陳迎春

（中共青海省委黨校，青海 西寧 810001）

一、引言

隨著大數(shù)據(jù)技術(shù)的成熟和校園信息化數(shù)據(jù)的迅速積累，我國教育信息化的發(fā)展勢頭十分的迅猛。大數(shù)據(jù)、云計算與物聯(lián)網(wǎng)等信息技術(shù)充分融合應用于教育信息化各個方面，各類教育尤其是高等教育已經(jīng)逐步邁入了智慧教育時代，教育新模式新觀念早已貫穿于廣大師生的工作，學習，生活等方方面面。經(jīng)過多年的教育資源共建共享建設，教育資源每年以幾何級數(shù)增長，數(shù)據(jù)早已突破TB級甚至達到PB級，基于這么龐大的數(shù)據(jù)建立的各類校園教育信息化應用，數(shù)據(jù)安全顯得尤為重要。大數(shù)據(jù)為教育信息化帶來了發(fā)展機遇，也同時帶來了巨大安全挑戰(zhàn)，我們必須從思想上采取積極的態(tài)度，從被動防御轉(zhuǎn)化為主動防范，必須從全局的角度分析、認識和處理大數(shù)據(jù)生命周期內(nèi)的各種安全保障。本文重點討論如何從管理層面積極應對大數(shù)據(jù)環(huán)境下的教育信息化建設中的新挑戰(zhàn)新威脅。

二、教育信息化建設安全管理現(xiàn)狀

（一）信息網(wǎng)絡安全管理體制不健全

目前，經(jīng)調(diào)研發(fā)現(xiàn)多數(shù)學校管理者安全意識淡漠，在信息化建設初期設計時就忽視了信息化安全保障部分，沒有將信息安全保障題放在一個戰(zhàn)略高度去考慮，造成信息安全管理較為薄弱，許多安全案例（比如個人信息泄密等）都是由于管理缺失、責任不明確造成的。一是教育信息化建設中重應用，輕安全。在教育信息化應用相關(guān)管理條例中，雖然對內(nèi)部應用、對外服務等制定了嚴格的管理制度，但是對于信息安全方面缺乏具有針對性和實用性的制度，通常停留于大而化之的方向性制度和理論層面，沒有真正坐下了制定具體的有承擔后果的安全管理條例，使得教育信息化信息安全管理體系缺乏實操性。二是信息安全制度責任不明確，落實不到位。在教育信息化建設的應用和管理中，我們在項目前期只關(guān)注技術(shù)層面的制度，在項目后期也著眼于如何提升應用服務的制度，但實際上信息安全責任落實制度才真正是教育信息化信息保障的根本，只有在安全的環(huán)境中才可能充分發(fā)揮教育應用的最大效能，我們應盡早出臺詳盡的安全責任，細致到規(guī)定教育信息化各種信息安全問題何種情況下何人負責，責任明確不僅保證了信息安全，也提高了管理和技術(shù)人員的安全責任感。三是用戶安全意識淡漠。不管是技術(shù)人員還是客戶端使用者都存在僥幸心理，總是認為信息安全問題也許不會造成太嚴重損失，致使教育信息化建設初期的頂層設計中就缺乏對教育信息化建設信息安全體制的整體規(guī)劃。

（二）信息安全防護能力普遍不足

一是信息安全專業(yè)人才不足。目前有些學校沒有專門配備安全技術(shù)人員，采用安全外包方式應對安全問題，但過于依靠信息安全服務商無法準確估算安全投入的績效，很難在事前和事后來對這些安全服務做出有效評估，外包人員的穩(wěn)定率和職業(yè)素養(yǎng)也無法保證。二應用新技術(shù)帶來未知安全新挑戰(zhàn)。大數(shù)據(jù)時代的教育信息化系統(tǒng)會采用很多新技術(shù)新設備，用于數(shù)據(jù)的分析和挖掘，日新月異的網(wǎng)絡技術(shù)發(fā)展加劇了技術(shù)和設備的更新?lián)Q代速度，尤其是智能手機的快速發(fā)展致使病毒的傳播和攻擊的途徑更加容易。新技術(shù)新體驗提升了教育信息化應用的效能，但也帶來了更大更多的未知安全挑戰(zhàn)，潛在的安全問題使教育信息化信息安全防御難度加大。三是教育信息化應用信息系統(tǒng)之間存在極強的關(guān)聯(lián)性，某一個關(guān)聯(lián)子系統(tǒng)極有可能造成整個信息系統(tǒng)失效，這種連帶風險將會大大提升。在教育信息化云計算環(huán)境下，服務終端與大數(shù)據(jù)平臺是一個統(tǒng)一系統(tǒng)，一旦從某點服務個體終端（比如智能手機）入侵或攻擊入核心平臺，其傳染性和破壞性是極強的，會造成嚴重后果，完全有可能會在幾分鐘內(nèi)導致整個服務系統(tǒng)的全面崩潰和癱瘓，或者造成數(shù)據(jù)的大量泄漏。四是海量教育信息化數(shù)據(jù)共建共享建設導致信息濫用和泄密現(xiàn)象頻發(fā)。目前許多教育信息化建設的數(shù)據(jù)中心的數(shù)據(jù)存儲、傳輸、處理都是跨學校跨部門跨類別的，在這些數(shù)據(jù)流轉(zhuǎn)發(fā)布的過程中存在很大的安全風險，除了在技術(shù)層面進行主動防御外，我們還要建立完備的電子信息保護機制。

