高校校园网信息安全突发事件危机预防中存在的问题及其对策研究
2010-08-15黄锋闽江学院福建福州350108
黄锋(闽江学院,福建福州350108)
高校校园网信息安全突发事件危机预防中存在的问题及其对策研究
黄锋
(闽江学院,福建福州350108)
着重针对高校校园网信息安全突发事件危机预防中存在的问题展开分析,并就存在的问题提出若干对策与建议。
高校校园网信息;突发事件;危机预防;问题;对策
校园网是一柄“双刃剑”:一方面,它为高校教学、科研与管理提供了一个方便、快捷的信息共享平台;另一方面,互联网上的信息良莠不齐,不良网站比比皆是,据公安部公布的数字,仅2009年一年,就有9 000多个网络色情网站被关闭,共删除网上淫秽色情信息计150余万条;部分在校学生扮演黑客角色或制作病毒程序发展僵尸网络等,校园网信息安全面临内忧外患。如何排查网络信息安全隐患,避免校园网信息安全突发事件的发生,是高校目前做好校园网信息安全突发事件危机预防的工作重点。
一、高校校园网信息安全突发事件危机预防的界定
高校在校园网信息安全管理过程中,针对校园网信息安全面临的潜在危机,为了达到有效预防校园网信息安全突发事件,通过组建校园网信息突发事件危机管理机构,培养危机意识、制定应急预案、采取危机预警、危机预控和应急演练等一系列措施的动态管理过程的总称。
二、高校校园网信息安全突发事件危机预防中存在的问题及其原因分析
1.思想认识不足,危机意识淡薄
造成这个问题的主要原因是:第一,部分高校领导对校园网信息安全工作重视不够,他们以“二级管理”和“放权”为由,校园网信息安全工作应由网络中心(或现代教育技术中心,以下简称中心)负责,对校园网信息安全工作不闻不问。第二,校内有些部门深受“只扫自家门前雪,莫管他人瓦上霜”传统观念的影响,认为网络信息安全工作与自己部门无关,于是“事不关己,高高挂起”,对校园网信息安全工作漠不关心。第三,中心技术人员对校园网信息安全工作中存在的安全隐患视而不见或估计不足,过分高估应急预案的作用或对处理应急能力过分自信,坐等突发事件的到来。第四,在校部分学生(尤其是计算机网络专业的学生)对攻击校园网所造成的严重后果认识不足,利用网络操作系统安全后门或系统漏洞,肆无忌惮地攻击校园网服务器、篡改校园网主页等,把校园网作为展示“才华”的平台。
2.组织机构不健全,职责不明
目前,但还没有一所高校组建了专门的、常设的“校园网信息安全突发事件危机管理领导小组”;而且许多高校对于校园网信息安全突发事件危机管理的职责并不明晰,一旦发生网络信息安全突发事件,手足无措,乱成一团是可以预见的。
造成这个问题的主要原因还是在于领导对校园网信息安全工作重视不够,对校园网信息安全突发事件的严重后果认识不到位所致,认为学校已经有了校园网信息安全工作领导小组,有没有专门的校园网信息安全突发事件危机管理领导小组,无关紧要。
3.预案设计不够科学,实效性较差
造成这个问题的主要原因是:第一,部分高校对于拟定的应急预案未组织危机管理和网络技术等相关专家学者进行论证,缺乏理论指导,根本无科学性可言。第二,大多高校制定了应急预案,但常将其束之高阁,应急预案的演练几乎是空白,未经实践检验的应急预案,当然难以保证实效性。
4.预警机制不健全,预警系统存在缺陷
造成这个问题的主要原因是:第一,预警指标设计不合理。由于对校园网信息安全隐患进行初步分析的失误,一些重要的安全隐患未能纳入监控范围,使得该有预警指标缺失。第二,经费投入不足,网络信息安全预警设备缺乏或不够先进,设备陈旧落后。
5.信息监控不力,报送机制不健全
造成这个问题的主要原因是:第一,部分高校宣传部门和中心在网络信息安全监控上存在职能交叉,导致在网络信息安全监控问题上互相推诿,从而使高校网络信息安全监控成为无人监管的真空地带。第二,平时缺乏应急预案的演练,缺乏对网络信息安全突发事件有效反应的知识,对网络信息安全突发事件不敏感或面对网络信息安全突发事件却不知道如何处理。
6.预控机制不健全,预控能力不足
