关于高校信息安全管理探讨

信息技术的不断发展为高校的教学科研工作带来不少便利，同时，由于网络化具有跨国界性、无主观不设防性和缺少法律约束性的特点，高校中的信息安全问题也日益突出，许多非法、有害信息在校园网络中进出，对高校信息安全的管理构成了严重威胁。本文简单说明了高校信息安全的概念，阐述了高校信息安全管理建设中存在的相关问题，指出面对信息安全威胁高校应采取的对策

　　论文关键词：校园网　信息安全　安全管理

　　一、引言

　　随着高校教育信息化工作的深入开展，稳定的网络和计算机系统成为教育信息化的重要保障，网络及信息安全也成为高校关注焦点之一。
　　网络作为学校重要的基础设施，在学校教学科研、管理和对外交流中担当重要角色。校园网络的建成，使学校实现了管理网络化和教学手段现代化。然而随着网络规模的急剧膨胀，网络用户的快速增长，关键性技术应用的普及和深入．校园网络的安全问题也日益突出．非法入侵、系统漏洞、计算机病毒等对校园网产生了巨大的威胁。但在校园网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍存在“重技术、轻安全、轻管理”的倾向。因此，如何保证校园网络安全运行已成为各高校亟需解决的问题。
　　由于网络发展在我国尚属初始阶段，人们对校园网受侵害的认识还不清晰，信息安全管理定位亦较模糊，在管理思路和方法上缺乏主观能动性，缺乏与现实环境相融合的管理机制。如何针对网络带给我们的新情况、新问题，认真分析总结，制定切实可行的管理制度和措施，做好信息安全管理工作，目前已成为摆在高校管理部门面前紧迫而严峻的课题。

　　二、高校信息安全问题成因

　　1．技术方面原因
　　由于校园网都是共享网络结构的，主机与用户之间、用户与用户之间通过线路联络，传输线路大多由光纤或双绞线线路组成。网络越大，线路通道分支就越多。输送信息的区域也越广，截取所传送信号的条件就越便利，窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取，就可以获得整个网络输送的信息。这种网络构建的本质性特点也就构成了网络安全问题的基础，现实中发生的网上病毒流行、网络黑客侵袭、网上隐私曝光等问题就是实例。
　　校园网上的计算机用户大多是采用微软的WindowsXP操作系统，由于设计缺陷，此类系统极易受到各种攻击。各部处学院等部门自己制作的网站数目繁多，技术水平参差不齐，有相当部分的网站还是采用ASP技术制作，安全隐患众多，给非法入侵者的攻击提供了方便。
　　另外，大多数高校中由网络中心维护的校园网服务器大多采用WindowsServer2003作为主操作系统，并把IIs作为Web服务器，把SQLSe~er作为数据库服务器，这也从客观上造成了校园网上相关服务器在攻击面前的脆弱。

　　2．敌意方的恶意攻击
　　(1)恶意敌手的侵人
　　世界上存在着对立的政治制度和意识形态。过去自然屏障存在，恶意的政治信息多数不能侵人他国的民众，但如今网络的快速发展，天然屏障的作用已基本消失，网络中的恶意信息便长驱而人，往往利用青年学生所关注的热点问题、敏感问题而大做文章，歪曲事实，扰乱视听，以达到某种政治目的。相关信息极容易引发大学生的思想混乱，影响他们的思想定向和意识活动。恶意敌手可能会通过使用各种技术和非技术手段，针对特定的高校或个人进行有目的的攻击，以获取相关信息、破坏有关设施、引起混乱等为目的。
　　(2)无特定目标敌手的侵入
　　有些对学校信息的破坏并不是特别针对学校进行的，可以定义为无特定目标的侵入。病毒和木马的传播带有明显的无特定目的性。病毒是一种具有自我复制能力、于各种目的而编写、能够在隐蔽情况下执行编写者意图的非法程序。计算机病毒对计算机网络的影响是灾难性的近年来，随着Internet的飞速发展，电子邮件系统的广泛使用．计算机病毒的扩散速度大大加快，网络成了病毒传播的最好途径。“挂马”是目前木马传播的主要手段。
“挂马”的含义就是把木马放在网站上，吸引他人来访问，然后攻击访问者的电脑，那些没有及时安装补丁程序、存在漏洞的系统成为了网上挂马入侵的对象。侵入者首先申请若干个虚拟主机空间开设个人网站．并将各种木马病毒程序上传至网站内。随后其将目光瞄准互联网上访问流量较大的正常网站，利用这些网站自身的漏洞，将包含木马病毒程序的个人网站链接嵌人其中。这样，当普通用户访问这些正常网站时，就可能神不知鬼不觉地自动下载木马程序。

