网络安全信息化管理3篇
网络安全信息化管理1
摘要:随着互联网信息技术的进步,信息化技术为企业发展注入了新的生机与活力。经济全球化时代,信息技术与企业发展联系越来越紧密,烟草企业迎来了新的机遇与挑战。在烟草企业构建安全信息化系统有利于工作效率及质量的提升,推动烟草行业高质量发展。研究分析了烟草企业信息化建设现状及安全管理的重要性,构建了安全信息化系统,以期为烟草企业安全、稳定发展提供可靠的参考。
关键词:安全信息化系统;烟草企业;安全管理;系统功能;网络信息安全
0引言
作为特殊商品类型,烟草自身价值高,但安全系数低,存在火灾、霉变等安全隐患,一旦遇到明火将会导致大面积火灾,对烟草企业发展造成难以挽回的损失,甚至威胁工作人员人身安全,因此加强烟草企业安全管理尤为重要[1]。传统烟草企业安全管理存在管理手段落后、信息更新不及时、管理措施执行性不强等问题,信息技术的发展则为烟草企业管理提供了多元化路径。在互联网信息技术支持下,能够建立完善的信息化安全平台,保证烟草企业持续稳定发展。信息化建设应贯穿烟草企业生产、经营的方方面面,强调安全管理的重要性,引入监控功能,建立网络信息安全系统,构建案例管理系统,能够保障烟草企业安全管理效果。
1烟草企业信息化建设现状
基于现代互联网信息技术的发展,烟草企业信息化建设已经初具规模,烟草行业办公实现了自动化,烟草企业生产经营及销售过程中产生的数据均能够在大数据系统中查询与保存,通过数据分析为烟草企业宏观调控及经营决策提供参考依据。目前党和国家相关政策强调,在烟草企业管理过程中注重信息化技术的应用,引导烟草企业的发展,实现规范化管理与良好的组织建设。从烟草企业信息化建设现状看,大部分已经实现互联互通。在网络信息技术支持下,烟草企业网络运转管理得到了增强[2],但安全信息化系统尚不完善。目前,大部分烟草企业在信息化构建及工作检查方面仍凭借个人经验,缺乏完善的标准,或执行者对检查标准不明确,未能掌握潜在的隐患,缺乏强有力的整改措施,直接影响烟草企业正常生产活动,在安全管理及事故预防方面缺乏完善的制度保障与科学决策,使得烟草企业安全生产面临着严峻的挑战的巨大的压力[3]。目前,烟草企业安全生产面临的风险主要包括火灾、车辆伤害及机械伤害等,其中以车辆违章尤为常见,不仅增加了道路交通管理工作压力,而且埋下了诸多安全隐患。部分烟草企业对安全生产缺乏足够的重视,安全监管落实不到位,未能针对租赁场所、劳务服务以及设备安装维修等项目制定详细的安全管理制度,缺乏有效的监管,部分企业尽管设立了监管部门,但流于形式,难以从根本上消除隐患,控制风险事件的发生。安全管理人员综合素质参差不齐,人力资源配备不到位,缺乏专业培训。2020年国家信息部、工业部引发的关于互联网+安全生产的通知强调,应积极进行安全生产专项整治,贯彻落实安全信息化手段,实现信息资源的共享,同时缓解相关工作人员的负担,能够及时对安全隐患进行预测。部分烟草企业在内部建立了涵盖财务、配件、设施、安全管理等在内的信息系统,但在安全管理信息化建设方面尚存在一定的不足,系统模式单一,可借鉴的经验缺乏,系统运转过程中容易发生冲突,制度不健全,整体性能不佳,需要进行进一步夯实。
2烟草企业安全管理的重要性
作为烟草企业的基础,安全管理事关烟草企业的持续稳定发展,同时也与相关工作人员身体安全密切相关。当前烟草企业大部分为卷烟与烟叶,价值高,作为一种特殊商品,其安全系数低,一旦出现火灾将会造成难以估量的损失。从当前烟草企业发展现状看,大部分未能意识到安全管理的重要性,将安全管理视为可有可无,相关管理措施未能深入落实,对工作人员的培训走形式化、应付检查,片面强调利益,仍需要规范化的安全管理机制,在保障生产管理效率的同时,将生产成本控制在合理范围内,为企业长期、稳定发展注入力量。