高校在移動(dòng)應(yīng)用建設(shè)過程中,,面臨著建設(shè)模式選擇,、安全問題解決,,以及如何進(jìn)一步發(fā)展等問題,。對(duì)此,高校信息化部門相關(guān)負(fù)責(zé)人發(fā)表了各自的看法,,并普遍認(rèn)為,,高校移動(dòng)應(yīng)用建設(shè)需要營造一個(gè)多方參與的開放型生態(tài),在更好滿足用戶需求的同時(shí),,緩解信息化部門的開發(fā)及運(yùn)維壓力,。
自建平臺(tái)與企業(yè)平臺(tái)怎么選?
高校在進(jìn)行校園移動(dòng)應(yīng)用建設(shè)時(shí),,是選擇自建平臺(tái)還是選擇企業(yè)平臺(tái),,每位老師的意見不盡相同,每個(gè)學(xué)校的模式也各有差異,。然而,,大家普遍認(rèn)為,兩種路徑實(shí)則各有優(yōu)缺點(diǎn),。
自建平臺(tái)的優(yōu)點(diǎn)是可以設(shè)計(jì)貼合學(xué)校的UI,,功能體驗(yàn)和安全性更佳,也更能夠體現(xiàn)學(xué)校特點(diǎn),;缺點(diǎn)是開發(fā)和運(yùn)維成本高,,需要單獨(dú)下載,不宜推廣,,需要適應(yīng)各類手機(jī)型號(hào)和操作系統(tǒng),,升級(jí)維護(hù)需要持續(xù)不斷投入大量人力和資金。
企業(yè)平臺(tái)的優(yōu)點(diǎn)是開發(fā)成本低,,開發(fā)速度快,,已經(jīng)形成用戶群,容易推廣,,操作符合用戶習(xí)慣,;缺點(diǎn)是受制于平臺(tái)開放的接口,用戶體驗(yàn)相對(duì)較差,。
浙江大學(xué)信息技術(shù)中心主任陳文智認(rèn)為,,高校應(yīng)借力現(xiàn)有互聯(lián)網(wǎng)的技術(shù)成果,快速搭建屬于自己的移動(dòng)應(yīng)用生態(tài),。
陳文智指出,,主流的移動(dòng)應(yīng)用建設(shè)有兩條路徑:
一是借助現(xiàn)有移動(dòng)端平臺(tái),開發(fā)學(xué)校的桌面端移動(dòng)應(yīng)用,。其優(yōu)勢(shì)在于可以快速實(shí)現(xiàn)移動(dòng)端,,且能夠和已有成果結(jié)合并轉(zhuǎn)化借力,從而大幅降低研發(fā)費(fèi)用的投入;
二是從零開始建設(shè)校園移動(dòng)應(yīng)用,。其優(yōu)勢(shì)是完全自主可控,,但帶來的劣勢(shì)也非常明顯,比如投入周期過大,,產(chǎn)出效果未必盡如人意,,且很有可能是一個(gè)獨(dú)立的應(yīng)用,沒辦法借力于外界的生態(tài),。
東北財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息管理中心副主任陳偉認(rèn)為,,獨(dú)立App模式數(shù)據(jù)更為可控,更能滿足個(gè)人數(shù)據(jù)安全需要,。東北財(cái)經(jīng)大學(xué)的移動(dòng)信息化以一個(gè)平臺(tái),、多種終端、多種服務(wù)方式的融合平臺(tái)模式為目標(biāo),,進(jìn)行建設(shè),。
陳偉指出,目前,,企業(yè)微信,、騰訊微校等建設(shè)模式得到廣泛應(yīng)用,校園獨(dú)立App應(yīng)用的安裝,、更新等存在諸多不便而逐漸式微,。獨(dú)立App這種模式獨(dú)有的價(jià)值,、特性和技術(shù)能力在過去的年代沒有發(fā)揮出來,,但卻更能滿足以下兩方面的需求。
首先,,獨(dú)立App模式能夠滿足智慧校園時(shí)代對(duì)于數(shù)據(jù)充分感知的需求,,如人臉識(shí)別、GPS,、NFC等物聯(lián)傳感信息,,而第三方平臺(tái)對(duì)此有很大限制,無法采集此類信息,;
