摘要：在教育信息化过程中，信息安全已经成为高校不可忽视的一个大问题。文章分析了高校存在的信息安全风险。

关键词：高校；信息；安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）30-0024-02

Analysis of Information Security Risk in Universities

LUO Nan

（Center for Educational Technology，Gannan Normal University，Ganzhou 341000， China）

Abstract： In the process of education informatization， information security has become a major problem that cannot be ignored in universities. This paper analyzes the information security risk.

Key words： university； information； security

1 引言

近年来，随着计算机网络和信息技术的快速发展，高校普遍加快了教育信息化的建设步伐，校园网络不断地得到优化和扩容，网站、网络教学、精品课程、教务管理、学生学籍管理、校园一卡通、办公自动化、财务管理、资产管理等众多的信息系统被广泛地应用于学校的教育、教学和管理。由此，高校对信息系统产生了严重的依赖，同时，也带来了极大的风险。信息安全已经成为高校不可忽视的一个大问题。特别是云计算和大数据的发展，将原先分散的数据集中起来处理，一旦发生数据泄漏，危害程度不可想象。因此，高校有必要对信息安全风险进行系统的评估，制定出周全的信息安全防护措施。

2 信息安全的概念

信息安全并没有绝对权威的定义，通常，我们将信息安全定义为信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

据此，高校的信息安全可以概括为四个方面。一是校园网络基础设施能够支持高校信息系统连续可靠正常地运行，二是支持高校信息系统运行的软件环境具备快速安全解决方案，三是高校信息系统能够确保自身不受外部破坏导致出现系统运行故障，四是确保信息系统的数据不被未经授权的访问。

3 高校存在的信息安全问题

3.1 网络和信息核心技术受制于人

目前，网络和信息产品的核心技术掌握在国外少数机构和公司手中，我们国家对关键基础设施和重要领域信息系统及数据无法做到安全可控，有可能危及各行各业的安全，甚至危及国家安全。现阶段，高校在招标采购校园网络设备和信息系统时，不可避免会全部或部分采购到国外的硬件和软件产品，或者包含国外关键零部件的国产设备，信息安全隐患较大。特别是涉密网络和信息系统，有可能遭到敌对势力的破坏和窃取情报。

3.2 信息安全法规制度与信息发展脱节

在PC互联网时代，为了加强对互联网的管理，保障信息交流的健康发展，从国家到省级的立法机构和行政职能部门陆续出台了一系列的法律和法规，用于规范互联网的接入和信息的制作、查阅、复制、传播。各高校也会出台相应的网络信息安全制度，规范师生的上网行为，保障校园信息的安全。但是，在跨入移动互联网时代后，“互联网+”应用正在蓬勃兴起，遍布政府服务、医疗、教育、金融、交通等各行各业。高校为了顺应这股潮流，正在将“互联网+”应用和教育信息化进行有机结合，打造校园移动信息服务平台。而原有的法律法规和学校管理制度已经不能完全适应当前信息技术发展形势，急需修订完善。

3.3 师生信息安全意识淡薄

互联网的特点之一就是打破了时空界限和地域疆界，因此，黑客的攻击往往会令人防不胜防。当前，高校普遍对网络信息风险缺乏足够的重视，很少会对师生进行必要的网络信息安全教育，或者即使有网络信息安全教育，也是流于形式，走过场。由此导致师生对网络信息安全知识知之甚少，对来自外部的恶意攻擊缺乏警惕性，对信息被盗取的危害性认识不足。这种对信息安全防护漠不关心的态度，使得高校成为信息安全的重灾区。

3.4 缺乏合格的信息安全技术人才

目前，高校在机构设置中虽然有信息部门，但在岗位设置中普遍没有信息安全管理岗位，没有安排专职的信息安全管理人员从事全校信息安全的咨询、建议、指导工作。信息安全工作一般都由信息系统管理员兼任。由于信息系统分属不同的业务部门，所以信息系统管理员大多由所在部门的人员担任。由于信息系统管理人员的专业技术水平参差不齐，大多缺乏信息安全专业技术知识，对于信息安全防范工作心有余而力不足，甚至不得不把信息安全保障责任转嫁到信息系统开发公司。

