高校信息化建設中信息安全問題及解決措施

　　摘要：隨著高校信息化建設的不斷推進和信息技術的飛速發展，高等院校對信息資源的依賴日益凸顯，信息安全逐漸成為高校信息化建設進程中一個不容忽視的問題。主要從外部威脅和內部隱患兩方面對當前高校信息化建設中存在的信息安全問題進行梳理，并分析其產生的原因。并在此基礎上，從管理和技術兩方面提出有效對策，為今后高校信息化建設中信息安全方面提供參考。

　　關鍵詞：高校信息化;信息安全;對策;反病毒;虛擬技術

　　《中國信息化》雜志由新聞出版總署正式批準、中華人民共和國工業和信息化部主管主辦的一本國家批準創刊的唯一一份以關注工業化與信息化融合，推進信息化進程為使命的國家級信息化媒體國公開刊物。

　　一、高校信息化建設中信息安全的重要性

　　隨著網絡技術的發展，計算機網絡被廣泛地應用于高校信息化建設中的各個方面，如應用于教學的ERP(企業資源計劃)系統、OA(辦公自動化)系統以及各種考試信息管理系統、各種教學課件制作軟件等，這些都要涉及信息的存儲、傳輸與使用等問題，尤其重要的就是在信息處理過程中的信息安全問題。一旦存儲在計算機中的教育信息、資源、相關數據資料出現丟失、損壞、不能及時送達，都會給學校的正常教育教學造成重大影響。因此，高校信息化的信息安全問題、以及對信息的安全管理是至關重要的。

　　二、當前高校信息化建設面臨的信息安全問題

　　當前，高校信息化建設面臨的信息安全問題主要有：

　　1外部威脅

　　(1)計算機病毒。是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。它可以潛伏在計算機的存儲介質(或程序)中，“當達到某種條件時被激活，可以對其他程序或磁盤特殊扇區進行自我傳播”，從而感染其他程序，破壞計算機存儲的信息資源。

　　(2)網絡攻擊。是指利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊。主要分為主動攻擊和被動攻擊。主動攻擊主要是攻擊者有目的的訪問所需要的信息。被動攻擊主要包括：竊聽、欺騙、拒絕服務、數據驅動攻擊。表現為破壞計算機中的硬盤、文件系統，非法復制、竊聽、篡改、偽造數據等。

　　(3)惡意軟件。當前，很多網站容易感染惡意軟件，學校管理者、教師或者學生使用計算機瀏覽網頁時極易在毫不知情的情況下安裝各類廣告軟件、間諜軟件等，這些惡意軟件在電腦上安裝后門，為攻擊者大開方便之門。

　　2內部隱患

　　(1)管理方面。管理水平較低信息安全風險較大。目前高校內部較低的信息化管理水平給信息安全帶來了較大風險。盡管管理層已經意識到高校信息化的重要性，卻往往忽視了高校管理理念在信息化建設中的重要作用。

　　(2)人員方面。在高校信息化建設過程中，管理人員、教師、學生等對于信息安全意識相對薄弱，往往容易忽視對信息資源的保護。同時，高校信息化系統的應用水平不斷提高，而教師、教輔人員等技術水平沒有得到及時培訓，部分網絡管理人員水平較低，可能導致一些錯誤的操作，給內網安全帶來隱患。

　　三、高校信息化建設信息安全問題產生的原因分析

　　通過分析，當前高校信息化建設進程中普遍存在上述問題的主要原因是：管理不到位，工作人員信息安全意識淡薄;人才缺乏，技術相對落后。

　　1管理不到位，工作人員信息安全意識淡薄一方面，一些人認為高校信息資產沒有有形的固定資產重要，沒有將信息安全與高校的核心競爭力結合;再者，不少高校信息安全機制本身并不健全，相關信息安全措施并不科學，而且很少能嚴格執行，“普遍存在‘重建設，輕管理’思想，在安全防護實踐中單純重視對信息防護系統中軟硬件購置和建設，忽視信息系統操作人員信息安全意識的提高，導致軟硬件系統防護效果起不到應有的作用”。

