多数情况下,疏忽并不在于技术,而在于相应岗位的人未尽到应尽的责任。
■储朝晖
日前,福建一所高校出现8万多名学生的学籍卡等个人信息处于“裸奔”状态的事件,导致任何人无需身份验证,不用通过账号、密码登录,都可以进入该校网络职业教育学院的学生信息库,不仅能下载信息,还能随意修改。
虽然警方发现这一安全隐患后对该学院的违法行为依法做出处罚并责令整改,未造成重大损失,但这件事还是给各校诸多警醒。
网络把学校安全带进一个新的环境,也带来一些新的不安全因素和形式。在传统的校园里,可能只需要防火防盗防跌跤之类的安全。信息化本身带来信息安全问题,师生和管理者都需要加强信息安全意识。而在现实中,该学院负责人在获悉警方通报的情况后,还不以为然地说:“这只是一个小漏洞,我们叫人完善一下就行了。”有类似观念的人还很多,增强信息安全意识显得任重道远。
网络安全保障不能靠空洞的口号,也不能靠良心,最终要靠技术。而时下不少学校的管理层对新技术缺乏了解,更不要说亲手去操作了,于是存在一种推卸和逃避心理,对信息安全可能造成的损失估计不够;自己不内行,也不想采取有效措施改善,不想建立过硬的专业团队加强学校网络安全保障,导致多数学校在网络技术迅猛发展的情况下,信息安全这块板显得越来越短,对学生的学籍卡等个人信息没有采取最基础的安全防护措施。即便那些采取一些防护措施的校园网,常常也经不起菜鸟们的几下倒腾,更不用说遇到网络高手还能保住安全了。从这个角度说,技术落后就无网络安全可言。
在传统的学校里,教学无疑是学校的中心工作,学校与学生的关系内涵相对狭窄,而网络使得学校与学生有了更加全方位、更加紧密的关系。比如:学生的姓名、年龄、身份证号、家庭住址、联系电话等信息在非网络条件下能够传播的范围和速度有限,可以造成的伤害较小。而在网络条件下,获取这些信息对人造成的伤害显著增加。于是原来一些不需要防备的内容,现在需要列入防备对象。原来学校对学生的隐私知之较少,不需要特意地加以防护;而现在学校的信息库中收集有大量的学生隐私信息,学校就有责任保护好学生的这些隐私,不使它们传播到安全范围之外。
从宏观上说,校园信息安全又不只是校园内的事,而是全社会的事。因此,对学生加强信息环境下的道德教育,普及《计算机信息网络国际联网安全保护管理办法》等常识,建立完善的互联网单位、接入单位、使用计算机信息网络国际联网的法人和其他组织安全保护管理制度,让更多的社会成员学会遵纪守法、文明道德地使用网络,显得刻不容缓。
即使技术再发达、安全工具再尖端,网络安全的所有锚链最终都拴在人的责任心上。在多数情况下,疏忽并不在于技术,而在于相应岗位的人未尽到应尽的责任。所以,明确责任范围、强化岗位责任、建立严格的追责机制,是确保网络安全的真实起点。(作者系中国教育科学研究院研究员)
