前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的高校信息安全論文，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

1信息安全是推進高等教育信息化的前提保障

1.1高校信息安全的概念

目前，信息安全并沒有明確的定義。ISO/IEC17799中將信息安全定義為：通過實施一組控制而達到的、包括策略、措施、過程、組織結(jié)構(gòu)及軟件功能，是對機密性、完整性和可用性保護的一種特性。美國對信息安全的定義是：對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護。美國從技術(shù)和管理兩個角度出發(fā)，將信息安全概括為信息環(huán)境安全、信息數(shù)據(jù)安全、信息程序安全、信息運行系統(tǒng)安全四個方面。沈昌祥院士將信息安全定義為：“保護信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性。”我國關(guān)于信息安全的定義基本上從技術(shù)和管理角度提出（主要指信息系統(tǒng)安全）。在本文中，筆者將高校信息安全界定為：高校信息安全是指確保涵蓋信息處理系統(tǒng)的安全、信息自身的安全和信息利用安全在內(nèi)的，從電腦硬件安全、處理系統(tǒng)運行安全、信息數(shù)據(jù)安全、信息內(nèi)容本身安全四個維度出發(fā)，對具有機密性、完整性和可用性的高校信息保護的一種特性。

1.2高校信息安全的內(nèi)容

通過上文對高校信息安全概念的界定，筆者認(rèn)為高校信息安全主要內(nèi)容歸納為以下四個方面：一是從物理安全維度看，主要是校園網(wǎng)絡(luò)內(nèi)運行的硬件設(shè)備的安全。涉及的是動力安全、設(shè)備安全、電磁安全、環(huán)境安全等；二是從運行安全維度看，主要涉及網(wǎng)絡(luò)系統(tǒng)的可控性、可用性、可信賴性等，即保障信息系統(tǒng)不被篡改、破壞或不被非法操作等；三是從數(shù)據(jù)安全維度看，保障校園網(wǎng)絡(luò)中流通數(shù)據(jù)的安全，既網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、盜用等；四是從內(nèi)容安全維度看，是對信息本身內(nèi)容真實性的鑒定、隱藏信息的發(fā)現(xiàn)以及對信息的選擇性阻斷。其中物理安全和運行安全是信息安全的基礎(chǔ)。

1.3高校信息風(fēng)險表現(xiàn)及信息安全保障之必要性

高校信息風(fēng)險主要表現(xiàn)為：一是高校“信息風(fēng)險人群”比例遠高于國內(nèi)其他行業(yè)“風(fēng)險人群”。據(jù)360安全中心的《2013年第一季度中國個人電腦網(wǎng)上安全報告》顯示，國內(nèi)高校“風(fēng)險人群”比例為28.7%。比全國“風(fēng)險人群”的25.8%高近3個百分點。二是高校引發(fā)信息安全的因素種類繁多。除自然因素外，如計算機病毒、黑客、釣魚網(wǎng)站、非法入侵盜號、系統(tǒng)的漏洞、人為操作等。三是高校的私有機密信息如學(xué)校公共數(shù)據(jù)、師生的個人信息、財務(wù)信息、檔案信息、設(shè)備資產(chǎn)信息、教務(wù)信息等重要數(shù)據(jù)容易泄露或被非法竊取。針對高校信息風(fēng)險表現(xiàn)，積極探索高校信息安全保障策略具有重大意義。一是有利于提高高校信息安全管理整體意識；二是有助于制定行之有效的信息安全管理制度，三是能促進高校信息安全保障機制的不斷完善，有效推進高校信息化進程；四是是能提高師生信息安全意識，促進我國信息安全專業(yè)人才的培養(yǎng)。

2高校信息安全風(fēng)險分析

信息風(fēng)險分析是一種主動識別信息風(fēng)險的過程。筆者分別采用定性分析、定量分析、定性和定量相結(jié)合的方法對高校現(xiàn)實信息系統(tǒng)的實際情況做了調(diào)查研究、結(jié)合學(xué)校信息泄露案例進行分析，從共性上看，認(rèn)為信息安全風(fēng)險因素可以歸納為以下幾類。