　　3．管理方面的疏漏
　　管理是网络安全的重要组成部分。许多校园网都存在着重建设轻管理的倾向。实践证明，安全管理制度不完善是网络风险的重要来源之一。由于网络设计的不严密性．内部网络的使用者可能会误入他们本不该进入的领域，出于无知或好奇对数据进行修改．另有部分内部用户利用自己的合法身份有意对数据进行修改。学校虽然涉及的机密不是很多，但是内部的非法访问严重地破坏了学校的管理秩序。
　　据统计，七成的安全问题来源于内部用户．或者是操作人员未经许可，或者是操作人员的知识水平不够产生操作错误，或者是有人利用内部人员内外勾结进行破坏。

　　三、高校信息安全问题技术对策

　　1．划分信息安全域
　　对高校范围内的所有信息系统按照受到破坏后造成的影响划分成不同的等级安全域．进行不同等级的保护，不对校同网上的所有计算机进行同一等级的保护，而是针对高校内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全等级保护的首要步骤。安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状．才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。

　　2．部署身份认证和管理系统
　　设置身份验证和访问授权程序。所有校园网用户在使用校园网时必须表明用户身份，授权程序根据用户的不同身份确定用户可以访问的信息安全域以及可以采取的操作。所有校园网用户无论是进行内网访问还是进行外网访问都要在系统中进行登记，记录用户访问的IP地址、登录地点和登录时问等内容。
　　在校园网中安装检测系统时，此安全防范系统介于校园网与外网之问．既可控制校内用户对外网的访问．又可限制外网用户对校园网的造次，从而可有效控制外界对校园网的非法侵入。所有校外网络用户对校园网内信息的访问也都要进行登记，可能的非法入侵要进行登记，如果技术上可行，要立刻自动进行阻断。当系统检测到非法信息侵入时，系统也可以根据检测记录的文字或图像}肖息，通过电子邮件等方式迅速通知系统管理人员。系统管理人员根据检测结果判断系统的安全性，追踪非法人侵者，并采取有效手段予以扼制。

　　3．建立统一的信息安全中心
　　为阻滞病毒和木马程序在校内的传播．必须在校内建立统一的信息安全中心，统一购置杀毒软件、防火墙软件和入侵检测软件，为所有校园网用户提供防病毒、木马软件的安装和升级服务。信息安全中心的所有软件应做到版本自动升级．病毒库自动更新，以保证软件的实时性和有效性。
　　信息安全中心必须及时跟进最新信息安全发展情况，制定信息安全防范预案。经用户同意，所有通过中心安装到用户计算机的各软件应定时收集个体计算机的信息安全信息，并自动上报给信息安全中心，由信息安全中心进行研究分析．以及时发现问题找出漏洞，也可以在发生信息安全风险的时候及时锁定受害计算机，控制危害程度，减少损失。
 

四、高校信息安全问题管理对策
　　
　　网络信息安全防护体系的建设不是纯粹的技术问题，也不是简单的产品与技术堆砌，而是策略、技术与管理的综合。其中，网络信息安全管理是网络信息安全策略和技术手段得以成功应用的前提，为此必须完善和建设相应的网络信息安全管理制度。