第二,,獨(dú)立App模式能夠滿足數(shù)據(jù)保護(hù)的要求,2018年5月,,歐盟發(fā)布《一般數(shù)據(jù)保護(hù)法案(General Data Protection Regulation,, 679/2016, GDPR )》(簡(jiǎn)稱GDPR),,2019年5月,,國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《數(shù)據(jù)安全管理辦法(征求意見稿)》,對(duì)移動(dòng)應(yīng)用數(shù)據(jù)收集、數(shù)據(jù)處理使用,、數(shù)據(jù)安全監(jiān)督管理提出了明確要求,,2020年3月,我國《信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T 35273-2020》開始實(shí)施,。
以上種種,,均傳遞出一個(gè)明確的信號(hào),個(gè)人數(shù)據(jù)安全需要得到更高程度的重視,,且對(duì)整個(gè)移動(dòng)信息化建設(shè)的信息安全體系構(gòu)建提出了新的要求,。
常熟理工學(xué)院信息化辦公室黨委書記先曉兵認(rèn)為,移動(dòng)應(yīng)用建設(shè)應(yīng)在一些專業(yè)數(shù)字平臺(tái)之上,,隨需進(jìn)行微創(chuàng)新,。常熟理工學(xué)院從最初的依托企業(yè)打造專屬App,轉(zhuǎn)變?yōu)槟壳暗闹饕谖⑿殴娞?hào),、企業(yè)微信,,并結(jié)合微信開放認(rèn)證平臺(tái),打造學(xué)校的移動(dòng)應(yīng)用平臺(tái)生態(tài),。
先曉兵指出,,與其抱怨沒有一個(gè)平臺(tái)適合自己,不如在一些大的平臺(tái)之上進(jìn)行資源優(yōu)化和整合,,打造更加貼近學(xué)校特色的移動(dòng)應(yīng)用平臺(tái),,這就需要培養(yǎng)自己的信息化隊(duì)伍。常熟理工學(xué)院打造的小應(yīng)用能夠受到師生歡迎的重要原因,,就是學(xué)校有一個(gè)自己的小團(tuán)隊(duì),,可以隨需而變,靈活進(jìn)行微創(chuàng)新,。
期望推翻一個(gè)平臺(tái)去打造另一個(gè)平臺(tái)就能解決所有問題的想法并不可取,,尋求公司重金打造學(xué)校專屬平臺(tái),與在釘釘,、企業(yè)微信等平臺(tái)上進(jìn)行微創(chuàng)新對(duì)比,,前者就像在打地基,而后者是直接從10層開始進(jìn)行建設(shè),,省去了很多前期投入,,節(jié)約了大量時(shí)間,兩者之間的差距顯而易見,。
移動(dòng)應(yīng)用安全問題如何破解,?
目前,眾多高校都在積極推進(jìn)智慧校園建設(shè),,借助移動(dòng)應(yīng)用打造“互聯(lián)網(wǎng)+校園”的智慧校園模式,,為師生提供更便捷的智慧校園服務(wù),。與此同時(shí),校園移動(dòng)應(yīng)用的管理工作也成為信息化管理的重要組成部分,。伴隨高校移動(dòng)應(yīng)用的快速普及,,其安全問題也日益顯現(xiàn)。
移動(dòng)應(yīng)用安全條件更為復(fù)雜,,監(jiān)測(cè)手段相對(duì)較少,,又涉及托管類應(yīng)用,數(shù)據(jù)隱私安全亦是難點(diǎn),,如何在安全基礎(chǔ)上推廣移動(dòng)應(yīng)用安全,,將是高校信息化人員一個(gè)長期而艱巨的任務(wù)。
北京大學(xué)醫(yī)學(xué)部信息通信中心副主任宋式斌表示,,移動(dòng)應(yīng)用安全是網(wǎng)絡(luò)安全工作的一部分,,信息化部門是學(xué)校網(wǎng)絡(luò)安全的主責(zé)部門,首先需要知道管什么,,有哪些需要管理,;其次需要分享被管理的對(duì)象如何管理;最后是制定規(guī)則,,配備技術(shù)手段,,進(jìn)行有效監(jiān)控管理,在監(jiān)控管理中,,填補(bǔ)漏洞,,加強(qiáng)規(guī)則,完善程序,,最終形成學(xué)校行之有效的網(wǎng)絡(luò)安全策略,。