　　2人才缺乏，技術相對落后

　　“任何安全設施和安全產品都需要專業管理人員的審核、跟蹤和維護”，因此，高校信息系統管理人才的素質在很大程度上直接影響著高校信息系統的安全。我國很多高校的網站容易遭到攻擊的一個重要原因就是管理人員沒能及時更新系統補丁程序。對于專業化的信息安全技術人員很少引進、培養和提高，有的規模較小的學校往往只有一兩個技術人員，這使得高校“要么是信息安全人才極度匱乏，要么就是信息安全人員專業素質不高，很難肩負起信息安全責任。從而導致高校信息安全防護措施處于較低水平，當出現新的攻擊事件時無能為力。

　　四、解決高校信息化建設信息安全問題的策略

　　高等院校如何在充分利用信息技術帶來的巨大潛力的前提下，保證信息資源的安全、可靠，實現教育管理機制的高效運作，提高教育教學質量，已成為當前高校信息化建設中的熱點問題，筆者依據上述信息安全問題產生的原因，提出以下幾點措施：

　　1管理措施

　　(1)建立、健全高校信息安全管理制度。“明確信息安全管理方案、產品采購使用、授權管理機制、密碼使用、軟件開發、安全服務等管理內容;建立人員安全管理制度，明確人員錄用、離崗、考核、教育培訓等管理內容”;建立信息安全責任制，明確各個部門、領導、人員的信息安全責任;建立系統運維制度，明確設備環境安全、存儲介質安全、病毒防范、備份與恢復、各種應急預案等管理內容;建立并落實監督檢查機制，定期進行自查和監督檢查，嚴格執行。

　　(2)定期評估，不斷改進、完善。“信息技術日新月異，安全防護軟件系統由于其復雜性，在研制開發過程中不可避免的會出現這樣或那樣的問題，勢必決定了安全防護系統和設備不可能百分百地防御各種已知和未知的信息安全威脅”。必須引入信息安全風險評估制度，定期對網絡安全狀況進行風險評估，找出薄弱點，調整防護策略，改進安防方案，進一步降低信息安全風險。

　　2技術措施

　　在技術措施方面主要是對高校信息化建設中相關的設備(如資源客戶端、路由器、交換機、服務器等)安裝防病毒軟件、設置防火墻、入侵檢測技術、網絡安全掃描技術、SSL安全套接層協議等，重重保護，消除技術上存在的安全隱患。

　　(1)安裝防病毒軟件

　　自計算機病毒問世以來，給數以萬計的用戶造成了無法挽回的損失。網絡技術的不斷發展使得計算機病毒變得愈加復雜，對教育信息化系統構成極大威脅。目前的病毒防范中大多使用防病。毒軟件(如卡巴斯基、金山毒霸、360安全衛士、小紅傘、諾頓等防病毒軟件)定期查殺病毒，并對需要下載的軟件、文檔以及連接的移動存儲設備進行安全控制，及時對防病毒軟件進行更新和升級，以防軟件本身的漏洞

　　(2)設置防火墻

　　“防火墻技術是通過對網絡拓撲結構和服務類型上的隔離來加強網絡安全的一種手段。在校園網與外網之間設置防火墻，執行訪問控制策略，通過過濾存在安全隱患的服務，將危險信號阻隔于校園網之外，同時對網絡存取和訪問進行監控和審計，做出日志記錄，提高校園內部網絡的安全性。

　　五、結語

　　信息資源的安全防范體系的建立并不是一勞永逸的，隨著計算機網絡技術的發展，新的安全隱患將不斷涌現，高校信息化建設面臨的信息安全問題將進一步復雜化，高校必須根據實際情況，立足內部管理措施和信息安全技術這兩個基礎。以計算機網絡技術為支撐，加強高校內部管理，及時進行設備維護和技術更新，實時監控信息安全，提高工作人員信息安全意識;同時加大資金投入，積極引進專業技術人才，保證信息資源網絡安全防范體系的高效運作和良性發展。總之，信息安全是一個伴隨高校信息化發展的永恒課題。

　　參考文獻

　　[1]耿相真.淺析計算機病毒及防范的措施[J].價值工程，2011，(1)：176-177.

　　[2]劉文華.企業信息安全問題研究[J].中國信息界，2012，(12)：37-38.