高校安全信息员职责
1、安全工作信息员是学校安全工作的责任人之一,负责学校安全工作信息的采集、储存和报送,是学校与上级主管部门安全信息的联系纽带。学校信息员对于辖区内重大安全信息要征得校长同意后,在1小时内上报县教育局、当地政府和有关部门,不得贻误,特殊情况下可直接上报教育局。信息员必须掌握的安全信息主要内容和范围是:本地本校落实教育局部署的工作任务,安全工作开展情况;关于安全工作的意见和建议;安全工作经验和做法等。学校针对安全工作召开的会议、开展的活动、采取的措施;学校在近期发生的安全事故和安全事件;对因气候、季节等特殊因素可能造成火灾、交通事故、溺水、传染病、饮食卫生等进行提醒或告诫;安全事故的举报。
2、学校安全工作信息员必须认真学习学校安全工作法令、法规、有关政策和文件,具有一定的理论水平。
3、学校安全工作信息员必须熟悉安全工作,掌握安全工作的基本知识,识别常见的安全隐患。作风正派、直言善谏。
4、学校安全工作信息员要善于观察了解和获取安全工作信息,准确把握信息的前瞻性、准确性和实效性。
5、负责建立健全学校安全信息网络。学校安全工作信息员要在每天17:00前将本校的安全信息收集整理,并报学校领导,每周一汇总,一月一总结,建立信息档案。
6、安全信息上报方式和方法:以文字上报为主,特殊情况下可电话传递、手机短信传递、口头传递等。
7、学校安全信息员的管理与奖惩。教育局每年对安全信息员进行考核,年终评选安全工作先进个人。对提供信息价值高,预防、避免和制止了重大安全事故发生的,建议学校给予奖励。信息员对发现的安全隐患或已经发生的安全事故不按有关规定及时报告直至隐瞒信息的,按照有关规定追究责任。
实验中学安全信息员:
组长:张林
组员:陈久龙全体班主任
东海县实验中学
一、问题与挑战
(一)区域金融信息安全面临严峻的挑战。
随着金融业向电子化、数字化、网络化发展,金融业对信息技术的依赖程度越来越大,金融业信息安全保障难度持续加大,与此同时,金融逐渐成为境内外网络威胁的针对性目标,网络联通又使得信息安全风险的传导作用不断扩大,社会对金融系统的关注度越来越高,给金融业信息安全带来新的更大挑战。
(二)人民银行对金融机构的指导尚未形成制度化和常态化。
金融机构信息化过程迅速,相比而言,人民银行对金融机构信息安全工作的指导和监管还处于初级阶段。虽然人民银行新“三定”方案明确规定了基层央行承担金融业信息安全属地协调管理职责,然而同样的工作也在各地的银监局开展,监管部门之间分工不明确给很多金融机构造成误解,使得金融机构丧失了与基层央行沟通交流的主动性和自觉性;另一方面,由于缺乏统一的监管目标、完整的认识以及监管的依据和标准,使得基层央行对各金融机构信息安全缺乏正确的指导,监管措施不到位,监管手段缺失,致使基层央行的监管缺乏主动性。
(三)非银行业金融机构存在监管不到位问题。
随着地市级城市经济的不断发展,很多原本只有在省会等大城市才有的保险公司、证券公司也纷纷在地市级城市设立分支机构,然而在地市一级,除了人民银行及银监会之外,证监会、保监会等均未设立相关分支监管机构,证券、保险等非银行业金融机构的信息安全缺乏有效的监管和防范,存在严重的信息安全隐患。
(四)缺乏必要的检查依据和制度标准。
虽然新“三定”方案规定了人民银行行业协调管理职责,但尚未出台更加具体的相关规范、工作指引、实施细则以及对金融机构违规行为的处理权,使得基层央行在实施协调管理职能过程中面临着“无法可依”的局面,在一定程度上制约了检查指导职能的发挥,导致部分工作的开展和执行效果不理想。
(五)地市级金融机构科技力量薄弱。
随着金融机构数据集中范围扩大,数据集中程度加深,地市级金融机构科技工作职能、部门与人员结构、工作模式发生了较大的变化。大部分地市级金融机构撤并了相应科技部门,只安排一两名科技人员挂靠业务部门,工作职责除一般的设备运维管理外,有些还需要兼顾业务。尤其是中小金融机构,其科技支持与保障基本依靠外包服务,隐藏巨大安全风险。
二、促进基层央行有效履职的建议
(一)加快组织制定金融业信息化发展规划。
建议由一行三会联合下文,明确各自工作职责、方式和内容,确定我国金融信息标准体系的目标、任务、发展阶段策略和原则等,全面规划金融行业通信和网络技术设施建设,建立统一的金融业网络平台体系,提出金融信息认证技术框架和公共的必要设施,建立金融业信息化发展安全管理合作长效机制。
(二)建立金融业信息安全管理各项制度。
建议总行尽快制定、出台相关制度,明确对金融机构的检查、指导规则,以便基层央行能有效开展对金融机构信息安全的监督和协调指导,确保金融信息安全协调指导工作的执行力度和执行效果。
(三)明确基层央行行业管理的任务、举措、规范和指导行为。
作为基层央行,承担金融业信息安全协调管理的责任和工作量是艰巨和繁重的。这就要求人民银行各级机构统一思想认识,理顺工作思路,形成指导氛围,提高履职能力,在信息化建设方面加大人力、技术、资金的投入,促进协调指导金融业信息安全工作。
(四)将金融信息安全纳入金融稳定范畴深度推进。
随着金融信息化的不断发展,金融信息安全已成为金融业整体安全与区域金融稳定的重要部分,因此,建议将金融信息安全作为评价地区金融稳定工作的重要内容,范围涉及银行、证券、保险等金融领域,通过将其纳入金融稳定工作来推动金融信息安全工作的指导。
(五)加强省市间金融行业指导。
建议省级金融业信息安全协调机构要加强对辖内地市的行业指导,加强省市两级之间的沟通交流,实现上下两级互动及信息的共享,特别是对于地市级的证券公司、保险公司等目前指导相对薄弱的非银行业金融机构,省级证监会和保监会要加大行业指导力度,及时向地市级协调领导小组通报有关信息安全情况,消除地市级非银行金融机构信息安全管理的盲区。
三、目前地市中支履行协调管理职责的途径
(一)加强区域协调机制建设。
成立地市级金融信息化工作协调领导小组,由人民银行地市中支、地市银监分局和辖区内银行、证券、保险等金融机构共同组成。为充分发挥人民银行在金融信息化领域的指导和协调作用,协调领导小组正、副组长由人民银行地市中支、地市银监分局主管信息化工作领导担任,各金融机构主管信息化工作领导为成员。领导小组设常务办公室在人民银行地市中支科技科,科技科负责人担任办公室主任,地市银监分局信息化工作主管部门负责人为副主任,各金融机构指派一位从事科技管理工作的同志为成员。领导小组采取例会制度,定期召开联席会议,及时通报情况,研究探讨辖区金融信息安全问题,共同维护辖区金融信息系统安全稳定运行。