2.1高校信息安全保護機制普遍存在認(rèn)識不足，防護不夠的現(xiàn)象

首先，高校網(wǎng)絡(luò)系統(tǒng)使用人員信息安全意識淡薄。主要表現(xiàn)為大學(xué)生對信息安全缺乏足夠的重視，高校沒有成型的大學(xué)生信息安全教育模式，對大學(xué)生進行信息安全教育處于形式。高校對大學(xué)生的信息安全教育不夠重視，嚴(yán)重滯后于信息技術(shù)的發(fā)展。大學(xué)生對學(xué)校信息安全缺乏正確認(rèn)識，對相關(guān)信息安全法律法規(guī)缺乏了解，信息安全意識淡薄。作為系統(tǒng)使用人員的教師，由于缺乏必要的信息安全知識和信息技術(shù)，對信息安全防護漠不關(guān)心，片面的以為學(xué)校信息安全屬于專業(yè)技術(shù)人員，于己無關(guān)。其次，高校信息管理人員安全意識淡薄。對于缺乏信息安全教育專業(yè)培訓(xùn)的技術(shù)管理人員來說，他們?nèi)狈?ldquo;防黑防毒”意識，對于來自外部或內(nèi)部的惡意攻擊缺乏警惕性，缺乏積極防御、保障信息安全的主動性。再次，高校信息安全專業(yè)人才的培養(yǎng)尚處于起步階段，高校貧缺專業(yè)信息安全管理人才。由于缺乏專業(yè)信息安全人才的專業(yè)指導(dǎo)，導(dǎo)致高校信息安全建設(shè)缺乏系統(tǒng)規(guī)劃和整體布局，對信息風(fēng)險認(rèn)識不夠，分析不徹底，所制定的信息保障策略存在漏洞。最后，對信息系統(tǒng)安全漏洞未能及時、定期修復(fù)。安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)硬件、軟件、協(xié)議和系統(tǒng)安全策略存在的缺陷和錯誤。攻擊者就是通過研究這些漏洞向高校的信息系統(tǒng)傳播病毒，或者人為控制計算機系統(tǒng)。管理者只有及時修復(fù)這些漏洞，才可以確保信息安全。

2.2高校信息安全制度不健全，存在信息安全管理漏洞

雖然高校信息化普及很快，但大部分高校對信息安全在監(jiān)督和管理上都存在著漏洞。高校在信息安全管理上缺乏健全的制度，高校內(nèi)部管理相對松散，已有的制度大多數(shù)是趨于形式的要求而設(shè)立，沒有嚴(yán)格的監(jiān)督檢查機制，甚至連信息安全領(lǐng)導(dǎo)小組都未成立，對突發(fā)的信息安全問題缺乏應(yīng)急處置預(yù)案，出現(xiàn)頭痛醫(yī)頭，腳痛醫(yī)腳的忙亂應(yīng)對現(xiàn)象。據(jù)初步統(tǒng)計，大部分的信息安全問題是由于管理疏忽或者管理不善造成的，因此，從管理角度加強信息管理，是能夠有效保障信息安全的。

2.3高校信息安全投入不足，安全保障設(shè)施不健全

目前高校數(shù)字化建設(shè)已經(jīng)取得一定成績，數(shù)字化教學(xué)、管理、服務(wù)基本普及。但在管理和保障信息安全的設(shè)備上投入資金十分有限。首先因為用于保障信息安全設(shè)備成本較高，而信息風(fēng)險的不確定性導(dǎo)致信息安全本身又不被領(lǐng)導(dǎo)充分重視，大部分高校安全保障配套設(shè)施陳舊；其次伴隨高校擴張，大部分高校網(wǎng)絡(luò)缺乏戰(zhàn)略發(fā)展規(guī)劃，網(wǎng)絡(luò)邊界設(shè)備之間缺乏有效的聯(lián)動，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不合理，內(nèi)網(wǎng)和外網(wǎng)在數(shù)據(jù)交換及數(shù)據(jù)流轉(zhuǎn)方面存在不安全因素；最后為節(jié)約網(wǎng)絡(luò)運行成本，學(xué)校采取與網(wǎng)絡(luò)營銷商合作的方式來減少學(xué)校網(wǎng)絡(luò)運行維護人員，忽視對網(wǎng)絡(luò)安全維護方面的投入。

