摘要：在教育信息化過程中，信息安全已經成為高校不可忽視的一個大問題。文章分析了高校存在的信息安全風險。

關鍵詞：高校；信息；安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）30-0024-02

Analysis of Information Security Risk in Universities

LUO Nan

（Center for Educational Technology，Gannan Normal University，Ganzhou 341000， China）

Abstract： In the process of education informatization， information security has become a major problem that cannot be ignored in universities. This paper analyzes the information security risk.

Key words： university； information； security

1 引言

近年來，隨著計算機網絡和信息技術的快速發(fā)展，高校普遍加快了教育信息化的建設步伐，校園網絡不斷地得到優(yōu)化和擴容，網站、網絡教學、精品課程、教務管理、學生學籍管理、校園一卡通、辦公自動化、財務管理、資產管理等眾多的信息系統(tǒng)被廣泛地應用于學校的教育、教學和管理。由此，高校對信息系統(tǒng)產生了嚴重的依賴，同時，也帶來了極大的風險。信息安全已經成為高校不可忽視的一個大問題。特別是云計算和大數(shù)據的發(fā)展，將原先分散的數(shù)據集中起來處理，一旦發(fā)生數(shù)據泄漏，危害程度不可想象。因此，高校有必要對信息安全風險進行系統(tǒng)的評估，制定出周全的信息安全防護措施。

2 信息安全的概念

信息安全并沒有絕對權威的定義，通常，我們將信息安全定義為信息系統(tǒng)（包括硬件、軟件、數(shù)據、人、物理環(huán)境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷，最終實現(xiàn)業(yè)務連續(xù)性。

據此，高校的信息安全可以概括為四個方面。一是校園網絡基礎設施能夠支持高校信息系統(tǒng)連續(xù)可靠正常地運行，二是支持高校信息系統(tǒng)運行的軟件環(huán)境具備快速安全解決方案，三是高校信息系統(tǒng)能夠確保自身不受外部破壞導致出現(xiàn)系統(tǒng)運行故障，四是確保信息系統(tǒng)的數(shù)據不被未經授權的訪問。

3 高校存在的信息安全問題

3.1 網絡和信息核心技術受制于人

目前，網絡和信息產品的核心技術掌握在國外少數(shù)機構和公司手中，我們國家對關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據無法做到安全可控，有可能危及各行各業(yè)的安全，甚至危及國家安全。現(xiàn)階段，高校在招標采購校園網絡設備和信息系統(tǒng)時，不可避免會全部或部分采購到國外的硬件和軟件產品，或者包含國外關鍵零部件的國產設備，信息安全隱患較大。特別是涉密網絡和信息系統(tǒng)，有可能遭到敵對勢力的破壞和竊取情報。

3.2 信息安全法規(guī)制度與信息發(fā)展脫節(jié)

在PC互聯(lián)網時代，為了加強對互聯(lián)網的管理，保障信息交流的健康發(fā)展，從國家到省級的立法機構和行政職能部門陸續(xù)出臺了一系列的法律和法規(guī)，用于規(guī)范互聯(lián)網的接入和信息的制作、查閱、復制、傳播。各高校也會出臺相應的網絡信息安全制度，規(guī)范師生的上網行為，保障校園信息的安全。但是，在跨入移動互聯(lián)網時代后，“互聯(lián)網+”應用正在蓬勃興起，遍布政府服務、醫(yī)療、教育、金融、交通等各行各業(yè)。高校為了順應這股潮流，正在將“互聯(lián)網+”應用和教育信息化進行有機結合，打造校園移動信息服務平臺。而原有的法律法規(guī)和學校管理制度已經不能完全適應當前信息技術發(fā)展形勢，急需修訂完善。

3.3 師生信息安全意識淡薄

互聯(lián)網的特點之一就是打破了時空界限和地域疆界，因此，黑客的攻擊往往會令人防不勝防。當前，高校普遍對網絡信息風險缺乏足夠的重視，很少會對師生進行必要的網絡信息安全教育，或者即使有網絡信息安全教育，也是流于形式，走過場。由此導致師生對網絡信息安全知識知之甚少，對來自外部的惡意攻擊缺乏警惕性，對信息被盜取的危害性認識不足。這種對信息安全防護漠不關心的態(tài)度，使得高校成為信息安全的重災區(qū)。

3.4 缺乏合格的信息安全技術人才

目前，高校在機構設置中雖然有信息部門，但在崗位設置中普遍沒有信息安全管理崗位，沒有安排專職的信息安全管理人員從事全校信息安全的咨詢、建議、指導工作。信息安全工作一般都由信息系統(tǒng)管理員兼任。由于信息系統(tǒng)分屬不同的業(yè)務部門，所以信息系統(tǒng)管理員大多由所在部門的人員擔任。由于信息系統(tǒng)管理人員的專業(yè)技術水平參差不齊，大多缺乏信息安全專業(yè)技術知識，對于信息安全防范工作心有余而力不足，甚至不得不把信息安全保障責任轉嫁到信息系統(tǒng)開發(fā)公司。

