“三位一体”高职院校网络信息安全建设研究

    惠磊 高艳玲 姜艳 周伟伟

    【摘要】 ? ?随着信息科学技术的飞速发展，大量先进信息网络技术不断出现，高职院校的网络信息安全建设还需进一步发展，针对网络信息安全建设方面存在的顶层规划不完善，制度规范不健全，师生网络安全安全意识和能力不足，安全管理人员能力不足，软硬件设备还需进一步更新升级等进行网络信息安全对策研究与实践，以“网络安全为人民，网络安全靠人民”理念为指引，构建人、制度、软硬件的“三位一体”的网络信息安全防护体系。

    【关键词】 ? ?高职院校 ? ?网络安全 ? ?安全防护

    随着信息科学技术的飞速发展，大量先进信息网络技术不断出现，网络已逐渐融入到人们生产、生活、工作和学习中，它深刻影响着我国乃至全世界政治、经济、文化等多领域的发展。面对复杂多变的国内国际形势，加之受计算机病毒、恶意代码及软件、网络攻击工具等多种安全因素的影响，网络信息安全形势日益严峻，网络信息安全防护的作用也越来越凸显。随着国家对网络信息安全的重视程度逐渐增加，网络信息安全已经提升到了关乎国家主权和安全的层面。[1]

    习近平总书记于2014年2月27日在中央网络安全和信息化领导小组第一次会议上指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。”，强调了网络信息安全的重要性。随后制定并颁布实施了《中华人民共和国网络安全法》，这部法律的颁布实施进一步保障了网络信息安全，维护了国家网络空间主权和安全等合法权益，促进了国家经济社会信息化健康平稳有序发展。国家教育部办公厅印发的《2020年教育信息化和网络安全工作要点》，再次强调教育系统网络信息安全防护，落实国家网络安全等级保护2.0的相关要求，健全网络信息安全相关工作机制和技术标准。持续推进教育系统关键信息基础设施保障工作，建立健全常态化网络信息安全保障机制体制。

    为适应新时代发展要求，推进高职院校双一流建设，各个高职院校都在如火如荼的进行信息化建设。近年来，随着高职院校信息化水平的不断提高。学校教师教学、学生管理和师生科研管理等业务管理工作也陆续实现了线上办理，极大地便利了师生的工作、生活和学习。信息化校园中，校园网已成为学校非常重要的基础设施，位于其中的服务器、主机等设备存储了大量学校相关业务及师生的关键信息。对这些业务关键信息的保护也成为一个越来越迫切的安全需求。同时，大量师生聚集在高职院校，使用校园网连接到Internet中获取新闻资讯和学业知识，对网络服务的需求和质量的要求也越来越高。由于高校信息化顶层规划建设不完善等原因，可能存在诸如业务系统代码编写不规范导致的安全漏洞等，加之Internet中会有很多诸如计算机病毒、DOS网络攻击等不安全因素，会影响学校师生的正常上网体验，危害学校的信息安全。因此，学校网络信息安全建设的地位越来越重要。

    本文对高职院校网络信息安全建设现状进行分析研究，针对网络信息安全建设方面存在的不足与短板，进行网络信息安全对策研究与实践，以“网络安全为人民，网络安全靠人民”理念为指引，构建人、制度、软硬件的“三位一体”的网络信息安全防护体系。

    一、高职院校网络信息安全建设现状分析

    1.1高职院校网络信息安全建设顶层规划不完善

    高职院校信息化建设是近些年才开始兴起的，开始之初高职院校没有以前的成熟经验可以借鉴。各个高职院校也是摸着石头过河，结合各个学校实际，各自探索分步骤实践信息化建设，加之经费、人员很难一步到位，信息化建设是一个长期持续的过程。网络信息安全也是随着信息化建设的不断推进，才逐渐得到重视。信息化业务流程建设和网络信息安全建设存在“两张皮”的现象。在信息化建设过程中由于人员变动、资金受限、开发人员水平有限等因素，存在业务系统代码编写不规范导致的安全漏洞等安全问题。同时，关于不同的业务系统的安全标准及防护也是各自为战，没有统一标准及防护措施。[2]