3.5 保障信息系统运行的物理环境不理想

高校各类信息系统服务器和数据存储设备一般集中存放在数据中心机房。数据中心机房作为信息系统和数据的存放地点，是信息化的核心场所。数据中心机房的安全直接影响着全校信息安全。数据中心机房的安全隐患包括电气故障、网络故障、设备故障、电磁干扰，以及高温、潮湿、停电、火灾、雷击等灾害。因此，数据中心机房的建设和管理水平直接关系着信息化水平。高校大多数信息事故都是由于机房物理环境不能支持信息系统正常运行所造成的。

3.6 信息安全建设缺乏全局规划和整体布局

一方面，由于缺乏专业的信息安全技术人才，高校没有精力也没有能力去跟踪当今社会最前沿的信息安全技术，无法全盘统筹全校的信息安全工作。制定的信息安全保障策略，往往存在很大的局限性和片面性。另一方面，信息安全的建设规划往往不受重视，缺乏统筹安排、整体布局的思路。信息安全项目与信息化建设项目没有做到同步规划、同步建设、同步运行，或者虽然做到了同步规划，却采取分步实施的思路，信息安全被放到了次要位置。

3.7 信息安全防护缺少长期资金投入

高校在数字化校园建设过程中，往往重视网络基础设施和应用系统的建设，而忽视信息安全防护的投入。信息安全防护被放在次要位置。一旦投入资金建好信息安全防护体系后，即认为可以一劳永逸了，后期只要做好管理和维护即可。殊不知，当今信息安全防护的理念在不断更新，信息安全防护的产品在不断升级换代。如果还是拿多年前老旧的信息安全防护设备来长期提供信息安全服务，那么，信息安全防护的效果就会大打折扣。要使得信息安全防护体系充分发挥作用，需要资金的长期投入。

3.8 没有进行信息安全风险评估

随着高校教育信息化进程的不断推进，校内信息系统数量在不断增多，高校对信息系统的依赖性也越来越高，信息安全风险也在逐渐显现。信息风险评估可以科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策。但是，高校普遍没有对信息系统进行风险评估。当遇到突发信息事故时，只能被动应对，无法从容决策。

3.9 信息系统自身安全性很难得到保障

高校的信息系统来源一般分为三种情况，一是购买商品软件，二是外包开发，三是自行开发。不管采用哪种方式，信息系统都是由软件程序员开发完成。受各种主客观因素的影响，开发出来的软件不可避免地会出现各种缺陷，需要不断地测试和完善。开发过程中，如果软件的安全防护措施考虑不周全，就会出现各种安全漏洞。如果信息系统交付使用后，后期的系统更新和升级维护工作得不到保障，信息系统的安全性令人担忧。

3.10 难于打击信息安全违法犯罪行为

高校校园网络与互联网保持着互联互通，因此，在校园网上运行的信息系统很容易遭到黑客的攻击和入侵。对于有经验的黑客来说，可以做到入侵信息系统后消除痕迹、全身而退。国家安全部门很难有效追踪并查找到实施入侵并从事破坏、窃取行为的违法犯罪分子。因此，对于此类信息安全违法犯罪行为缺乏有效的打击手段。信息管理人员只能在防控方面加强措施，查堵漏洞，增添网络安全设备，尽量减少信息安全风险。

4 结束语

信息安全是高校教育信息化的重要保障。高校只有克服困难，加强人力和物力投入，大力提高预警和应急处置能力，努力消除各种信息安全风险，不断完善信息安全保障体系，才能确保信息安全处于可控状态。

参考文献：

[1] 罗南. 高校教育信息化实施策略[J]. 科教导刊，2012（12）.

[2] 梁紹柱. 高校信息安全体系建设研究[J]. 软件导刊，2012（11）.