高校信息安全工作研究

随着互联网络迅速普及, 网络的安全问题日益严重。美国对信息安全的定义是:对信息、系统以及使用、存储和传输信息的硬件的保护[1]。沈昌祥院士将信息安全定义为:“保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏, 为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。[2]”一旦存储在计算机中的教育信息、资源、相关数据资料出现丢失、损坏、不能及时送达, 都会给高校的正常教育教学造成重大影响。因此, 高校信息化的信息安全问题、以及对信息的安全管理是至关重要的。[3]由于攻击技术的不断发展, 攻击手段的不断丰富, 攻击所带来的危害也愈加严重, 防范攻击的难度也不断增加。抵御各种网络攻击, 保证网络安全是整体安全非常重要的因素。下面将从几个方面对高校信息安全工作进行分析。

许多高校的网络结构是随着信息化建设而逐步发展的, 很大一部分高校所有服务器都处于同一网段, 而且没有建立有效的保护措施, 很容易受外部或内部黑客攻击。因此, 需要从安全出发进行网络结构优化, 最大限度地减少网络入侵带来的危害。大多数高校对来自互联网的入侵攻击仅使用防火墙来保护, 不能有效防范各种安全威胁, 攻击者可以利用防火墙开放的正常服务, 使用远程溢出、ARP欺骗、网络监听、木马软件等手段, 对重要服务器进行攻击, 甚至控制整个网络系统。因此, 需要采取多种安全防范措施, 如部署入侵检测系统、网页防篡改系统等进行综合防范。另外, 当前的操作系统、数据库管理软件等系统支撑软件由于代码庞大及软件设计、实现的欠缺, 不可避免地出现各种各样的安全漏洞, 为黑客入侵和病毒破坏等提供了可乘之机。以操作系统为例, 如果没有采用相应的安全配置, 任何一个掌握一般攻击技术的人都可能入侵得手。因此, 需要经常利用相关工具来及时发现系统的安全漏洞, 并及时进行修补, 减少安全隐患。目前许多高校还没有在所有服务器上部署防病毒软件, 可能会造成服务器受到各种病毒的侵袭, 从而造成被黑客控制、内部信息泄漏、文件丢失、机器死机等严重后果。因此, 需要全面部署网络防病毒系统, 进行全网统一的病毒防护。

当前, 多数高校的系统均是采用用户名/口令这种简单的、低强度的认证方式进行身份认证, 很容易被黑客窃取到用户名和相应的口令, 造成身份被假冒, 信息被非授权访问。另外, 目前分散的用户管理和授权管理, 很难对内部人员进行有效管理和访问控制, 很容易出现内部用户越权访问现象, 造成不必要的信息泄漏, 甚至可能造成系统破坏。因此, 需要建立有效的身份认证、统一用户管理和统一授权管理机制, 来解决身份鉴别和访问控制。另外, 很多高校没有建立有效的责任认定机制, 当出现操作者事后抵赖、出现纠纷或争议时, 无法进行有效的责任认定, 从而影响办公行为的严肃性、权威性和公正性。因此, 需要在对重要事务的处理时, 采取有效的抗抵赖技术, 建立有效的责任认定机制。

与此同时, 安全不能仅仅靠技术来保证, 必须要有相应的组织管理体制配合、支撑, 才能确保信息系统安全、稳定运行。管理安全是整体安全中重要的组成部分。在安全管理方面, 许多高校虽然从组织、人员、制度等方面都得到了一定程度的落实, 但由于人员编制有限, 安全的专业性、复杂性、不可预计性等, 在安全管理方面或多或少还存在一些安全隐患。例如, 安全管理制度还不够全面和完善, 缺乏安全管理中每个环节的详细制度, 不能够形成有效的管理。因此, 需要完善和配套安全管理制度, 规范和约束各项安全管理活动。第二, 由于许多高校安全管理手段不足, 不能有效保证安全管理制度的执行, 不能及时发现内部人员违规操作带来的安全隐患, 也不能进行事后追踪, 缺乏对网络的可控和可审计。因此, 需要加强安全管理手段建设, 强化安全管理。第三, 由于信息安全的专业性、复杂性以及人员编制等方面的原因, 在安全管理方面还缺少高素质的安全专业管理人员和服务人员, 也缺少对相关人员的安全培训, 信息安全无法得到有效保障。因此, 在加强人才队伍建设的同时, 还需要积极依托专业安全机构, 开展专业安全服务。

信息安全是一项涵盖体制、标准、技术、产品、服务等诸要素的复杂的系统工程, 是一项长期性的专业的任务, 它需要以信息技术为基础, 以信息安全专业技术和技能为支撑, 投入足量的人力和物力来完成。信息安全建设不是一劳永逸的, 随着信息网络技术的快速发展, 新的安全隐患将不断涌现, 高校面临的信息安全问题会进一步复杂化, 需要以高度的责任感和使命感, 做好信息安全工作。

摘要：随着互联网络的迅速发展, 信息安全工作日益重要。信息资源作为各单位的无形资产, 其安全重要性已经等同于实物资产。本文从三个方面对高校信息安全工作进行了分析研究, 提出了一些建议, 供相关工作参考。

关键词：信息安全,信息系统

参考文献

[1] National Security Telecommunications and Information Systems.National Training Standard for Information Systems Security Professionals[EB/OL]http://www.nstissc.gov/Assets/pdf/4011.pdf, 2014-03-01.

[2] 沈昌祥.关于强化信息安全保障体系的思考[J].信息安全与通信保密, 2003, (6) :16.

[3] 黄瑞, 邹霞, 黄艳.高校信息化建设进程中信息安全问题成因及对策探析[J].现代教育技术, 2014, 24 (03) :57-63.