葉玉健　王茂華　劉詩睿等

關鍵詞：信息安全;高校;人事信息

中圖法分類號：TP306 文獻標識碼：A

1引言

信息技術在人事管理中的應用越來越廣泛，人事信息不僅包含教職員工個人信息、業(yè)績信息、職務信息、工資福利等各種數(shù)據(jù)信息，還貫穿人事各項業(yè)務辦理過程。此外，人事部門與校內外相關單位的數(shù)據(jù)往來十分頻繁?？傮w來看，人事數(shù)據(jù)信息具有數(shù)據(jù)量龐大、數(shù)據(jù)類型多樣、數(shù)據(jù)變動較快、數(shù)據(jù)交換頻次高等特征，加上人事數(shù)據(jù)包含部分個人隱私，具有高度敏感性，使得人事信息容易成為不法分子的攻擊目標，人事信息安全問題逐漸涌現(xiàn)，發(fā)生信息泄露、數(shù)據(jù)丟失等風險度也越來越高。因此，在新形勢下運用大數(shù)據(jù)技術為人事信息安全提供有力保障，對于維護教職工個人隱私安全和保障人事業(yè)務的順利開展具有重要意義。

2高校人事信息的特點

2.1信息量龐雜

高校作為集教育教學、科學研究以及社會服務等為一體的復合型機構，人員密集程度高，這是其人事信息數(shù)據(jù)量大的主要原因。尤其隨著事業(yè)單位改革的深入，高校用工形式逐漸多樣化。加之部分高校涉及醫(yī)院、企業(yè)等附屬機構，使得人事關系也日益復雜。因此，高校用人往往是固定制、聘用制、勞動關系、勞務關系等多種形式并存。此外，高校人事信息除教職工個人基本信息以外，還涉及薪酬管理、崗位管理、培訓培養(yǎng)、職稱職務晉升、獎懲等各類業(yè)務數(shù)據(jù)。這類數(shù)據(jù)隨著時間的推移逐漸累積和擴展，使得人事信息日趨龐雜。

2.2信息交互頻次高

縱觀我國各大高校，大多采用校院兩級扁平化的組織機構，下設多個學院（系）、機關部處、業(yè)務實體以及科研平臺。人事部門作為高校的核心管理部門之一，人事信息和數(shù)據(jù)往往是其他部門業(yè)務開展的基礎，因而與校內各部門間的數(shù)據(jù)交互時有發(fā)生。此外，高校與上級教育主管部門業(yè)務數(shù)據(jù)往來也十分頻繁。

2.3信息安全風險高

信息安全關系每個人的切身利益，隨著信息泄露問題的不斷凸顯，人們對信息安全的重視程度不斷提高。人事信息涉及個人的身份信息、薪酬待遇等各類敏感數(shù)據(jù)，容易成為不法分子攻擊對象。據(jù)有關部門檢測數(shù)據(jù)顯示，人事系統(tǒng)是高校所有系統(tǒng)中受攻擊頻次是最高的。高校人事數(shù)據(jù)信息敏感程度高，發(fā)生信息泄露的風險也越來越大。

3高校人事信息安全問題分析

信息安全防護主要是防止非法操作對信息進行惡意損壞、更改和泄露。信息安全包括數(shù)據(jù)安全、運行安全、實體安全和管理安全四個方面。根據(jù)多方調研，高校人事數(shù)據(jù)安全問題主要體現(xiàn)在以下幾個方面。

3.1信息安全防護制度不健全

近年來，我國已發(fā)布數(shù)十項信息安全國家標準，信息安全保障體系建設主要以信息安全技術、管理、機制、服務和評估為重點。2016年，我國頒布“網絡安全法”，堅持網絡安全與信息化發(fā)展并重。但是，截至發(fā)稿前多數(shù)高校尚未結合“網絡安全法”制定行之有效的安全檢查和應對保護制度，缺乏規(guī)范的網絡信息管理體系，網絡防護層次不分明、結構網絡不清晰、防護流程也較為模糊，無法為人事信息提供有效防護，導致人事信息安全防護工作缺乏依據(jù)和針對性。

3.2網絡基礎設施投入不充足

長期以來，高校的網絡基礎設施建設經費不充裕，導致一些部門的服務器及個人計算機依然使用較早版本操作軟件甚至是未經授權的軟件。網絡硬件設備和操作平臺存在漏洞將嚴重影響網絡的可靠性與可用性。例如，信息網絡中的各級路由設備如果不能實時監(jiān)測及隔斷惡意攻擊，會給信息系統(tǒng)及數(shù)據(jù)安全帶來極大的風險。此外，不同信任域的數(shù)據(jù)交換會導致人事管理系統(tǒng)信息泄露可能性大大增加。同時，由于用戶在不同信任域的網絡需要進行信息交換的操作，這也給不法分子提供了侵入機會，需要配備針對性的加強軟件及硬件設備。然而，相關軟硬件設施價格較為昂貴，從而導致這類設施無法快速配備到位。

