高校在移動(dòng)應(yīng)用建設(shè)過程中,面臨著建設(shè)模式選擇、安全問題解決,以及如何進(jìn)一步發(fā)展等問題。對(duì)此,高校信息化部門相關(guān)負(fù)責(zé)人發(fā)表了各自的看法,并普遍認(rèn)為,高校移動(dòng)應(yīng)用建設(shè)需要營造一個(gè)多方參與的開放型生態(tài),在更好滿足用戶需求的同時(shí),緩解信息化部門的開發(fā)及運(yùn)維壓力。
自建平臺(tái)與企業(yè)平臺(tái)怎么選?
高校在進(jìn)行校園移動(dòng)應(yīng)用建設(shè)時(shí),是選擇自建平臺(tái)還是選擇企業(yè)平臺(tái),每位老師的意見不盡相同,每個(gè)學(xué)校的模式也各有差異。然而,大家普遍認(rèn)為,兩種路徑實(shí)則各有優(yōu)缺點(diǎn)。
自建平臺(tái)的優(yōu)點(diǎn)是可以設(shè)計(jì)貼合學(xué)校的UI,功能體驗(yàn)和安全性更佳,也更能夠體現(xiàn)學(xué)校特點(diǎn);缺點(diǎn)是開發(fā)和運(yùn)維成本高,需要單獨(dú)下載,不宜推廣,需要適應(yīng)各類手機(jī)型號(hào)和操作系統(tǒng),升級(jí)維護(hù)需要持續(xù)不斷投入大量人力和資金。
企業(yè)平臺(tái)的優(yōu)點(diǎn)是開發(fā)成本低,開發(fā)速度快,已經(jīng)形成用戶群,容易推廣,操作符合用戶習(xí)慣;缺點(diǎn)是受制于平臺(tái)開放的接口,用戶體驗(yàn)相對(duì)較差。
浙江大學(xué)信息技術(shù)中心主任陳文智認(rèn)為,高校應(yīng)借力現(xiàn)有互聯(lián)網(wǎng)的技術(shù)成果,快速搭建屬于自己的移動(dòng)應(yīng)用生態(tài)。
陳文智指出,主流的移動(dòng)應(yīng)用建設(shè)有兩條路徑:
一是借助現(xiàn)有移動(dòng)端平臺(tái),開發(fā)學(xué)校的桌面端移動(dòng)應(yīng)用。其優(yōu)勢在于可以快速實(shí)現(xiàn)移動(dòng)端,且能夠和已有成果結(jié)合并轉(zhuǎn)化借力,從而大幅降低研發(fā)費(fèi)用的投入;
二是從零開始建設(shè)校園移動(dòng)應(yīng)用。其優(yōu)勢是完全自主可控,但帶來的劣勢也非常明顯,比如投入周期過大,產(chǎn)出效果未必盡如人意,且很有可能是一個(gè)獨(dú)立的應(yīng)用,沒辦法借力于外界的生態(tài)。
東北財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息管理中心副主任陳偉認(rèn)為,獨(dú)立App模式數(shù)據(jù)更為可控,更能滿足個(gè)人數(shù)據(jù)安全需要。東北財(cái)經(jīng)大學(xué)的移動(dòng)信息化以一個(gè)平臺(tái)、多種終端、多種服務(wù)方式的融合平臺(tái)模式為目標(biāo),進(jìn)行建設(shè)。
陳偉指出,目前,企業(yè)微信、騰訊微校等建設(shè)模式得到廣泛應(yīng)用,校園獨(dú)立App應(yīng)用的安裝、更新等存在諸多不便而逐漸式微。獨(dú)立App這種模式獨(dú)有的價(jià)值、特性和技術(shù)能力在過去的年代沒有發(fā)揮出來,但卻更能滿足以下兩方面的需求。
首先,獨(dú)立App模式能夠滿足智慧校園時(shí)代對(duì)于數(shù)據(jù)充分感知的需求,如人臉識(shí)別、GPS、NFC等物聯(lián)傳感信息,而第三方平臺(tái)對(duì)此有很大限制,無法采集此類信息;
