傅鋼善，李運(yùn)福，李享陽(yáng)

（1.陜西師范大學(xué)教育技術(shù)系，陜西西安 710062；

2.陜西省教育廳信息與學(xué)校保障工作處，陜西西安 710062）

陜西省教育系統(tǒng)網(wǎng)絡(luò)信息安全管理問(wèn)題與對(duì)策研究

傅鋼善1，李運(yùn)福1，李享陽(yáng)2

（1.陜西師范大學(xué)教育技術(shù)系，陜西西安 710062；

2.陜西省教育廳信息與學(xué)校保障工作處，陜西西安 710062）

參考公安部、國(guó)務(wù)院等四部委2007年頒發(fā)的《信息安全等級(jí)保護(hù)管理辦法》以及信息安全保護(hù)等級(jí)的相關(guān)文獻(xiàn)，以陜西省教育廳信息與學(xué)校保障工作處于2011年10月對(duì)陜西省教育系統(tǒng)各單位發(fā)放的《陜西省教育系統(tǒng)網(wǎng)絡(luò)信息安全調(diào)查問(wèn)卷》所得數(shù)據(jù)為基礎(chǔ)，文章從管理的角度對(duì)陜西省教育系統(tǒng)管理現(xiàn)狀做了進(jìn)一步分析，在此基礎(chǔ)上提出了針對(duì)性措施，希望對(duì)我國(guó)教育系統(tǒng)網(wǎng)絡(luò)信息安全的保障有所啟示。

教育系統(tǒng)；網(wǎng)絡(luò)信息安全；現(xiàn)狀；對(duì)策

引言

網(wǎng)絡(luò)技術(shù)的發(fā)展使網(wǎng)絡(luò)在教育系統(tǒng)的應(yīng)用越來(lái)越廣泛。然而，近年來(lái)發(fā)生的各種網(wǎng)絡(luò)安全事件，使網(wǎng)絡(luò)信息安全的問(wèn)題日益突出，雖然國(guó)家相關(guān)部門(mén)針對(duì)網(wǎng)絡(luò)安全提出了不同的要求，但是這并沒(méi)有改變教育系統(tǒng)內(nèi)網(wǎng)絡(luò)安全問(wèn)題，其主要根源是管理存在問(wèn)題，因此，針對(duì)教育系統(tǒng)中的網(wǎng)絡(luò)管理現(xiàn)狀進(jìn)行調(diào)查，針對(duì)問(wèn)題建立一套合理的對(duì)策是一個(gè)亟須完成的任務(wù)。

一、教育系統(tǒng)網(wǎng)絡(luò)安全管理調(diào)研

筆者選取了陜西省教育系統(tǒng)內(nèi)86所單位 （其中包括陜西省教育系統(tǒng)下屬的普通高校：普通高等院校、成人高等學(xué)校、獨(dú)立學(xué)院、直屬中等專業(yè)學(xué)校，直屬中小學(xué)：西安中學(xué)、西安小學(xué)，各級(jí)教育行政部門(mén)）進(jìn)行調(diào)查，選取主管領(lǐng)導(dǎo)與責(zé)任部門(mén)、安全管理制度、安全管理機(jī)構(gòu)、人員作為四個(gè)觀測(cè)點(diǎn)，并對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，具體數(shù)據(jù)如下：

1.主管領(lǐng)導(dǎo)與責(zé)任部門(mén)層次，60.5%的單位具有專門(mén)主管網(wǎng)絡(luò)信息安全的工作部門(mén) （如網(wǎng)絡(luò)中心、教育技術(shù)/電教中心、信息中心等），其余單位則主要由黨政辦公室、教務(wù)處、實(shí)驗(yàn)教學(xué)中心、辦公室等部門(mén)兼管；各單位雖均設(shè)有責(zé)任部門(mén)負(fù)責(zé)人，但最終領(lǐng)導(dǎo)權(quán)仍歸該單位內(nèi)副校長(zhǎng)、黨委書(shū)記、副院長(zhǎng)等具有一定行政職務(wù)的人員所有。

2.安全管理制度層次，高達(dá)93%的單位制定了不同程度的網(wǎng)絡(luò)安全規(guī)章制度，結(jié)果較為樂(lè)觀。然而，各單位間差異性程度 sig=.039＜.05，即各單位間存在一定的差異。在制定網(wǎng)絡(luò)安全管理制度的單位中，僅有67.53%的單位對(duì)該網(wǎng)絡(luò)安全管理制度進(jìn)行定期的評(píng)議和修訂，比例偏低。但是，差異性程度sig=.274＞.05，各單位間不存在差異。