(二)构建区域金融信息系统风险防范的机制。
建立地市级金融信息系统监测预警体系和应急处置机制,实施重要信息系统上线、升级、变更、停运、废止等事前报告制度和信息技术风险提示制度,并参照国内外较成熟的金融信息系统风险评价指标,每年由协调领导小组组织辖区金融信息系统风险评估,在此基础上提出防范和化解区域金融信息系统的应急方案。应急方案应将公安、电信、电力等协作部门纳入进来,建立应急处置工作机制和应急工作联系人制度,定期或不定期召开由辖区风险防范主体(各金融机构)与风险处置协作体(公安、电信、电力)参加的应急协调工作会议,组织开展辖区金融信息系统应急处置演练,通报金融信息化系统运行中的突出风险源,防止辖区金融信息系统风险传播扩大,维护辖区金融信息安全。
(三)强化日常管理和信息安全检查。
人民银行地市中支要以总行出台的《金融业机构信息管理规定》和各地出台的新设金融机构央行管理与服务指引为抓手,加强准入环节信息安全风险管控,强化、细化对新设金融机构准入时的信息安全基本要求,建立金融机构信息和金融城市网接入年检制度,协调指导小型金融机构接入金融城市网,将控制关口前移,严把准入关,避免新设金融机构一开张就存在信息安全先天不足的问题。要按照总行《非金融机构支付服务信息技术管理指引》的要求,开展好辖内非金融机构支付服务信息建设的技术检测和指导工作,努力防范支付技术风险。
(四)加强对金融机构的服务指导。
人民银行地市中支要加强对辖区内各金融机构的服务指导,包括核心业务系统建设、灾备建设、信息安全和金融IC卡建设等方面的具体指导,通过现场指导、约见谈话或者经验交流,帮助各金融机构互相借鉴成功经验,使金融机构深刻认识到信息安全风险发展的新趋势,从防范系统性金融风险的高度认识到做好金融信息安全工作的重要性和紧迫性,提高金融机构对金融信息安全的风险防范意识,切实有效地防范信息安全风险。
(五)建立区域金融科技信息交流平台。
【关键词】高校信息化 建设 安全 对策
【中图分类号】 G 【文献标识码】A
【文章编号】0450-9889(2014)03C-0092-02
在进入信息时代的今天,信息化已经不再只是一种手段,而是成为各项事业发展的目标和路径。大力推进信息化是事关国民经济和社会发展全局的重要举措。教育信息化是国家信息化的重要组成部分和战略重点,具有基础性、战略性、全局性地位,是教育理念和教学模式的深刻革命,是教育改革发展不可或缺的支撑和推动力。信息化也给高校带来了变革和影响,高校对信息化依赖程度越来越高,稳定的网络和计算机系统成为高校信息化的重要保障,网络及信息安全也成为高校建设的关注和焦点。
一、高校信息化建设的不安全因素
(一)管理安全的挑战
第一,信息技术人员缺乏网络信息安全的基本知识,信息的存储、流转和归档不遵守信息安全规则,造成数据丢失等。第二,技术措施不到位,只考虑软件防火墙和防病毒软件等基本技术安全方法。
(二)网络七层协议的挑战
网络七层协议(OSI)从上到下分别是应用层、表示层 、会话层、传输层、网络层、数据链路层、物理层,网络七层协议中物理层的安全问题包括计算机硬件、网络设备遭受环境事故、自身故障以及人为操作失误等造成的损失。网络层的安全问题指非法用户与非授权的客户的非法使用,而造成网络路由错误,信息被拦截或监听。系统层的安全性也是一个主要问题,目前流行的许多操作系统都存在网络安全漏洞。应用层作为直接面向最终用户的层面,其威胁及风险越来越大,如Web下载、IM病毒、网络攻击、网站挂马等。
(三)感染病毒风险
随着互联网的迅速发展,电脑病毒呈现着繁殖性、破坏性 、传染性 、潜伏性 、隐蔽性 、可触发性等特点。高校内部使用的计算机容易感染上风险程序,风险程序是指绝对不含有主动传播行为的程序,包含各类广告软件、IE插件、黑客工具、一些可被利用的工具软件、恶作剧程序。
(四)网络安全意识的挑战
校园网络用户层次不齐,对网络安全问题的认识不够,网络安全意识淡薄。校园网络管理人员自身安全意识和安全技术问题,也是影响网络安全的一个不可忽略的因素。
二、高校信息安全问题技术对策
(一)病毒防范
树立病毒防范意识,从思想上重视计算机病毒可能会给计算机安全运行带来的危害。对学校内的计算机安装杀毒软件和防火墙并升级到最新版本,对系统和应用程序进行升级,及时更新操作系统,安装相应补丁程序,从根源上杜绝黑客利用系统漏洞攻击用户的计算机。把好入口关,很多病毒都是因为使用了含有病毒的盗版光盘、拷贝了隐藏病毒的U盘等而感染的,所以必须把好计算机的“入口”关,在使用这些光盘、U盘以及从网络上下载的程序之前必须使用杀毒工具进行扫描,查看是否带有病毒,确认无病毒后,再使用。
(二)网络与服务器的管理
高校信息化的关键设备一般包括网络的核心交换机、核心路由器和服务器,它们是网络中的“节点”。服务器的管理主要是安装、配置和管理网络操作系统、文件服务器、DNS、WINS、DHCP等网络服务器,以及像Web、FTP、E-mail、RAS、NAT等应用服务器。服务器系统管理的最终目标,就是要确保服务器各种协议和服务工作正常,确保服务器的各项性能指标正常发挥。另外,还需要及时地更新服务器系统的版本或补丁程序,这不仅关系到服务器的性能发挥,而且还关系到整个网络系统的安全性,因为现在的操作系统不断有新的安全漏洞被发现,及时安装补丁可以有效地阻止、填补这些安全漏洞。有了服务器的规范管理,更要提高网络的可用性,对一些关键设备进行冗余配置也是必不可少的。在正常工作时,这些冗余设备或部件起到负载均衡的作用,而在某部分出现故障时,则又起备份的作用。
(三)建立统一的身份认证系统和规范上网行为管理
校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础,否则即便发现了安全问题也大多只能不了了之,只有建立基于校园网络的全校统一身份认证系统,才能真正解决用户上网身份问题,同时也为学校信息化的各项应用系统提供可靠的安全保证。学校上网用户不仅要通过统一的身份认证系统确认,合法用户上网的行为也要接受统一的安全监控,上网行为的日志要集中保存在信息工作部门的服务器上,保证上网行为日记的准确性。
