趙萍

摘 要：教育系統(tǒng)內(nèi)部信息的利用價值體現(xiàn)在為領(lǐng)導(dǎo)決策的制定提供服務(wù)，因而需要保障其真實性。同時，由于時間期限會對內(nèi)部信息的利用價值產(chǎn)生深入的影響，因而也需要保障信息的時效性。為此，做好信息安全及保密工作是極為必要的。文章針對教育系統(tǒng)內(nèi)部信息安全與信息保密方面的現(xiàn)狀進行分析，并在此基礎(chǔ)上探討能夠積極應(yīng)對威脅、保障信息安全的保密措施，構(gòu)建一套完整體系。

關(guān)鍵詞：教育系統(tǒng) 信息安全 信息保密

中圖分類號：G622 文獻標(biāo)識碼：A 文章編號：1674-2117（2014）08-0061-01

教育信息化技術(shù)的發(fā)展使教育系統(tǒng)的更新、升級更加迫在眉睫。教育系統(tǒng)的重要性促使各方人員關(guān)注信息數(shù)據(jù)的安全問題，但當(dāng)前所采取的相關(guān)保密策略效果均不夠理想，整個系統(tǒng)承受著信息安全方面的威脅。對于教育系統(tǒng)而言，由于其涉及對象廣泛，自上而下覆蓋教育局、招生辦、院校等，基于各方需求的不同，致使保障信息安全的難度更大，也因此更需要引起各方人員的關(guān)注。

1信息安全威脅

廣義上的信息安全威脅（即信息安全風(fēng)險）主要是由信息系統(tǒng)自身脆弱性特點誘發(fā)的。其主要是指，在某些特定事件的發(fā)生下，信息系統(tǒng)存在的可被攻擊性以及可被破壞性。由于信息系統(tǒng)當(dāng)前仍處于發(fā)展過程當(dāng)中，決定了無論是從硬件設(shè)置還是從軟件配備的角度，均存在一定的弱點與缺陷，而一旦信息安全威脅成功利用了這部分弱點，則可能會對整個系統(tǒng)內(nèi)部的關(guān)鍵信息產(chǎn)生惡劣的影響，造成不可估量的后果。對于本文所研究教育系統(tǒng)而言，其系統(tǒng)本身同樣存在一定脆弱性：首先，以學(xué)校為例，系統(tǒng)所對應(yīng)的業(yè)務(wù)應(yīng)用以及網(wǎng)絡(luò)操作模塊存在安全方面的缺陷，在搭載互聯(lián)網(wǎng)傳輸?shù)那闆r下，未實現(xiàn)對上/下行信息的加密處理，不但無法確保信息的安全與保密，還可能對認(rèn)證功能產(chǎn)生影響。其次，教育系統(tǒng)安全技術(shù)設(shè)備的使用率不夠理想，參數(shù)設(shè)置不夠合理。再次，缺乏對人員的管理，且教育系統(tǒng)領(lǐng)導(dǎo)對于信息安全與保密的認(rèn)知不夠全面，無法形成良好的支持力度，導(dǎo)致組織層面決策支持受損。同時，過于依賴技術(shù)設(shè)備自身的安全性能，未形成應(yīng)對信息安全威脅的控制機制。

2信息安全及保密措施

2.1管理性措施

從管理控制的角度上來說，應(yīng)當(dāng)在對信息對象進行安全管理的過程中引入崗位責(zé)任認(rèn)定制度，以教育系統(tǒng)為整體，明確各個工作部門所對應(yīng)的信息保密范圍與安全責(zé)任歸屬，并且以此為基礎(chǔ)，對教育信息共享級別進行劃分，同時制定針對性的電子文檔管理制度。筆者建議，可以根據(jù)文件信息所對應(yīng)信息安全共享級別的不同，結(jié)合教育部門職能差異，明確信息共享的范圍。一方面可使訪問群體與信息之間的關(guān)系傾向于固定，另一方面可有助于工作部門、人員對信息保密責(zé)任的落實。同時，還可在組織管理方面引入對信息安全的計劃。結(jié)合教育系統(tǒng)的運行狀態(tài)，確保出現(xiàn)信息安全威脅的第一時間可啟動相應(yīng)的應(yīng)急預(yù)案措施。并且，考慮到教育系統(tǒng)中信息共享具有一定的增值性以及相對性特征，因而建議結(jié)合教育系統(tǒng)內(nèi)部各個崗位的實際情況，對工作人員有關(guān)信息的操作（包括信息訪問、信息輸出/輸入等在內(nèi)）進行權(quán)限設(shè)置。特別是對于學(xué)校而言，需要及時取消非在職員工原有權(quán)限設(shè)置，并制定合理的制度，要求其對已掌握信息嚴(yán)格保密。

