侯 娟，張金俊，李 藝

（1.南京市高淳中等專業(yè)學(xué)校，江蘇 南京 211300；

2.南京市金陵中學(xué)，江蘇 南京 210005；

3.南京師范大學(xué) 教育科學(xué)學(xué)院，江蘇 南京 210097）

教育信息安全管理體系設(shè)計(jì)*

侯 娟1，張金俊2，李 藝3

（1.南京市高淳中等專業(yè)學(xué)校，江蘇 南京 211300；

2.南京市金陵中學(xué)，江蘇 南京 210005；

3.南京師范大學(xué) 教育科學(xué)學(xué)院，江蘇 南京 210097）

教育信息的安全問題日益突出，文章立足于教育信息特征以及教育管理機(jī)制特征，分析教育系統(tǒng)信息安全的風(fēng)險(xiǎn)性因素，并結(jié)合企業(yè)的信息安全經(jīng)驗(yàn)，構(gòu)建出符合教育系統(tǒng)實(shí)際需要的信息安全管理體系。

信息安全；教育信息；管理體系

教育信息化的高速發(fā)展，必然促使學(xué)校的日常工作實(shí)現(xiàn)一定程度的電子化，由此必將產(chǎn)生大量的教育信息。此外，以功能為導(dǎo)向的教育管理信息化標(biāo)準(zhǔn)旨在透過基礎(chǔ)數(shù)據(jù)映射教育系統(tǒng)信息化建設(shè)的物理層面，這一標(biāo)準(zhǔn)一旦付諸實(shí)施，數(shù)據(jù)信息的作用將再次提升，因而保障信息的安全顯得極其重要。但是，教育領(lǐng)域相關(guān)人士對如何保障教育信息的安全卻比較迷茫，一方面他們不斷加大信息安全的設(shè)施設(shè)備、軟件硬件的投入，另一方面又不斷承受著信息流失、泄露等不安全事件的打擊，因而探求保障信息安全的方法已迫在眉睫。

一、企業(yè)信息安全管理的經(jīng)驗(yàn)總結(jié)

企業(yè)是我國較先發(fā)展信息化事業(yè)的領(lǐng)域，對信息安全的研究也走在其它領(lǐng)域的前面。筆者在中國知網(wǎng)中以 “企業(yè)信息安全管理”為關(guān)鍵字進(jìn)行精確搜索，搜到符合要求的文章有23篇。通過閱讀發(fā)現(xiàn)這23篇文章都是從管理和技術(shù)兩方面來談如何加強(qiáng)信息安全建設(shè)的，具體經(jīng)驗(yàn)梳理如表1。

由表1可見，管理和技術(shù)是企業(yè)信息安全成功的兩大法寶，值得教育領(lǐng)域借鑒。但由于教育領(lǐng)域信息的特征、教育系統(tǒng)管理機(jī)制的特點(diǎn)以及風(fēng)險(xiǎn)點(diǎn)與企業(yè)存在著差異，因而并不適合完全照搬企業(yè)的經(jīng)驗(yàn)。

表1 企業(yè)信息安全建議

二、教育信息的特征

閆一渡和趙麗娟對教育信息的內(nèi)涵給予了清晰的描述：“簡單地說，教育信息指教育系統(tǒng)、教學(xué)過程中某一編碼系統(tǒng)（自然的或人工的）的有機(jī)組合所包含的內(nèi)容（如果進(jìn)一步細(xì)分：教育信息可專指教育系統(tǒng)中傳遞的內(nèi)容；教學(xué)信息專指教學(xué)過程中教、學(xué)雙方相互交流的內(nèi)容）?！盵1]筆者認(rèn)為，在教育系統(tǒng)中傳遞的教育信息是作為管理之用，因而可暫且理解為教育管理信息，這樣教育信息實(shí)際上是教育管理信息和教學(xué)信息的綜合。

