張瑜潔

（北京國(guó)家會(huì)計(jì)學(xué)院，北京 101312）

1 校園網(wǎng)絡(luò)信息安全的特點(diǎn)

當(dāng)今的數(shù)字化校園建設(shè)，將整個(gè)校園的功能范疇以信息化形式囊括起來，其涵蓋了教學(xué)教務(wù)管理、行政辦公建設(shè)、信息技術(shù)保障和后勤保障等多方位范疇，并逐步趨向智慧型校園快速發(fā)展。校園網(wǎng)絡(luò)信息安全基于校園生活的特殊性，并作為技術(shù)保障重點(diǎn)，貫穿于整個(gè)數(shù)字化校園建設(shè)過程中，其主要體現(xiàn)了以下四個(gè)特點(diǎn)。

（1）校園局域網(wǎng)絡(luò)安全問題蔓延快、影響大。目前，校園網(wǎng)絡(luò)普遍使用了千兆及萬兆網(wǎng)絡(luò)與主干網(wǎng)絡(luò)互聯(lián)，其承載著上千甚至上萬的校園網(wǎng)用戶，且用戶群體密集、帶寬利用率高位運(yùn)行。因此，當(dāng)校園網(wǎng)出現(xiàn)信息網(wǎng)絡(luò)安全問題時(shí)，極易導(dǎo)致安全問題在局域網(wǎng)內(nèi)迅速蔓延，網(wǎng)絡(luò)用戶受影響性呈群體性、廣泛性。

（2）校園網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)涉及面廣、管理復(fù)雜。處于校園網(wǎng)中的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，不僅包含校園數(shù)字化建設(shè)相關(guān)的服務(wù)器與網(wǎng)絡(luò)設(shè)備，還包括教師自主采購的授課計(jì)算機(jī)硬件及軟件、學(xué)生宿舍的個(gè)人計(jì)算機(jī)和計(jì)算機(jī)教室的各類專業(yè)硬件設(shè)備及軟件資源。其中包含學(xué)校信息技術(shù)部門統(tǒng)一管理的信息資源，還包含未經(jīng)專人統(tǒng)一定期維護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備。面對(duì)校園網(wǎng)中所有的計(jì)算機(jī)網(wǎng)絡(luò)終端，欲實(shí)施統(tǒng)一的資產(chǎn)管理和安全管理辦法非常困難。

（3）校園網(wǎng)用戶自身使用特點(diǎn)。使用校園網(wǎng)的學(xué)生用戶作為最活躍的校園網(wǎng)用戶，好奇心強(qiáng)、法律意識(shí)比較淡薄，若學(xué)校沒有對(duì)其進(jìn)行充分的信息網(wǎng)絡(luò)安全教育，極易導(dǎo)致學(xué)生用戶以校園網(wǎng)為試驗(yàn)對(duì)象，學(xué)習(xí)大量計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)知識(shí)，編寫病毒程序或產(chǎn)生黑客行為對(duì)校園網(wǎng)進(jìn)行技術(shù)攻擊。

（4）共享資源缺乏管理。由于在校學(xué)生普遍缺乏版權(quán)意識(shí)，盜版軟件、盜版影視資源，甚至非法軟件在校園網(wǎng)中被普遍復(fù)制和使用，其中可能隱藏病毒、木馬、后門等惡意代碼，極易被攻擊者侵入和利用。這些資源的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給校園信息網(wǎng)絡(luò)帶來了相當(dāng)大的安全隱患[1]。

2 校園信息網(wǎng)絡(luò)安全問題分析

2.1 正確的信息安全觀樹立不足

（1）信息安全體系的整體性布局考慮欠缺。在信息時(shí)代，網(wǎng)絡(luò)信息安全同許多其他方面（文化安全、社會(huì)安全、資源安全等）都有著密切關(guān)系。整體考慮，而不只關(guān)注一點(diǎn)，是當(dāng)前信息安全整體戰(zhàn)略布局需要思考的問題。