2.2技術(shù)性措施

根據(jù)前文中對教育系統(tǒng)內(nèi)部潛在信息安全威脅因素的分析，建議進一步強化對整個系統(tǒng)網(wǎng)絡(luò)的審計管理、口令管理、線路管理、資料管理以及建設(shè)管理方面的工作。具體的措施為：

（1）教育系統(tǒng)中的信息威脅可能存在于操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等等子系統(tǒng)當(dāng)中，需要通過審計管理的方式，加強對線索的監(jiān)視與控制，及時發(fā)現(xiàn)并控制、根除安全隱患。同時，還可以審計為手段，明確信息操作方面的異常行為，及時追查至責(zé)任部門及責(zé)任人員。

（2）口令管理的主要內(nèi)涵在于，在對敏感性教育系統(tǒng)內(nèi)部信息進行訪問時，需要適當(dāng)提高對應(yīng)口令的長度、復(fù)雜度。同時，基于安全性因素考量，可對信息系統(tǒng)面向特定信息訪問群體的開放時間進行限制。采取強制性措施對重要信息訪問對象的用戶名及密碼進行更換，同時也可引入一次性口令，防止惡意入侵。

（3）網(wǎng)絡(luò)線路作為教育系統(tǒng)的訪問載體，需要確保其傳輸質(zhì)量的安全可靠。要求安排專人定期對線路安全進行檢查，重點評估線路是否搭載有非法裝置竊取安全信息，一旦發(fā)現(xiàn)需要及時清除。

（4）為防止因技術(shù)性缺陷而造成的教育系統(tǒng)內(nèi)部信息丟失問題，要求在系統(tǒng)更新、升級或定期檢查時，對既有設(shè)備資料進行備份，并妥善保存。

（5）需要教育系統(tǒng)相關(guān)操作人員通過引入口令隱蔽技術(shù)的方式，對服務(wù)功能技術(shù)加以更新與完善，持續(xù)提高整個系統(tǒng)的安全級別，并對既有或潛在漏洞進行修補。

3結(jié)語

信息安全伴隨著網(wǎng)絡(luò)系統(tǒng)的發(fā)展而備受關(guān)注。對于教育系統(tǒng)而言，為確保信息的安全與保密，要求引入完整的工作體系，將管理性措施與技術(shù)性措施相互融合，形成健全的信息安全保障架構(gòu)，并遵循教育系統(tǒng)的一般性特點，提高系統(tǒng)內(nèi)部信息的安全性水平。

（成都市溫江區(qū)東大街第二小學(xué)校，四川 成都 611130）

參考文獻：

[1]陶遵適，孫若萍，柴麗文.三代遠(yuǎn)程教育系統(tǒng)信息傳播子系統(tǒng)的分析[J].現(xiàn)代遠(yuǎn)程教育研究，2004（2）：65-68.

[2]劉彩霞，王會寨，邱旭東.全國高等體育教育系統(tǒng)文獻信息資源共享模式研究[J].中國體育科技，2003，39（6）：35-37.

[3]林繼熙.基于CSMS技術(shù)的高校安全教育系統(tǒng)的設(shè)計[J].福建農(nóng)林大學(xué)學(xué)報（自然科學(xué)版），2011，40（1）：101-105.

[4]吳啟迪，凌培亮，陳其暉.基于多智能代理的協(xié)同網(wǎng)絡(luò)化教育系統(tǒng)[J].同濟大學(xué)學(xué)報（自然科學(xué)版），2004，32（11）：1521-1525.endprint