某些學(xué)者對信息化環(huán)境下教育信息的特征做了總結(jié)，如基于教育信息對教育決策作用的角度，認(rèn)為教育信息具有真實(shí)性、有效性、時效性的特征。當(dāng)然這與安全角度教育信息所表現(xiàn)的特征有所區(qū)別，而且就安全角度來講，由于教育管理信息和教學(xué)信息的使用者不同，他們本身所表現(xiàn)的特征就有所區(qū)別。

1.二者相同特征

（1）真實(shí)性。教育管理信息最主要的作用是為領(lǐng)導(dǎo)決策提供服務(wù)，所以教育管理信息要求實(shí)事求是。而教學(xué)信息也只有真實(shí)，才能為學(xué)生的學(xué)習(xí)提供切實(shí)的幫助，有助于學(xué)生健康成長。

（2）時效性。信息的效用依賴于時間并有一定的期限，且價(jià)值的大小與提供信息的時間密切相關(guān)。教育管理信息和教學(xué)信息皆表現(xiàn)出這種特征。如課堂教學(xué)的反饋信息能夠及時地傳達(dá)給教師，對提高教學(xué)質(zhì)量將會非常有幫助。另外某些教育信息在某些時間段非常有價(jià)值，伴隨時間的推移，其價(jià)值可能會下降。

2.二者不同特征

（1）流動性。教育管理信息是日常教學(xué)秩序得以維持的保障，是在教育系統(tǒng)中傳遞的信息，傳遞意味著流動。從教育系統(tǒng)的日常工作中我們發(fā)現(xiàn)，教育管理信息的流動主要有單位內(nèi)部之間的信息流動及與外單位之間的信息流動兩種形式。如教務(wù)處生成的信息可能同時在學(xué)生處、教學(xué)處流動使用，中小學(xué)德育活動的信息需要向區(qū)縣的相關(guān)部門匯報(bào)等等。無論教育管理信息以哪種形式流動，歸根到底都是不同部門間的流動，而且這種流動在教育系統(tǒng)的管理工作中是非常常見的。

（2）流動中的增值性。與教育管理信息的流動性不同，教學(xué)信息在流動中還具有增值的特點(diǎn)。網(wǎng)絡(luò)及Web2.0等技術(shù)的興起使這種特點(diǎn)表現(xiàn)得更加明顯。學(xué)習(xí)者不僅可以通過網(wǎng)絡(luò)查找信息，而且可以自主參與對知識的構(gòu)建編輯，如維基百科就是一種典型的人人可編輯的百科全書。

（3）保密性。隨著網(wǎng)絡(luò)的不斷發(fā)展，人們在深得網(wǎng)絡(luò)益處的同時也意識到網(wǎng)絡(luò)對他們的隱私有一定侵犯?，F(xiàn)在的教育管理信息很多都涉及學(xué)生及其家人的個人信息，需要進(jìn)行保密。另外部分教學(xué)統(tǒng)計(jì)信息可能會涉及學(xué)校甚至國家的機(jī)密，也需要保密。

（4）共享相對性。教學(xué)信息雖然不涉及學(xué)生隱私，但其共享的范圍也具有相對性。如某校購買一個資源庫，在學(xué)校范圍內(nèi)對所有師生免費(fèi)開放，即實(shí)現(xiàn)了資源共享，但這種共享只限定在學(xué)校范圍內(nèi)。

綜上所述，真實(shí)性、保密性和流動中的增值性對教育信息安全管理提出了要求，這是要保證的；時效性、流動性以及共享相對性在提出要求的同時，也為安全管理提供了一定的思路，這是可以借鑒和利用的。

三、教育系統(tǒng)管理體制的特點(diǎn)及對信息安全提出的新要求

1.教育管理體制特點(diǎn)

教育管理體制是指教育系統(tǒng)各要素之間的聯(lián)系、制約和作用方式，這種方式同樣影響著教育信息安全的管理。筆者通過參閱相關(guān)文獻(xiàn)，簡單歸納了現(xiàn)行教育體制的特點(diǎn)：