（2）信息安全技術(shù)是動(dòng)態(tài)發(fā)展而非靜態(tài)停滯。信息技術(shù)變化越來越快，過去分散獨(dú)立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)、相互依賴，網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化，企圖依靠裝某幾個(gè)安全設(shè)備和安全軟件就想永保安全的想法已不合時(shí)宜。

（3）信息安全的管理和宣傳相對(duì)封閉。只有立足開放環(huán)境，加強(qiáng)對(duì)外交流、合作、互動(dòng)、博弈，吸收先進(jìn)技術(shù)，信息安全水平才會(huì)不斷提高。

（4）信息安全的保障程度是相對(duì)的而不是絕對(duì)的。在網(wǎng)絡(luò)信息安全世界，沒有絕對(duì)的安全。應(yīng)立足校園自身發(fā)展實(shí)際，充分考慮自身的安全等級(jí)定義，避免不計(jì)成本追求絕對(duì)安全，導(dǎo)致背上沉重負(fù)擔(dān)，甚至可能顧此失彼。

（5）信息安全的建設(shè)主體是共同的而不是孤立的。信息安全是數(shù)字化信息化發(fā)展的基本保障，維護(hù)信息安全是校園內(nèi)所有組織機(jī)構(gòu)的共同責(zé)任，需要所有組織機(jī)構(gòu)、師生共同參與，共筑信息安全防線。

2.2 多層級(jí)安全防護(hù)機(jī)制有待提升

2.2.1 缺乏全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)的能力

對(duì)于日常發(fā)生的信息安全意外事件，相關(guān)信息技術(shù)人員試圖從中獲取故障發(fā)生的深層原因以解決根本問題，但這種方式非常被動(dòng)。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作，而全天候全方位感知的要求就更佳嚴(yán)格。全天候全方位是一種時(shí)間和空間上的全覆蓋，注重問題需防患于未然。也是目前校園信息化安全風(fēng)險(xiǎn)監(jiān)控的短板。

2.2.2 需加快升級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系

關(guān)鍵信息基礎(chǔ)設(shè)施是校園信息系統(tǒng)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。“物理隔離”防線可被跨網(wǎng)入侵，調(diào)配指令可被惡意篡改，交易信息可被竊取，這些都是重大風(fēng)險(xiǎn)隱患。不出問題則已，一出就可能導(dǎo)致業(yè)務(wù)中斷，具有很大的破壞性和殺傷力。目前亟須深入研究，采取有效措施，切實(shí)做好校園關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)工作。

（1）信息安全建設(shè)管理分散、不成聚合。數(shù)字校園建設(shè)中的信息系統(tǒng)大多委托承建單位進(jìn)行業(yè)務(wù)系統(tǒng)建設(shè)。隨業(yè)務(wù)系統(tǒng)數(shù)量的不斷增多，第三方供應(yīng)鏈安全管理、統(tǒng)一執(zhí)行相關(guān)責(zé)任部門的信息網(wǎng)絡(luò)安全行為管理已成為校園信息系統(tǒng)日常管理的新問題。如何處理好安全和發(fā)展的關(guān)系，做到網(wǎng)絡(luò)安全與信息化建設(shè)同時(shí)推進(jìn)、保證業(yè)務(wù)連續(xù)運(yùn)行，需要所有相關(guān)部門單位共同配合解決，這是管理與技術(shù)雙方面都需要考慮的綜合問題。

（2）需進(jìn)一步落實(shí)綜合性的應(yīng)急方案和安全管理制度。目前，各大、中小學(xué)校針對(duì)信息化安全管理，基本制定了一系列信息網(wǎng)絡(luò)安全規(guī)章制度。但涉及的問題和范疇既有重合也有分散，并沒有從管理制度上形成一整套安全管理機(jī)制。隨著業(yè)務(wù)系統(tǒng)的不斷升級(jí)和增加，需要及時(shí)更新和完善相關(guān)的安全應(yīng)急保護(hù)制度。