三、高校信息安全问题管理对策
(一)认清信息化建设存在的风险
所有的安全问题都可以归结到在信息化工作中遇到的风险,没有风险就不存在安全问题,一旦有了风险,无论大小,安全问题都会随之而来。所以,在信息安全的管理工作中,首要问题就是要识别存在着哪些安全风险,发现问题远比解决问题更困难。
(二)技术手段为先
采取相应的计算机技术,部署相应的防范系统,做好信息安全的审计管理、风险评估、等级划分。无论是在内网与外网之间,还是内网与内网之间,对网络设置硬件防火墙、入侵检测系统等安全硬件系统是必不可少的手段。
(三)统筹规划
做好“事前规划、事中控制、事后防范、全程跟踪”等重要工作环节。在学校的信息系统筹划前,就要做好安全规划工作,并制定好信息安全策略,对信息化工作人员做好信息安全教育,制定与之配套的信息安全管理制度。特别是涉及保密数据时,更要注重保密和安全的教育。在系统项目实施、上线过程中,信息安全主管部门要密切跟踪,逐项落实各项安全策略,及时根据系统设计情况调整信息安全规划。当信息系统基本稳定运行后,查看是否有违背当初设置的安全规划、安全策略的行为,如有与设计方案违背的地方,及时更改,努力把安全隐患消灭在萌芽状态。高校信息化项目的立项建设,信息化管理部门全程参与,主动介入,自始至终把信息安全管理的工作放在信息化项目的运行周期里。
(四)做好信息化工作人员的保障
大量普通高校由于受技术、经费以及人员编制的限制,完全利用自身的力量来建设安全保障体系存在困难,所以学校要落实信息化人才的引进和培养工作,落实人员编制和信息化培训经费。还有可以通过安全外包服务,由安全公司选派有专业能力的人员长期协助学校从事相应安全工作,学校不用担心其待遇及去留等问题,也可以保持一线安全运维人员的相对稳定。学校还可以充分发挥高校的人才和技术优势,争取多方面的人才支持,并开展多层面的学术交流。每所学校都有一批对信息安全特别感兴趣的学生,通过吸引这些学生和教师加入到信息安全工作中来,结合相应科研项目,充分发挥他们的智慧和能力,极大地促进高校信息安全工作的进步。
信息安全技术一直在前进,攻防对抗永远不会停止,安全保障必然是一个长期的过程。作为有专长的网络信息安全科研机构,高校有责任把实际安全工作经验和网络安全研究相结合,关注并思考更深层次的安全领域威胁,研究整个互联网的安全趋势变化并落地在校园网内,从而走出一条有自己特色的高校网络信息安全保障之路。
【参考文献】
[1]古青.安全管理四要素[J].网络运维与管理,2013(3)
[2]史敏.对高校信息化建设的思考[J].中国高教研究,2005(2)
【作者简介】方家胜(1979- ),男,工程硕士,助理工程师,广西幼儿师范高等专科学校信息中心技术员,研究方向:信息安全。
安全职责
单位:信息部 编写: 领导签字:
信息部
安全职责
1、按照“管工作必须管安全”的原则,对本部门职责范围内的安全工作负责。
2、在厂主管领导的领导下,负责科研、信息及计算机等安全工作。
3、组织检查本部门责任区内的安全规章制度执行情况,及时消除安全隐患。
4、定期组织对本部门工作人员的安全知识培训,增强人员的安全保护意识。
5、组织开展安全科技攻关。组织新产品开发,增加产品新品种,提高产品质量。采用无毒或低毒物质替代有毒物质,开发新产品时,要考虑到安全性和环保要求。
6、负责组织制定和审查计算机安全和环保方面的各项规程和管理制度。
7、负责计算机及相关设备的安全和环保检查及考核。
信息部
部长安全职责
1、按照“谁主管,谁负责”的原则,对本部门的安全工作负责。
2、建立、健全本部门安全生产责任制,定期检查和考核落实情况。组织制定或审定本部门重大事故应急救援预案,并组织实施。
3、带头宣贯HSE理念,带头学习和遵守HSE规范和制度。
4、积极主动地参与各项安全教育和培训,增强自我保护意识,做到不伤害他人,不伤害自己,不被他人伤害。
5、负责本人办公房间的防火、防触电、防盗等安全管理。
信息部安全员安全职责
1、按照“管工作必须管安全”的原则,对科研管理安全工作负责。
2、负责安全科技攻关,力求绿色环保型产品。
3、积极主动地参与各项安全教育和培训,增强自我保护意识,做到不伤害他人,不伤害自己,不被他人伤害。
4、负责本人办公房间的防火、防触电、防盗等安全管理。
5、认真遵守企业各项安全生产规章制度,不违反集团公司《反违章禁令》和《HSE管理原则》。
机房安全管理制度
1、按照“管工作必须管安全”的原则,对公司计算机信息管理安全工作负责。
2、负责信息门户、OA系统及服务器的安全管理工作,对违反管理规定的用户,有权停止其使用。
3、负责计算机信息安全保密工作,定期做好相关数据备份。
4、积极主动地参与各项安全教育和培训,增强自我保护意识,做到不伤害他人,不伤害自己,不被他人伤害。
5、负责本人办公房间的防火、防触电、防盗等安全管理。
6、认真遵守企业各项安全生产规章制度,不违反集团公司《反违章禁令》和《HSE管理原则》。
2、具有风险评估、安全策略设计、安全体系、安全规划等信息安全资讯服务项目的售前交流、撰写项目标书等售前能力实施经验,有1年以上安全服务项目实施与管理经验;
3、熟悉主流的网络安全产品(FW、IDS、SCANNER、AUDIT等)的基本原理和基本技术;
4、熟悉国内外信息安全标准和规范,对信息安全风险评估、等级保护、ISO17799/27001等有深刻理解;
5、负责数据中心所有网站接入的备案信息收集、网站审核与网站备案资料的管理维护;
6、负责为内部人员进行备案流程的培训;
7、定期统计和整理涉及工作内容的数据,并完成工作报告;
1、各网点会计为网点计算机信息系统安全管理员。
2、必须严格遵守《湖北省农村信用社计算机系统安全管理办法》。
3、严明纪律,遵守电脑各项规章制度,妥善保管好各种电脑资料,做好安全、保密工作,严防电脑犯罪。
4、严禁未经许可向外单位或个人借用、复制和传授有关计算机信息系统数据。
5、监督柜员严格执行柜面操作“五条禁令”。
6、负责本网点内计算机信息系统及配套设备的正常运转,如遇故障应及时与电子设备维护人员联系,并做好记录。
7、监督当班柜员认真填写计算机运行日志并妥善保存。
8、保持电子设备清洁无灰尘,不定期清洁电子设备。