（1）權(quán)限有所增大，但層次不一。依據(jù)目前各個學(xué)校自主權(quán)實(shí)現(xiàn)的程度，有學(xué)者將之歸納為三個層次：一般學(xué)校都有的自主權(quán)；較大的自主權(quán)，同時也是具有限制要素的自主權(quán)，以防盲目擴(kuò)大；更大的自主權(quán)，減少某些限制，放松某些限定的自主經(jīng)營，接近私立學(xué)校的自主經(jīng)營。

（2）競爭更加激烈。《面向21世紀(jì)教育振興行動計(jì)劃》中提出實(shí)行教師聘任制和全員聘用制，加強(qiáng)考核，競爭上崗，優(yōu)化教師隊(duì)伍。這種聘用制是根據(jù)科學(xué)設(shè)定的崗位及實(shí)際工作任務(wù)，對單位內(nèi)部各類各級人員按“雙向選擇，優(yōu)化組合，競爭上崗”的原則進(jìn)行聘用，因而人員競爭也較改革前激烈很多。

（3）崗位責(zé)任認(rèn)定更加明確。崗位責(zé)任制的確立可以追溯到1985年發(fā)布的《中國教育改革和發(fā)展綱要》，它的提出使各科室乃至每個教職員工都有了明確的職責(zé)，并伴之以嚴(yán)格的考核和獎懲。

（4）監(jiān)督制約機(jī)制更加完善。按照教育部頒發(fā)的《關(guān)于全面推進(jìn)校務(wù)公開工作的意見》以及《全國校務(wù)公開經(jīng)驗(yàn)交流會會議紀(jì)要》的有關(guān)內(nèi)容，學(xué)校要實(shí)行校務(wù)公開，包括對內(nèi)和對外兩個方面，涉及的內(nèi)容很多。

2.對信息安全管理提出的新要求

（1）學(xué)校雖是教育單位，但身處市場環(huán)境中，必然受到市場機(jī)制的影響，也必然導(dǎo)致學(xué)校要求更多的自主權(quán)，而學(xué)校自身的狀況又決定了他們擁有的自主權(quán)不可能一致，所以應(yīng)根據(jù)學(xué)校自主權(quán)所處的層次處理好學(xué)校和教育行政部門的職、責(zé)、權(quán)、利的關(guān)系，嚴(yán)格設(shè)定權(quán)限。同時，在市場因素的影響下，教育競爭也將更加激烈，學(xué)校作為相對獨(dú)立的個體處于競爭之中，對自身發(fā)展格外重視，因而需要保密的數(shù)據(jù)信息點(diǎn)也會隨之增加。

（2）實(shí)行全員聘用合同制意味著可能出現(xiàn)較多的人員調(diào)動，有些人員在原工作崗位所掌握的信息可能相對比較敏感，因而如何管理好這部分人員所掌握的信息變得非常重要。

（3）實(shí)行崗位責(zé)任認(rèn)定制說明教育系統(tǒng)是一個既有分工又有合作的系統(tǒng)，分工體現(xiàn)了教育信息產(chǎn)生的唯一性，合作體現(xiàn)了教育信息部門間流動性強(qiáng)的特點(diǎn)。教育系統(tǒng)信息安全管理要充分借鑒并利用這種分工有序的工作形式。

（4）校務(wù)公開制度明確校務(wù)需要分對內(nèi)和對外實(shí)行兩種公開，對內(nèi)公開的信息不可以在校外公布。此外教育管理信息的流動是以部門為單位，所以我們應(yīng)對教育信息進(jìn)行詳細(xì)分析，確定其流動范圍。

四、教育系統(tǒng)信息安全管理的風(fēng)險(xiǎn)分析

圖1是我國信息技術(shù)安全性評估通用準(zhǔn)則ISO15408，已被頒布為國家標(biāo)準(zhǔn)GB/T18336，簡稱通用準(zhǔn)則。它是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則。對應(yīng)于教育機(jī)構(gòu)的信息安全風(fēng)險(xiǎn)需求分析，筆者以GB/T18336框架為依據(jù)，結(jié)合風(fēng)險(xiǎn)分析的一般步驟、法律法規(guī)、教育系統(tǒng)內(nèi)部標(biāo)準(zhǔn)及教育系統(tǒng)內(nèi)部管理體制的要求，在訪談的基礎(chǔ)上對教育系統(tǒng)