2.4高校缺乏對BYOD、云計算和大數(shù)據(jù)安全問題應(yīng)對方案

由于在智能手機、平板電腦、超極本的智能終端使用某些應(yīng)用比在PC上操作方式更簡單快捷，2013年移動辦公設(shè)備的信息安全問題成為安全信息的新問題。調(diào)查顯示，高?；旧线€沒有制定相關(guān)的BYOD安全管理政策，以具體規(guī)定師生員工如何在學(xué)習(xí)工作場所中使用自己的移動。如何在確保信息安全的情況下更好的利用BYOD帶來好處成為高校信息安全風(fēng)險分析的重要任務(wù)。高校在云計算信息安全方面專注于保護云計算主機站點的數(shù)據(jù)安全，對從移動終端訪問云數(shù)據(jù)的用戶安全重視不夠，他們經(jīng)常面臨數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶劫持、不安全的API、拒絕服務(wù)攻擊、內(nèi)部人員的惡意操作、云計算服務(wù)的濫用、云服務(wù)規(guī)劃不合理、共享技術(shù)的漏洞等問題。

3高校信息安全保障策略

建立高效、協(xié)調(diào)、集成的數(shù)字化辦公系統(tǒng)是長春理工大學(xué)成為綜合性、研究型、開放式的國內(nèi)一流大學(xué)的信息化保障，如何保障信息安全便成為建設(shè)數(shù)字化辦公系統(tǒng)需要面對的首要問題。

3.1加強信息安全知識教育和技能培訓(xùn)，從信息主體層面增強網(wǎng)絡(luò)安全防護

為從根本上增強網(wǎng)絡(luò)安全防護，長春理工大學(xué)采取了一系列措施提高網(wǎng)絡(luò)信息主體——師生的信息安全防范意識和防范技能。一是加強國內(nèi)外信息安全法律法規(guī)教育，增強師生信息安全法律意識。如：長春理工大學(xué)定期組織管理員、信息源接入人員、廣大師生學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》、《網(wǎng)絡(luò)安全管理制度》及《信息審核、登記制度》等國內(nèi)外信息安全法律法規(guī)教育，普及信息安全知識，提高師生安全保密素質(zhì)，讓師生明確維護信息安全的重要性和維護信息安全人人有責(zé)，充分發(fā)揮師生在信息安全維護中的主體作用。二是對師生進行信息安全技術(shù)培訓(xùn)，提高師生信息安全防御技能。信息安全技術(shù)培訓(xùn)主要是針對師生的實際需求，開展計算機應(yīng)用和網(wǎng)絡(luò)運用技能的培訓(xùn)，培養(yǎng)學(xué)生基本的網(wǎng)絡(luò)防御技能。長春理工大學(xué)多年來一直堅持定期邀請專職技術(shù)人員對學(xué)校師生進行信息安全技術(shù)培訓(xùn)。如電腦操作系統(tǒng)定期更新，及時修補電腦安全漏洞，辨別不良網(wǎng)站等知識，讓師生學(xué)會日常的安全操作和系統(tǒng)維護。