與此同時(shí)，如何將《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《中華人民共和國(guó)數(shù)據(jù)安全法》與校園信息安全建設(shè)結(jié)合起來，使現(xiàn)有制度更加完善、新政策落地可行且行之有效，是管理與技術(shù)人員正在面對(duì)的棘手問題。

3 校園信息網(wǎng)絡(luò)安全問題應(yīng)對(duì)對(duì)策

3.1 完善并落實(shí)信息網(wǎng)絡(luò)安全綜合管理制度

實(shí)際上，一種方案并不能保證系統(tǒng)一勞永逸，網(wǎng)絡(luò)安全問題遠(yuǎn)遠(yuǎn)不是防毒軟件和防火墻能夠解決，也不是由大量安全防護(hù)產(chǎn)品堆砌而成。針對(duì)于校園信息安全管理工作的問題瓶頸，首先要確立一套完整的信息網(wǎng)絡(luò)安全綜合管理制度。具體包含以下方面。

（1）結(jié)合國(guó)家法規(guī)建立信息安全綜合管理制度。結(jié)合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》等法規(guī)建立信息安全綜合管理制度，同時(shí)整合校園現(xiàn)有制度內(nèi)容，改變現(xiàn)在的信息安全管理制度中不匹配、重疊、交叉的環(huán)節(jié)，從安全體系架構(gòu)的角度合理規(guī)劃、合理建設(shè)、甚至適度精簡(jiǎn)，具體建設(shè)思路是：一是站在數(shù)字化校園建設(shè)整體發(fā)展角度把握整體規(guī)劃大方向；二是從按功能性區(qū)分管理變更為統(tǒng)一整體規(guī)劃；三是將現(xiàn)有信息安全辦法合并，進(jìn)行統(tǒng)一更新并持續(xù)跟進(jìn)。

（2）完善各業(yè)務(wù)系統(tǒng)責(zé)任管理辦法。為了落實(shí)業(yè)務(wù)系統(tǒng)的安全保護(hù)管理工作，進(jìn)一步強(qiáng)化全系統(tǒng)安全的監(jiān)督管理工作，進(jìn)一步降低風(fēng)險(xiǎn)產(chǎn)生。

（3）落實(shí)網(wǎng)絡(luò)安全責(zé)任制和監(jiān)督檢查工作。信息安全工作應(yīng)首先明確工作任務(wù)內(nèi)容，并執(zhí)行定期巡檢機(jī)制，落實(shí)日常安全保護(hù)工作。定期進(jìn)行報(bào)表檢查和安全現(xiàn)場(chǎng)檢查，對(duì)網(wǎng)絡(luò)安全設(shè)施責(zé)任人進(jìn)行監(jiān)督問責(zé)。

（4）增設(shè)“提升用戶計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)”的定期宣傳工作。定期做好日常計(jì)算機(jī)安全防護(hù)的宣傳工作，不僅為了保護(hù)師生個(gè)人的數(shù)據(jù)安全，而且也從另一角度防止黑客或病毒用過攻陷個(gè)人計(jì)算機(jī)從而進(jìn)一步大肆攻擊校園內(nèi)部網(wǎng)絡(luò)。

（5）加強(qiáng)網(wǎng)絡(luò)安全教育培訓(xùn)。一是定期對(duì)在校師生開展全面網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，提高網(wǎng)絡(luò)安全意識(shí)。二是對(duì)于校園信息化管理人員和技術(shù)人員，開展網(wǎng)絡(luò)安全素養(yǎng)培訓(xùn)。三是使校園系統(tǒng)運(yùn)維和安全技術(shù)人員參加專業(yè)技術(shù)培訓(xùn)，獲得相關(guān)資質(zhì)證書，全面提升網(wǎng)絡(luò)安全防范技能和水平。