的信息安全風(fēng)險(xiǎn)做如

下分析。

1.確定保護(hù)對象

GB/T18336以資產(chǎn)作為保護(hù)對象。資產(chǎn)包括軟資產(chǎn)和硬資產(chǎn)兩方面，涉及機(jī)器設(shè)備設(shè)施、數(shù)據(jù)信息等多個方面，本文主要考慮的軟資產(chǎn)即數(shù)據(jù)信息的安全。由前面的分析我們知道，涉及保密性的信息是安全管理的重點(diǎn)保護(hù)對象，而教育管理體制特點(diǎn)又決定保密的信息需要流動，因而我們要做的是減少流動中的風(fēng)險(xiǎn)因素，確保流動中的安全。

2.確定教育系統(tǒng)中信息安全的威脅和脆弱性

信息安全的風(fēng)險(xiǎn)主要是由威脅和脆弱性引起的。信息安全威脅是指由于某些事件的發(fā)生，信息系統(tǒng)有變壞或者被攻擊的可能，這樣的事件就被看做是信息安全威脅。脆弱性是指信息系統(tǒng)的軟件和硬件的實(shí)現(xiàn)機(jī)制、軟件和硬件控制機(jī)制和安全管理規(guī)程等方面存在的弱點(diǎn)，這些弱點(diǎn)可能被信息安全威脅利用，獲得對信息的訪問或者中斷關(guān)鍵的處理，最終將信息系統(tǒng)置于非預(yù)期的利用之下。威脅和脆弱都是導(dǎo)致風(fēng)險(xiǎn)的因素。

教育系統(tǒng)的信息安全威脅可以分為自然威脅和人的威脅。自然威脅如地震火災(zāi)等，具有不可抗拒性。人的威脅有內(nèi)外之分，外部威脅主要是利用網(wǎng)絡(luò)技術(shù)以及計(jì)算機(jī)系統(tǒng)的漏洞來竊取內(nèi)部信息，內(nèi)部威脅主要是內(nèi)部人員有意無意的違規(guī)操作導(dǎo)致教育信息泄露。

脆弱性常常被威脅利用，成為信息安全的風(fēng)險(xiǎn)因素。據(jù)調(diào)查，教育系統(tǒng)中尤其在不發(fā)達(dá)地區(qū)的中小學(xué)，技術(shù)上的脆弱性表現(xiàn)得相對明顯：①很多學(xué)校使用的網(wǎng)絡(luò)操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)都存在安全漏洞，而且在因特網(wǎng)中傳輸?shù)臄?shù)據(jù)信息沒有加密控制，無法保證信息的機(jī)密性和完整性，影響了認(rèn)證和不可否認(rèn)功能的實(shí)現(xiàn)。②引進(jìn)了新的安全技術(shù)設(shè)備，卻不能夠正確合理使用，參數(shù)的設(shè)置不合理。對數(shù)據(jù)庫安全性采取的防范措施不到位，如口令設(shè)置缺失。③過于相信技術(shù)設(shè)備的安全性能。

筆者發(fā)現(xiàn)管理層面的脆弱性具有隱蔽的特點(diǎn)，很多時候它不為教育工作人員所察覺，但卻是最具有安全風(fēng)險(xiǎn)的因素，也是教育信息安全最薄弱的環(huán)節(jié)。