造成这个问题的主要原因是:第一,部分高校存在畏难情绪,借口校园网信息安全突发事件的危机控制十分困难而不进行危机预控。第二,由于校园网信息安全突发事件预警机制不健全,导致预警缺位,预控机制也无法启动,失去了把校园网信息安全突发事件消灭在萌芽状态的最佳时机,造成了不必要的损失。第三,经费投入不足,网络信息安全预控设备缺乏或不够先进,一旦发生校园网信息安全突发事件,只能“望网兴叹”。
三、高校校园网信息安全突发事件危机预防的对策与建议
著名经理人彭阔东认为:“危机如同死亡和税收一样,是不可避免的。”这句话揭示了危机的客观存在性;但“凡事预则立,不预则废”这一亘古不变的至理名言,至今依然熠熠生辉。在网络信息瞬息万变、校园网信息安全危机四伏的形势下,危机预防比危机处理更为重要,正所谓“愚者暗于成事,智者见于未荫”,“防患于未然”是校园网信息安全突发事件的危机管理的终极目标。
1.加强教育,积极培训,强化危机意识
(1)学校领导要有危机意识。首先,校领导要从全面落实科学发展观、构建和谐校园的高度,牢固树立“预警在先、防范在前”的理念,牢固树立网络信息安全突发事件的危机意识。俗话说得好:“只要领导重视了,事情就成功了一半。”如果校领导重视校园网络信息安全工作,在经费投入上予以大力支持,切实做到“居安思危”、“未雨绸缪”,这对于有效进行校园网络信息安全突发事件的危机预防具有决定性的作用。
(2)加强中心技术人员危机意识教育。“大风起于青萍之末”,中心技术人员平时应随时具备网络信息安全突发事件危机意识,认真排查网络信息安全隐患,并为之设想种种可能,制定相应对策方案;同时,定期或不定期地邀请校外专家到校开设网络信息安全突发事件危机管理的知识讲座;还要积极创造条件,派送网络技术人员参加相关的学术会议或进修培训,通过这种“请进来、走出去”的方式,不断提高中心技术人员网络信息安全突发事件的危机意识。
(3)加强网络信息安全员危机意识培训。各部门的网络信息安全员是校园网信息安全突发事件危机管理的生力军,中心及宣传部门要对全校网络信息安全员定期或不定期地举办网络专业技术知识和危机管理培训班,切实提高他们的危机防范意识。
(4)全校总动员,人人树立危机意识。校园网信息安全突发事件的预防绝不仅仅是网络中心或者少数几个人或少数几个部门的事,它需要学校党政工团密切配合,群策群力,充分利用校园网、广播台、宣传栏等各种宣传手段,在师生员工中广泛宣传应对校园网信息安全突发事件的各种知识和典型案例,切实提高师生员工防范校园网信息安全突发事件的危机意识。
2.健全机构,明确职责,强化组织保障
成立校园网信息安全突发事件危机管理小组。小组组长由学校主要领导或分管领导担任,党政办、宣传部、保卫处、网络中心、学工处、团委、总务处等相关职能部门的负责人担任组员。该小组下设办公室、宣传组、保卫组、网络技术组、学工组、后勤组等工作组,并明确各工作组工作职责(限于文章篇幅,这里不再赘述)。各工作组在危机管理小组的统一指挥下,密切配合,协调作战,形成一个有机统一的整体,当危机来临时,才能有效地进行处理。
3.立足实践,科学研究,制定应急预案
(1)了解预案内容,做到胸有成竹。应急预案的内容大概包括:总则、应急组织指挥体系及职责、预防和预警机制、应急处置程序、应急保障措施、恢复重建措施、奖惩措施等方面。
(2)科学制定预案,提高预案实践性。1)认真研究有关危机管理的先进理论,深入地开展实证调查,把危机管理理论与校园网信息安全工作实践有机结合起来,经过充分酝酿,反复推敲,拟出应急预案的草案。2)组织各方面专家,对应急预案的草案进行反复论证,提高其科学性。3)做好应急预案实施前的一切准备工作。4)在校园网信息安全突发事件应急管理和善后恢复管理实践中,认真总结,深入反思,吸取经验教训,实时修订完善应急预案,从而不断提高其可操作性和实践性。
4.根据校情,制定指标,健全预警预控机制
