)間后，技術(shù)人員根據(jù)使用情況及新的漏洞問題進(jìn)行評(píng)估與維護(hù)，從而使系統(tǒng)安全穩(wěn)定運(yùn)行的環(huán)節(jié)。

高校信息化面臨的主要問題是頂層設(shè)計(jì)方面管理不健全、技術(shù)人才方面有所欠缺、觀念方面使用群體的安全意識(shí)薄弱、數(shù)據(jù)應(yīng)用方面存在不合理現(xiàn)象。針對(duì)以上問題，針對(duì)性地制定防護(hù)策略，構(gòu)建出高校信息網(wǎng)絡(luò)安全治理的基本模型，如圖 2所示。

通過聯(lián)動(dòng)分析高校信息網(wǎng)絡(luò)生命周期與高校信息網(wǎng)絡(luò)安全治理基本模型，找到其共同脈絡(luò)并加以整合，在基本模型的基礎(chǔ)上融合高校信息網(wǎng)絡(luò)生命周期6部分，確定高校信息網(wǎng)絡(luò)安全治理的多重性架構(gòu)，如圖 3所示。

圖1 信息系統(tǒng)生命周期結(jié)構(gòu)圖Fig.1 Structure diagram of information system life cycle

圖2 高校信息網(wǎng)絡(luò)安全治理基本模型Fig.2 Basic model of university information network security governance

圖3 高校信息網(wǎng)絡(luò)安全治理框架Fig.3 Framework of university information network security governance

高校應(yīng)當(dāng)在頂層設(shè)計(jì)與規(guī)劃、分析系統(tǒng)需求這兩個(gè)階段集中處理頂層設(shè)計(jì)與管理體制維度問題，完成頂層框架設(shè)計(jì)和整體統(tǒng)籌；在設(shè)計(jì)系統(tǒng)軟件、開發(fā)系統(tǒng)程序編碼階段，應(yīng)處理技術(shù)人才維度的問題，提升核心科技競(jìng)爭(zhēng)力，壯大專業(yè)人才隊(duì)伍；在系統(tǒng)投入使用，系統(tǒng)運(yùn)行、評(píng)估與維護(hù)階段，應(yīng)處理安全觀念維度和合理應(yīng)用維度問題，向信息網(wǎng)絡(luò)使用群體普及安全知識(shí)，加強(qiáng)技術(shù)倫理教育。

2 高校信息網(wǎng)絡(luò)安全防護(hù)策略

2.1 加快頂層框架設(shè)計(jì)，完善網(wǎng)絡(luò)安全管理體系

以強(qiáng)有力的法律手段約束網(wǎng)絡(luò)行為，推動(dòng)相關(guān)法律法規(guī)落地實(shí)施，使各項(xiàng)網(wǎng)絡(luò)行為有法可依，有法必依，違法必究。高校信息網(wǎng)絡(luò)安全相關(guān)法律法規(guī)必須加強(qiáng)實(shí)踐能動(dòng)性，要能轉(zhuǎn)化為具體的、可行的實(shí)踐方案，必要時(shí)可增加相應(yīng)的數(shù)據(jù)報(bào)告和指導(dǎo)性文件，避免僅停留在對(duì)表面文字的理解。推動(dòng)法律法規(guī)實(shí)施的過程中，要加強(qiáng)責(zé)任監(jiān)管和責(zé)任落實(shí)，對(duì)于參與高校信息網(wǎng)絡(luò)建設(shè)的各部門行為和產(chǎn)品要嚴(yán)格審查和評(píng)估，但不可過度干預(yù)使高校信息網(wǎng)絡(luò)生態(tài)喪失靈活性和豐富性。

以健全的管理體系規(guī)范高校信息化過程中的網(wǎng)絡(luò)行為和數(shù)據(jù)流程。由于高校信息網(wǎng)絡(luò)體量龐大，涉及多個(gè)部門和不同的應(yīng)用系統(tǒng)，信息治理過程需要經(jīng)過多個(gè)環(huán)節(jié)，因此必須形成體系化的管理機(jī)制，統(tǒng)一規(guī)劃、統(tǒng)一部署，采取統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，明確各環(huán)節(jié)中不同主體的責(zé)任和義務(wù)，加強(qiáng)部門聯(lián)動(dòng)，使信息化建設(shè)在技術(shù)、資金、人力資源等各方面都處于集中部署和管理之下，減少因管理不規(guī)范帶來的安全風(fēng)險(xiǎn)。