（1）缺乏技術(shù)培訓(xùn)。由于網(wǎng)絡(luò)和信息系統(tǒng)的復(fù)雜性，為保證學(xué)校信息系統(tǒng)的安全，教師需要經(jīng)過良好培訓(xùn)或具有豐富的經(jīng)驗(yàn)，但現(xiàn)有信息安全人才一般都集中分布在安全產(chǎn)品公司、研究機(jī)構(gòu)，遠(yuǎn)遠(yuǎn)不能滿足教育系統(tǒng)對信息安全人才的需求。缺乏經(jīng)驗(yàn)的教師在沒有接受良好培訓(xùn)的情況下，經(jīng)常由于錯誤的安全配置、軟硬件的錯誤使用使系統(tǒng)處于不安全狀態(tài)，容易受到內(nèi)外部的攻擊。即使是教育系統(tǒng)的技術(shù)人員、操作人員、維護(hù)人員、管理人員，也常常由于個人知識、技能不足，不能解決工作中出現(xiàn)的緊急情況，也同樣會造成安全風(fēng)險(xiǎn)。

（2）支持力度不夠。教育系統(tǒng)的領(lǐng)導(dǎo)對信息安全的認(rèn)識不夠全面，很多安全策略得不到組織層面的決策支持。

（3）缺乏整體的、動態(tài)的信息安全計(jì)劃。很多學(xué)校缺乏有效的信息安全計(jì)劃，有的甚至沒有。就算有，要么束之高閣，不采用；要么幾年如一日，一成不變，缺乏更新。

（4）安全責(zé)任機(jī)制不明確，缺少懲罰措施。一旦出了信息安全問題，沒有人知道具體發(fā)生的時間，也不知道向誰報(bào)告，更不知道要誰負(fù)責(zé)，也沒有懲罰措施。

（5）管理與技術(shù)關(guān)系的認(rèn)識不全面。就訪談來看，絕大多數(shù)教育工作者有技術(shù)崇拜的傾向，他們都將目光投向了保護(hù)信息安全的一些技術(shù)性方法，忽視了管理層面的重要性。

（6）人員管理存在隱患。前面已經(jīng)提到實(shí)行全員聘用合同制會使人員崗位的調(diào)動相對頻繁，較容易引發(fā)一些風(fēng)險(xiǎn)因素。

（7）法律法規(guī)宣傳不到位。對適用法律的忽視同樣是導(dǎo)致信息安全風(fēng)險(xiǎn)的一個重要因素。大多數(shù)學(xué)校都沒有遵從信息安全的相關(guān)法律法規(guī)，他們認(rèn)為不遵從法規(guī)成本更低。

（8）對物理設(shè)備的安全管理不完備。缺乏對建筑物、門、窗等基礎(chǔ)支撐設(shè)施的物理保護(hù)和物理訪問控制的監(jiān)管，存在盜竊、故意破壞設(shè)施等行為。

五、教育系統(tǒng)信息

安全體系設(shè)計(jì)

教育信息特征和教育管理體制的特點(diǎn)為安全管理提出要求的同時，也為安全管理提供了一些思路。本文在風(fēng)險(xiǎn)分析的基礎(chǔ)上，以這種思路為指導(dǎo)，同時借鑒企業(yè)信息安全方面的經(jīng)驗(yàn)，構(gòu)建適合教育系統(tǒng)的信息安全管理體系。

與企業(yè)信息安全建設(shè)的現(xiàn)有經(jīng)驗(yàn)成果相一致，教育系統(tǒng)的信息安全也應(yīng)從管理與技術(shù)兩個層面進(jìn)行保護(hù)，技術(shù)是基礎(chǔ)，是工具，管理是靈魂，是關(guān)鍵。

1.管理控制

就風(fēng)險(xiǎn)分析的結(jié)果來看，筆者將管理控制需要加強(qiáng)的內(nèi)容歸納為五個方面：信息對象管理，組織管理、物理管理以及制度法規(guī)。

（1）信息對象管理

崗位責(zé)任認(rèn)定制體現(xiàn)了教育系統(tǒng)的分工有序，說明了系統(tǒng)內(nèi)各部門的職責(zé)不同，所處理的教育信息需要保密的范圍和程度都不相同。利用這一特點(diǎn)，對教育信息進(jìn)行分流梳理，劃分教育信息的共享級別。另外教育信息的共享級別劃定后，電子文檔的管理也需要制定專門的制度。