3.5 保障信息系統(tǒng)運行的物理環(huán)境不理想

高校各類信息系統(tǒng)服務器和數(shù)據存儲設備一般集中存放在數(shù)據中心機房。數(shù)據中心機房作為信息系統(tǒng)和數(shù)據的存放地點，是信息化的核心場所。數(shù)據中心機房的安全直接影響著全校信息安全。數(shù)據中心機房的安全隱患包括電氣故障、網絡故障、設備故障、電磁干擾，以及高溫、潮濕、停電、火災、雷擊等災害。因此，數(shù)據中心機房的建設和管理水平直接關系著信息化水平。高校大多數(shù)信息事故都是由于機房物理環(huán)境不能支持信息系統(tǒng)正常運行所造成的。

3.6 信息安全建設缺乏全局規(guī)劃和整體布局

一方面，由于缺乏專業(yè)的信息安全技術人才，高校沒有精力也沒有能力去跟蹤當今社會最前沿的信息安全技術，無法全盤統(tǒng)籌全校的信息安全工作。制定的信息安全保障策略，往往存在很大的局限性和片面性。另一方面，信息安全的建設規(guī)劃往往不受重視，缺乏統(tǒng)籌安排、整體布局的思路。信息安全項目與信息化建設項目沒有做到同步規(guī)劃、同步建設、同步運行，或者雖然做到了同步規(guī)劃，卻采取分步實施的思路，信息安全被放到了次要位置。

3.7 信息安全防護缺少長期資金投入

高校在數(shù)字化校園建設過程中，往往重視網絡基礎設施和應用系統(tǒng)的建設，而忽視信息安全防護的投入。信息安全防護被放在次要位置。一旦投入資金建好信息安全防護體系后，即認為可以一勞永逸了，后期只要做好管理和維護即可。殊不知，當今信息安全防護的理念在不斷更新，信息安全防護的產品在不斷升級換代。如果還是拿多年前老舊的信息安全防護設備來長期提供信息安全服務，那么，信息安全防護的效果就會大打折扣。要使得信息安全防護體系充分發(fā)揮作用，需要資金的長期投入。

3.8 沒有進行信息安全風險評估

隨著高校教育信息化進程的不斷推進，校內信息系統(tǒng)數(shù)量在不斷增多，高校對信息系統(tǒng)的依賴性也越來越高，信息安全風險也在逐漸顯現(xiàn)。信息風險評估可以科學地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風險，并在風險的減少、轉移和規(guī)避等風險控制方法之間做出決策。但是，高校普遍沒有對信息系統(tǒng)進行風險評估。當遇到突發(fā)信息事故時，只能被動應對，無法從容決策。

3.9 信息系統(tǒng)自身安全性很難得到保障

高校的信息系統(tǒng)來源一般分為三種情況，一是購買商品軟件，二是外包開發(fā)，三是自行開發(fā)。不管采用哪種方式，信息系統(tǒng)都是由軟件程序員開發(fā)完成。受各種主客觀因素的影響，開發(fā)出來的軟件不可避免地會出現(xiàn)各種缺陷，需要不斷地測試和完善。開發(fā)過程中，如果軟件的安全防護措施考慮不周全，就會出現(xiàn)各種安全漏洞。如果信息系統(tǒng)交付使用后，后期的系統(tǒng)更新和升級維護工作得不到保障，信息系統(tǒng)的安全性令人擔憂。

3.10 難于打擊信息安全違法犯罪行為

高校校園網絡與互聯(lián)網保持著互聯(lián)互通，因此，在校園網上運行的信息系統(tǒng)很容易遭到黑客的攻擊和入侵。對于有經驗的黑客來說，可以做到入侵信息系統(tǒng)后消除痕跡、全身而退。國家安全部門很難有效追蹤并查找到實施入侵并從事破壞、竊取行為的違法犯罪分子。因此，對于此類信息安全違法犯罪行為缺乏有效的打擊手段。信息管理人員只能在防控方面加強措施，查堵漏洞，增添網絡安全設備，盡量減少信息安全風險。

4 結束語

信息安全是高校教育信息化的重要保障。高校只有克服困難，加強人力和物力投入，大力提高預警和應急處置能力，努力消除各種信息安全風險，不斷完善信息安全保障體系，才能確保信息安全處于可控狀態(tài)。

參考文獻：

[1] 羅南. 高校教育信息化實施策略[J]. 科教導刊，2012（12）.

[2] 梁紹柱. 高校信息安全體系建設研究[J]. 軟件導刊，2012（11）.