浅论校园网络的信息安全治理＊

田硕果

(中南林业科技大学招生就业处，湖南长沙410004)

浅论校园网络的信息安全治理＊

田硕果

(中南林业科技大学招生就业处，湖南长沙410004)

目前中国的高校已基本进入了网络信息化时代。但是，校园网络安全事故时有发生，究其原因主要在于校园网络自身还存诸多问题:一是网络自身的安全缺陷，二是用户安全意识不强，三是网民法律意识淡漠，四是网络监控管理不完善。为此，应针对校园网络信息安全的这些问题采取治理对策。

校园网络;信息安全;治理对策

高校计算机网络信息系统已成为高校的教学、科研、行政管理等工作中重要的信息交换手段，发挥着越来越重要的作用。互联网在世界范围的迅速普及，使高校的内部网络与互联网的关系越来越密切，为高校的国内外交流提供了现代化手段。但是计算机网络在给人们带来方便的同时，也带来了安全问题。计算机网络具有开放性、互联性等多样性，而且存在着技术上的弱点及人为破坏因素，致使网络容易受到黑客、病毒等的攻击。例如网上数据被删除、复制或被破坏，数据的安全性和自身的利益受到了严重威胁。面对计算机网络在安全方面的各种威胁，越来越多的高校在加快建设网络系统的同时不得不考虑网上信息的安全问题。除了重视能全方位地处理各种不同的威胁，确保网络信息的保密性、完整性和可用性，使校园网既能向广大师生开放、适应教学、科研和管理需要的网络安全技术的应用，同时还应加强信息安全治理机制的建设和信息安全管理体系的建立，这样才能保证网络信息的安全。目前我国的高校大都建立了校园网络中心，拥有万兆级的主核心路由交换机负责整个学校网络的接入，通过防火墙与中国教育科研网和CHINANET互联，这些核心设备大都可以满足一定时期内学校师生教学、科研的应用需求。各个校园区域还有第二层次的区域汇聚交换机，用来负责每个校区的数据交换，以提高每栋楼宇接入设备的访问效率，减少接入用户直接对校园网络中心核心路由交换设备的冲击，接入层设备一般采用了具有安全智能的可网管的二层楼栋交换机，基本上实现了通过千兆上联到各区域汇聚交换机。巨大的投入，完善的网络硬件设备，为高校信息化水平的提升发挥了巨大的作用。但是我们不能只注重硬件建设，而忽视了信息安全问题。为此，积极地将校园网络信息安全及其治理的内容纳入校园网建设项目中，与整个校园网的建设一起规划、同步进行很有必要。这样的效果比建好校园网后发现安全威胁或隐患再去进行信息安全治理强得多。对此，认真研究校园网络建设过程中的信息安全治理也就具有十分重要的现实意义。

信息安全包括技术层面和管理层面两个方面。

一、保障网络信息安全必须组建信息安全组织管理机构

法律层面的社会系统工程，延伸开来还应该包括观念和文化层面，例如从文化意义上构建信息技术的行为准则，培育网络空间的道德规范。安全组织包括建立健全组织体系，明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案，实施安全宣传教育、安全监管和安全服务。在大多数高校，网络中心是信息安全的主管部门和技术支持部门，身兼管理和技术两项职能，但学校往往赋予网络中心的只有技术支持的职能，没有真正意义上的管理职能，出现安全事故只解决技术问题，遗留的很多问题就得不到明确的解决。而信息安全不是个产品，它是一个完整的过程。作为一个过程，它有人、技术、流程这三个组成部分，这些组成部分匹配得越好，过程进展得越顺利，这就亟需建立、健全统一指挥、统一步调的强有力的各级信息安全治理机制。因此，高校应该建立了专门负责信息安全管理的组织机构，该组织机构由学校主要领导挂帅，并由技术部门和管理部门的人员构成，其中包括网络中心的负责人，并由网络中心负责各部门间的协调和联络，真正的发挥这类机构的作用，制定安全政策和策略以及一系列体现安全政策的规章制度并监督执行。

从人力资源的角度看，很多高校的网络中心都是近几年来新成立的部门，普遍存在校园网建设任务繁重、技术和管理人才缺乏的矛盾。学校应该重视网络中心的人力资源配置工作，引进高层次的技术人才和管理人才分别负责网络建设、管理和维护、信息资源建设、信息安全治理等工作，做到分工明确、责任到人，这样才能使信息安全治理得到人力资源上的保证。

二、提高思想认识，树立信息安全第一的意识

加强对师生员工的信息安全意识和安全教育。网络中心应充分发挥其管理职能，与学校保卫处、学工部、校团委等相关部门协调配合，积极在全校范围内开展有关信息安全的宣传活动，邀请信息安全方面的专家对师生员工进行安全培训，定期举行关于信息安全的学术报告等等，将安全意识扩展为一种氛围，努力提高和强化学校内的信息安全观念意识，确立信息安全管理的基本思想与策略，加快信息安全人才的培养。这就将焦点从强制性的安全策略转换为自主接受的安全策略文化，这也是实现信息安全目标的基本前提。

三、加强信息安全分析，让信息安全得到成熟有效的技术保证

环境的动态性决定了信息安全工作将是一项长期的、无止境的攻防并举的基础性工作。因此必须确定所使用的安全产品在技术上是成熟的、有效的。高校网络系统安全，从技术角度来说，主要涉及到网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全等三个方面。要保证校园网络信息的安全，要先对网络系统进行科学的安全分析，结合具体应用，将上述三个方面密切结合，在网络信息系统中建立一整套安全机制，实现从外到内的完整的安全防护系统。

四、建立制度，定期进行信息安全检查、审核和评估

正如前所述，环境的动态性决定了信息安全工作将是一个长期的、无止境的攻防并举的基础性工作。因此，必须定期对学校的信息安全过程进行严格的检查、审核工作，并不断地对学校的信息安全进行风险分析和风险评估，以制定更适合现状的信息安全策略。

五、建立动态模型，提高高校信息安全治理效果

保证信息安全要从管理层面上高度重视信息安全，依据实现的安全目标与安全标准制定相关制度文件。在管理上。要进行合理的职责划分、人员配备;要对信息安全进行宏观管理与调控，根据应用环境与网络环境的变化不断优化安全管理策略;定期组织风险评估、实施动态管理，及时调整相关的安全制度、安全策略、软硬件环境的配置，促进提高网路工作人员的安全防御水平。只有使管理和技术得到有效的结合，才能提高对网络事故应急能力和防御能力。管理人员和用户的安全意识及技术水平提高是信息安全管理中重要的环节，其实施力度将直接关系到安全产品、安全策略被理解的程度和被应用的效果，为此，首先要使信息安全从人力上得到保障。只有加强软硬件全方位的管理，特别是从技术层面来保障信息系统的安全性(防火墙、入侵检测系统、防毒软件)，才会当应用环境发生变化时，可以及时调整相应设备与参数配置。

总之，建立信息安全治理机制是一个动态的过程，要在实践中不断发展和完善。由于网络具有开放性、安全具有相对性，我们必须认清网络的脆弱性和潜在威胁;同时，随着新技术、新应用软件的出现，信息安全治理方案必定要不断进行修正、补充和完善。信息安全，“三分技术，七分管理”，要提高校院网络建设中的信息安全治理水平，必须明确高校信息安全治理评价方法和评价指标体系，然后找出存在的问题并分析原因，对症治理。

2011－07－20

田硕果(1974－)，男，湖南湘阴人，讲师。