第二,獨(dú)立App模式能夠滿足數(shù)據(jù)保護(hù)的要求,2018年5月,歐盟發(fā)布《一般數(shù)據(jù)保護(hù)法案(General Data Protection Regulation, 679/2016, GDPR )》(簡稱GDPR),2019年5月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《數(shù)據(jù)安全管理辦法(征求意見稿)》,對(duì)移動(dòng)應(yīng)用數(shù)據(jù)收集、數(shù)據(jù)處理使用、數(shù)據(jù)安全監(jiān)督管理提出了明確要求,2020年3月,我國《信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T 35273-2020》開始實(shí)施。
以上種種,均傳遞出一個(gè)明確的信號(hào),個(gè)人數(shù)據(jù)安全需要得到更高程度的重視,且對(duì)整個(gè)移動(dòng)信息化建設(shè)的信息安全體系構(gòu)建提出了新的要求。
常熟理工學(xué)院信息化辦公室黨委書記先曉兵認(rèn)為,移動(dòng)應(yīng)用建設(shè)應(yīng)在一些專業(yè)數(shù)字平臺(tái)之上,隨需進(jìn)行微創(chuàng)新。常熟理工學(xué)院從最初的依托企業(yè)打造專屬App,轉(zhuǎn)變?yōu)槟壳暗闹饕谖⑿殴娞?hào)、企業(yè)微信,并結(jié)合微信開放認(rèn)證平臺(tái),打造學(xué)校的移動(dòng)應(yīng)用平臺(tái)生態(tài)。
先曉兵指出,與其抱怨沒有一個(gè)平臺(tái)適合自己,不如在一些大的平臺(tái)之上進(jìn)行資源優(yōu)化和整合,打造更加貼近學(xué)校特色的移動(dòng)應(yīng)用平臺(tái),這就需要培養(yǎng)自己的信息化隊(duì)伍。常熟理工學(xué)院打造的小應(yīng)用能夠受到師生歡迎的重要原因,就是學(xué)校有一個(gè)自己的小團(tuán)隊(duì),可以隨需而變,靈活進(jìn)行微創(chuàng)新。
期望推翻一個(gè)平臺(tái)去打造另一個(gè)平臺(tái)就能解決所有問題的想法并不可取,尋求公司重金打造學(xué)校專屬平臺(tái),與在釘釘、企業(yè)微信等平臺(tái)上進(jìn)行微創(chuàng)新對(duì)比,前者就像在打地基,而后者是直接從10層開始進(jìn)行建設(shè),省去了很多前期投入,節(jié)約了大量時(shí)間,兩者之間的差距顯而易見。
移動(dòng)應(yīng)用安全問題如何破解?
目前,眾多高校都在積極推進(jìn)智慧校園建設(shè),借助移動(dòng)應(yīng)用打造“互聯(lián)網(wǎng)+校園”的智慧校園模式,為師生提供更便捷的智慧校園服務(wù)。與此同時(shí),校園移動(dòng)應(yīng)用的管理工作也成為信息化管理的重要組成部分。伴隨高校移動(dòng)應(yīng)用的快速普及,其安全問題也日益顯現(xiàn)。
移動(dòng)應(yīng)用安全條件更為復(fù)雜,監(jiān)測手段相對(duì)較少,又涉及托管類應(yīng)用,數(shù)據(jù)隱私安全亦是難點(diǎn),如何在安全基礎(chǔ)上推廣移動(dòng)應(yīng)用安全,將是高校信息化人員一個(gè)長期而艱巨的任務(wù)。
北京大學(xué)醫(yī)學(xué)部信息通信中心副主任宋式斌表示,移動(dòng)應(yīng)用安全是網(wǎng)絡(luò)安全工作的一部分,信息化部門是學(xué)校網(wǎng)絡(luò)安全的主責(zé)部門,首先需要知道管什么,有哪些需要管理;其次需要分享被管理的對(duì)象如何管理;最后是制定規(guī)則,配備技術(shù)手段,進(jìn)行有效監(jiān)控管理,在監(jiān)控管理中,填補(bǔ)漏洞,加強(qiáng)規(guī)則,完善程序,最終形成學(xué)校行之有效的網(wǎng)絡(luò)安全策略。