9、严禁在计算机上玩游戏,严禁利用业务机上外网,以及做自身业务无关的工作。
关键词:高校,信息系统,安全等级,保护
随着信息技术的迅猛发展和计算机网络的快速普及,信息系统在各行业、各领域得到广泛应用。高校作为学术研究的重要阵地,信息化建设高速开展。校园网、信息系统的建立,为学校教学、科研和管理提供资源共享、信息交流和协同工作的网络平台,并且已成为高校信息化建设的重要组成部分,同时也是衡量一个高校教育信息化、现代化的重要标志。大数据、云计算、“互联网+”等新技术出现的同时,伪基站、BIOS(基本输入输出系统)后门、木马僵尸、SQL(结构化查询语言)注入、DDOS(分布式拒绝服务)攻击等各类网络攻击层出不穷、攻击方式变异频繁,因此,保障网络与信息系统安全,已成为高校信息化发展中迫切需要解决的重大问题。
1 信息系统等级保护
信息网络的全球化使信息网络的安全问题日益严峻,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。信息系统安全最重要的3 个属性是机密性、完整性与可用性。
信息系统等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度,针对信息的机密性、完整性和可用性要求及信息系统必须要达到的基本安全保护水平等因素,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2 高校信息系统安全现状
为保证高校信息系统安全性,对信息系统按重要程度、数据的机密性等进行不同等级的划分并按级别进行保护是必要的。目前,高校信息系统的安全等级保护主要存在以下几个问题。
第一,思想认识不到位。部分高校对信息系统安全等级保护工作认识不足,认为信息系统定级过高会提高管理成本,造成不必要的麻烦。
第二,在信息安全方面的资金投入不足,等级保护工作整改不到位。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,针对网络安全方面的专项投入不足。
第三,未建立相应的安全管理机构和安全管理制度,一些必要的管理制度没有制定。此外一些管理制度修订不及时,已经不能满足当前系统安全管理的需求。
第四,专业技术力量较弱,技术防护与制度落实不彻底。部分高校网管人员专业技术力量较弱,一些不属于网络中心的网络处于无人监管的状态。
第五,部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护也不统一。此外,还存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
第六,在建设网络安全体系时,存在重技术、轻管理的现象。许多安全设备处于系统默认配置,安全设备不能起到应有的作用,部分系统没有配备安全管理员。
3 高校信息系统等级保护
3.1 实施流程
高校信息系统安全等级保护的实施应按照公安部门及教育主管部门的相关文件要求严格执行,其主要包含明确责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、差距测评、安全整改建设、验收测评等流程。
第一,明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。
第二,自主定级。首先要确定本单位有哪些符合定义的信息系统需要做等级保护工作。在定级时要坚持自主定级、自主保护的原则。参照《信息系统安全等级保护定级指南》,根据本单位实际情况,对本单位的信息系统作自我评估,完成自主定级。
第三,专家评审。主管单位完成信息系统自主定级后,聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见,以求准确对信息系统进行定级。
第四,主管部门审核批准。主管单位完成信息系统专家评审后,填写《信息系统安全等级保护定级报告》《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料报送至所属教育主管部部门进行审批,并出具行业定级意见。
第五,公安机关备案。高校定级为二级及以上的信息系统需要到当地公安局网监部门备案审核。
第六,差距测评。完成定级、备案后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统安全保护状况开展差距测评,并编写差距测评报告及整改建议。
第七,安全整改建设。高校根据差距测评报告和整改建议,针对存在安全问题的信息系统,有针对性地进行整改建设,提高信息系统的安全性。
第八,验收测评。完成安全整改建设后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统开展验收测评,编写验收测评报告,并送至公安机关备案,以完成安全等级保护工作。
3.2 保障策略
高校信息系统的等级保护存在各种各样的问题,以至于等级保护工作落实不到位,为保证安全等级保护工作顺利进行,应采取如下保障策略。
第一,提高安全意识。信息安全等级保护管理部门应加大信息系统安全等级保护工作的宣传力度,定期召开由各高校有关信息系统部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校加强对信息系统的安全意识。
第二,增强技术能力。高校信息系统安全,需要强大的技术团队作支撑。在开展安全等级保护工作中,专业的技术能力是保证测评工作和整改工作顺利高效进行的基础。因而,应注重技术能力的培养和提高。
第三,建立安全管理机构、健全安全管理制度,保证信息系统安全的专项预算。针对高校信息系统,应及时建立及更新各项管理制度,以达到安全等级保护的要求,并满足系统安全管理的需求,同时在制度中规划高校信息系统安全建设的整体方针,并保证网络安全方面的专项投入。
4 结语
高校信息系统的安全至关重要,信息系统安全等级保护是保障信息安全的重要屏障。充分了解高校信息系统安全的现状和存在的问题,并严格按照等级保护的要求、实施流程对高校信息系统进行等级保护,建立高校信息系统安全等级保护完整体系,有利于高校信息系统的安全保护。
参考文献
[1]冼伟铨,王厚奎.等级保护要求下的高校Web安全[J].信息安全与技术,2012(2).
