大数据背景下高校信息网络安全及其防护策略

2022-11-01朱世晨

黑龙江科学 2022年20期

朱世晨

(郑州科技学院，郑州 450000)

0 引言

近年来，以大数据为支撑的信息化建设深入各个领域，人工智能、“互联网+”等信息技术被广泛应用于衣食住行、劳动工作、休闲娱乐和社会交往，其中高校管理、教学和科研工作是重要的应用领域。技术赋能给师生创造了便利，但同时也暴露了一些问题，只有尽快解决高校信息网络安全漏洞，制定针对性的防护策略，才能为高校教育、科研和日常生活保驾护航。

“互联网+教育”飞速发展，其隐患和风险也层出不穷，数字高校逐渐陷入治理困境，几类突出问题包括：

顶层设计不完善，安全管理体系不健全。

从法制层面来看，近几年，我国为净化网络生态环境，保护网民信息安全，颁布了相关法律法规和社会公约，为信息化建设统筹发展提供了法律依据，也为信息安全问题划定了基本标准，但其落实程度还有待完善。

从管理机制来看，高校信息网络规模大，周期长，投入多，需要建立多主体有效参与的管理机制[1]。然而，部分高校内部部门割裂，缺乏联动，没有统一的技术标准，没有集中管理、集中监控和集中审计的平台支撑[2]，对于数据库和信息技术的维护不及时。

使用群体安全意识淡薄。

高校信息网络系统使用群体庞大，包括校内的师生群体、行政管理群体和校外的社会公众群体等。而这些群体并未接受过来自高校或其他方面的安全教育，没有形成敏感的危机感知度，面对庞杂的信息系统缺乏辨析力和防范意识。如对免费WiFi、陌生链接、陌生邮件、陌生U盘等警惕性低，不重视病毒查杀，常常导致计算机受到病毒攻击，造成数据被篡改或信息丢失。另外，高校信息网络系统并不能完全筛除网络上的黑灰产业，仍有一些学生遭遇电信诈骗，损失财产。部分学生受到网络刷单等灰色兼职的诱惑，在法律边缘打“擦边球”。

核心技术受制于人，专业人才不足。

高校信息网络安全工作的硬性条件是智能化资源，即技术和人才。目前，我国尚未实现信息化建设的技术自给，核心技术发展不成熟，重要设备依赖进口。大数据背景下，信息技术更新换代很快，在未掌握技术的前提下，这种快速更迭会为安全保护带来更大阻力。

我国高校信息化部门人员不足，无法充分供给学校的信息化研发、建设、维护工作需求，甚至许多信息网络运维工作者并不是专业人员，对于高校信息网络安全知识不了解，无法做好安全漏洞排查和清理工作，由此造成了安全危机无法尽快解决且重复出现的问题[3]。

数据应用失范。

虽然高校信息网络给师生教学生活带来了便利，但倘若管理层无法正确获取和使用数据，将会造成不良的社会影响。部分高校在数据应用过程中，以技术本位取代人本位思想，刻板使用信息化手段度量、评价个体，导致教育活动缺乏人文关怀。

1 研究原理及方法

高校信息网络生命周期是高校信息系统从产生到报废的生命全过程，如图1所示。其包括顶层设计与规划、分析系统需求、设计系统软件、开发系统程序编码、系统投入使用和系统运行、评估与维护六个部分。“顶层设计与规划”是对现有高校信息系统进行评估，确定现有问题及解决方案；“分析系统需求”是对新开发的系统进行分析，包括安全需求、容量需求等诸多方面；“设计系统软件”和“开发系统程序编码”是通过技术手段开发新系统的过程；“系统投入使用”是系统开发完成后进行测试的环节；“系统运行、评估与维护”是新系统运行一段时间后，技术人员根据使用情况及新的漏洞问题进行评估与维护，从而使系统安全稳定运行的环节。

高校信息化面临的主要问题是顶层设计方面管理不健全、技术人才方面有所欠缺、观念方面使用群体的安全意识薄弱、数据应用方面存在不合理现象。针对以上问题，针对性地制定防护策略，构建出高校信息网络安全治理的基本模型，如图 2所示。

