信息安全体系的一个显著特点就是防患于未然。目前，越来越多的人都呼吁建立“主动防御”机制。

　　在细化安全体系和制度上，复旦大学每年都进行校内的安全审计。宓    说：“在校园网安全管理中，安全审计非常必要。要不定期、不定人的安全工作审计，主要是保持部门内部和各托管服务器管理员对安全工作的警惕性。”目前，复旦大学安全审计的内容包括端口扫描、备份检查、系统补丁检查等。

　　无独有偶，北京师范大学也于2008年间发起了校园信息安全整体评估的工作，并取得突出的成效。“作为信息中心的工作教师怎么能够知道我们各个方面的工作是否有安全的风险？此外，安全的需求、系统的安全等级是什么？我们如何加快实施安全建设？这些方面的工作都依赖于安全评估工作的执行。”北京师范大学信息网络中心主任刘臻说。

　　刘臻表示，2008年的北师大奥运安保工作给了他和他的团队宝贵的经验，现在他们通过漏洞扫描、工具评估、人员评估、弱点评估、审计评估、综合风险分析等方式对网络设备、安全管理、人员、制度、业务系统等进行全面的安全评估。

　　此外，校园网的主体是网络技术人员和用户。要提高网络技术人员的网络信息安全应急处理能力，就要强化动手能力和安全分析能力的培训工作。要从根本上解决网络安全问题，只有提高用户的计算机水平和安全意识。

　　导入IT治理

　　随着用户对信息化的应用和服务的需求越来越高，“以人为本”的新一代数字校园理念深入人心。如何为用户提供安全、可靠、高效的信息技术支持环境，成为高校必须面临的挑战。

　　由于我国高校信息化发展之初，并没有从全局来规划各种资源的投入和整合，导致信息孤岛、设备浪费、安全问题频发。二级网站的“挂马”事件使得一些学校处境被动，甚至在一段时间内都受到不良影响。这表示，信息化工作者不能只看到现在，而要从战略层面来建立包括信息安全在内的信息化体系，并对信息技术资源进行有效的规划、组织、协调和控制势在必行，即进行IT治理。

　　清华大学计算机与信息管理中心主任蒋东兴介绍说，“IT治理”的概念最初是由美国的高校提出来的，美国麻省理工大学信息系统管理研究中心的彼得·维尔和珍妮·罗斯在《IT治理》一书中提出了概念框架，即IT治理是指在利用信息技术的过程中，为鼓励期望行为。

　　随着信息技术在学校核心竞争力的地位越来越重要，很多高校开始重视IT治理，并将其纳入学校的发展战略中。在美国教育信息化协会EDUCAUSE的2009年的十大关注点中，IT治理榜上有名。蒋东兴认为，国内大学引入IT治理很有必要，也到了行动的时候，不过“治理”高于“管理”，因此，需要从很高的层面上提倡。目前来看，国内高校在这方面需要大力推动。

　　IT治理不仅需要人们在理念上予以认同并接受，还要建立相应的职位和部门，即学校的CIO、各种形式的委员会和内部信息审计部门，来共同配合。

　　CIO负责领导、组织和协调高校IT战略规划，IT管理标准和政策的制定，以及IT架构和基础设施投资等决策的制定。各种形式的委员会构成了高校进行治理的基本组织结构。内部信息审计部门则评估和控制信息技术应用的可用性、效率、安全性。通过三个层面的协作，从建设阶段就开始制定IT治理的机制，着手设计和实现进行IT治理的一整套框架，来指导高校信息化建设中的IT投资决策的制定等工作，从而提高高校IT资源的管理水平和服务效率，提升教师、学生、大众对学校信息技术服务的满意度。

　　相关人士表示，与其随着时间流逝，等待高校中IT治理环境的成熟，不如从现在就为高校建立一个良性的IT资源循环。

　　来源：《中国教育网络》2009年9月刊