陕西省教育系统网络信息安全管理问题与对策研究

2012-10-20傅钢善李运福李享阳

中国教育信息化 2012年4期

关键词：管理制度信息安全网络安全

傅钢善，李运福，李享阳

（1.陕西师范大学教育技术系，陕西西安 710062；

2.陕西省教育厅信息与学校保障工作处，陕西西安 710062）

陕西省教育系统网络信息安全管理问题与对策研究

傅钢善1，李运福1，李享阳2

（1.陕西师范大学教育技术系，陕西西安 710062；

2.陕西省教育厅信息与学校保障工作处，陕西西安 710062）

参考公安部、国务院等四部委2007年颁发的《信息安全等级保护管理办法》以及信息安全保护等级的相关文献，以陕西省教育厅信息与学校保障工作处于2011年10月对陕西省教育系统各单位发放的《陕西省教育系统网络信息安全调查问卷》所得数据为基础，文章从管理的角度对陕西省教育系统管理现状做了进一步分析，在此基础上提出了针对性措施，希望对我国教育系统网络信息安全的保障有所启示。

教育系统；网络信息安全；现状；对策

引言

网络技术的发展使网络在教育系统的应用越来越广泛。然而，近年来发生的各种网络安全事件，使网络信息安全的问题日益突出，虽然国家相关部门针对网络安全提出了不同的要求，但是这并没有改变教育系统内网络安全问题，其主要根源是管理存在问题，因此，针对教育系统中的网络管理现状进行调查，针对问题建立一套合理的对策是一个亟须完成的任务。

一、教育系统网络安全管理调研

笔者选取了陕西省教育系统内86所单位（其中包括陕西省教育系统下属的普通高校：普通高等院校、成人高等学校、独立学院、直属中等专业学校，直属中小学：西安中学、西安小学，各级教育行政部门）进行调查，选取主管领导与责任部门、安全管理制度、安全管理机构、人员作为四个观测点，并对数据进行统计分析，具体数据如下：

1.主管领导与责任部门层次，60.5%的单位具有专门主管网络信息安全的工作部门（如网络中心、教育技术/电教中心、信息中心等），其余单位则主要由党政办公室、教务处、实验教学中心、办公室等部门兼管；各单位虽均设有责任部门负责人，但最终领导权仍归该单位内副校长、党委书记、副院长等具有一定行政职务的人员所有。

2.安全管理制度层次，高达93%的单位制定了不同程度的网络安全规章制度，结果较为乐观。然而，各单位间差异性程度 sig=.039＜.05，即各单位间存在一定的差异。在制定网络安全管理制度的单位中，仅有67.53%的单位对该网络安全管理制度进行定期的评议和修订，比例偏低。但是，差异性程度sig=.274＞.05，各单位间不存在差异。

3.安全管理机构层次，有61.6%的单位设置了系统管理员岗位，90.7%的单位设置了网络管理员岗位，51.2%的单位设置了安全管理员岗位。经进一步分析，各单位间显著性差异程度分别为.280、.799和.236，即均不存在差异。结果如图1所示。

通过进一步分析，在安全管理岗位设置中，仅设置其中一项岗位的单位占到总数的30.23%，仅设置其中任意两项岗位的单位占到总数的36.05%，三项岗位全部设置的占总数的33.73%。在所统计的单位至少设置两项安全管理岗位居多，占总数的69.78%。对各单位中专职安全管理人员的数量进行统计，结果如图2所示。

专职人员数量在3人及3人以上占总数的51.2%，且差异性程度sig=0.199＞0.05，各单位间不存在差异。但是，与各单位平均专业技术人员统计结果（专业技术人员平均数量为5人，最少1人，最多14人）相比仍有一定差距。在安全检查方面，93%的单位内部人员或上级单位对本单位网络信息安全进行定期、全面地安全检查，且各单位间不存在差异，较为乐观。

4.安全管理人员层次，通过数据分析在人员录用、人员离岗、人员考核以及人员培训方面具有严格管理制度的单位统计如图3所示。

显然，在宏观方面，人员离岗和人员培训方面欠缺，均不到50%。具备任意一项人员管理制度的占总数的26.74%，具备任意两项人员管理制度的占29.07%，具备任意三项人员管理制度的占23.26%，四项人员管理制度兼备的占总数29.07%，基本分布均匀。且各单位在人员管理制度方面的差异性程度sig分别为 .246、.252、.651 以及.597，均不存在差异。

此外，各单位在系统建设、运维方面，通过数据分析表明，仅有52.30%的单位能够明确信息系统的边界以及安全保护等级，单位间差异性程度sig为.798,不存在差异；能够对单位供配电、空调以及温湿度控制等环境设施以及系统中的软硬件设备进行定期检查和维护的单位分别占到86%和95.30%，各单位间均不存在显著性差异。