①教育信息共享級別劃分。借鑒教育部門的文件信息管理機(jī)制，建立學(xué)校的文件信息共享級別制度，將各種文件信息分級管理，不同的文件信息有不同的共享級別，共享級別的劃分可以考慮教育機(jī)構(gòu)的不同部門職能，按照教育機(jī)構(gòu)現(xiàn)實(shí)的情況進(jìn)行確定，進(jìn)一步明確哪些信息在哪些部門內(nèi)共享；其次，根據(jù)工作人員所在部門以及崗位，結(jié)合文件信息的共享級別分配不同的權(quán)限，最終形成固定信息只在固定部門流動共享，固定信息只有固定群體訪問的局面，從而方便責(zé)任落實(shí)。

②電子檔案管理制度。教育信息具有一定的時效性，對教育電子文檔的存貯和銷毀可以做出明確規(guī)定。建議在電子文件形成、積累、歸檔、保管過程中進(jìn)行妥善管理，確保歸檔電子文件的完整性和有效性；可以指定專門部門或人員負(fù)責(zé)，及時登記設(shè)備環(huán)境、相關(guān)數(shù)據(jù)等，以保證電子文件歸檔的質(zhì)量，要保證已歸檔電子文件的安全；作為檔案長期保管的電子文件應(yīng)與相同的紙質(zhì)文件一同歸檔；根據(jù)電子文檔的時效周期，定期對電子文件進(jìn)行銷毀。

（2）組織管理

教育信息缺乏組織上系統(tǒng)的管理，包括對安全計(jì)劃的、對人員的以及對安全責(zé)任的。

①信息安全的計(jì)劃

信息安全的計(jì)劃是從整體上把握信息安全，根據(jù)教育系統(tǒng)的自身信息安全狀況分析信息安全的風(fēng)險(xiǎn)，選擇策略措施，這是一套系統(tǒng)的動態(tài)的過程，需要不斷更新變化，并且落到實(shí)處。計(jì)劃中還應(yīng)對信息安全突發(fā)狀況作出緊急預(yù)案，信息安全管理的任何一個環(huán)節(jié)出了錯，都有可能導(dǎo)致信息的不安全，因而要提前針對可能出現(xiàn)的情況制定好應(yīng)急管理措施，一旦發(fā)生信息安全事件，立即啟動預(yù)案應(yīng)急措施。

②人員管理

信息安全對人的管理側(cè)重從體制上、管理上、技術(shù)上約束，規(guī)范其個人行為，避免主客觀的不安全因素。因?yàn)檎{(diào)職、退休或者其他原因離開的教育系統(tǒng)非在職人員的管理常常被忽視，教育系統(tǒng)的信息安全應(yīng)該將這些隱性因素綜合考慮在內(nèi)。

權(quán)限的設(shè)定。教學(xué)信息共享的相對性、流動的增值性以及教育管理體制的特點(diǎn)均顯示出權(quán)限管理的重要性。如果沒有合理的權(quán)限設(shè)定，必然會使某些教育工作者或者部門的合法權(quán)益受到損害。對于權(quán)限的設(shè)定可以結(jié)合各崗位的實(shí)際工作需要、教學(xué)活動的實(shí)際需求，對照教育信息的共享級別，對人員信息訪問和讀寫權(quán)限作出嚴(yán)格的設(shè)定。這種權(quán)限包括數(shù)字形式的準(zhǔn)入，如賬戶、密碼，也包括物理形式的準(zhǔn)入，如訪問存儲重要信息的機(jī)房重地的出入證。另外對于非在職人員原有的權(quán)限要及時取消，并且要有相應(yīng)的制度使他們對已經(jīng)掌握的重要信息進(jìn)行保密。

人員培訓(xùn)。教育系統(tǒng)應(yīng)定期或不定期地對工作人員進(jìn)行信息安全技能培訓(xùn)。信息化高速發(fā)展，為培訓(xùn)提供了很大空間，培訓(xùn)形式可以多樣化，地點(diǎn)也可以不固定。