(1)建立健全危机预警机制。1)科学确定预警指标。根据应急预案中的校园网信息安全突发事件的分类,遵循科学性和系统性等原则,分别设计预警指标。2)收集整理相关信息。对于收集到的信息,需要经过系统的整理分析,甄别是非,去粗存精,从而获得重要的危机预警信号。3)建立安全隐患评估系统。采用定性、定量或者是二者结合的方法,对未来可能发生的校园网信息安全突发事件地类型及危害程度作出估计。4)建立危机预报系统。根据校园网信息安全隐患评估的结果,对危害程度较大的安全隐患,应及时向全校教职员工发出警报,并要求他们提前采取预控措施;同时,还要强化校园网24小时值班制度,发现问题立即报告并妥善处置。
(2)建立健全危机预控机制。1)当发现校园网信息安全突发事件的征兆并确认其可能发生时,危机管理小组应迅速采取果断措施,命令有关组织和人员立即进入战备状态,把校园网信息安全突发事件消灭在爆发之前。2)在校园网信息安全突发事件已经发生但尚无明显的升级扩大的情况下,应立即启动应急预案,迅速切断突发事件产生的源头,尽可能把损失和影响控制在一定的范围以内,避免事态进一步扩大和升级。3)增加经费投入,添置校园网信息安全突发事件的预控设备,比如网络数据存储备份设备等,实现校园网信息、数据异地同步备份,一旦发生校园网信息安全突发事件而导致系统信息遭到破坏,可以立即启用备份系统的信息,把损失降到最低;购置统一身份认证软件和日志备份设备,在校园内强制推行“上网实名制”,使得肇事者不敢肆意攻击校园网站;研发或购置网页反篡改软件,以实现对网页的实时检测并自动恢复被篡改的文件,提高校园网网页的安全性。
5.精心组织,加强演练,提高预防能力
(1)思想重视,行动落实,加强应急演练。应急预案不能停留在纸面或口头上,要真正落实到行动上,彻底杜决“说起来重要,做起来次要,忙起来不要”的现象。各高校要认真制订应急预案演练计划并定期组织演练。通过演练活动,让更多的教职员工了解校园网信息安全突发事件的预防知识和应对措施,不断提高其预防危机的能力,使应急预案真正发挥效用。
(2)全程记录,及时研究,完善应急预案。在应急预案的演练过程中,要安排专门人员(包括文字人员和摄影、摄像人员等),对训练演习的过程进行全程记录,文字人员要详细记录演练实际开始与结束时间、演练过程控制情况、各项演练活动中参演人员的表现、意外情况及其处置等内容;摄影、摄像人员应在不同现场、不同角度进行拍摄,尽可能全方位反映演练方案的实施过程。待演练结束后,应及时组织相关专家进行分析研究,针对存在的问题,提出整改措施,并不断修订、完善校园网信息安全突发事件应急预案,使其更具科学性、针对性和实效性;另外,还要将应急演练的录像以及专家的点评等制作成光盘,分发到校内各个单位并要求组织观看、学习,达到少数人参演、多数人受益的目的,从而达到应急预案“预而不用”的终极目的。
四、结语
校园网信息安全突发事件危机预防是校园网信息安全突发事件危机管理的重要组成部分,它与校园网信息安全突发事件危机应急处理、危机善后恢复是密切相关、不可分割有机统一体。我们不能撇开校园网信息安全突发事件危机应急处理、危机善后恢复而孤立研究其危机预防问题,我们必须站在系统、全局的高度,把校园网信息安全突发事件危机预防放在校园网信息安全突发事件危机管理的整个过程中统一加以考虑,认真开展研究,才能保证不失之于偏颇。
[1][美]罗伯特·希斯,王成等译.危机管理[M].北京:中信出版社,2001.
[2]薛澜,张强,钟开斌.公共危机管理[M].北京:清华大学出版社,2003.
[3]刘刚.危机管理[M].北京:中国经济出版社,2004.
[4]余宏明,陈晓春.高校预防和处理突发公共事件研究[J].中国安全科学学报,2005,(5).
[5]连玉兰.校园网的安全隐患与防范措施[J].中国校外教育,2008,(8).
[6]汪莹,朱齐媛.关于高校校园网信息安全的现状与对策[J].重庆工学院学报(自然科学),2008,(6).
[7]穆奕.公安部公布09年打击网络色情成果:9000多网站被关[N].京华时报,2010-01-01.
[8]彭阔东.危机公关,用好三道“防火墙”[J].经理人,2006,(3).
TP393.18
A
1006-5342(2010)09-0159-03
2010-06-18