目前,国家对于企业安全管理给予了高度重视,对安全生产提出了更高的要求,出台一系列安全生产政策,并对现有的安全生产法律法规予以完善、修订,明确了企业安全生产的底线与目标,强调了安全生产的重要性。新《安全生产法》中明确提出要重视企业安全管理,建立奖惩制度,加大了对安全生产违法行为的处罚力度,对于性质恶劣、情节严重者追究法律责任。基于当前信息技术的进步及信息设备的更新,烟草企业的数字化转型成为不可阻挡的潮流趋势,应注重信息化与烟草生产的融合创新,打造“平台+数据+安全”平台,注重个人信息保护,加强数据安全管理,建设主动预警机制,制定风险处置与应急措施[4]。
3烟草企业安全信息化系统的构建
3.1安全信息化系统整体架构
信息化与工业化、商业化等交织发展,推动了烟草企业的改革与进步,在构建烟草企业安全管理平台时,应设立合理的烟草企业发展目标,规划长期发展战略,对安全信息化系统予以优化管理,综合现有的资源与数据资料,集成分析设计。研究搭建了一个安全平台、建立两大安全支撑体系、实现三级全员覆盖、采用六层技术架构设计、实现安全事故为零,其架构见图1。设施设备层:是安全管理落实到对象,责任到主体的基础实施前提条件。智能感知层:通过各种先进传感器,对物理世界真实数据智能进行感知,是实现数据驱动安全精益管控的基础必备手段。数据接入层:主要承担将传感器数据、设备数据以及其他信息系统数据采集并上传到平台的作用,通过数据接入层实现安全全量数据汇聚。数据平台层:主要负责安全大数据存储、分析并基于安全实际业务和管理需求,对安全数据进行可视化、3D建模、算法模型建立以以及API调用等;该层是安全管理的核心“决策大脑”。应用管理层:主要基于安全管理基础台账和标准,实现面向七个具体业务场景的管理,是从决策到执行的具体落地抓手。业务访问层:该层主要实现跨平台、跨地域、跨环境的快捷访问。
3.2搭建设备安全管控平台
采用先进的云计算和工业互联网技术搭建永州烟草安全精益监管云平台,通过物联网、移动互联网、5G技术进行安全相关大数据采集和集成,实现安全台账全生命周期动态管理、安全标准统一管理、设施设备统一接入、隐患消缺数据人工智能建模。最终达到安全监管对象能感知、过程能管控、结果能验证、隐患能分析、事故能预防的根本目标。其安全管理系统如图2所示。烟草企业设备安全管控系统主要由集控平台、网络传输与安全监控等部分构成,其中集控平台与互联网相连接,能够有效控制生产设备,调整生产环境,并对设备运行期间的参数予以监控,监测结果上传至安全监控中心,能够实现对系统的控制管理[5]。集控平台能够对视频监控、设备状况予以检测,具有报警功能与语音对讲功能,采用联动策略构建了集光、声、影等为一体的设备安全管理体系。
3.3全过程监控系统
为保障烟草企业信息安全,需要构建安全管控平台,结合烟草企业安全管理情况,应加强平台信息化管理,引入监控系统,提升监控水平,优化子系统流程与功能,保障烟草企业安全信息化,达到全面、统一的管理,解决企业设备投入不足、安全管理缺乏等问题。如在烟草企业安全管理工作中,应要求构建专门的安全检查机构,并针对安全管理问题制定详细的标准与细则,加强对烟草企业现场生产的监测,及时发现问题并予以整改,防患于未然,做好各项检查,可借助LEC评价法信息化评估安全隐患问题。若获得的结果与安全管理标准不相符,那么可以采用自动化的方式对风险问题进行分析,挖掘存在的隐患,并及时向相关工作人员发出警告,做好及时发现、及时处理[6]。不仅如此,烟草企业应构建科学的考核机制,加强对工作人员的培训与考核,掌握烟草企业常见的安全风险及管理措施,提升专业人才队伍创新能力。不仅如此,应改变烟草企业安全管理思路,加强管理人才培养,建立完善的机制,积极开展TWI一线督导工具培训,做到具体问题具体分析,准确应对平台预警提示,保障烟草安全管理措施的高效落实。