3.2堅持校園網(wǎng)硬件投入和有效信息技術(shù)的充分融合，確保網(wǎng)絡(luò)運行安全

首先，建立完整的校園網(wǎng)絡(luò)病毒防御體系。一是安裝正版殺毒軟件。如：長春理工大學(xué)將正版的殺毒軟件掛在學(xué)校的信息中心網(wǎng)站上，讓學(xué)校教師免費使用正版殺毒軟件，通過利用正版殺毒軟件定期掃描殺毒，及時修復(fù)系統(tǒng)漏洞，遇到問題及時向軟件開發(fā)商發(fā)送錯誤報告并進行分析，定期升級防毒軟件、更新病毒庫等，有效保障了學(xué)校電腦的安全運行。二是詳細設(shè)置防火墻防范策略。對操作系統(tǒng)的端口配置嚴(yán)格把關(guān)，必須及時做到開放該開放的，關(guān)閉不需要的端口。對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器。把必須利用的端口開放，其他的端口必須全部關(guān)閉。三是安裝與配置IDS入侵檢測系統(tǒng)。入侵檢測系統(tǒng)主要監(jiān)控內(nèi)部網(wǎng)絡(luò)操作行為及多種攻擊，是檢測防火墻過濾后的隱匿攻擊。四是安裝漏洞掃描系統(tǒng)。如：長春理工大學(xué)為每位教工電腦安裝漏洞掃描系統(tǒng)，采用主動探測的方式快速獲取目標(biāo)設(shè)備的脆弱點，從而協(xié)助系統(tǒng)操作人員對目標(biāo)系統(tǒng)建立風(fēng)險快照。分別采用ping掃描、端口掃描、OS探測、脆弱點探測等技術(shù)對指定的遠程或本地的計算機系統(tǒng)的安全威脅進行定期掃描檢測，及時修補各種漏洞。其次，以防內(nèi)為主，內(nèi)外兼防為輔，確保信息終端平臺的可信賴性。安全終端平臺的建設(shè)依靠密碼服務(wù)和安全操作系統(tǒng)支持。一是確保終端平臺用戶的合法性，用戶只能根據(jù)規(guī)定的權(quán)限和控制規(guī)則進行操作；二是采用身份認(rèn)證、訪問控制、密碼加密等措施，構(gòu)建計算機系統(tǒng)應(yīng)用環(huán)境安全，如：長春理工大學(xué)教師采用一卡通的上網(wǎng)卡號進行身份認(rèn)證；三是建立提供認(rèn)證、授權(quán)、檢測、應(yīng)急和處理非法訪問服務(wù)的信息安全管理中心，提供互聯(lián)互通的密碼配置，公鑰證書等密碼服務(wù)措施。具體保障措施如下：選用LOTUSNOTES／DOMINO作為辦公自動化系統(tǒng)的主要開發(fā)平臺。(1)數(shù)據(jù)加密。包括使用秘鑰對電子郵件文檔加密；網(wǎng)絡(luò)端口級加密；使用SSL對在INTERNET客戶機和DOMINO服務(wù)器間或在NOTES工作站和INTERNET服務(wù)器間傳送的住處進行加密；域、文檔和數(shù)據(jù)庫加密。（2）NOTES的數(shù)字簽名，身份認(rèn)證包括NOTES工作站與DOMINO服務(wù)器之間的認(rèn)證以及客戶端與mMmo服務(wù)器之間的認(rèn)證。（3）NOTES還允許用戶通過建立群組的角色的方式來規(guī)劃NOTES數(shù)據(jù)庫的訪問安全性。（4）利用雙網(wǎng)卡主機技術(shù)實現(xiàn)辦公網(wǎng)絡(luò)安全隔離。（5）引入第三方的公鑰基礎(chǔ)結(jié)構(gòu)（PK），進一步改善網(wǎng)絡(luò)系統(tǒng)的安全性。