③安全管理責(zé)任認(rèn)定

建議安全事件按其影響的后果劃分事故等級，并結(jié)合崗位責(zé)任認(rèn)定制將責(zé)任落實(shí)到部門和個人。個人出現(xiàn)問題，部門也應(yīng)承擔(dān)相應(yīng)的責(zé)任。

雖然說有一定的法律條文對泄露信息的行為進(jìn)行約束，但其約束面較窄，建議教育機(jī)構(gòu)內(nèi)部設(shè)定具體的懲罰措施作為補(bǔ)充。教育機(jī)構(gòu)內(nèi)部人員如有失誤造成信息安全風(fēng)險(xiǎn)的，可視情節(jié)輕重、責(zé)任大小，給予當(dāng)事人扣發(fā)獎金、誡勉以及內(nèi)部處分、年度考核扣分等處罰；構(gòu)成違紀(jì)的，給予黨政紀(jì)處分；觸犯刑律的，移送司法機(jī)關(guān)依法追究法律責(zé)任；取消本年度參加所有先進(jìn)評選資格等處罰。懲罰措施還要配備相應(yīng)的監(jiān)督，教育機(jī)構(gòu)內(nèi)部可以定期監(jiān)察。

（3）物理管理

主要涉及涉及自然災(zāi)害的預(yù)防和設(shè)施設(shè)備的防盜。①自然災(zāi)害的防范措施。機(jī)房重地的防火、防水等措施要做到位，如不要放易燃物，設(shè)有火警報(bào)警裝置等，雖然大家熟知這點(diǎn)，但不夠重視。②防盜。信息化相關(guān)設(shè)備設(shè)施都非常昂貴，防盜措施也需配套做好，監(jiān)控的作用要發(fā)揮到實(shí)處。

（4）制度法規(guī)

①法規(guī)的宣傳。相關(guān)的法律以及道德規(guī)范的宣傳是必需的。法律及道德規(guī)范的宣傳首先可以讓教育工作者明白保守信息的重要性，其次可以讓他們知道哪些信息需要保護(hù)及泄露將要承擔(dān)怎樣的后果。所以只有讓教育工作者心中時刻銘記法律及道德規(guī)范，以此來約束他們的行為和思想，才能更進(jìn)一步保障教育信息的安全。

②標(biāo)準(zhǔn)及法規(guī)的貫徹落實(shí)。信息安全標(biāo)準(zhǔn)和法規(guī)出臺的目的就是規(guī)范信息安全的相關(guān)操作，然而很多標(biāo)準(zhǔn)規(guī)范出臺之初似乎受到了人們的關(guān)注，但由于種種原因并沒有得到貫徹和落實(shí)。所以教育系統(tǒng)相關(guān)負(fù)責(zé)人要認(rèn)識到實(shí)施標(biāo)準(zhǔn)對信息安全的重要性并積極貫徹。

2.技術(shù)控制

技術(shù)管理是技術(shù)因素中管理思想的重要體現(xiàn)，建議教育系統(tǒng)對以下幾方面多加關(guān)注。

（1）網(wǎng)絡(luò)審計(jì)管理。包括通過對信息系統(tǒng)網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用等環(huán)節(jié)的訪問，線索的監(jiān)視、記錄、控制、分析來消除隱患，提高信息系統(tǒng)的安全性。及時對審計(jì)內(nèi)容進(jìn)行分析，可以找出潛在的安全威脅和異常行為，追查發(fā)生異常行為的原因和人員。

（2）口令管理。對人員訪問的口令也應(yīng)有相應(yīng)的要求，比如訪問敏感的教育信息，其口令的長度及復(fù)雜度都要相應(yīng)提高。系統(tǒng)中所有口令的保存必須加密，嚴(yán)禁出現(xiàn)明碼。為方便重要信息的管理，某些信息系統(tǒng)只在規(guī)定時間向特定群體開放。重要信息的訪問者的用戶名和密碼應(yīng)定期更換，特別重要的信息系統(tǒng)最好采用一次性口令。