（6）開展安全監(jiān)測(cè)和應(yīng)急演練。重視日常安全威脅檢測(cè)工作，通過配備工具或購買服務(wù)的方式對(duì)系統(tǒng)進(jìn)行安全實(shí)時(shí)檢測(cè)，確保第一時(shí)間發(fā)現(xiàn)問題。根據(jù)國(guó)家和教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案制訂符合校園自身?xiàng)l件的專項(xiàng)應(yīng)急預(yù)案和配套管理制度，如有條件，可開展實(shí)戰(zhàn)攻防演練。

3.2 轉(zhuǎn)變傳統(tǒng)思路是信息化安全建設(shè)的里程碑

大量的實(shí)踐案例證明，傳統(tǒng)的安全解決思路和技術(shù)手段已不適合現(xiàn)代大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境。調(diào)整思路、突破技術(shù)核心，掌握安全防護(hù)主動(dòng)權(quán)，是新一代信息安全建設(shè)的前提條件。

（1）以“控制風(fēng)險(xiǎn)”代替“防范威脅”。提升系統(tǒng)運(yùn)行穩(wěn)定性，應(yīng)該變“被動(dòng)防御安全威脅”為“主動(dòng)控制安全風(fēng)險(xiǎn)”，以“主動(dòng)出擊”的理念進(jìn)行實(shí)際工作部署，其防御效果會(huì)極大地提升。

（2）以“持續(xù)跟蹤系統(tǒng)健康狀態(tài)”取代“關(guān)注應(yīng)激響應(yīng)事件”。對(duì)于日常發(fā)生的系統(tǒng)意外事件，試圖從中獲取故障發(fā)生規(guī)律以解決根本問題，但這種方式非常被動(dòng)。以“持續(xù)跟蹤系統(tǒng)健康狀態(tài)”取代“關(guān)注應(yīng)激響應(yīng)事件”，以主動(dòng)姿勢(shì)進(jìn)行管理維護(hù)工作，將極大地降低業(yè)務(wù)系統(tǒng)的故障發(fā)生率，提升業(yè)務(wù)連續(xù)性。

（3）將執(zhí)行信息網(wǎng)絡(luò)安全工作常態(tài)化。將信息安全工作進(jìn)行定義、分類、量化，制定常態(tài)化安全工作目標(biāo)，并建設(shè)安全工作基線與工作流程，對(duì)日常信息安全工作進(jìn)行分解和落實(shí)，最終實(shí)現(xiàn)安全工作部署、安全事件分析、安全狀態(tài)預(yù)測(cè)預(yù)測(cè)和輔助安全規(guī)劃決策的常態(tài)化運(yùn)行。

3.3 多視角考慮網(wǎng)絡(luò)信息安全工作

（1）結(jié)合投資回報(bào)率的財(cái)務(wù)視角考慮信息化安全產(chǎn)品的選型問題。研究對(duì)于現(xiàn)有安全問題的解決策略，調(diào)研未來技術(shù)發(fā)展趨勢(shì)，同時(shí)也需要從安全系統(tǒng)投資回報(bào)率的財(cái)務(wù)視角進(jìn)行思考。一是緊抓校園信息化建設(shè)重點(diǎn)。根據(jù)信息化建設(shè)重點(diǎn)制定風(fēng)險(xiǎn)容忍度等級(jí)，統(tǒng)籌安排安全措施大類，在規(guī)范好的范圍內(nèi)進(jìn)行產(chǎn)品選型工作。二是建立成本分析模型。將信息安全產(chǎn)品預(yù)算、成本、風(fēng)險(xiǎn)可能的發(fā)生率和降低可能風(fēng)險(xiǎn)的概率等參數(shù)進(jìn)行量化。在量化過程中，可調(diào)整成本，對(duì)比不同方式的成本與投資回報(bào)率。