[2]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.
[3]路萍,翟跃.信息安全等级保护备案在高等院校中的研究与实践[J].中国教育信息化:高教职教,2015(21).
[4]刘玉燕.高校信息安全等级保护评测[J].信息技术,2011(2).
关键词:高校;信息系统;安全;提升
中图分类号: TP3 文献标识码: A 文章编号: 1673-1069(2016)14-154-2
0 引言
各大高校为了能够对学生、教师和课程信息进行高效的管理和合理的整合,高校在进行各类信息管理时,他们借助现代的信息技术搭建起了各自专属的信息系统。各大高校的信息系统中保存着高校的重要的信息资源,可想而知信息系统一旦被破坏其后果不堪设想,所以高校一直以来都非常注重增强自身信息系统的安全性。可是面对日益严峻的网络安全形势,尽管各大高校十分的注重提高自身信息系统的安全性,各个高校的信息系统的安全性却没有得到有效的保障。笔者认为高校想要提高自身信息系统的安全性应当从以下几个方面着手:
1 使用安全性较高的编程语言搭建信息系统
目前,绝大多数的高校在搭建自身的信息系统时采用的是B/S系统架构,即用户通过浏览器访问存储在服务器中的各项数据。在这种模式架构下,搭建信息系统的编程语言对于保障它的安全性有着极其重要的作用,如果采用安全性较低的编程语言如ASP等,极有可能会让黑客从页面的跳转信息获取到信息系统的关键信息,从而让黑客借助这些系统信息破坏高校的信息系统,无法保障信息系统的安全。为了让浏览器界面在显示信息时不泄露后台的数据和显示信息系统的源代码,在搭建信息系统时就应该使用安全性较高的编程语言,比如,我们在进行信息系统开发时就可以利用C#和JAVA这两种语言进行信息系统的开发。因为利用C#和JAVA编程语言编写的源代码在信息系统的运行过程中是在服务器端进行代码处理的,然后服务器将处理的结果通过浏览器返回给用户,用户只能看到查询结果而接触不到信息系统的源代码,防止黑客通过浏览器界面获取攻破高校信息系统的重要信息,从而保证了信息系统的安全性。所以,高校在搭建信息系统时就要充分的考虑到要如何保证信息系统安全,从而在搭建高校信息系统时通过选择安全性较高的脚本语言来保证信息系统的安全性。
2 进行信息系统的访问控制
安全的信息管理系统中的访问控制环节是不可忽视的,信息系统中的访问控制是根据用户身份的识别程序来确定对信息系统进行访问的用户对于信息的访问权限,因此我们在搭建信息系统的过程中可以借助访问控制来保证信息系统本身的安全性。访问控制是高校信息系统中一种非常重要的安全保障措施,信息系统中的访问控制经过管理人员设置后可以实现合法的用户对信息系统中所存储信息的正常访问和操作。与此同时,它也可以有效的阻止非授权用户对高校的信息资源进行访问、增加和修改等操作,以确保高校信息系统和数据的安全性。信息系统的管理人员在进行访问控制设置的过程时,应当注意严格的遵循信息系统访问权限分配的规则,尽量的减少管理员权限的分配,同时对数据库中保存的各项重要数据进行加密处理,从而在信息系统的访问方面尽量避免非法用户对信息系统所造成的安全威胁,提升高校信息系统的安全性。
3 在计算机网络中设置防火墙
各大高校信息系统的搭建基础是计算机网络,它们是通过计算机网络实现各个用户之间信息共享和信息管理的。众所周知,在计算机网络中存在着很多的安全威胁,就比如说依靠计算机网络进行传播的计算机病毒和借助计算机网络实施信息系统入侵的黑客,黑客和计算机病毒对各大高校信息系统的安全产生了巨大的威胁。曾经就发生过黑客入侵高校信息系统后,对存储在其中的学生成绩信息进行篡改的事例。所以,为了保证高校信息系统的安全性,我们就必须在高校的计算机网络中设置防火墙。防火墙是自身具有非常抵抗病毒的能力,这对于保障高校信息系统的安全有着积极的意义,由于数据流在通过防火墙时会被防火墙依据安全策略进行过滤,这可以将计算机病毒有效的阻挡在高校的计算机网络之外。可是我们在设置防火墙时也要对高校计算机网络进行系统的考量,以确保防火墙设置在合适的位置,并且发挥出了其保护信息系统安全的作用。就目前的高校计算机网络的防火墙架设而言,防火墙应当设置在高校内部网络与外部因特网的接口处,通过这道防火墙将内网与外网隔离开,这样就可以有效的将黑客阻隔在防火墙外,从而提升高校计算机网络的安全性。除了在内外网接口架设防火墙外还可以在信息系统中架设软件防火墙,在架设软件防火墙的过程中,要注意对防火墙的安全规则进行合理的设置,从而确保让不符合软件防火墙安全设置的访问禁止访问高校的信息系统,提升高校信息系统的安全性。
4 安装杀毒软件