    1.2高职院校网络信息安全管理制度还不够健全

    高职院校信息化建设过程中，存在对网络信息安全管理制度建设重视程度不够的现象，虽然建立了部分网络信息安全制度，但高职院校的网络信息安全管理制度还需进一步完善。高职院校的网络信息安全责任制还存在短板和不足，要更加明确落实学校网络信息安全主体责任和各相关部门的具体责任。网络信息安全形势变化较快，已经制定好的网络安全规范和制度可能还有漏洞或者遗漏部分，需要查漏补缺。网络信息安全安全预案由于人员调整、设备更新、系统建设变化不在适应学校实际网络安全情况。[3]

    1.3高职院校师生网络信息安全防范意识与能力不足

    大部分高职院校师生不是计算机相关专业，他们对计算机病毒、恶意代码等概念不熟悉，也不了解网络信息安全防护相关知识。他们使用互联网访问学校网站及其他网站仅仅是浏览网页，完成相应流程业务。他们的网络信息安全防范意识比较薄弱，没有真正明白网络信息安全的意义与目的。很多学生在主机上使用纯数字弱口令，并且更换密码的周期很长，经常一个密码登录所有网站系统;在浏览邮件时，可能点开并下载来历不明的邮件附件;下载应用软件时，选择来历不明的软件，而未去官方网站下载。并且大多数师生没有定期对电脑硬盘进行病毒检测和备份重要数据的习惯。[4]

    1.4高职院校网络信息安全管理人员水平还有待提高

    高职院校网络信息安全管理人员队伍普遍存在对网络信息安全管理工作的认识和理解不足，业务技术能力不够的现象。由于很多高职院校网络信息安全管理人员的从业经历相对比较单一，加之高职院校网络信息安全环境相对简单，网络信息安全管理工作人员对网络信息安全管理工作的认识和理解不足，业务技能水平无法适应时刻变化的网络信息安全需求。同时，高職院校没有比较系统的网络信息安全管理方面的职业培训，网络信息安全管理人员业务技能水平提升途径少。

    1.5高职院校网络信息软硬件设备还需进一步更新升级

    随着网络信息技术的快速发展，作为业务流程载体的数据库、服务器等软硬件设备也会不断出现新的安全漏洞，影响软硬件设备的安全性;高职院校购买的防火墙、VPN、防病毒软件等网络信息安全软硬件设备的规则库和病毒库也需更新和维护以保证防御、查杀病毒的能力。某些网络信息安全设备受限于自身软硬件，更新升级后，其防护的作用也比较局限，安全防护能力较差。加之设备的自然老化等因素，高职院校的网络信息设备还需进一步更新升级。

    二、高职院校网络信息安全建设对策研究

    网络信息安全防护的主要在人、制度、软硬件等方面。人是进行网络信息安全防护的参与者和受益者。一切制度、技术和设备都是为人服务的，做好人的网络信息安全防护工作是网络信息安全建设的核心。制度作为行为准则及标准，规范高职院校师生员工的上网行为和安全管理行为，是网络信息安全建设的保障。软硬件设備既有需要进行安全防护的业务软硬件，也有专门防护其他软硬件的安全软硬件工具和设备。安全工具设备的选择，需要根据业务软硬件和采用的安全技术手段。安全软硬件设备工具严密防范网络攻击，保护网络信息安全。软硬件是网络信息安全建设的重要载体。

    2.1顶层规划设计网络信息安全建设，形成体系

    高职院校要紧紧围绕“网络安全为人民，网络安全靠人民”的安全理念，多层次、全方位的梳理网络硬件基础设备建设及运维情况和业务系统建设及运维情况，分析自身网络信息安全建设的现状，找出存在的不足，根据发展规划，通盘考虑全校网络信息安全，补足网络信息安全短板，自顶向下制定网络信息安全建设规划，构建人、制度、软硬件的“三位一体”网络信息安全建设体系，整合零散资源，集中力量，进一步加强高职院校网络信息安全建设。

