新形势下高校信息安全的管理策略研究.docxVIP

新形势下高校信息安全的管理策略研究 　　摘 要：目前信息安全形势发生了巨大变化，国家已将信息安全上升法制高度，教育部也在加强教育领域的信息安全指导。而部分高校仍存在信息安全管理隐患，对此本文从顶层设计、网站和漏洞管理、制度保障、队伍建设、意识教育、监测预警等提出解决方案，为构建高校信息化的安全防御体系提供参考。　　关键词：信息安全；高等院校；管理策略；形势分析　　DOI：//　　1 信息安全形势分析　　随着外围环境的不断恶化，我国信息安全环境发生了较大变化。网络空间进入以网络扩军热为代表的“后黑客时代”，有组织的网络犯罪持续升高，针对重要信息系统的攻击持续发生，关键信息基础设施安全威胁日益加剧，云计算和大数据等新技术应用带来新风险，国家意识形态安全受到新冲击。　　近几年，中共中央高度重视信息安全工作，加紧制定信息安全战略体系。XX年2月中央网络安全和信息化领导小组成立，习近平总书记提出“没有网络安全就没有国家安全”。XX年8月通过的《刑法修正案》对网络服务提供者增加了刑事责任的规定。XX年6月《网络安全法》正式实施，明确网络空间主权、网络空间命运共同体等内容。至此，我国的信息安全战略地位空前提高。　　而教育行业的信息安全未能随信息化进程的不断加快而同步发展，安全事件频发。对安全事件进行不完全分析，可分为如下几类：师生基础数据泄露；学位、学历信息遭篡改；考试成绩、高考志愿、招生录取信息遭篡改；网站遭篡改、贴反动标语：XX年国外反动黑客组织攻击教育行业信息系统21次。系统遭DDOS攻击；APT攻击等。目前我国已有教育机构约50万所，学生总数达到约亿人，教师总数约1800万人，.域名网站约45万个，涉及到的人员数据约亿人次，发生安全事件后其传播速度、关注度和影响力都难以估量。　　教育部于XX年指定“科技司”为信息技术安全工作的分管部门，明确责任部门，密集发布信息安全指导意见，部分文件有：教技[XX]4号《关于加强教育行业网络与信息安全工作的指导意见》、教技[XX]2号《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》、教技厅函[XX]32号《关于启动信息系统安全监测的通知》、教技厅 [XX]3号《教育行业网络安全综合治理行动方案》，以加强教育行业的信息安全。　　2 高校信息安全的管理隐患　　高校是教育行业中融合教学、科研、社会服务、文化传承的高等学府，需格外重视信息安全管理工作，目前仍存在顶层设计忽视、网站和漏洞管理混?y、人才缺乏和安全意识缺失等方面的问题。　　顶层设计忽视安全管理。高校在信息化建设飞速发展时，未能从顶层设计上做到信息安全与信息化建设 “同步规划、同步建设、同步运行”，信息安全被放到次要位置。[1]或过分依赖软硬件技术，忽视信息安全管理，安全防护缺乏统筹安排。　　网站和漏洞管理混乱。未能意识网站集中建设的重要性，存在二级单位自建网站，服务器托管在校外等的情况，这种网站存在对外开放却无人问津，有高危漏洞却无人修复，出现问题却无人响应的重大隐患。多数高校仍处于以安全漏洞和安全事件中心的被动局面，缺少主动的漏洞管理流程。　　安全管理制度缺失。在信息安全的组织架构建设、制度体系建设、等级保护等方面的工作落实不够，虽然针对校园网、机房安全、二级网站等内容制定了管理条例，但存在未成体系化，修订不及时等问题。未能将等级保护纳入信息安全管理制度中。　　人才缺失和安全意识缺乏。目前国内专业人才培养仍处于起步阶段，高校在引进专业人才上存在一定的困难，而且对从业人员又缺少专业的教育和培训。一些高校师生对信息安全的重要性及对信息安全事件造成的危害认识不足，未能树立正确的网络安全观。　　3 高校的信息安全管理策略　　XX年04月，习近平在网络安全和信息化工作座谈会上提出：面对复杂严峻的网络安全形势，需树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。[2]这为高校在新形势下制定有效的信息安全管理策略提供较好的方向指引。据此提出如下策略：　　 加强信息安全的顶层设计　　学校领导层需认清网络安全和信息化的关系是一体之两翼，必须协调一致、齐头并进，将信息安全建设工作纳入学校长远规划；认清长期的安全持续管理和服务重于一次性的安全产品投入，从顶层设计上形成完整的安全保障体系。在组织架构上，可借鉴美国高校的首席信息官体制[3]，成立校级层面的信息安全管理机构，通过统筹协调、宏观规划推动高校信息安全工作开展。　　 有效治理网站乱象　　对外开放的网站是存在信息安全威胁的主体。为加强对网站乱象的有效治理，建立网站群平台，制定全校二级网站集中管理的体系；定期在学校范围内对网站进行“地毯式”排查，杜绝非学校域名且非学校IP的“两非网站”存