3.3人員配備及培訓不到位

部分高校在信息化建設過程中對于網絡安全不夠重視，普遍存在重建設輕維護的現(xiàn)象，主要體現(xiàn)在兩個方面：一是人員技術水平欠缺，大部分高校并未設置專人負責數(shù)據(jù)安全維護及網絡管理。也未充分開展數(shù)據(jù)安全相關的業(yè)務培訓，從而使得日常工作中數(shù)據(jù)安全風險高;二是安全防范意識淡薄，人事數(shù)據(jù)相關工作人員對數(shù)據(jù)安全敏感度不高，數(shù)據(jù)安全問題沒有引起足夠的重視，日常工作中容易無意識的將人事數(shù)據(jù)暴露在高風險環(huán)境中。

4 高校人事信息安全防護策略

4.1管理層面

4.1.1建立健全人事信息安全制度

只有從管理層面建立完備的制度體系，才能從根本上解決高校人事信息安全問題，為高校人事信息安全提供依據(jù)和保障。高校亟須結合《網絡安全法》《個人信息保護法》等法律法規(guī)制定專門的人事信息安全制度。借鑒各大高校信息安全的有效做法，總體來看，制度建設主要可以從以下幾個方面著手：一是制定信息安全操作規(guī)范，包括人事數(shù)據(jù)傳輸及使用過程中規(guī)范的操作說明、危險操作提示、禁止操作警示等;二是信息安全制度的實施與監(jiān)督，包括安全制度實施計劃、督查方案的設定;三是制定數(shù)據(jù)安全事故應急處置預案，包括備份系統(tǒng)、災備系統(tǒng)建設方案、數(shù)據(jù)恢復方案等;四是明確信息安全責任，依據(jù)人事信息數(shù)據(jù)操作業(yè)務流程，明確崗位職責及責任主體。

4.1.2加強數(shù)據(jù)安全人才隊伍建設

高校數(shù)據(jù)安全涉及人事、財務、學工、教務、科研等多個業(yè)務板塊的海量數(shù)據(jù)。數(shù)據(jù)安全人才隊伍建設可以從三個方面著手：一是招聘或培養(yǎng)信息安全方面的專業(yè)人才，在涉及重要信息的崗位，配備信息安全或數(shù)據(jù)安全專業(yè)相關的技術人員;二是制定人才培訓和培養(yǎng)計劃，定期組織數(shù)據(jù)安全教育培訓。整合高校資源，與高校計算機或信息安全相關院系進行合作，或者聘請校外網絡安全與信息安全專門的機構，做針對性的培訓，提升從業(yè)人員的數(shù)據(jù)安全應對能力;三是加大信息宣傳力度，強化從業(yè)人員信息安全意識。將數(shù)據(jù)安全理念融入日常工作中，時刻繃緊數(shù)據(jù)安全保護的弦。

4.2技術層面

4.2.1加大信息安全基礎設施投入

信息安全及數(shù)據(jù)安全防護需要以相應安全等級的軟硬件設備為基礎，高校一方面可以提供信息安全及數(shù)據(jù)安全專項經費，用于信息安全基礎設施的建設，比如建設隔離機房、配備備份服務器、購買防火墻軟件等。此外，還可以采用委托的方式，聘請專業(yè)網絡安全、數(shù)據(jù)安全的機構，定期開展安全測評，掃描安全漏洞及風險，及時發(fā)現(xiàn)和修復網絡安全漏洞。

4.2.2加強信息安全技術的應用

隨著網絡安全技術的發(fā)展，保障數(shù)據(jù)安全的技術手段也在不斷精進，主要有身份認證、防火墻、加密技術等。對于高校人事信息安全管理，需要加強信息安全技術的應用：一是身份認證技術——通過“用戶名+密碼”、動態(tài)口令、生物驗證等方式進行身份識別，維護網絡安全的環(huán)境;二是防火墻技術——利用其預警、監(jiān)控的特點構建網絡安全防護體系，提高防護質量;三是數(shù)據(jù)加密技術——采用節(jié)點加密、鏈路加密、端對端加密等方式，進一步保障數(shù)據(jù)安全，優(yōu)化網絡環(huán)境;四是虛擬專用網絡技術——采用VPN技術搭建業(yè)務流程專業(yè)網絡通道，或者構建分層服務器，防范和解決網絡安全隱患。

5結語

本文借鑒了高校在信息安全管理方面的經驗，結合自身工作經驗，分析了高校人事信息安全問題的來源，總結了高校人事信息安全防護策略，為推進高校人事信息化的順利建設，維護教職工的信息安全提供有效參考。當前，各大高校都十分重視人事信息安全，個別高校已自主建立安全等級較高的獨立人事管理系統(tǒng)，將人事數(shù)據(jù)交互過程中的風險降低到最低。此外，以人事數(shù)據(jù)為引領，建立“大人事”數(shù)據(jù)堡壘，整合和規(guī)范各類數(shù)據(jù)，能夠有效解決數(shù)據(jù)一致性和完整性的問題，這將是保障人事信息安全的重要方向之一。

作者簡介：

葉玉?。?987—），博士，助理研究員，主要研究方向：人力資源管理。