首先,應(yīng)加強(qiáng)資產(chǎn)管理,對(duì)App做好網(wǎng)絡(luò)備案和登記,并按照等級(jí)保護(hù)原則,確定安全等級(jí)和資產(chǎn)責(zé)任,通過安全等級(jí)測評(píng);對(duì)于微信類小程序類,則應(yīng)嚴(yán)把學(xué)校的合同簽署關(guān),所有在微信上開放的小程序,務(wù)必要在學(xué)校備案登記,同時(shí)登記備案學(xué)校與微信端的數(shù)據(jù)通訊接口,明確小程序的應(yīng)用安全責(zé)任,落實(shí)“誰主管,誰負(fù)責(zé),誰使用,誰負(fù)責(zé)”的要求,明確小程序安全責(zé)任主體單位。
其次,作為信息化部門,應(yīng)在移動(dòng)應(yīng)用備案的基礎(chǔ)上,加強(qiáng)安卓應(yīng)用的安全管理,應(yīng)盡量做程序源碼加密,數(shù)據(jù)通訊使用加密協(xié)議,選擇正規(guī)的應(yīng)用服務(wù)商推廣應(yīng)用,避免被加載惡意代碼。有條件的高校,可聯(lián)系手機(jī)應(yīng)用安全廠家,對(duì)源碼進(jìn)行過程安全掃描,同時(shí)對(duì)源碼進(jìn)行加固處理,進(jìn)一步減少程序漏洞。蘋果應(yīng)用管理較為嚴(yán)格和封閉,問題相對(duì)較少,但應(yīng)盡量避免程序自身漏洞,需加強(qiáng)程序開發(fā)的過程安全檢測,降低風(fēng)險(xiǎn)點(diǎn)。對(duì)于微信類小程序,信息化部門需加強(qiáng)其通訊監(jiān)控管理,設(shè)計(jì)好微信上傳數(shù)據(jù)的保護(hù)模式,減少隱私數(shù)據(jù)外傳,關(guān)鍵數(shù)據(jù)盡量在校內(nèi)管控范圍內(nèi),通過接口調(diào)取數(shù)據(jù),避免被批量獲取數(shù)據(jù)。
最后,為確保安全事件可回溯,對(duì)移動(dòng)應(yīng)用的訪問日志務(wù)必做到符合《網(wǎng)絡(luò)安全法》的要求,對(duì)日志可定期進(jìn)行統(tǒng)計(jì)分析,了解訪問趨勢和潛在風(fēng)險(xiǎn),有條件的高校,可在數(shù)據(jù)中心出口部署七層安全設(shè)備,進(jìn)一步掌握應(yīng)用的訪問情況,確定訪問源頭安全信息。
中國人民大學(xué)信息技術(shù)中心主任李艷麗介紹,中國人民大學(xué)托企業(yè)微信建設(shè)移動(dòng)校園,除基礎(chǔ)人員和組織機(jī)構(gòu)數(shù)據(jù)需要傳到企業(yè)微信用于用戶綁定外,其他數(shù)據(jù)都在學(xué)校本地存儲(chǔ),通過學(xué)校數(shù)據(jù)中心一系列的安全措施加以保護(hù)。
傳到企業(yè)微信的僅是人員和組織機(jī)構(gòu)代碼,不涉及其他信息,以此來保護(hù)個(gè)人數(shù)據(jù)安全。
重慶郵電大學(xué)信息化辦公室主任田航表示,為積極應(yīng)對(duì)移動(dòng)應(yīng)用安全問題,重慶郵電大學(xué)主要采取了三項(xiàng)措施。
一是將其納入學(xué)校網(wǎng)絡(luò)安全防護(hù)體系統(tǒng)一管理,如嚴(yán)格落實(shí)信息發(fā)布審核制度、網(wǎng)絡(luò)身份實(shí)名制等,定期進(jìn)行網(wǎng)絡(luò)安全檢查、漏洞掃描等,使用HTTPS安全域名、采用加密方式進(jìn)行數(shù)據(jù)傳輸?shù)龋?/p>
二是建立開發(fā)安全機(jī)制,例如代碼開發(fā)環(huán)境與運(yùn)維生產(chǎn)環(huán)境分離、進(jìn)行數(shù)據(jù)備份、服務(wù)器升級(jí)加固等;
三是不斷提升師生的信息化素養(yǎng),提高開發(fā)運(yùn)維人員的安全意識(shí),時(shí)刻注意保護(hù)師生用戶的個(gè)人信息安全。
本文刊載于《中國教育網(wǎng)絡(luò)》雜志2020年5月刊。