    2.2制定科学合理的网络信息安全管理制度，有章可循

    高职院校要根据学校网络信息安全建设顶层规划，制定和完善网络信息安全制度，健全完善网络信息安全责任制，明确高职院校网络信息安全的主体责任，同时也要落实相关部门和相关人员的具体责任。针对网络和计算机软硬件管理、机房管理、网站和信息系统建设与运维管理、数据安全及使用管理、人员安全管理等方面，完善网络信息安全规范与制度;完善和更新高职院校网络信息安全应急预案，并定期开展网络信息安全应急演练等。高职院校要对学校业务信息系统（网站）全面开展网络安全等级的定级和备案，重点做好二级及以上信息系统的测评和整改。制定网络信息安全自查自纠制度，通过排查，针对发现的短板与不足，不断整改、完善和落实好网络信息安全制度。

    2.3提升师生员工网络信息安全防范意识与能力，人人参与

    针对高职院校师生网络信息安全意识淡薄、防护能力不足的情况。可通过在师生间开展网络信息安全活动、安全讲座、主题班会等方式方法提升师生的网络安全防范意识和能力。倡导“网络安全为人民，网络安全靠人民”的安全理念。真正使全体师生参与到维护网络信息安全中来。倡导不下载和安装来历不明的软件和电子邮件，使用正版软件和复杂账号密码，定期更换密码，定期对计算机硬盘进行病毒查杀和备份重要数据，不访问浏览各种不良网站等。

    2.4提高网络信息安全管理人员业务水平与管理能力，筑牢防线

    网络信息安全管理人员是维护网络信息安全的重要力量。其技术业务水平和管理能力是维护网络信息安全的关键所在。高职院校需对网络信息管理人员制定完善的技能业务能力和管理水平培训提升计划。新入职的网络信息安全管理人员进行相应的入职培训，提高其技术业务能力和管理能力;鼓励网络信息安全管理人员积极外出参加网络信息安全会议，增长其见闻。定期邀请网络信息安全设备厂商对学校相关网络信息安全管理人员进行相关技术培训;鼓励网络信息安全管理人员多去其他网络安全建设示范高校参观交流学习，借鉴相关网络信息安全建设经验。[5]

    2.5持续更新升级网络信息软硬件设备，持久保护

    对于信息业务软硬件设备，要定期进行漏洞扫描。对扫描暴露出来的安全漏洞，要及时更新升级业务软硬件设备。对于网络信息安全设备，尤其是防火墙、VPN、防病毒软件等，要及时更新和维护规则库和病毒库等。由于每一种网络信息安全设备受限于自身软硬件限制，都有它的使用年限。高职院校要根据具体网络信息安全设备使用情况，结合先进的安全技术，形成持续更新软硬件设备的规划，有计划地对相应网络信息安全设备更新换代。

    三、结束语

    当前，随着网络信息安全的地位越来越高。高职院校对网络信息安全建设的重视程度也越来越重要。本文通过对高职院校网络信息安全建设的现状进行分析，针对发现的不足与短板，进行网络信息安全对策研究与实践，构建人、制度、软硬件的“三位一体”的网络信息安全防护体系。进一步加强高职院校网络信息安全建设，助力高职院校双一流建设。

    参 ?考 ?文 ?献

    [1]刘群.高校网络与信息安全建设研究[J].信息与电脑（理论版）. 2020，32（22）

    [2]覃仲宇.安全新形势下高校网络安全防护体系建设思路[J].计算机时代.2021，（03）

    [3]魏楚元，任彦，龙李欣. 高校网络安全治理体系构建研究[J].网络安全技术与应用.2021，（01）

    [4]魏晓文，邵芳强.论网络背景下的高校意识形态安全建设[J].思想教育研究.2014，（06）

    [5]汤志军.大数据时代高校信息安全策略的设计与实现[J].网络安全技术与应用.2021，（02）