3.3建構(gòu)多重信息安全管理渠道，加強信息安全運行的制度保障

首先，設(shè)置層次明晰，職能合理的信息安全管理機構(gòu)。依照“預(yù)防為主，綜合治理”、“制度防范和技術(shù)防范相結(jié)合”的原則，信息安全管理實行三級管理機制，由領(lǐng)導(dǎo)決策并負(fù)監(jiān)督，中層干部管理，基層操作者具體執(zhí)行。以長春理工大學(xué)為例，近年來學(xué)校建立了信息安全管理的三級管理機制，成立了專門的信息中心，處級單位，配備具有專業(yè)知識的工作人員，由一名副校長分管學(xué)校信息安全工作，中層領(lǐng)導(dǎo)分管本部門的信息安全工作，基層建立兼職信息員隊伍，具體負(fù)責(zé)本部門的信息安全工作，使得信息安全工作層層落實。同時學(xué)校還制定了具體的組織體系和信息安全工作職責(zé)，厘清三級體制下各級各部門的具體職責(zé)；制定了《長春理工大學(xué)信息員管理辦法》，詳細規(guī)定各信息安全崗位人員管理考核辦法，使信息安全工作落到實處。其次，建立常規(guī)管理制度、應(yīng)急處理和定期評估制度。一是針對信息安全具有復(fù)雜性、動態(tài)性和突發(fā)性強的特點，制定常規(guī)化信息管理制度。如長春理工大學(xué)先后制定了《長春理工大學(xué)操作系統(tǒng)和數(shù)據(jù)庫的安全配置程序管理制度》、《長春理工大學(xué)網(wǎng)絡(luò)信息中心機房管理制度》、《長春理工大學(xué)計算機案件和事故報告制度》、《長春理工大學(xué)計算機病毒及有害數(shù)據(jù)報告制度》、《長春理工大學(xué)病毒檢測和安全漏洞檢測制度》、《長春理工大學(xué)網(wǎng)絡(luò)設(shè)備管理制度》、《長春理工大學(xué)信息審核制度》等多項信息管理制度。二是制定應(yīng)急處理機制，對于突發(fā)的、涉及范圍廣，危害性大或影響深的信息安全事件采取有效的應(yīng)對措施，有效控制信息危機的發(fā)生。如長春理工大學(xué)成立信息危機應(yīng)急處理小組，及時應(yīng)急處理方案和信息，有效控制信息危機的發(fā)生。三是注意日常信息安全動態(tài)，建立定時測評，不定期檢查，隨時抽查的信息檢查制度，如：長春理工大學(xué)建立了信息檢查制度，不定期檢查各基層單位信息安全情況，并對相關(guān)測評、檢查、抽查的情況進行匯總形成相關(guān)信息安全檢查日志，及時通報相關(guān)部門。

3.4設(shè)立信息技術(shù)咨詢指導(dǎo)部門，促進信息安全防護與前沿信息技術(shù)的緊密結(jié)合

沒有一勞永逸的信息安全保障策略。隨著信息技術(shù)的發(fā)展，保障策略要不斷更新、完善。例如：長春理工大學(xué)組建專業(yè)技術(shù)咨詢指導(dǎo)部門，成立了長春理工大學(xué)信息中心，由專職工作人員跟蹤最前沿的安全信息及新信息技術(shù)的發(fā)展動態(tài)，尋找已有防御網(wǎng)絡(luò)隱患，積極引進前沿網(wǎng)絡(luò)技術(shù)，并為信息安全保障系統(tǒng)建設(shè)提供專業(yè)、合理、可行化建議，積極完善和革新信息安全保護措施，取得了較好的效果。學(xué)校還將最新的技術(shù)發(fā)展及時體現(xiàn)在校園網(wǎng)絡(luò)系統(tǒng)中，并對相關(guān)信息維護人員進行專業(yè)化培訓(xùn)，應(yīng)對隨時可能爆發(fā)的信息安全事件，增加廣大師生的信息安全知識，提高信息安全意識，使學(xué)校的信息安全工作切實做到實處，收到了實效。

4結(jié)語

高等教育現(xiàn)代化的前提是信息化的快速發(fā)展，而高校信息化發(fā)展的前提則是信息安全的有效保障。信息安全是與信息風(fēng)險相伴而生的，隨著高校信息化進程的不斷推進，新的信息安全隱患不斷涌現(xiàn)，信息風(fēng)險也不斷加大，建立一套高效、協(xié)調(diào)、集成的信息安全保障體系勢在必行。因此，高校應(yīng)根據(jù)實際情況，不斷補充與完善現(xiàn)有信息安全保障體系，通過信息安全教育、網(wǎng)絡(luò)安全防護、信息安全管理、信息技術(shù)咨詢等機制的建設(shè)及相互作用，規(guī)避信息風(fēng)險，提高信息安全保障強度，確保信息安全保障體系高效運作和良性發(fā)展。

作者：王延明 許寧 單位：長春理工大學(xué)發(fā)展規(guī)劃與政策法規(guī)處