二、教育系统中网络安全管理存在的主要问题

通过数据分析表明，我省教育系统中网络安全管理存在的主要问题有：

1.管理机制不健全

部分单位未成立专门负责网络信息安全的责任部门，仍由其他教学或行政部门兼管，并且最终领导权或决策权主要集中于单位内高层行政领导。

2.管理制度不完善

虽然绝大部分单位制定了网络信息安全相关制度，但是能够对其进行定期评议和修订的比例相对不足，无法保证制度与时代、技术的同步变革，缺乏先进性。

3.管理机构不健全

各单位中管理岗位设置不均匀，其中设置网络管理员的占绝大多数，系统管理员与安全管理员相对不足，三项岗位均设置的单位占总数的33.73%，以设置两项及以上岗位居多，岗位设置不全面就会造成一岗多职、责任不明确等弊端；其次专业技术人员数量相对不足，且专业化程度不高。

4.管理人员松懈、缺乏培训

各单位中人员管理制度设置不全面，单独设立其中任意一项、两项或三项的比例相对均匀，但比例较低，仅为30%左右，人员录用、离岗、考核和培训四方面全部制定严格的管理制度的单位仅为29.07%，尤其缺乏对离岗人员的严格管理制度；其次是缺乏对管理人员的培训，不能保持人员在技术和管理方面头脑的先进性。

此外，通过相关分析，教育系统中网络安全管理还存在着网络管理人员和用户的网络安全意识相对较低、单位在网络建设方面缺乏专项资金的投入以及与外部网络安全公司或部门缺乏交流与合作等问题，这些管理层面的问题都将在不同程度上影响着单位内网络信息的安全，亟待解决。

三、网络安全管理的建议

通过上述分析，我省教育系统网络安全管理存在的主要问题除管理制度制定方面以外，其余问题各单位均有共同特征。因此，面对越来越严峻的网络安全形势，我们针对上述教育系统中网络安全管理存在的主要问题提出以下建议。

1.健全管理机制，加强领导

各单位领导应充分认识到保障网络信息安全的必要性，根据自身实际设立类似网络管理中心或信息中心等专门管理单位网络信息的部门，并由专业且经验丰富的人员担任该部门主要负责人；领导权或决策权在一定程度上由院长、副院长等领导指导下划归该部门负责人，形成行政与业务分层领导。

2.定期评议、完善安全管理制度，保持其先进性

安全制度管理层次，各单位应根据自身实际，委托或授权专门人员或部门制定包括信息发布登记制度、信息内容审核制度、用户备案制度、安全教育培训制度以及电子公告系统的用户登记和信息管理制度等在内的较为全面的网络安全管理制度以及各项管理人员或系统人员执行的日常行为规范或守则，形成一个由安全策略、管理制度、操作规程等元素构成的较为全面的网络信息安全管理制度体系；网络安全管理制度在发布之前要经过专门人员或部门根据单位实际进行鉴定，且对制度的发布和登记等环节进行严格控制；制度在实施过程中应根据实际需求进行适当调节，由单位内专门技术人员提出修改建议，经专家或相应部门许可后方可执行；定期组织单位内外技术人员对制度根据技术的变迁以及社会经验等进行适当的评议和修订，保证单位内管理制度的先进性。

3.健全网络安全管理机构

安全管理机构层次，各单位根据实际，适当地引进系统管理人员以及安全管理人员。在一定程度上使单位内的技术人员覆盖范围较为全面，尤其是专职的网络信息安全管理人员，提高管理人员专业化程度，各岗位人员的职责明确化；加强与单位外部专业技术人员以及系统相应软硬件公司间的沟通与交流，保持头脑的与时俱进；组织专业技术人员加强对网络进行安全检查，汇总检查数据，形成检查报告，并将检查结果进行及时通报，对检查出的网络安全问题进行及时商议和修订。

4.完善人员管理，促进内外交流

人员安全管理层次，加强或设置严格的人员录用、离岗、考核以及培训制度，尤其是人员离岗或人员培训制度。对于离岗人员应办理严格的调离手续，关键岗位人员离岗前须承诺调离后的保密义务，并及时终止离岗员工的所有访问权限；通过调查数据分析，65.1%的单位认为网络技术人员与用户的安全意识薄弱是造成各种网络安全的主要原因。因此，加强网络管理人员与用户的安全意识，并对各岗位管理与技术人员提供针对性的技能培训，尤其是关键岗位的技术人员，为其提供尽可能多的深造与交流的机会。

此外，通过调查分析，62.8%的单位认为缺乏网络安全专项资金的投入是造成教育系统网络信息安全问题的另一主要原因。因此，各教育行政部门、各单位适当加强教育系统内在网络信息安全保护方面专项资金的投入，以保障专业技术人员的引进与培训、系统内各项软硬件设备的及时升级与更新（尤其是关键设备）以及网络系统运行环境的改善。