对教育科研单位信息安全管理现状问题分析与研究.docVIP

对教育科研单位信息安全管理现状问题分析与研究 　　摘要：从教育科研单位存在信息安全管理问题进行探讨与分析，用模拟企业的方法和策略，进行信息安全及其管理的实践教育，以提高信息管理的安全性。 　　关键词：信息安全；管理；策略 　　 　　随着信息技术的发展和信息化应用的日趋深入，信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可缺少的工具，教育科研单位对信息安全管理的认识程度也越来越高。 　　 　　1教育科研单位存在的信息安全管理问题 　　 　　近年来人们逐步认识到信息安全对于科研单位的重要性，有些科研单位已经成立了相应的“信息部门”实现统一规范的管理与信息安全教育，其目的就是为了更大限度的保障科研单位的信息安全，从安全技术和管理两个方面来解决科研单位的信息安全问题，以此提高科研人员的信息安全管理意识和保密工作。 　　虽然教育科研单位已经认识到了信息安全和信息管理问题的重要性，并在信息安全和管理建设方面取得了一些成绩，但教育科研单位内部仍然存在着很多问题。 　　(1)人员缺乏完备的安全意识，对信息安全的认识和管理水平不高； 　　(2)忽略了信息安全教育发展战略和计划，信息安全的教育投入不够； 　　(3)信息安全管理不足，实施教育硬性条件不够，不能有效的实施和执行相应的信息安全教育措施； 　　(4)缺乏技术深厚的信息安全专业人才进行实践教育； 　　(5)信息安全教育目标不明确，缺乏教育管理制度，导致管理松散等等。 　　许多教育科研单位对其信息系统不断增加，对教育基础设施存在着依赖性，在信息系统运作业务的安全风险、教育效果等问题上，缺乏有效性验证与评价，没有充分利用信息安全技术的优势，反而当成了管理的躯壳。 　　但是，现实中的任何信息系统都是一串复杂的环节，信息的安全措施必须渗透到信息系统的每一个部位，其中一些问题的解决方案，甚至连信息系统的设计人员、测试人员和使用人员都不知道。因此，信息的不安全因素总是存在的。没有一个信息系统是绝对安全的，也没有一个信息管理的方法是绝对的灵丹妙药。 　　教育科研单位在认识和教育信息系统安全管理的同时，应该着重加强基层人员的信息安全管理实践教育。虽然信息安全建设及其应用不是一个能够创收创效的平台，但它是一个保障创收创效的平台。教育者必须做出适合科研单位进行教育实施的信息安全教育发展战略和计划，加强信息安全教育在管理实践上的投入，严格有效的实施和执行相应的安全措施、安全策略和安全管理制度，以避免使用和管理信息系统时的固有风险。 　　原中国工程院院长徐匡迪曾经指出：“没有安全的工程就是豆腐渣工程”。近年来，我国大型科研单位接连不断地出现不同程度的泄密事件，其原因就是由于信息安全及其管理的问题而导致的。这些事件不仅仅是简单的信息安全性的问题，其直接后果是导致了巨大的国防安全问题、经济损失和不良的社会影响。如果说经济损失还能弥补，那么由于国防安全问题而引起的骚动事件对整个国家造成的威胁和危机，可就不是在短时期内能够恢复的了。 　　虽然各大信息系统工程和信息化程度要求非常高的相关行业，也出台了对信息安全技术产品的应用标准和规范。但是，没有一个严格的信息安全管理策略，又怎能保障信息真正的安全性呢？ 　　 　　2用模拟企业的方法和策略，进行信息安全及其管理的实践教育 　　 　　假设被教育者都是企业的成员，在信息管理的工作中应用大量的信息系统，时间越久，其安全与保护问题就会日显重要。没有安全保障的信息系统，是绝对无法完成信息管理工作的。所以说，进行信息安全管理的实践教育，也必须将信息系统的安全与管理问题提到战略性的高度来看待。 　　(1)国际标准化组织对信息安全提出的建议定义是“为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭受破坏、更改、泄露”。 　　信息安全管理教育是当今信息社会应当重视的问题，同样信息安全也涉及多方面，信息安全一般包括实体安全、运行安全、信息安全、管理安全4个方面的内容：实体安全也就是物理安全，包括环境安全、设备安全和介质安全；运行安全是指为保证计算机网络信息系统连续不断地运行所采取的一系列安全措施，包括风险分析、检测、监控与审计跟踪、应急计划和应急措施、计算机病毒检测与预防等。 　　(2)信息安全也有广义与狭义之分，狭义的信息安全也称计算机网络信息安全，主要是指计算机网络系统中的硬件、软件及系统中的信息资源受到保护，不受偶然的或者恶意的原因而造成的破坏、更改、泄露。 　　从广义上说，凡是涉及信息的保密性（未经授权，信息的内容不能被泄露）、完整性（存储在计算机上或者在网络上流动的原始信息没有被破坏和恶意的篡改）、可用性（合法用户提出访问时能及时响应）、可控性（信息处理是可以监