3.4智能风险管理系统设计
作为烟草企业信息化管理的核心,风险管理在整个烟草信息化安全管理中发挥着极为重要的作用,其主要涉及数据风险、设备风险以及信息风险等,与烟草企业生产效率及产品质量有着密不可分的关系,做好风险管理,可帮助烟草企业建立起核心竞争力。智能风险管理系统如图3所示,通过建立有效的安全设施设备物联管理机制和制度,运用先进的物联网、传感器、云计算、大数据、移动互联网手段,确保安全监管对象安全可靠运行。建立统一规范的安全标准库,明确各监管对象的安全标准和各作业活动的安全规范,实现安全精细化管控。两大安全支撑体系的构建能够满多角度安全状况分析,实现报警、统计、报告等多重功能。智能风险管理系统能够根据报警、配置等情况分析事件,依据的主要是短消息、邮件等。智能风险管理作为安全管理的神经末梢,覆盖整个网络所属区域的实时分析,及时发现各类风险,并将其作为风险事件向管理中心汇报。
3.5网络信息安全
近年来,烟草企业发展受到了国家及政府的高度重视,并针对企业信息安全管理出台了一系列相关政策,以提升企业信息管理效果,保障系统运行环境的安全性,注重对安全服务及安全制度等的建设,其将安全保护对象作为基础,所构建的安全管理体系不仅囊括安全技术,而且设计了合理化运行体系,注重运营绩效的提升,转变传统安全管理观念[7]。另外,针对烟草企业安全管理的短板问题与瓶颈问题,应落实动态化管理,构建一体化闭环管理。经过信息系统测评,能够对重要的信息进行评估,最好备份,提升了烟草企业边界防护能力,有利于建立更为安全、可靠的网络信息信任体系。首先应构建完善的安全组织体系,对现有的安全信息管理方案及制度规定、流程等进行修订与完善,制定安全事件应急响应与处理策略,建立网络安全事件的响应机制,并由专门的监督机关进行审查管理[8]。在局域网与广域网接入区域、互联网接入区均应部署防火墙及其他防御系统,同时安装终端安全管理系统与漏洞扫描系统,及时发现安全管理区域存在的安全问题,对管理员行为进行监控,应用身份认证、双因素认证等方式,做好身份鉴别,提升管理安全性。另外,要结合烟草企业发展实际问题,制定详细的管理对策,打造安全、稳定的设备运行环境。最后要对信息系统进行定期维护与管理,做好差距分析与风险评估,积极进行漏洞扫描,加固安全防御。
3.6嵌入内联网与物联网网络
随着现代互联网信息技术的发展,还应紧跟时展,设立二维码、智能门禁等物联网技术,为业务流程的顺利开展提供保障,与此同时采取安全管理技术,注重信息安全性,提升安全管理效果。强化烟草安全管理系统的保障功能,对各项基础设备进行更新与优化,夯实基础,认真梳理烟草企业安全管理的各个环节,包括质量监测、能源监测及职业风险健康监测等,针对重点流程应强化风险控制。充分利用大户数的评估技术与智能诊断技术,找到烟草企业发展的短板,改进业务流程。以“识风险、除隐患、防事故”为基本思想,将工业互联网、物联网、移动互联网、云计算、大数据、人工智能、5G等新一代信息技术与安全管理深度融合,构建一体化管理平台,完成智能搜索、数据挖掘等,从而更好地对接各个指标、设备等,优化管理流程。
4结束语
综上所述,烟草企业安全管理与企业发展密切相关,构建安全信息化系统能够实现对烟草企业全方位安全管控,完善安全信息化体系,保障烟草企业生产运行与经营管理的安全性,自上而下构建具有信息化特征的安全管控平台,提升生产效率与产品质量,将安全隐患扼杀在摇篮里,推动数字化烟草的安全构建。
作者:蔡建平 单位:永州市烟草公司道县分公司
建筑土木工程问题2
当前大数据、人工智能、云计算、物联网、虚拟技术等信息技术的高速发展,促进在线教育和教育领域信息化迅速发展。开放大学是以现代信息技术与远程教育深度融合为支撑,满足全体社会成员终身学习需要为目标的新型高校。随着开放大学承担的终身教育规模不断扩大,在线学习人数不断增多,对网络安全的要求也越来越高。基于网络安全等级保护2.0构建开放大学网络安全体系,为学习者提供安全可靠的网络环境是至关重要的。