3.安全管理機(jī)構(gòu)層次，有61.6%的單位設(shè)置了系統(tǒng)管理員崗位，90.7%的單位設(shè)置了網(wǎng)絡(luò)管理員崗位，51.2%的單位設(shè)置了安全管理員崗位。經(jīng)進(jìn)一步分析，各單位間顯著性差異程度分別為.280、.799和.236，即均不存在差異。結(jié)果如圖1所示。

通過(guò)進(jìn)一步分析，在安全管理崗位設(shè)置中，僅設(shè)置其中一項(xiàng)崗位的單位占到總數(shù)的30.23%，僅設(shè)置其中任意兩項(xiàng)崗位的單位占到總數(shù)的36.05%，三項(xiàng)崗位全部設(shè)置的占總數(shù)的33.73%。在所統(tǒng)計(jì)的單位至少設(shè)置兩項(xiàng)安全管理崗位居多，占總數(shù)的69.78%。對(duì)各單位中專職安全管理人員的數(shù)量進(jìn)行統(tǒng)計(jì)，結(jié)果如圖2所示。

專職人員數(shù)量在3人及3人以上占總數(shù)的51.2%，且差異性程度sig=0.199＞0.05，各單位間不存在差異。但是，與各單位平均專業(yè)技術(shù)人員統(tǒng)計(jì)結(jié)果（專業(yè)技術(shù)人員平均數(shù)量為5人，最少1人，最多14人）相比仍有一定差距。在安全檢查方面，93%的單位內(nèi)部人員或上級(jí)單位對(duì)本單位網(wǎng)絡(luò)信息安全進(jìn)行定期、全面地安全檢查，且各單位間不存在差異，較為樂(lè)觀。

4.安全管理人員層次，通過(guò)數(shù)據(jù)分析在人員錄用、人員離崗、人員考核以及人員培訓(xùn)方面具有嚴(yán)格管理制度的單位統(tǒng)計(jì)如圖3所示。

顯然，在宏觀方面，人員離崗和人員培訓(xùn)方面欠缺，均不到50%。具備任意一項(xiàng)人員管理制度的占總數(shù)的26.74%，具備任意兩項(xiàng)人員管理制度的占29.07%，具備任意三項(xiàng)人員管理制度的占23.26%，四項(xiàng)人員管理制度兼?zhèn)涞恼伎倲?shù)29.07%，基本分布均勻。且各單位在人員管理制度方面的差異性程度sig分 別 為 .246、.252、.651 以及.597，均不存在差異。

此外，各單位在系統(tǒng)建設(shè)、運(yùn)維方面，通過(guò)數(shù)據(jù)分析表明，僅有52.30%的單位能夠明確信息系統(tǒng)的邊界以及安全保護(hù)等級(jí)，單位間差異性程度sig為.798,不存在差異；能夠?qū)挝还┡潆?、空調(diào)以及溫濕度控制等環(huán)境設(shè)施以及系統(tǒng)中的軟硬件設(shè)備進(jìn)行定期檢查和維護(hù)的單位分別占到86%和95.30%，各單位間均不存在顯著性差異。

二、教育系統(tǒng)中網(wǎng)絡(luò)安全管理存在的主要問(wèn)題

通過(guò)數(shù)據(jù)分析表明，我省教育系統(tǒng)中網(wǎng)絡(luò)安全管理存在的主要問(wèn)題有：

1.管理機(jī)制不健全

部分單位未成立專門(mén)負(fù)責(zé)網(wǎng)絡(luò)信息安全的責(zé)任部門(mén)，仍由其他教學(xué)或行政部門(mén)兼管，并且最終領(lǐng)導(dǎo)權(quán)或決策權(quán)主要集中于單位內(nèi)高層行政領(lǐng)導(dǎo)。

2.管理制度不完善

雖然絕大部分單位制定了網(wǎng)絡(luò)信息安全相關(guān)制度，但是能夠?qū)ζ溥M(jìn)行定期評(píng)議和修訂的比例相對(duì)不足，無(wú)法保證制度與時(shí)代、技術(shù)的同步變革，缺乏先進(jìn)性。