通过联动分析高校信息网络生命周期与高校信息网络安全治理基本模型，找到其共同脉络并加以整合，在基本模型的基础上融合高校信息网络生命周期6部分，确定高校信息网络安全治理的多重性架构，如图 3所示。

图1 信息系统生命周期结构图Fig.1 Structure diagram of information system life cycle

图2 高校信息网络安全治理基本模型Fig.2 Basic model of university information network security governance

图3 高校信息网络安全治理框架Fig.3 Framework of university information network security governance

高校应当在顶层设计与规划、分析系统需求这两个阶段集中处理顶层设计与管理体制维度问题，完成顶层框架设计和整体统筹；在设计系统软件、开发系统程序编码阶段，应处理技术人才维度的问题，提升核心科技竞争力，壮大专业人才队伍；在系统投入使用，系统运行、评估与维护阶段，应处理安全观念维度和合理应用维度问题，向信息网络使用群体普及安全知识，加强技术伦理教育。

2 高校信息网络安全防护策略

2.1 加快顶层框架设计，完善网络安全管理体系

以强有力的法律手段约束网络行为，推动相关法律法规落地实施，使各项网络行为有法可依，有法必依，违法必究。高校信息网络安全相关法律法规必须加强实践能动性，要能转化为具体的、可行的实践方案，必要时可增加相应的数据报告和指导性文件，避免仅停留在对表面文字的理解。推动法律法规实施的过程中，要加强责任监管和责任落实，对于参与高校信息网络建设的各部门行为和产品要严格审查和评估，但不可过度干预使高校信息网络生态丧失灵活性和丰富性。

以健全的管理体系规范高校信息化过程中的网络行为和数据流程。由于高校信息网络体量庞大，涉及多个部门和不同的应用系统，信息治理过程需要经过多个环节，因此必须形成体系化的管理机制，统一规划、统一部署，采取统一的技术标准，明确各环节中不同主体的责任和义务，加强部门联动，使信息化建设在技术、资金、人力资源等各方面都处于集中部署和管理之下，减少因管理不规范带来的安全风险。

2.2 加快技术创新，培养专业人才

技术是推动我国高校信息网络安全可持续发展的关键，掌握核心技术，加快研发步伐，提高自主创新能力，是高校信息网络安全治理在设计系统软件、开发系统程序编码两个阶段的重要任务。目前需要攻破和有效提升的技术领域包括风险评估技术、病毒检测技术、动态防护技术和伤害恢复技术。这些技术可以评估可能出现的安全漏洞，快速进行数据备份，并实时监测、实时处理、实时防护，是重要的应急技术[4]。高校研发部门应按照国家相关标准，加快以上技术创新和应用，为高校信息网络安全治理提供强大的技术支撑。

在专业人才方面，应保障人力资源的数量供应，杜绝一人多用、一部分多用的情况，及时补充高校信息化建设所需人力，使人员各司其职，各尽其责。高校是人才孵化的大本营，应充分发挥高校自身的教育资源优势，壮大专业IT人才队伍，建立完善的人才培养和管理体系，明确不同人才的责任和义务，如管理型、组织型、任务型等，使人才有效、有序地投入到高校信息化建设中。

2.3 加快技术伦理教育，规范信息数据的使用

在安全观念、风险意识方面，高校可以将信息网络安全常识纳入教师职业培训中，通过课程教育的方式对学生群体进行宣传引导，开展网络安全知识普及课，教育学生重视病毒查杀，提高警惕性，拒绝网络黑灰产交易，保护好个人隐私数据。

在数据合理应用方面，高校应尊重学生的知情权及正确认识技术与教育的关系。学生的知情权是学生自主参与、监督公共事务的权利，学生有权公开并自主处理个人信息，高校不得以任何名义在信息网络中侵犯学生的知情参与权。与此同时，高校应加强宣传，依据法律法规科学普及相关知识，帮助学生正确行使权利。技术伦理教育有助于高校正确认识技术与教育的关系，防止踏上技术本位的偏路。高校应明确以人为本的教学观，教育者不得单纯以数据表现对学生个体进行度量、评价和赏罚，否则将会打击智慧校园的社会信任度。此外，数字高校教育还应当加强实践性，因材施教，调动学生的主观能动性，注重学生的个人体验，融入人文关怀，在体验式教学中合理应用数字校园信息网络系统[1]。