1网络安全等级保护2.0标准
2019年5月,国家标准化委员会了包括《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护安全设计技术要求》的网络安全等级保护2.0国家标准体系(以下简称等保2.0标准),推动了新形势下网络安全等级保护工作。2.1等保2.0标准的特点网络安全等级保护制度是国家网络安全工作的基本制度,是履行安全保护义务、保障网络免受破坏、防止网络数据被窃取篡改的基本方法,等保2.0具有以下特点。(1)等级保护的对象更加广泛。等级保护2.0的对象更加广泛,包括基础信息网络、物联网、信息系统(含采用移动互联技术的系统)、大数据应用/平台/资源、云计算平台/系统、工业控制系统等。(2)构建了统一的网络安全体系结构。等保2.0标准采用系统化的设计方法,贯彻纵深防御和精细防御的安全保护理念,构建“一个中心,三重防护”的网络安全体系结构,形成了在安全管理中心统一管理下,安全计算环境、安全区域边界、安全通信网络层层防护的综合保障技术体系,规范了信息系统等级保护安全设计技术要求。(3)强化了可信计算技术的运用。可信计算是基于密码的计算机体系架构安全技术,等保2.0标准将可信计算技术的运用贯穿到各个安全保护级别,在安全计算环境、安全区域边界、安全通信网络均提出可信验证要求,实现网络安全保护由被动防御转变为主动防御、动态防御,实网络安全等级保护。2.2等保2.0标准的架构与内容概述2.2.1等保2.0标准的架构等保2.0构建“一个中心,三重防护”的网络安全体系结构,贯穿整体防护、精准防控、主动防御、动态防御的安全保护理念,形成安全通用要求+新应用安全扩展要求的架构,对各个级别的网络安全保护要求分为安全通用要求和安全扩展要求。2.2.2等保2.0标准的内容(1)安全通用要求(2)安全扩展要求安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。等保2.0针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。
2开放大学网络安全现状
随着开放大学在线学习者规模越来越大,与互联网技术进一步深度融合,学习过程和课程资源等数据不断增加,学习者信息化知识水平参差不齐,网络安全意识不强,网络安全问题越来越突出。
2.1网络安全管理不到位
在网络安全管理方面存在重视力度不足、落实等级保护制度2.0情况不佳、管理职责不明确、管理制度不完善、人员安全意识薄弱等问题。2.1.1网络安全重视力度不足网络安全设备设施不足,主要依靠防火墙设备,而上网行为管理系统、防病毒网关、安全审计系统、态势感知系统的应用率很低,防护类型单一。2.1.2落实等级保护制度2.0情况不佳等级保护制度2.0在2019年开始实施,开放大学未能及时落实等级保护制度2.0标准开展等级保护测评。2.1.3网络安全管理不到位(1)网络安全管理制度不完善。开放大学只有日常管理规范和操作表格,管理制度不够完备,没有跟随国家相关法律法规尽快出台相应的日常管理规范和操作规程。(2)网络安全管理职责不明确。网络安全专职人员的配置无法满足工作的需求,网络安全管理机构职责不够明确,网络安全管理制度没有发挥作用。(3)网络安全管理人员安全意识薄弱。网络安全管理人员持有相关证书的人数偏少,缺乏足够的网络安全培训,安全意识和业务能力没有保障。
2.2网络安全技术层面存在的风险