（三）信息安全的道德防線受到嚴重沖擊

非法攻擊者一般利用網(wǎng)絡對服務器端發(fā)起攻擊或潛伏其中，客戶端計算機或其他智能設備必須安裝殺毒軟件、防火墻等安全措施，但這也未必能完全阻擋病毒入侵和攻擊發(fā)生。

三、教育信息化建設的信息安全建議

（一）提升頂層設計的重要性和科學性

以往教育信息化建設的經(jīng)驗告訴我們，項目初期必須明確頂層設計的科學性和合理性，包括教育信息化。教育信息化建設前期首先要成立教育信息化建設信息安全保障的領(lǐng)導機構(gòu)和專家委員會。在頂層設計工作中應立足于學?，F(xiàn)狀制定目標，明確不同階段各類信息安全風險，嚴禁好高騖遠，保證頂層設計的科學性與合理性。教育信息化建設頂層設計中首先確立先進的設計理念，只有制定可持續(xù)的可擴展性的信息安全發(fā)展戰(zhàn)略，才有可能在項目建設和應用過程中對網(wǎng)絡安全管理不斷優(yōu)化。其次，在建設過程中和應用服務中持續(xù)改善組織機制，充分重視信息安全保障的重要性，確保高效安全地推進項目。

（二）努力營造良好信息化氛圍

一是根據(jù)國家法律、法規(guī)制定安全管理制度。學校需召開專題討論會，請安全領(lǐng)域?qū)＜矣懻摵汀踩夹g(shù)人員和學校管理人員三方參會，共同討論制定針對本校教育信息化實際需求的安全管理制度，兼顧管理、技術(shù)和趨勢。這個制度必須明確安全管理職能，建立標準安全操作流程，并在實踐過程中不斷優(yōu)化、完善。二是建立信息安全保障的管理標準。建立統(tǒng)一的安全等級認定和信息安全管理標準，用以保證和評估大數(shù)據(jù)環(huán)境下的應用效能和安全；三是營造人人參與教育信息化建設，人人緊繃安全意識之弦，人人享受教育信息化服務的良好氛圍。在教育信息化建設和運行中，用戶一定是全程參與者，既是終端體驗者也是系統(tǒng)維護者，遵從良好的使用習慣，自覺維護信息安全。

（三）構(gòu)建信息安全管理體系

信息安全管理體系包括運維、應急預案和保密三大體系，其建設既需要管理和安全技術(shù)的有效融合，也需要在統(tǒng)一部署基礎安全基礎設施，。一是建立信息安全運維體系。建立信息安全事件監(jiān)控檢測機制，第一時間定位信息系統(tǒng)安全問題。建立具備強大綜合分析能力的運維安全感知系統(tǒng)，利用安全大數(shù)據(jù)分析檢測和預判當下網(wǎng)絡和數(shù)據(jù)的安全狀況，化被動為主動，為信息中心或決策者提供決策參考支持。二是建立信息安全應急預案體系。包含信息安全事件應急預案、綜合防范應急預案，基礎設施防范應急預案，數(shù)據(jù)災難備份和恢復等。根據(jù)這些應急預案定期模擬演練。三是建立信息安全保密體系。重點是建立信息發(fā)布保密審查機制，公開發(fā)布的信息專人發(fā)布專人審核，做到職權(quán)分明，確保涉密信息不公開，公開信息不涉密。加強涉密介質(zhì)的管理，涉密信息務必由專機專人處理負責。

（四）提高人員信息素養(yǎng)

一是信息安全人才的技術(shù)培訓和道德。高水平的安全技術(shù)人員是網(wǎng)絡安全管理中最急需的技術(shù)人才，他們的能力直接影響安全結(jié)果。因此安全人才的培訓必須是復合型人才，既要重點提升技術(shù)人員的業(yè)務能力，還要加強網(wǎng)絡安全意識形態(tài)的培訓，在工作中必須堅守職業(yè)道德，在出現(xiàn)網(wǎng)絡攻擊或者安全事件時，通過數(shù)據(jù)分析，安全定位，輔助決策者分析當前安全數(shù)據(jù)狀況和面臨的風險，得出最佳安全解決方案。二是全員安全和責任意識教育。加強所有系統(tǒng)用戶的安全意識教育，尤其是主要領(lǐng)導和關(guān)鍵數(shù)據(jù)使用者的安全意識，做好安全日常監(jiān)控工作。作為應用系統(tǒng)的所有用戶都要具備良好的操作習慣和安全意識，不使用不明WIFI，不上可疑網(wǎng)站，安裝殺毒軟件。學校定期舉辦信息安全教育活動。

四、結(jié)束語

大數(shù)據(jù)環(huán)境下的教育信息化改變了教育模式和管理模式，也凸顯了大數(shù)據(jù)安全保障問題。一方面，大數(shù)據(jù)應用技術(shù)的迅猛發(fā)展，為攻擊者提供了多種多樣的攻擊和途徑，致使數(shù)據(jù)服務平臺面臨巨大安全威脅；另一方面，我們必須改變固有的傳統(tǒng)安全思維，建立全新的安全體系。本文在分析當前學校教育信息化系統(tǒng)中普遍存在的信息安全保障問題的基礎上，有針對性地提出教育信息化信息安全保障體系建設的建議。