计算机病毒是经过精心设计的具有极大破坏性的计算机代码,具有自我复制能力和传播能力,它们会对计算机网络造成极大的损害。近年来计算机病毒越发的猖獗,有很多的计算机设备和信息系统在遭受到病毒的攻击后造成了不可挽回的损失。绝大部分的计算机病毒通过计算机网络入侵到高校的计算机系统后,它们有可能会对信息系统进行攻击,使得高校信息系统发生信息处理速度变慢、信息系统的设置发改变和信息系统崩溃等情况。网络中的病毒已经对各大高校的信息系统的安全产生了威胁,为了避免或者减轻计算机病毒给高校信息系统带来的损害,我们应当在高校的计算机系统中安装具有可靠杀毒能力的杀毒软件,杀毒软件通过主动升级技术和主动防御技术等对已经入侵到信息系统中的病毒有着较强的发现和清除能力,可以在很大程度上保障高校信息系统安全性和运行的稳定性。可是我们也应当意识到杀毒软件有一定的滞后性和局限性,因此想要凭借一款杀毒软件是无法做到在最大程度上保障高校信息系统的安全的,所以,在高校的信息系统中应当安装两到三款的杀毒软件,以达到最好的杀毒效果并且针对计算机系统进行定期的计算机病毒查杀,防止计算机病毒对信息系统产生安全威胁,从而提升高校信息系统的安全性。
5 对高校信息系统的管理人员进行专业培训
目前高校信息系统的管理人员的安全管理意识还没有得到提升,他们的意识还停留在认为计算机系统设置了防火墙黑客就无法破坏信息系统的阶段,没有意识到任何防火墙都不是完美的,防火墙本身都存在着一些漏洞,黑客有可能通过这些漏洞入侵计算机网络,从而对信息系统产生安全威胁。系统管理人员即使对自身的用户名和密码进行妥善的保管,黑客也有可能通过在计算机系统中植入字典攻击工具和按键记录器来获取管理人员的用户名和密码,从而实现入侵高校的信息系统,并且窃取其中的信息资源。而且有的管理人员忽略了对杀毒软件进行及时的更新,这样会使得杀毒软件无法识别出最新的病毒,给信息系统安全带来威胁。面对这种情况,我们应当对高校信息系统的管理人员进行专业的培训,增强管理人员的安全意识,从而进一步提高高校信息系统的安全性。在进行专业培训时,应当注重培养起管理人员的安全意识,让他们重新认识计算机网络安全的现状,从而让他们在工作中避免一些安全威胁产生,可以及时地进行杀毒软件的升级,保障计算机网络和信息系统的安全性。让信息系统的管理人员养成对计算机系统定期病毒排查的良好习惯,提升他们安全操作的意识和信息系统的安全防护能力。
6 总结
面对计算网络中存在的种种安全威胁,对高校信息系统的安全性进行提升迫在眉睫,我们应该从搭建信息系统的编程语言、信息系统的访问控制和设置防火墙等方面着手,逐步完善高校信息系统的管理体系,从而做到全面的提升高校的信息系统的安全性。
参 考 文 献
[1] 吴彧一.基于B/S模式的高校档案信息管理系统安全性研究[J].黑龙江档案,2012(3):49.
[2] 王芝兰.基于预立卷模式高校档案信息管理系统研究[J].档案时空,2012(7):40-42.
关键词:高校;信息系统;主动安全防御;安全预警
0引言
目前,我国已超越美国,成为世界上智能终端最多的国家,用户数量近2.5亿。在信息互联的大背景下,网络安全事件也频繁发生。而高校上网人数比例较高,是网络安全问题的高发地,隐私泄露、科研成果等重要数据丢失问题日益严重。通常,不法分子会利用高校网站的安全漏洞窃取教职工及学生的个人信息,然后再将其转卖给各种培训机构、商家,甚至诈骗者。近年来,各高校的科研成果等重要资料极易遭到窃取,有针对性的网络安全事件增多,造成的经济和社会影响将进一步加深。各类网络犯罪带来的经济损失不断增加,从而引起社会的广泛关注。此外,带有政治意图的*客大量增加,针对性越来越强。高校是网络运用的最前沿阵地。
目前,高校的`年龄结构主体为“90后”,随着移动互联网信息技术的普及和推广,手机媒体的网络应用已经成为高校主体网络应用的重要部分。在移动互联网方面,安卓平台和苹果平台的安全漏洞都在不断增多,而高校难以对网络设施进行封闭式管理,主体网络安全意识淡薄,缺乏自我保护意识,导致高校网络安全问题频发。高校对网络安全管理不够重视。硬件设施投入不足,服务器不能满足批量用户访问需求,极易发生系统崩溃而造成浪费;软件技术更新不及时,网络漏洞较多,易被攻击;缺乏专业的网络管理维护团队,管理人员专业技术和业务素质有一定的局限性,不能及时排除网络故障,校园网络安全难以保障;缺乏有效的网络安全管理制度和应对机制,出现问题时不能及时应对,导致数据信息泄露事件频繁发生。当前,云计算、移动互联网等新兴技术的应用日趋深入,信息安全问题更加突出。此外,在云计算方面,平台数据安全和用户信息安全仍存在隐患。
互联网是在美国发展起来的,到目前为止,美国仍为网络大国,是“游戏规则”的制定者。目前,有组织的网络攻击和间谍行为增多,影响日益加大,美国情报机构领衔的大规模网络间谍行为被曝光,具有国家背景的网络安全行为增多。因此,要保障互联网安全,就需要我国自主制订国家新网络安全战略,重视自主研发可控的互联网技术。而当前我国相当一部分技术都不能自主控制,很多高校都是借助美国的操作系统开发自己的网站。底层技术没有安全保障,上层的开发应用自然也就没有安全保障。因此,及早解决核心技术受制于人这个问题具有紧迫性和重要性。
2高校网络安全问题的解决措施
2.1加大对网络安全思想工作的宣传力度