（3）設(shè)備風(fēng)險(xiǎn)控制。大、中、小型計(jì)算機(jī)、個人電腦、路由器、中繼器、橋接設(shè)備、調(diào)制解調(diào)器、交換機(jī)、集線器等都存在安全風(fēng)險(xiǎn)點(diǎn)，要對這些安全點(diǎn)進(jìn)行控制。

（4）線路管理。線路是網(wǎng)絡(luò)的血脈，線路管理主要是保證傳輸線的質(zhì)量，定期檢查，防止非法裝置裝入竊取信息。

（5）網(wǎng)絡(luò)建設(shè)管理。網(wǎng)絡(luò)建設(shè)的安全管理主要考慮網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的安全性、軟件功能的安全性支持，這兩點(diǎn)往往比較容易受到忽略。網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時就要融合安全因素充分考慮，力求做到在設(shè)計(jì)網(wǎng)絡(luò)時就可以避免一些潛在的不安全因素。

除技術(shù)管理外，技術(shù)控制還要多關(guān)注其他幾項(xiàng)技術(shù)在信息安全方面的使用。系統(tǒng)安全技術(shù)主要要求工作人員提高系統(tǒng)安全級別，采用口令隱蔽技術(shù)，檢查服務(wù)功能，完善系統(tǒng)配置，及時修補(bǔ)系統(tǒng)漏洞；網(wǎng)絡(luò)安全包含的技術(shù)種類很多，如采用路由技術(shù)、子網(wǎng)劃分技術(shù)、VPN等技術(shù)實(shí)現(xiàn)對教育系統(tǒng)內(nèi)外部隔離、系統(tǒng)內(nèi)部部門間隔離等；加密技術(shù)和訪問控制技術(shù)對信息安全非常重要。技術(shù)產(chǎn)品主要是指選購方面按照其技術(shù)指標(biāo)與功能合理地進(jìn)行，所以教育工作人員不僅要重視這些技術(shù)，還要將這些技術(shù)運(yùn)用到實(shí)處。

教育系統(tǒng)信息安全工作需要形成體系，只有形成體系才能保障信息安全的長久。而建立一個完善的教育信息安全管理體系，首先要在良好的信息安全管理基礎(chǔ)之上制定出相關(guān)的管理制度、策略和規(guī)章，然后才是在安全產(chǎn)品的幫助下搭建起整個架構(gòu)。在運(yùn)行過程中，還需要根據(jù)變化的環(huán)境不斷改進(jìn)，并將這種改進(jìn)寫入信息安全管理方法及策略中，并結(jié)合自身因素形成具有鮮明特色的信息安全管理體系。

[1]閆一渡，趙麗娟.教育信息若干問題探討[J].中國電化教育，1997，（4）.

[2]趙洪彪.信息安全風(fēng)險(xiǎn)分析的概念和框架[J].計(jì)算機(jī)安全，2004，（4）.

[3]陳融圣等.對福建某企業(yè)信息安全需求的分析[J].電腦知識與技術(shù)，2008，（36）.

[4]趙曉冬.論我國教育體制改革[J].黑龍江生態(tài)工程職業(yè)學(xué)院學(xué)報(bào)，2007，（5）.

[5]程建華，靖繼鵬.信息安全風(fēng)險(xiǎn)結(jié)構(gòu)特征分析[J].情報(bào)科學(xué)，2008，（3）.

[6]Soo Hoo，K.“How Much Is Enough?A Risk Management Approach to Computer Security.”Center for international Security and Cooperation working Paper，http://cisac.stanford.edu/doc/soohoo.pdf，2000.

（編輯：魯利瑞）

TP393

A

1673-8454（2011）14-0066-06

*本文為2009年江蘇省重大課題《江蘇省基礎(chǔ)教育管理信息化功能標(biāo)準(zhǔn)研制》（09SJB8006）的階段性成果之一。