当前基层开放大学网络安全形势严峻,主要是网络探测与攻击、DDoS攻击增多、校园网内部漏洞多等。(1)校园网内部存在漏洞。校园网中各种网络设备存在系统漏洞和缺陷,入侵者利用这些漏洞进行非法操作。(2)基层开放大学网络应用系统容易受到攻击。为满足基层开放大学办公、教学等方面的需求,校园网内搭建了教务管理等应用网站,攻击者利用应用网站漏洞上传木马病毒。(3)受到分布式拒绝服务(DDoS)攻击快速增长。基层开放大学的教务管理系统、数字图书馆、办公OA等应用都在互联网线上开展,不法分子运用分布式拒绝服务攻击方式,无限制消耗系统和网络资源,使得学校无法向学习者提供正常服务。(4)校园网内网络病毒、木马程序层出不穷,蔓延迅速开放大学校园网用户规模大,因用户安全意识淡薄,没有使用杀毒软件,造成网络病毒、木马程序泛滥。
3基层开放大学网络安全体系的构建
网络安全等级保护2.0国家标准体系已实施,基层开放大学应严格按照“一个中心,三重防护”的理念,构建包括网络安全管理体系和网络安全技术体系的网络安全体系,为学习者提供安全可靠的网络环境。
3.1构建开放大学网络安全管理体系
要做好开放大学的网络安全工作,关键是做好网络安全管理工作,全面提升“三分靠技术、七分靠管理”的意识,要按网络安全等级保护2.0国家标准体系的第四级安全要求,建设网络安全管理体系。3.1.1建立完善的开放大学安全管理制度体系开放大学建立由安全策略、管理制度、操作规程、日常工作台账等构成的安全管理制度体系,一是安全策略方面,制定《网络安全工作总体方针》;二是管理制度方面,制定《网络安全事故处理及应急预案》、《数据备份与恢复管理规定》、《网络与系统安全管理规定》、《中心机房安全管理规定》、《信息系统建设管理规定》、《外部人员访问校园网管理规定》等;三是操作规程方面,制定《数字化校园系统操作手册》、《协同办公系统(OA)操作指南》、《信息系统运维操作规程》等;四是日常工作台账方面,在日常网络安全工作中,每项具体的事项应以台账的形式做好记录。3.1.2设立安全管理机构、打造网络安全专业团队(1)设置网络安全管理机构一是成立网络安全与信息化建设领导小组,由校长担任组长;二是成立网络安全及信息化办公室,职能是负责学校网络安全管理工作;(2)加强网络安全人员管理,打造网络安全专业团队一是制定学校岗位职责时,完善网络安全及信息化办公室岗位设置,设立系统管理员、专职安全管理员、安全审计员等岗位,并定义这些岗位的工作职责。二是制定学校的人事管理制度时,明确网络安全管理人员的录用条件、资格审查、技能考核、离岗要求等,与录用人员签订保密协议,约定保密范围、保密内容等。三是加强教职工网络安全培训,主要加强安全意识、基本安全知识、安全责任教育。四是加强网络安全及信息化办公室人员的培训和考核,主要是网络安全专业技能方面的培训,半年进行一次技能考核。3.1.3加强网络安全运维管理运维管理是网络安全日常工作最重要的部分,包括学校中心机房的管理、数字资产的管理、设备维护、网络与系统安全管理、安全事件的应急及处置管理、漏洞扫描及渗透测试等工作。(1)严格落实《中心机房安全管理规定》,按等保2.0标准配置中心机房的物理环境并定期维护管理,部署视频监控系统、门禁系统,建立中心机房出入登记台账,建立中心机房基础设施维护台账。(2)高度重视全面网络安全检查工作。每年完成一次渗透测试、每半年开展一次漏洞扫描、不定期进行恶意代码检测等安全测评,建立安全测评整改台账,加强恶意代码防范,严格落实安全测评整改责任到人,快速准确排除安全漏洞和隐患。(3)严格落实《网络与系统安全管理规定》,规范安全策略、账户管理、配置管理、日志管理、日常操作、升级及打补丁、口令更新周期等方面的管理,建立网络和系统运维台账,严格控制远程运维权限和运维工具的使用,做好审计日志的存档,加强密码管理,密码技术和产品务必要遵循国家标准和行业标准。(4)制定《网络安全事故处理及应急预案》,明确不同等级安全事件报告及处理流程,明确跨单位安全事件报告和处置机制,规定统一的安全事件应急预案,高度重视应急预案演练,上下半年各开展一次应急预案演练,根据演练情况修订完善应急预案。