3.管理機(jī)構(gòu)不健全

各單位中管理崗位設(shè)置不均勻，其中設(shè)置網(wǎng)絡(luò)管理員的占絕大多數(shù)，系統(tǒng)管理員與安全管理員相對(duì)不足，三項(xiàng)崗位均設(shè)置的單位占總數(shù)的33.73%，以設(shè)置兩項(xiàng)及以上崗位居多，崗位設(shè)置不全面就會(huì)造成一崗多職、責(zé)任不明確等弊端；其次專業(yè)技術(shù)人員數(shù)量相對(duì)不足，且專業(yè)化程度不高。

4.管理人員松懈、缺乏培訓(xùn)

各單位中人員管理制度設(shè)置不全面，單獨(dú)設(shè)立其中任意一項(xiàng)、兩項(xiàng)或三項(xiàng)的比例相對(duì)均勻，但比例較低，僅為30%左右，人員錄用、離崗、考核和培訓(xùn)四方面全部制定嚴(yán)格的管理制度的單位僅為29.07%，尤其缺乏對(duì)離崗人員的嚴(yán)格管理制度；其次是缺乏對(duì)管理人員的培訓(xùn)，不能保持人員在技術(shù)和管理方面頭腦的先進(jìn)性。

此外，通過(guò)相關(guān)分析，教育系統(tǒng)中網(wǎng)絡(luò)安全管理還存在著網(wǎng)絡(luò)管理人員和用戶的網(wǎng)絡(luò)安全意識(shí)相對(duì)較低、單位在網(wǎng)絡(luò)建設(shè)方面缺乏專項(xiàng)資金的投入以及與外部網(wǎng)絡(luò)安全公司或部門(mén)缺乏交流與合作等問(wèn)題，這些管理層面的問(wèn)題都將在不同程度上影響著單位內(nèi)網(wǎng)絡(luò)信息的安全，亟待解決。

三、網(wǎng)絡(luò)安全管理的建議

通過(guò)上述分析，我省教育系統(tǒng)網(wǎng)絡(luò)安全管理存在的主要問(wèn)題除管理制度制定方面以外，其余問(wèn)題各單位均有共同特征。因此，面對(duì)越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，我們針對(duì)上述教育系統(tǒng)中網(wǎng)絡(luò)安全管理存在的主要問(wèn)題提出以下建議。

1.健全管理機(jī)制，加強(qiáng)領(lǐng)導(dǎo)

各單位領(lǐng)導(dǎo)應(yīng)充分認(rèn)識(shí)到保障網(wǎng)絡(luò)信息安全的必要性，根據(jù)自身實(shí)際設(shè)立類似網(wǎng)絡(luò)管理中心或信息中心等專門(mén)管理單位網(wǎng)絡(luò)信息的部門(mén)，并由專業(yè)且經(jīng)驗(yàn)豐富的人員擔(dān)任該部門(mén)主要負(fù)責(zé)人；領(lǐng)導(dǎo)權(quán)或決策權(quán)在一定程度上由院長(zhǎng)、副院長(zhǎng)等領(lǐng)導(dǎo)指導(dǎo)下劃歸該部門(mén)負(fù)責(zé)人，形成行政與業(yè)務(wù)分層領(lǐng)導(dǎo)。

2.定期評(píng)議、完善安全管理制度，保持其先進(jìn)性

安全制度管理層次，各單位應(yīng)根據(jù)自身實(shí)際，委托或授權(quán)專門(mén)人員或部門(mén)制定包括信息發(fā)布登記制度、信息內(nèi)容審核制度、用戶備案制度、安全教育培訓(xùn)制度以及電子公告系統(tǒng)的用戶登記和信息管理制度等在內(nèi)的較為全面的網(wǎng)絡(luò)安全管理制度以及各項(xiàng)管理人員或系統(tǒng)人員執(zhí)行的日常行為規(guī)范或守則，形成一個(gè)由安全策略、管理制度、操作規(guī)程等元素構(gòu)成的較為全面的網(wǎng)絡(luò)信息安全管理制度體系；網(wǎng)絡(luò)安全管理制度在發(fā)布之前要經(jīng)過(guò)專門(mén)人員或部門(mén)根據(jù)單位實(shí)際進(jìn)行鑒定，且對(duì)制度的發(fā)布和登記等環(huán)節(jié)進(jìn)行嚴(yán)格控制；制度在實(shí)施過(guò)程中應(yīng)根據(jù)實(shí)際需求進(jìn)行適當(dāng)調(diào)節(jié)，由單位內(nèi)專門(mén)技術(shù)人員提出修改建議，經(jīng)專家或相應(yīng)部門(mén)許可后方可執(zhí)行；定期組織單位內(nèi)外技術(shù)人員對(duì)制度根據(jù)技術(shù)的變遷以及社會(huì)經(jīng)驗(yàn)等進(jìn)行適當(dāng)?shù)脑u(píng)議和修訂，保證單位內(nèi)管理制度的先進(jìn)性。