2.2 加快技術(shù)創(chuàng)新，培養(yǎng)專業(yè)人才

技術(shù)是推動(dòng)我國(guó)高校信息網(wǎng)絡(luò)安全可持續(xù)發(fā)展的關(guān)鍵，掌握核心技術(shù)，加快研發(fā)步伐，提高自主創(chuàng)新能力，是高校信息網(wǎng)絡(luò)安全治理在設(shè)計(jì)系統(tǒng)軟件、開發(fā)系統(tǒng)程序編碼兩個(gè)階段的重要任務(wù)。目前需要攻破和有效提升的技術(shù)領(lǐng)域包括風(fēng)險(xiǎn)評(píng)估技術(shù)、病毒檢測(cè)技術(shù)、動(dòng)態(tài)防護(hù)技術(shù)和傷害恢復(fù)技術(shù)。這些技術(shù)可以評(píng)估可能出現(xiàn)的安全漏洞，快速進(jìn)行數(shù)據(jù)備份，并實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)處理、實(shí)時(shí)防護(hù)，是重要的應(yīng)急技術(shù)[4]。高校研發(fā)部門應(yīng)按照國(guó)家相關(guān)標(biāo)準(zhǔn)，加快以上技術(shù)創(chuàng)新和應(yīng)用，為高校信息網(wǎng)絡(luò)安全治理提供強(qiáng)大的技術(shù)支撐。

在專業(yè)人才方面，應(yīng)保障人力資源的數(shù)量供應(yīng)，杜絕一人多用、一部分多用的情況，及時(shí)補(bǔ)充高校信息化建設(shè)所需人力，使人員各司其職，各盡其責(zé)。高校是人才孵化的大本營(yíng)，應(yīng)充分發(fā)揮高校自身的教育資源優(yōu)勢(shì)，壯大專業(yè)IT人才隊(duì)伍，建立完善的人才培養(yǎng)和管理體系，明確不同人才的責(zé)任和義務(wù)，如管理型、組織型、任務(wù)型等，使人才有效、有序地投入到高校信息化建設(shè)中。

2.3 加快技術(shù)倫理教育，規(guī)范信息數(shù)據(jù)的使用

在安全觀念、風(fēng)險(xiǎn)意識(shí)方面，高?？梢詫⑿畔⒕W(wǎng)絡(luò)安全常識(shí)納入教師職業(yè)培訓(xùn)中，通過課程教育的方式對(duì)學(xué)生群體進(jìn)行宣傳引導(dǎo)，開展網(wǎng)絡(luò)安全知識(shí)普及課，教育學(xué)生重視病毒查殺，提高警惕性，拒絕網(wǎng)絡(luò)黑灰產(chǎn)交易，保護(hù)好個(gè)人隱私數(shù)據(jù)。

在數(shù)據(jù)合理應(yīng)用方面，高校應(yīng)尊重學(xué)生的知情權(quán)及正確認(rèn)識(shí)技術(shù)與教育的關(guān)系。學(xué)生的知情權(quán)是學(xué)生自主參與、監(jiān)督公共事務(wù)的權(quán)利，學(xué)生有權(quán)公開并自主處理個(gè)人信息，高校不得以任何名義在信息網(wǎng)絡(luò)中侵犯學(xué)生的知情參與權(quán)。與此同時(shí)，高校應(yīng)加強(qiáng)宣傳，依據(jù)法律法規(guī)科學(xué)普及相關(guān)知識(shí)，幫助學(xué)生正確行使權(quán)利。技術(shù)倫理教育有助于高校正確認(rèn)識(shí)技術(shù)與教育的關(guān)系，防止踏上技術(shù)本位的偏路。高校應(yīng)明確以人為本的教學(xué)觀，教育者不得單純以數(shù)據(jù)表現(xiàn)對(duì)學(xué)生個(gè)體進(jìn)行度量、評(píng)價(jià)和賞罰，否則將會(huì)打擊智慧校園的社會(huì)信任度。此外，數(shù)字高校教育還應(yīng)當(dāng)加強(qiáng)實(shí)踐性，因材施教，調(diào)動(dòng)學(xué)生的主觀能動(dòng)性，注重學(xué)生的個(gè)人體驗(yàn)，融入人文關(guān)懷，在體驗(yàn)式教學(xué)中合理應(yīng)用數(shù)字校園信息網(wǎng)絡(luò)系統(tǒng)[1]。

3 結(jié)語

數(shù)字校園、智慧校園正在逐漸取代傳統(tǒng)的高校治理模式。結(jié)合當(dāng)前高校信息化安全治理現(xiàn)狀，搭建多重性治理架構(gòu)，提出適應(yīng)性、針對(duì)性的防護(hù)策略，為高校信息網(wǎng)絡(luò)安全治理提供參考路徑，呼應(yīng)了新時(shí)代“互聯(lián)網(wǎng)+教育”的需求。未來，高校信息化建設(shè)應(yīng)兼顧高校信息網(wǎng)絡(luò)安全建設(shè)，走多維度、全方位、高質(zhì)量發(fā)展道路。