3.2构建开放大学网络安全技术体系
开放大学根据等保2.0标准纵深防御和精细防御的安全保护理念,按照“一个中心,三重防护”的网络安全体系结构要求,结合开放大学的安全保障实际,推进包括安全计算环境、安全区域边界、安全通信网络等方面的网络安全技术体系构建。3.2.1重视网络基础设施的安全防护网络基础设施的安全是网络安全的前提,一要做好电源线和通信线缆隔离铺设;二是做好中心机房的防盗窃、防破坏、防水、防火、防潮、防雷、防静电等措施;三是配备稳压器和UPS后备电源;四是做好各教学楼的网络设备的安全。3.2.2根据等保2.0标准,重新部署开放大学校园网安全通信网络体系(1)重新规划学校校园网的网络拓扑,调整路由器、交换机和防火墙等部署,确保关键设备的硬件冗余和通信线路冗余。(2)结合校园网络和信息系统应用的实际,采用VLAN和防火墙技术,重新划分学校的网络系统区域,并在各区域之间部署网络安全设备,设置安全策略,确保不同区域之间完全隔离,保障各区域的安全。3.2.3加大投入,构建完善的安全区域边界一是根据等保2.0标准要求,部署IDS/IPS、防病毒网关、WEB应用防火墙、资源监控系统、上网行为管理系统、堡垒机、抗DDoS攻击系统、日志审计设备、VPN上网设备等,及时做好系统升级和规则库更新,提高网络安全防护能力。二是在防火墙部署安全策略,完成互联网与校园网、校园网内部之间的访问控制等。三是在网络安全设备中设置安全策略,监测和阻止端口扫描、木马攻击、拒绝服务攻击、缓冲区攻击、网络蠕虫攻击等。3.2.4加强技术保障,建设安全计算环境开放大学着重建设身份鉴别、安全审计、入侵防范、数据完整性、数据保密性、数据备份恢复、个人信息保护等安全计算环境。(1)用户身份鉴别是设备和信息系统安全的最重要防线之一。一要严格按照等保2.0标准要求,设置网络设备和信息系统的口令,不得保留设备出厂默认口令,不能存在弱口令;二要定期更新网络设备和信息系统的口令,三个月更新一次;三是使用各种技术达到双因素身份鉴别方式;四是加强系统管理员账号管理。(2)加强访问控制和网络安全审计。在网络中部署堡垒机系统、数据库审计系统、综合日志审计系统,加强操作全过程的审计,加强访问核心数据库的审计,采集学校服务器、网络核心设备、网络安全设备的系统日志,全面审计信息系统整体安全状况。(3)提升数据完整性和保密性保护技术能力,避免数据泄漏事件发生。一是应用密码技术保障学校的数据传输和存储的完整和保密,避免关键信息以明文形式存储;二是加强数据备份工作,建立异地灾难备份中心;三是切实落实《中华人民共和国个人信息保护法》,严格落实学习者个人信息的安全保护。
4结束语
开放大学应按照等保2.0标准的规范,严格落实信息安全等级保护制度,部署网络安全设备、配置安全的策略,完善各项安全管理制度,从网络安全管理体系和网络安全技术体系两方面落实网络安全责任制,为学校的高质量转型保驾护航。
作者:陈华清 单位:中山开放大学
建筑土木工程问题3
0引言
近年来,以大数据为支撑的信息化建设深入各个领域,人工智能、“互联网+”等信息技术被广泛应用于衣食住行、劳动工作、休闲娱乐和社会交往,其中高校管理、教学和科研工作是重要的应用领域。技术赋能给师生创造了便利,但同时也暴露了一些问题,只有尽快解决高校信息网络安全漏洞,制定针对性的防护策略,才能为高校教育、科研和日常生活保驾护航。“互联网+教育”飞速发展,其隐患和风险也层出不穷,数字高校逐渐陷入治理困境,几类突出问题包括:顶层设计不完善,安全管理体系不健全。