3.健全網(wǎng)絡(luò)安全管理機(jī)構(gòu)

安全管理機(jī)構(gòu)層次，各單位根據(jù)實(shí)際，適當(dāng)?shù)匾M(jìn)系統(tǒng)管理人員以及安全管理人員。在一定程度上使單位內(nèi)的技術(shù)人員覆蓋范圍較為全面，尤其是專職的網(wǎng)絡(luò)信息安全管理人員，提高管理人員專業(yè)化程度，各崗位人員的職責(zé)明確化；加強(qiáng)與單位外部專業(yè)技術(shù)人員以及系統(tǒng)相應(yīng)軟硬件公司間的溝通與交流，保持頭腦的與時(shí)俱進(jìn)；組織專業(yè)技術(shù)人員加強(qiáng)對(duì)網(wǎng)絡(luò)進(jìn)行安全檢查，匯總檢查數(shù)據(jù)，形成檢查報(bào)告，并將檢查結(jié)果進(jìn)行及時(shí)通報(bào)，對(duì)檢查出的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行及時(shí)商議和修訂。

4.完善人員管理，促進(jìn)內(nèi)外交流

人員安全管理層次，加強(qiáng)或設(shè)置嚴(yán)格的人員錄用、離崗、考核以及培訓(xùn)制度，尤其是人員離崗或人員培訓(xùn)制度。對(duì)于離崗人員應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗前須承諾調(diào)離后的保密義務(wù)，并及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；通過(guò)調(diào)查數(shù)據(jù)分析，65.1%的單位認(rèn)為網(wǎng)絡(luò)技術(shù)人員與用戶的安全意識(shí)薄弱是造成各種網(wǎng)絡(luò)安全的主要原因。因此，加強(qiáng)網(wǎng)絡(luò)管理人員與用戶的安全意識(shí)，并對(duì)各崗位管理與技術(shù)人員提供針對(duì)性的技能培訓(xùn)，尤其是關(guān)鍵崗位的技術(shù)人員，為其提供盡可能多的深造與交流的機(jī)會(huì)。

此外，通過(guò)調(diào)查分析，62.8%的單位認(rèn)為缺乏網(wǎng)絡(luò)安全專項(xiàng)資金的投入是造成教育系統(tǒng)網(wǎng)絡(luò)信息安全問(wèn)題的另一主要原因。因此，各教育行政部門(mén)、各單位適當(dāng)加強(qiáng)教育系統(tǒng)內(nèi)在網(wǎng)絡(luò)信息安全保護(hù)方面專項(xiàng)資金的投入，以保障專業(yè)技術(shù)人員的引進(jìn)與培訓(xùn)、系統(tǒng)內(nèi)各項(xiàng)軟硬件設(shè)備的及時(shí)升級(jí)與更新（尤其是關(guān)鍵設(shè)備）以及網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境的改善。

小結(jié)

總之，我們?cè)诶酶鞣N技術(shù)手段從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全以及數(shù)據(jù)安全等層面提高單位內(nèi)網(wǎng)絡(luò)信息安全性能的同時(shí)，也要不斷加強(qiáng)和完善主管領(lǐng)導(dǎo)與責(zé)任部門(mén)、制度安全、人員安全、系統(tǒng)建設(shè)與運(yùn)維等管理層面的各項(xiàng)措施。做到技術(shù)和管理相輔相成，共同提升網(wǎng)絡(luò)在教育信息化中的關(guān)鍵作用。

[1]公安部辦公廳.關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知.2007年6月27日.

[2]計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法.公安部第33號(hào)令.

[3]教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知.教辦廳函[2011]83號(hào).

[4]教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知.教辦廳函[2009]80號(hào).

（編輯：郭桂真）

TP315

A

1673-8454（2012）04-0015-03