　　1．加强信息安全法规教育
　　面向校园网用户进行信息安全教育是高校信息安全管理的重要一环，通过信息安全教育，学生和教职工要清楚信息安全工作的重要性，了解信息安全法规和简单的信息安全技术知识，并能在学习和工作中切实运用一些信息安全知识。
　　信息安全宣传教育是保证高校信息安全的治本之策。也是做好信息安全工作的基础和前提。必须提高认识从维护国家安全的角度重视高校信息安全问题。在干部师生中普及信息安全知识．提高安全保密素质．营造良好的信息安全环境，发挥人在信息安全对策中的主体作用，要经常分析新形势下的信息安全工作形势，针对薄弱环节加以改进。
　　进行信息安全法规培训的目的是培养校园网用户的计算机与网络安全法律观念．使全校教工和学生了解计算机与网络安全相应的法律、行政法规和技术法规．理解并掌握计算机网络环境和信息安全新形势下涌现的法律领域新问题的基本思考方法。
　　信息安全技术知识的培训侧重于实际的计算机和网络运用能力，比如：系统补丁和杀毒软件的安装，挂马网站识别等。信息安全问题层出不穷，信息安全的技术手段也是不断地推新。普通用户的信息安全技术培训主要是侧重于基础应用，使得用户可以分清楚什么是信息安全问题，在什么情况下可能会出现信息安全问题。以及怎样处理简单的技术问题。

　　2．建立应急处理和定期评估制度
　　高校信息安全具有两方面特点，即复杂性和动态性复杂性是指高校的信息安全问题并非被限制在某个特定领域内讨论，信息安全工作不仅仅是保护特定的信息不被非法使用，有时也可能是为了特定的社会和集体利益而对特定信息进行删除、屏蔽或隐藏。动态性主要是指高校信息安全工作总是处于动态变化之中，每个月都可能出现不同的信息热点问题．甚至一个月中可能会出现数个不同的信息热点问题。
　　信息安全问题突发性强的特点决定了在日常管理中需要制订应急处理机制．一旦出现影响国家安全利益与高校稳定的信息安全事件，必须能立即采取措施，有效地控制危机，将损失减少到最低程度。
　　任何的信息安全问题都不是一下子冒出来的，而是小问题日积月累的结果，高校的信息丁_作也不是临时抱佛脚式的应急处理所能完全应付的。信息安全是一项长期的工作，必须常抓不懈，进入日常工作并建立定期评估制度。每隔一段时间就要对全校的所有应用系统和网络系统进行相关信息安全检查．并形成信息安全检查日志．作为信息安全应急处理程序的重要参考。信息安全检查日志也是发生信息安全问题后追查相关责任人和责任单位的重要文档。

　　3．配备专职信息安全工作队伍
　　网络对高校环境影响多样性和复杂性．要求高校必须重视网络信息安全管理工作。信息安全工作分为技术和管理两个方面，必须要有一支独立的既懂技术又懂管理的专职队伍来从事信息安全工作。由于信息安全工作涉及学校工作的方方面面．相关职能人员需要放在一个可以统领全校的部门中．比如可以放在信息中心，也可以放在校办中。
　　技术方面来说，信息安全管理人员必须做到及时进行漏洞修补、软件定期升级和安全系统定期巡检，保证对网络的监控和管理。在管理方面，中心信息安全工作人员要定期举办信息安全培训，并定期与各部处学院的兼职信息安全管理员进行沟通，及时发现相关论坛、BBS等系统中的问题．及时处理。

　　五、结束语

　　高校网络安全是一项比较复杂的系统工程，网络安全是相对的，没有绝对的网络安全，除了必要的硬件和技术作为有力支撑外．用户和网络管理人员之间的默契配合和安全意识的不断提高是非常重要的。在采取安全防范措施的同时，还要有较为完善的安全管理制度和合理的组织机构，这样才能够实现高校校园网较为可靠、安全地运行。