首先,應(yīng)加強(qiáng)資產(chǎn)管理,,對(duì)App做好網(wǎng)絡(luò)備案和登記,,并按照等級(jí)保護(hù)原則,確定安全等級(jí)和資產(chǎn)責(zé)任,,通過安全等級(jí)測(cè)評(píng);對(duì)于微信類小程序類,,則應(yīng)嚴(yán)把學(xué)校的合同簽署關(guān),,所有在微信上開放的小程序,務(wù)必要在學(xué)校備案登記,,同時(shí)登記備案學(xué)校與微信端的數(shù)據(jù)通訊接口,,明確小程序的應(yīng)用安全責(zé)任,落實(shí)“誰主管,,誰負(fù)責(zé),,誰使用,,誰負(fù)責(zé)”的要求,明確小程序安全責(zé)任主體單位,。
其次,,作為信息化部門,應(yīng)在移動(dòng)應(yīng)用備案的基礎(chǔ)上,,加強(qiáng)安卓應(yīng)用的安全管理,,應(yīng)盡量做程序源碼加密,數(shù)據(jù)通訊使用加密協(xié)議,,選擇正規(guī)的應(yīng)用服務(wù)商推廣應(yīng)用,,避免被加載惡意代碼。有條件的高校,,可聯(lián)系手機(jī)應(yīng)用安全廠家,,對(duì)源碼進(jìn)行過程安全掃描,同時(shí)對(duì)源碼進(jìn)行加固處理,,進(jìn)一步減少程序漏洞,。蘋果應(yīng)用管理較為嚴(yán)格和封閉,問題相對(duì)較少,,但應(yīng)盡量避免程序自身漏洞,,需加強(qiáng)程序開發(fā)的過程安全檢測(cè),降低風(fēng)險(xiǎn)點(diǎn),。對(duì)于微信類小程序,,信息化部門需加強(qiáng)其通訊監(jiān)控管理,設(shè)計(jì)好微信上傳數(shù)據(jù)的保護(hù)模式,,減少隱私數(shù)據(jù)外傳,,關(guān)鍵數(shù)據(jù)盡量在校內(nèi)管控范圍內(nèi),通過接口調(diào)取數(shù)據(jù),,避免被批量獲取數(shù)據(jù),。
最后,為確保安全事件可回溯,,對(duì)移動(dòng)應(yīng)用的訪問日志務(wù)必做到符合《網(wǎng)絡(luò)安全法》的要求,,對(duì)日志可定期進(jìn)行統(tǒng)計(jì)分析,了解訪問趨勢(shì)和潛在風(fēng)險(xiǎn),,有條件的高校,,可在數(shù)據(jù)中心出口部署七層安全設(shè)備,進(jìn)一步掌握應(yīng)用的訪問情況,,確定訪問源頭安全信息,。
中國人民大學(xué)信息技術(shù)中心主任李艷麗介紹,中國人民大學(xué)托企業(yè)微信建設(shè)移動(dòng)校園,,除基礎(chǔ)人員和組織機(jī)構(gòu)數(shù)據(jù)需要傳到企業(yè)微信用于用戶綁定外,,其他數(shù)據(jù)都在學(xué)校本地存儲(chǔ),,通過學(xué)校數(shù)據(jù)中心一系列的安全措施加以保護(hù)。
傳到企業(yè)微信的僅是人員和組織機(jī)構(gòu)代碼,,不涉及其他信息,,以此來保護(hù)個(gè)人數(shù)據(jù)安全。
重慶郵電大學(xué)信息化辦公室主任田航表示,,為積極應(yīng)對(duì)移動(dòng)應(yīng)用安全問題,,重慶郵電大學(xué)主要采取了三項(xiàng)措施。
一是將其納入學(xué)校網(wǎng)絡(luò)安全防護(hù)體系統(tǒng)一管理,,如嚴(yán)格落實(shí)信息發(fā)布審核制度,、網(wǎng)絡(luò)身份實(shí)名制等,定期進(jìn)行網(wǎng)絡(luò)安全檢查,、漏洞掃描等,,使用HTTPS安全域名、采用加密方式進(jìn)行數(shù)據(jù)傳輸?shù)龋?/p>
二是建立開發(fā)安全機(jī)制,,例如代碼開發(fā)環(huán)境與運(yùn)維生產(chǎn)環(huán)境分離,、進(jìn)行數(shù)據(jù)備份、服務(wù)器升級(jí)加固等,;
三是不斷提升師生的信息化素養(yǎng),,提高開發(fā)運(yùn)維人員的安全意識(shí),時(shí)刻注意保護(hù)師生用戶的個(gè)人信息安全,。
本文刊載于《中國教育網(wǎng)絡(luò)》雜志2020年5月刊,。