（2）從項(xiàng)目管理視角完整對(duì)待業(yè)務(wù)系統(tǒng)建設(shè)。在數(shù)字化校園信息系統(tǒng)建設(shè)過程中，按項(xiàng)目管理的方式進(jìn)行監(jiān)控和檢查。對(duì)各信息系統(tǒng)承建單位提出的責(zé)任管理辦法是信息系統(tǒng)項(xiàng)目管理辦法中的一項(xiàng)針對(duì)信息安全的重要要求，應(yīng)在信息系統(tǒng)建設(shè)前即開始相應(yīng)的項(xiàng)目安全管理計(jì)劃，并明確相關(guān)工作人員的執(zhí)行責(zé)任與管理責(zé)任，以期將工作落實(shí)到位[2]。

3.4 校園網(wǎng)絡(luò)信息安全與信息化建設(shè)同步開展

網(wǎng)絡(luò)安全和信息化是一體之兩翼，必須統(tǒng)一籌劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。在學(xué)院黨組織領(lǐng)導(dǎo)下，在進(jìn)行信息化建設(shè)的同時(shí)，將各部門的積極性調(diào)動(dòng)起來，共同參與維護(hù)信息網(wǎng)絡(luò)安全，共同參與推動(dòng)信息化發(fā)展，共同參與互聯(lián)網(wǎng)對(duì)外交流合作，共同為校園信息化安全發(fā)展獻(xiàn)計(jì)獻(xiàn)策，共筑網(wǎng)上網(wǎng)下“同心圓”，這是校園新時(shí)期信息化建設(shè)的新亮點(diǎn)，其中包含以下四個(gè)方面。

（1）加強(qiáng)網(wǎng)上正面宣傳，旗幟鮮明地堅(jiān)持正確政治方向、輿論導(dǎo)向、價(jià)值取向，積極培育和踐行社會(huì)主義核心價(jià)值觀，推進(jìn)網(wǎng)上宣傳理念、內(nèi)容、形式、方法、手段等創(chuàng)新。

（2）把網(wǎng)絡(luò)信息安全工作作為重要工作任務(wù)，當(dāng)成一件大事來抓，每年對(duì)網(wǎng)絡(luò)信息安全工作專門安排部署，經(jīng)常性召開會(huì)議，研究解決信息化安全方面的問題，推進(jìn)網(wǎng)絡(luò)信息安全工作的開展。

（3）認(rèn)真落實(shí)網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé)，堅(jiān)持誰使用、誰管理、誰負(fù)責(zé)的原則，強(qiáng)化責(zé)任意識(shí)。

（4）對(duì)校園工作人員和在校學(xué)生加大信息安全宣傳力度，強(qiáng)化教育引導(dǎo)，請(qǐng)有關(guān)單位和專家不定期組織開展信息安全知識(shí)培訓(xùn)，引用反面典型案例，通過教育引導(dǎo)形成“加強(qiáng)信息安全，就是加強(qiáng)校園安全”的思想共識(shí)。

4 結(jié)束語

現(xiàn)代社會(huì)網(wǎng)絡(luò)大數(shù)據(jù)大發(fā)展的大環(huán)境對(duì)校園信息化建設(shè)和信息網(wǎng)絡(luò)安全建設(shè)提出了更高的要求。在教育新信息化2.0時(shí)代背景下，針對(duì)校園信息化建設(shè)實(shí)際情況，加強(qiáng)信息化安全保障具有時(shí)不我待的戰(zhàn)略意義。信息安全保障是一個(gè)綜合且互聯(lián)的整體，是人員、管理和技術(shù)三大要素的結(jié)合統(tǒng)一。在整體安全策略的控制和指導(dǎo)下，綜合運(yùn)用管理方法和技術(shù)手段，將系統(tǒng)調(diào)整到“最高安全”和“最低風(fēng)險(xiǎn)”狀態(tài)，是信息安全建設(shè)的總目標(biāo)和意義所在?！?/p>