高校应该建立信息安全协调(领导)机构。该机构是校园网信息和网络安全的领导机构。加强高校内部网络思想工作阵地管理,推进学校网络空间的法治化建设,创造健康、有序、和谐、文明的网络环境。秘书单位由高校党委办公室、保卫处、宣传部、学生处、网络与信息技术中心组成。高校党委办公室负责统一协调各部门的工作;保卫处负责信息内容的监控;宣传部、学生处负责网络舆情引导,普及网络安全知识,开展网络安全宣传活动,提升师生的网络安全意识和自我保护意识;而网络与信息技术中心负责提供技术保障。
2.2加强高校网络安全管理
重视对网络信息管理系统的建设,及时升级软、硬件配套设施,为网络安全系统建设提供支撑;提高管理者网络管理与安全防范的技术水平,从而提高内部防护能力;建立网络安全管理制度和应急防护长效机制,对网络安全问题进行自查,发现问题及时处理;对网络相关设备及网络系统进行集中管理,落实信息安全责任制。高校的网络与信息技术中心应做好安全基础设施建设和运维、信息系统和网站安全保护、用户终端安全保护、应急响应及事件处置、信息安全教育、学校保密工作技术支持、信息安全相关规章制度的制订等信息安全保障工作。高校信息系统的使用单位负责业务数据维护、信息发布、使用授权等用户授权系统的日常工作。
2.3设置专职人员
设置从事信息安全管理工作的专职人员,注重人员技能的培训。除专职人员外,高校其他网络管理员和系统管理员也应参与信息安全保密工作,并接受相应的信息安全等级保护培训。
2.4加强高校校园网站联盟建设
加强高校校园网站联盟建设,储备网络安全高级技术人才,在全国校园互联网范围内进行网络安全问题的研究与交流,着力解决全国高校网络安全重大问题。
3结束语
关键词:网络信息安全;高校图书馆;共享性;即时性
网络阅读形式的出现和普及背景下,高校作为整个文化和技术资源的集合地,实现高校图书馆的网络化和数字化也成为图书馆发展的必然结果。高校图书馆内部的数据系统本身具备覆盖范围极广的资源、种类丰富多样的学科和技术以及大量的数字资源,在为广大在校师生提供专业和全面的学术研究资料。然而高校图书馆网络化和资源的网络化能够使图书馆资源面对更为广泛的受众用户群,但网络中存在的木马、黑客等也大大增加了网络资源的不安全性,此外,环境因素也对高校图书馆网络安全产生了较大的威胁,所以,做好高校图书馆网络信息安全工作,建立有效的安全防护制度尤为必要。
1 现阶段高校图书馆网络面临的安全威胁
1.1 运行环境的安全威胁
互联网和计算机等设备都是高精度的电子设备,他们在运行过程中对温度、供电的稳定性以及电磁干扰等都提出了要求,但是这几点要求我国多数高校图书馆都没有达到要求,也没有在机房建设过程中考虑到这些因素。由于外在因素的不齐全也就给高校图书馆的服务器、计算机设备的安全和稳定等带来了一定的安全隐患。此外,高校数字化图书馆在建设过程中还需要考虑到自然环境给图书馆网络信息安全可能产生了影响,例如,地震、火灾、雷电等一些不可控制因素,都可能伤害到高校图书馆的信息安全,所以需要高校在建设数字化图书馆时做好这方面的工作,最大程度的降低给高校图书馆带来的伤害。
1.2 硬件环境的安全威胁
强大的服务器、交换机以及计算机是高校图书馆网络建设的必备设备,只有这三者齐全了才能更好为高校广大师生提供便利和优质服务,确保高校图书馆网络应用的顺利进行,首先要做到的就是确保高校图书馆服务器的稳定。当前高校图书馆内部始终的操作系统如,Windows, Linux等,这些系统本身存在一定漏洞,这些漏洞的存在就给外界攻击高校图书馆服务器提供了便利,要确保高校图书馆为广大师生提供服务工作,高校图书馆网络的TCP/IP协议都选取系统默认的设置,为更多用户的接入提供了较大的便利,但却给高校图书馆内部服务器的安全形成了巨大的威胁和伤害。
1.3 软件环境安全威胁
高校数字化图书馆的建立本身需要较多数量的软件应用,而现阶段较多的病毒都是潜在于众多应用软件中,一旦用户进行软件的下载,在整个软件安装过程中很容易将病毒传入到图书馆服务器内,给高校图书馆程度的运行造成威胁,特别是在图书馆和互联网相接入的状况下,存在互联网内部隐藏的、植入和寄生的病毒很容易感染高校图书馆,造成高校图书馆的整体瘫痪。
1.4 网络系统安全威胁
高校图书馆网络本身是与互联网相结合的,这也给黑客攻击高校图书馆提供了较大的便利,这些黑客可以直接利用网络中存在的漏洞,进行口令破译、漏洞扫描以及欺骗等多种方式进入高校网络图书馆的后台服务器系统中,将重要的文献资料删除,或者是进行信息的篡改和盗用等,给高校图书馆的内部资源产生严重的威胁和迫害。
1.5 网络信息安全意识薄弱
在整个高校图书馆网络信息安全建设的过程中,多数高校图书馆为了提升自身的数字化建设工作,尽快的实现高校图书馆数字化, 大量的进行电子资源的引进,并存在着“重建设,轻维护”的思想,在这种思想的引导和指挥下,造成了高校图书馆网络信息安全问题不断出现,高校图书馆管理人员对于如何保护高校图书馆信息安全,降低图书馆内信息安全隐患没有一个明确的方向,更不知道如何正确的选择和使用现有的网络安全产品,对于高校图书馆内部出现的系统不能及时解决。而且据调查了解得知,高校图书馆网络信息安全建设中存在的多项问题多数是由内部管理不得位导致的。高校图书馆在网络安全管理制度上没有全面的完善和健全,在制度的执行上更是存在很多不到位的状况,使得高校图书馆内部存在的各类管理机制和采取的安全措施都如同虚设。根本起不到任何作用,也无法确保高校图书馆网络信息的安全。事实上信息数据的完整性与否和一些更深层次的问题并没有引起高校图书馆内部网络管理人员的充分重视,这也是为高校图书馆信息网络安全建设构成威胁的一个重要原因。
