随着信息化建设的不断深入,信息交流与共享已经成为现代社会的必然趋势。互联网的广泛应用对社会各领域都产生了重大影响,促使人类的生活方式和生产方式发生了深刻变革。因此,教育信息化建设已成为世界各国信息化建设的重要组成部分。现采用文献研究法、跨学科研究法,对高校信息安全管理的历史与现状进行分析。从公共管理角度出发,提出高校信息安全管理方面存在的问题,进而阐述高校信息安全管理中的相关概念,并针对这些问题提出相应的解决措施,包括加强高校师生的信息安全意识教育、健全高校信息安全应急机制、配备高校专职信息安全管理工作队伍、采用先进的网络安全管理设施和管理技术等。这些措施为我国高校信息安全方面的工作提供了重要的指导,为未来我国高校图书馆信息安全管理工作的开展提供了借鉴和参考。
高校信息安全管理概述
本文的重点在于界定“信息安全”“信息安全管理”“高校信息安全管理”的概念,并深入探讨它们与我国国家安全的关系。高校信息化建设的核心内容是信息安全,核心任务则是建立适用于我国高校信息发展的信息安全管理体系。
信息安全
国际标准化组织(ISO)对信息安全的定义为:“确保计算机软件、数据和硬件恶意行为不因意外而被泄露、更改或破坏,需要在数据处理系统中建立并采用管理和技术上的安全保护措施。”戴宗坤院士在《信息安全管理指南》将信息安全定义为:“保证信息在计算机信息系统中以电磁信号的形式进行获取、处理、存储、传输和利用,在各个传输介质、存储逻辑区域和物理位置中,保持静态和动态过程中的可审查性、机密性、可用性、不可抵赖性和完整性,并与环境、信息和人相关的管理和技术规定有机结合。”吴世忠院士强调,信息安全要考虑可用性、可控性、机密性和完整性四方面。
综上所述,学界对信息安全主要从微观和宏观两方面进行界定。从微观的角度看,信息安全是指在信息的产生、制作、传播、 收集、处理和筛选等整个信息传输和使用过程中,保护信息资源的安全性。从宏观层面来看,信息安全是指在整个国家或全球范围内,采取各种技术、政策、法规和行动保护信息系统使信息不被恶意攻击、破坏、篡改或泄露。
信息安全管理
在《信息安全管理论》中,王正德和杨世松给出信息安全管理的定义,即“通过协调控制各种信息安全风险来实现信息安全目标的一种活动”。因此,信息安全管理强调的应该是“管理”,而不是技术活动。信息安全管理的目标是通过协调各种活动来引导和控制各种信息安全风险,以保护信息资产的安全。信息安全管理需要整个组织共同参与,不应只由安全管理部门单独承担责任。从业务角度,信息安全管理与所有信息相关的业务有关;而从工作人员的角度,信息安全管理与所有层面的员工有关,包括操作人员、技术人员和管理人员。
高校信息安全管理
高校信息安全管理是指高校为确保信息系统和信息的安全稳定运行,制定并执行的一系列策略、规程、制度和技术措施。这些措施包括但不限于防火墙、入侵检测、密码策略、数据备份与恢复、安全培训等,以保护高校内部信息的机密性、完整性、可用性。因此,高校信息安全管理指的是在高等教育机构中,针对校内各类信息资源和信息系统采取的一系列措施和管理活动,以确保这些信息资源和系统的机密性、完整性、可用性和可信度不受未经授权的访问、使用、修改、删除、泄露等威胁,这些管理活动和措施包括实施安全技术措施、开展信息安全培训和宣传、进行信息安全风险评估和漏洞扫描、制定信息安全政策和规范、建立信息安全监督和管理机制等。通过高校信息安全管理,可以保障学校的教学、科研和管理活动的正常进行,保障学生、教职工和学校的利益和形象,也有助于推进信息化建设和发展。
我国高校图书馆信息安全管理现状
近年来,我国针对高校信息安全管理工作出台了一系列政策和文件。2013年,教育部和国家互联网信息办公室出台《关于进一步加强高等学校网络建设和管理工作的意见》;2020年,教育部发布《2020年教育信息化和网络安全工作要点》,包括11大方面、32项重点任务;2021年,中央信息安全和信息化委员会印发《“十四五”国家信息化规划》。鉴于此,可以说高校在新时期加强信息管理非常必要。
缺乏信息安全防护体系