从法制层面来看,近几年,我国为净化网络生态环境,保护网民信息安全,颁布了相关法律法规和社会公约,为信息化建设统筹发展提供了法律依据,也为信息安全问题划定了基本标准,但其落实程度还有待完善。从管理机制来看,高校信息网络规模大,周期长,投入多,需要建立多主体有效参与的管理机制[1]。然而,部分高校内部部门割裂,缺乏联动,没有统一的技术标准,没有集中管理、集中监控和集中审计的平台支撑[2],对于数据库和信息技术的维护不及时。使用群体安全意识淡薄。高校信息网络系统使用群体庞大,包括校内的师生群体、行政管理群体和校外的社会公众群体等。而这些群体并未接受过来自高校或其他方面的安全教育,没有形成敏感的危机感知度,面对庞杂的信息系统缺乏辨析力和防范意识。如对免费WiFi、陌生链接、陌生邮件、陌生U盘等警惕性低,不重视病毒查杀,常701常导致计算机受到病毒攻击,造成数据被篡改或信息丢失。另外,高校信息网络系统并不能完全筛除网络上的黑灰产业,仍有一些学生遭遇电信诈骗,损失财产。部分学生受到网络刷单等灰色兼职的诱惑,在法律边缘打“擦边球”。核心技术受制于人,专业人才不足。高校信息网络安全工作的硬性条件是智能化资源,即技术和人才。目前,我国尚未实现信息化建设的技术自给,核心技术发展不成熟,重要设备依赖进口。大数据背景下,信息技术更新换代很快,在未掌握技术的前提下,这种快速更迭会为安全保护带来更大阻力。我国高校信息化部门人员不足,无法充分供给学校的信息化研发、建设、维护工作需求,甚至许多信息网络运维工作者并不是专业人员,对于高校信息网络安全知识不了解,无法做好安全漏洞排查和清理工作,由此造成了安全危机无法尽快解决且重复出现的问题[3]。数据应用失范。虽然高校信息网络给师生教学生活带来了便利,但倘若管理层无法正确获取和使用数据,将会造成不良的社会影响。部分高校在数据应用过程中,以技术本位取代人本位思想,刻板使用信息化手段度量、评价个体,导致教育活动缺乏人文关怀。
1研究原理及方法
高校信息网络生命周期是高校信息系统从产生到报废的生命全过程,如图1所示。其包括顶层设计与规划、分析系统需求、设计系统软件、开发系统程序编码、系统投入使用和系统运行、评估与维护六个部分。“顶层设计与规划”是对现有高校信息系统进行评估,确定现有问题及解决方案;“分析系统需求”是对新开发的系统进行分析,包括安全需求、容量需求等诸多方面;“设计系统软件”和“开发系统程序编码”是通过技术手段开发新系统的过程;“系统投入使用”是系统开发完成后进行测试的环节;“系统运行、评估与维护”是新系统运行一段时间后,技术人员根据使用情况及新的漏洞问题进行评估与维护,从而使系统安全稳定运行的环节。高校信息化面临的主要问题是顶层设计方面管理不健全、技术人才方面有所欠缺、观念方面使用群体的安全意识薄弱、数据应用方面存在不合理现象。针对以上问题,针对性地制定防护策略,构建出高校信息网络安全治理的基本模型,如图2所示。通过联动分析高校信息网络生命周期与高校信息网络安全治理基本模型,找到其共同脉络并加以整合,在基本模型的基础上融合高校信息网络生命周期6部分,确定高校信息网络安全治理的多重性架构,如图3所示。高校应当在顶层设计与规划、分析系统需求这两个阶段集中处理顶层设计与管理体制维度问题,完成顶层框架设计和整体统筹;在设计系统软件、开发系统程序编码阶段,应处理技术人才维度的问题,提升核心科技竞争力,壮大专业人才队伍;在系统投入使用,系统运行、评估与维护阶段,应处理安全观念维度和合理应用维度问题,向信息网络使用群体普及安全知识,加强技术伦理教育。
2高校信息网络安全防护策略