3 高校图书馆的网络信息安全建设方案
结合现阶段高校图书馆网络信息面临的各种隐患,需要采用更具有科学性、专业性和高效性的方式进行工作的开展,这样能够大大降低图书馆网络信息的危险性,确保整个高校图书馆网络系统的顺利运行。
3.1 确保高校图书馆内部软硬件设备的安全
强化各网络软件硬件设备,加大硬件设备的投入工作,在软件应用时一定要购买正版软件,做好更新工作,从而弥补软件自身存在的不足和漏洞。还需要确保高校图书馆服务器、存储设备以及工作用机等硬件的稳定性,及时解决发展的问题。还有就是要提升对主机房环境的重视,做好图书馆内配电系统、空调设施和消防系统等工作,避免出现一切不可能的安全隐患。例如,中国民航飞行学院图书馆内部就是安装了烟雾感应消防系统,并将主机房的位置设在了二楼,在整体机房内安装了ups不间断电源,图书馆内部的管理人员则每天进行空调的切换以及图书馆内部设备的检查和运行状况,确保高校图书馆网络信息系统的高校运行。
3.2 做好高校图书馆网络管理人员的培养和制度的完善
好的软件系统和硬件设备需要专业的技术人员操作,才能最大程度的发挥其作用。高校图书馆网络信息安全的建设中的一项重要任务就是要做好人才的培养和控制工作,高校要让更多的图书馆网络管理人员参加专业的培训工作,甚至可以安排他们到网络信息建设较为优秀的行业去学习,从而不断提升自身的网络专业能力。此外,还需要高校建立健全有关的管理制度,成立专业的安全管理小组进行图书馆网络信息安全问题处理。同时还需要做好用户账号和权限的分级工作,尤其是系统管理员的账号和密码,需要进行特别的设定,并做到定期更改工作。更是要结合不同岗位用户的需求进行权限的设计。提升高校图书馆网络管理员的责任意识和安全意识,并严格遵照有关规定进行操作,确保高校网络信息的安全。
3.3 提高高校图书馆网络的防火墙技术
防火墙技术和杀毒软件,这两者对黑客的阻止和病毒的抵制上都发挥着巨大的作用。现阶段较为普通的网络安全防火墙只能是对网络数据的网络层进行把控和管理,但在网络用户的审核和管理上却不能发挥其重要作用,更是很难适应现阶段网络安全和管理的复杂性。所以在这种网络安全背景下,需要提升防火墙技术,采用最新的防火墙技术(NGFW),并确保其是基于网络ISO7层模式的最高层。该防火墙技术具有几点突出的特征,一是可以识别和有效控制网络应用层面的网络数据;二是可以对网络内部存在的病毒和黑客的攻击进行防范和抵制;三是能够对接入网络的人员和数据进行身份的准确识别、授权以及审计;四是也是最重要的一点就是能够对可能出现的威胁进行有效防范。所以需要高校图书馆不断提升自身的防火墙技术,采用最新的防火墙技术,这样能够避免管理系统和病毒的入侵,确保高校图书馆网络信息系统的安全。
3.4 做好高校网络信息的备份工作
高校图书馆网络信息安全建设的一种重要工作就是备份工作,这种备份包含系统的备份和数据的备份。而数据的备份更是主要的备份工作,也是高校图书馆网络安全数据的最后一层保护。目前我们所谈的高校图书馆网络信息安全也主要指的是数目数据的安全、各类型数据库的安全等。存在当下的数据备份方式有多重,如,本地备份、异地备份和双机容错备份等,当然高校图书馆在进行备份选择的时候需要结合自身的实际状况进行选择。当然需要高校图书馆能够选择更有安全的备份方式,确保当高校图书馆信息系统出现故障和意外时,高校图书馆内部的信息能够得到及时全面的恢复。
4 结束语
现阶段高校图书馆的网络信息系统正朝着高速、智能化的方向飞速发展,但高校图书馆的网络信息则在发展过程中受到了诸多潜在的威胁和安全隐患,所以需要高校能够提升对这些隐患的认识,并做好各项预防工作,对已经出现的问题,找到及时有效的解决措施,确保高校图书馆网络信息的安全性。
参考文献:
[1]杨钰曼.高校图书馆网络信息安全浅论[J].无线互联科技,2014(12):196-196.
[2]龚晓林.浅谈高校图书馆网络安全体系建设[J].黔南民族医专学报,2010,23(3):221,224.
[3]曾红燕.高校图书馆的网络信息安全建设[J].中国现代教育装备,2015(19):97-98.
【高校安全信息员职责】推荐阅读:
浅析高校校园网信息安全的现状与防范06-01
高校校园安全防火知识06-18
高校安全教育工作总结05-24
高校意识形态安全问题07-03
高校信息管理系统07-04
高校信息宣传工作计划06-08
高校学生资助岗位职责06-26
高校后勤信息化服务与实现的途径探讨09-14
山东省高校毕业生就业信息网使用说明07-13