高校图书馆信息安全管理中存在薄弱点,缺乏不同层级的反应机制,难以实现有效的信息安全防御联动,这可能导致出现信息安全问题。虽然高校已经安装了信息安全设备,如防火墙、入侵检测系统和入侵防御系统,但缺乏对这些设备的运行情况以及信息安全隐患的了解,也就无法敏锐感知信息安全态势。前期规划不足,后期在安全、扩容和可靠性等方面存在问题,使一些高校在整体信息建设中缺乏安全预警机制和有效的防护体系。这种情况通常会导致学校在出现安全问题后才开始采取措施,这种滞后做法会对学校信息系统造成不可逆的损失和影响。
师生信息安全意识淡薄
高校师生是庞大的社会群体,消费方式已经从现金支付向网络支付转变。在学生注册网银、社交平台和应用软件时,经常需要进行实名认证。然而,不同平台的密保技术参差不齐,高校教师和学生尤其缺乏信息安全防范意识,对安全相关技术基础知识的了解程度较低。具体表现为各类网站登录口令和密码设置过于简单,极易被黑客破解。彭国军和张焕国的论文《论高校师生信息安全意识培养的必要性》对武汉大学某次全校师生信息安全意识调查问卷结果进行了详细分析。问卷结果表明,目前高校师生信息安全意识相对薄弱,会危及学校的信息安全。因此,加强高校师生信息安全意识迫在眉睫,高校在信息安全管理过程中要提高师生的信息安全意识。
高校网站日常管理维护不足
高校图书馆网站是展示学校形象和传播信息的重要渠道。在现代信息社会中,网站的安全性越来越受到重视,因为它们存储了大量的敏感信息,包括学生和教职员工的个人信息、研究成果、机构运作等。然而,在高校信息安全管理过程中,因为高校网站日常管理维护不足会出现一些问题。
缺乏专业安全维护人员是高校网站容易出现安全漏洞的原因之一。高校网站只注重功能升级,使得一些已知的漏洞得不到及时修复。张光勇等学者指出,网站遭到篡改、挂上暗链、植入木马、张贴反动标语等情况时有发生,而这些问题难以及时发现和处理。
信息安全制度体系缺失
在高校信息安全管理过程中,信息安全制度体系可以帮助高校满足相关法律法规和标准的要求,如信息安全管理体系标准ISO/IEC 27001,从而保证高校的信息安全管理合规。长期的实践经验表明,任何管理活动都需要一套完备的管理制度体系,高校信息安全管理同样需要遵循这一原则。过去,出于尊重用户隐私的原则,高校很少对用户进行监控。但随着信息安全意识的提高,高校开始意识到实施信息监管的必要性,但由于用户数量过多,监管难度较大。用户缺乏安全防范意识是引发信息安全问题的重要原因。由于缺乏对信息安全问题的正确认识,用户使用可能存在安全隐患的上网设备,或从不知名的网站上浏览和下载文件,这都会增加校园信息的安全风险。
我国高校信息安全管理存在的问题的分析
信息是一柄“双刃剑”,随着信息化、数字化在学校工作中的不断普及,网络空间的不安全特征日益明显,其无中心、无管理、不可控、不可信等特点对学校稳定的秩序和大学生健康的成长环境构成了威胁,给高校信息安全管理带来更多的挑战和风险,这必须引起高校管理者的重视。
缺乏有效的信息安全管理系统
高校信息管理系统的安全性对于教学、科研等业务的连续性具有至关重要的作用,建立信息安全制度体系可以保障业务的连续性,避免信息系统因故障或被攻击而导致业务中断。学者刘敏认为,目前计算机网络信息安全管理还没有建立起相对完善、有效的信息安全管理体系。网络信息安全防护水平不够,相关管理机制和信息安全管理制度缺乏责任落实。这就需要在信息安全管理制度、技术手段、管理者监管等方面加强建设和完善,确保高校信息资源的安全性和可靠性。
高校信息安全管理技术人员素质有待提高
在高校信息化建设和网络化运营的背景下,高校面临着日益复杂和严峻的信息安全威胁。而高校信息安全管理技术人员是保障高校信息系统安全的关键,其素质直接影响高校信息系统的安全水平。高校信息安全管理存在信息技术人员素质不高的问题,这一问题是高校信息化建设管理中比较突出的问题。部分高校缺少专业的信息技术人员,特别是在文科院校,虽有一定数量的技术人员,但其业务素质不适应目前高校信息化建设管理的需要,表现在无法为师生提供校园网应用的有效培训。因此,尽管有部分老师和学生已经意识到校园网的重要性,但因为不知道如何应用网络为教学和学习服务,从而无法提高工作和学习效率。