2.1加快顶层框架设计,完善网络安全管理体系以强有力的法律手段约束网络行为,推动相关法律法规落地实施,使各项网络行为有法可依,有法必依,违法必究。高校信息网络安全相关法律法规必须加强实践能动性,要能转化为具体的、可行的实践方案,必要时可增加相应的数据报告和指导性文件,避免仅停留在对表面文字的理解。推动法律法规实施的过程中,要加强责任监管和责任落实,对于参与高校信息网络建设的各部门行为和产品要严格审查和评估,但不可过度干预使高校信息网络生态丧失灵活性和丰富性。以健全的管理体系规范高校信息化过程中的网络行为和数据流程。由于高校信息网络体量庞大,涉及多个部门和不同的应用系统,信息治理过程需要经过多个环节,因此必须形成体系化的管理机制,统一规划、统一部署,采取统一的技术标准,明确各环节中不同主体的责任和义务,加强部门联动,使信息化建设在技术、资金、人力资源等各方面都处于集中部署和管理之下,减少因管理不规范带来的安全风险。2.2加快技术创新,培养专业人才技术是推动我国高校信息网络安全可持续发展的关键,掌握核心技术,加快研发步伐,提高自主创新能力,是高校信息网络安全治理在设计系统软件、开发系统程序编码两个阶段的重要任务。目前需要攻破和有效提升的技术领域包括风险评估技术、病毒检测技术、动态防护技术和伤害恢复技术。这些技术可以评估可能出现的安全漏洞,快速进行数据备份,并实时监测、实时处理、实时防护,是重要的应急技术[4]。高校研发部门应按照国家相关标准,加快以上技术创新和应用,为高校信息网络安全治理提供强大的技术支撑。在专业人才方面,应保障人力资源的数量供应,杜绝一人多用、一部分多用的情况,及时补充高校信息化建设所需人力,使人员各司其职,各尽其责。高校是人才孵化的大本营,应充分发挥高校自身的教育资源优势,壮大专业IT人才队伍,建立完善的人才培养和管理体系,明确不同人才的责任和义务,如管理型、组织型、任务型等,使人才有效、有序地投入到高校信息化建设中。2.3加快技术伦理教育,规范信息数据的使用在安全观念、风险意识方面,高校可以将信息网络安全常识纳入教师职业培训中,通过课程教育的方式对学生群体进行宣传引导,开展网络安全知识普及课,教育学生重视病毒查杀,提高警惕性,拒绝网络黑灰产交易,保护好个人隐私数据。在数据合理应用方面,高校应尊重学生的知情权及正确认识技术与教育的关系。学生的知情权是学生自主参与、监督公共事务的权利,学生有权公开并自主处理个人信息,高校不得以任何名义在信息网络中侵犯学生的知情参与权。与此同时,高校应加强宣传,依据法律法规科学普及相关知识,帮助学生正确行使权利。技术伦理教育有助于高校正确认识技术与教育的关系,防止踏上技术本位的偏路。高校应明确以人为本的教学观,教育者不得单纯以数据表现对学生个体进行度量、评价和赏罚,否则将会打击智慧校园的社会信任度。此外,数字高校教育还应当加强实践性,因材施教,调动学生的主观能动性,注重学生的个人体验,融入人文关怀,在体验式教学中合理应用数字校园信息网络系统[1]。
3结语
数字校园、智慧校园正在逐渐取代传统的高校治理模式。结合当前高校信息化安全治理现状,搭建多重性治理架构,提出适应性、针对性的防护策略,为高校信息网络安全治理提供参考路径,呼应了新时代“互联网+教育”的需求。未来,高校信息化建设应兼顾高校信息网络安全建设,走多维度、全方位、高质量发展道路。
参考文献:
[1]王聪,薛静,王革明.智慧治理高校信息安全的多重线性规划策略[J].现代教育技术,2019,29(06):19-25.
[2]周立志,朱尚明.高校网络信息安全体系建设实践和思考[J].深圳大学学报(理工版),2020,37(S1):73-77.
[3]黄志宏,梁卓明.高校信息安全漏洞和威胁管理的研究与实践[J].重庆理工大学学报(自然科学),2019,33(02):117-124.
[4]张新刚,田燕,孙晓林,等.大数据环境下高校信息安全全生命周期协同防御体系研究[J].信息技术与信息化,2020,(03):78-80.
作者:朱世晨 单位:郑州科技学院