高校应该加强对信息安全管理技术人员的培训和教育,不断提升他们的专业技能,同时注重培养沟通协调和应急处理能力,以提升高校信息安全管理水平。
高校师生信息安全意识薄弱
高校师生信息安全意识薄弱是出现高校信息安全管理问题的原因之一。因此,只有重视全校师生网络安全知识的普及教育,才能有效提升师生的网络安全防范意识。2018年9月,中国科学技术大学一名学生在图书馆随意使用充电宝,结果被发现该充电宝植入了间谍软件,导致该学生的个人信息被泄露。这一事件表明,高校师生在信息安全方面的防范意识和能力亟待提高,高校需要加强安全管理和监管力度。
完善我国高校信息安全管理措施
面对复杂严峻的信息安全形势,为了确保信息安全,我们需要树立正确的信息安全观念,建立快速应对信息威胁的关键信息基础设施安全保障体系。同时,需要全面了解信息安全态势,提高信息安全防御和威慑能力。
加强高校师生的信息安全意识教育
高校师生的信息安全意识教育可以帮助他们了解信息安全的重要性,掌握保护信息安全的方法,避免在使用网络和信息系统时出现安全问题。这些都有助于预防威胁信息安全的事件发生,降低信息安全风险。高校信息化建设中,信息安全教育比较薄弱。由于缺乏必要的安全意识,许多学校在信息资源开发过程中暴露出许多安全隐患。学者张光勇认为,加强全校师生的安全意识可以帮助高校提高信息安全管理能力。2021年4月,北京大学某研究所的一名教授因为使用了盗版软件,被微软公司起诉。据悉,该教授在其个人电脑上安装了多个盗版软件,包括Windows 7操作系统、Office办公软件等,涉案金额高达4万元。该事件引发了人们对高校知识产权保护和信息安全的关注。因此,宣传与普及教育工作对提升学校师生信息安全意识至关重要,也是信息安全管理中不可或缺的一环。
健全高校信息安全应急机制
高校信息安全工作的特点在于其复杂性和动态性。复杂性表明信息安全问题不仅局限于特定领域,还涉及多方面的情况,且信息安全工作的目标不仅是防止特定信息被非法使用,还可能需要删除、屏蔽或隐藏某些信息以保障社会和集体利益。高校信息安全工作具有动态性,意味着每个月可能会出现不同的信息热点问题,甚至可能出现数个不同的热点问题,因此需要及时调整应对策略。由于信息安全问题具有突发性,制定应急处理机制是日常管理的必要措施,以确保在任何可能影响国家安全和高校稳定的信息安全事件发生时能够及时采取措施,控制危机并将损失降至最低。值得注意的是,信息安全问题往往并非突发事件,而是逐渐积累的结果。高校需要进行长期规划和有效管理,不能仅依靠临时的应急处理机制解决问题。南京大学依据《中华人民共和国突发事件应对法》《国家突发公共事件总体应急预案》《教育系统突发事件总体应急预案》《江苏省突发事件应急预案管理办法》,以及江苏省人民政府、江苏省教育厅相关预案和有关要求,结合学校应急管理工作实际,制定了《南京大学突发事件总体应急预案》,以提高高校保障校园信息安全的能力,最大限度地预防和减少信息安全事件的发生及其造成的损害,维护学校的安全与稳定,促进社会和谐发展。高校信息安全保护的基础是建立健全信息安全应急响应机制。这样的机制不仅能够帮助高校提高安全意识,及时发现并应对信息安全事件,还能够减少损失、保护高校资产。
随着科学技术的不断进步与发展创新,信息安全工作将面临更多挑战。事实上,信息安全并非绝对可靠,在实际工作中应以人为本,注重知识储备,关注信息安全和信息技术的最新发展,与时俱进,提高信息安全工作人员的专业能力,不断加强信息安全管理。除了遵循信息安全工作的原则,还需要注意方法和方式,以便获得各单位信息安全和信息化管理人员的理解和支持,始终秉持为师生服务的理念,尽量减少对正常教学、科研和其他业务的影响。此外,在当前国内外形势下,加强高校信息安全管理面临诸多挑战。在开展高校信息安全管理工作时,需要考虑到这些因素与挑战,从人员、制度、管理等方面完善高校信息安全管理工作。对广大高校来说,信息安全的防护任重道远,且永不止步。
