文/韓婷 傅川 宮劍 楊曉雪

高校信息化安全管理布局

文/韓婷 傅川 宮劍 楊曉雪

信息化安全管理問(wèn)題需要從管理和技術(shù)兩方面考慮和解決，依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術(shù)的支撐，才能達(dá)到“以較小的代價(jià)利用有限資源控制安全風(fēng)險(xiǎn)”的目標(biāo)，更好地保證信息化建設(shè)和應(yīng)用的成果。

在高校信息化應(yīng)用日益深化的今天，信息和資源的整合日益密切，如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行，確保信息安全是亟待解決的關(guān)鍵問(wèn)題。從調(diào)研顯示，目前我國(guó)高校網(wǎng)絡(luò)系統(tǒng)存在許多安全問(wèn)題，如：非授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等，產(chǎn)生這些安全問(wèn)題的原因在于：沒(méi)有建立完善的網(wǎng)絡(luò)系統(tǒng)安全體系；沒(méi)有建立相應(yīng)的安全組織、管理、技術(shù)機(jī)構(gòu)；沒(méi)有建立完備的網(wǎng)絡(luò)系統(tǒng)安全措施。

本文從高校信息系統(tǒng)的需求出發(fā)，遵從風(fēng)險(xiǎn)管理的理念，在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上，借鑒國(guó)際最佳實(shí)踐經(jīng)驗(yàn)，研究并實(shí)施高校信息化安全管理體系，為高校信息安全管理工作提供借鑒和參考。

圖1 高校信息化安全管理體系

規(guī)劃信息化安全管理體系

分層次建立安全管理制度和手段

信息化安全管理體系規(guī)劃是高校安全體系建立的第一步，目的是識(shí)別安全問(wèn)題，明確安全管理的范圍和內(nèi)容，建立安全管理的組織管理機(jī)制，從管理和技術(shù)兩個(gè)角度，分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段，形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規(guī)劃過(guò)程歸納為以下8個(gè)步驟：

1. 建立安全管理組織：安全管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成，包括來(lái)自行政、IT、業(yè)務(wù)、安全、保衛(wèi)、風(fēng)險(xiǎn)和規(guī)劃部門(mén)的人員。

2. 識(shí)別保護(hù)對(duì)象：識(shí)別學(xué)校目前的關(guān)注點(diǎn)、面臨的風(fēng)險(xiǎn)及威脅，分析它們存在的原因，將分析結(jié)果納入安全管理體系的規(guī)劃中重點(diǎn)考慮。

3. 評(píng)估現(xiàn)有措施：了解學(xué)校目前的安全管理措施并評(píng)估它們的效力。

4. 考慮長(zhǎng)期需要：安全整體規(guī)劃應(yīng)考慮長(zhǎng)期的需要，具有一定的前瞻性，如長(zhǎng)期的制度適應(yīng)性、設(shè)備老化、安全人員的發(fā)展需要等。

5. 納入學(xué)校的建設(shè)規(guī)劃：了解學(xué)校新建項(xiàng)目，如辦公樓、教學(xué)樓、停車(chē)場(chǎng)等項(xiàng)目，是否會(huì)影響現(xiàn)有的物理安全規(guī)劃，如有影響，將安全規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤(pán)考慮。

6. 建立安全工作機(jī)制：形成文件化的制度體系和工作條例，明確各崗位的責(zé)任、應(yīng)提供的服務(wù)和交付物，這些將有助于確保工作的落實(shí)和運(yùn)作效率。

7. 應(yīng)對(duì)新老技術(shù)的混合：新技術(shù)的規(guī)劃應(yīng)考慮對(duì)老技術(shù)的沖擊，新老技術(shù)的融合運(yùn)用將是一個(gè)挑戰(zhàn)。

8. 關(guān)鍵設(shè)施重點(diǎn)布局：關(guān)鍵設(shè)施指校園中那些需要連續(xù)、可靠運(yùn)行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合，這些設(shè)施的安全尤為重要，風(fēng)險(xiǎn)也最為突出。

體系框架的內(nèi)容

上述的規(guī)劃步驟從組織、管理和技術(shù)三方面較全面地考慮高校信息化安全管理的具體問(wèn)題，有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架，其中包括安全組織體系、安全管理體系和安全技術(shù)體系。

1. 安全組織體系

它是確保信息安全工作貫徹和落實(shí)的基石，基本框架應(yīng)包含決策、管理、運(yùn)營(yíng)和應(yīng)用4個(gè)層次。決策層負(fù)責(zé)信息化安全管理體系的規(guī)劃、管理制度的審定及重大事項(xiàng)的決策等；管理層負(fù)責(zé)信息化安全管理體系的實(shí)施、安全管理工作機(jī)制的研究制訂、安全管理制度的貫徹和執(zhí)行、日常安全管理的組織協(xié)調(diào)等；運(yùn)營(yíng)層具體負(fù)責(zé)機(jī)房、網(wǎng)絡(luò)和服務(wù)器、數(shù)據(jù)庫(kù)、信息系統(tǒng)的安全管理和維護(hù)；應(yīng)用層即普通用戶，職責(zé)包括嚴(yán)格按照系統(tǒng)操作手冊(cè)正確使用信息系統(tǒng)，不得進(jìn)行可能危害信息系統(tǒng)安全的操作，不得發(fā)布惡意信息等。

2. 安全管理體系

它是整個(gè)安全管理體系有效運(yùn)作和持續(xù)改進(jìn)的保障，應(yīng)在實(shí)踐中逐步實(shí)現(xiàn)規(guī)章制度的文件化、工作機(jī)制的程序化和監(jiān)控手段的系統(tǒng)化，基本框架具體包括安全制度的建立、建設(shè)與運(yùn)營(yíng)工作條例的建立、應(yīng)急響應(yīng)機(jī)制的建立、審計(jì)與評(píng)審機(jī)制的建立、安全教育與培訓(xùn)。

3. 安全技術(shù)體系

該體系有力保障信息資源和應(yīng)用系統(tǒng)免受外部攻擊，基本框架由網(wǎng)絡(luò)層安全技術(shù)、系統(tǒng)層安全技術(shù)和應(yīng)用層安全技術(shù)構(gòu)成。網(wǎng)絡(luò)層安全技術(shù)包括防火墻、病毒防范、入侵檢測(cè)、VPN等；系統(tǒng)層安全技術(shù)包括數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)庫(kù)安全審計(jì)、應(yīng)用系統(tǒng)監(jiān)控、身份認(rèn)證等；應(yīng)用層安全技術(shù)包括權(quán)限管理、信息加密、桌面系統(tǒng)等。

圖2 上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)

信息化安全管理體系整改

上海財(cái)經(jīng)大學(xué)經(jīng)過(guò)多年的信息化建設(shè)，包括教學(xué)、學(xué)生、辦公自動(dòng)化、招生、人事、財(cái)務(wù)、公共數(shù)據(jù)平臺(tái)、校園一卡通等一大批信息系統(tǒng)得到應(yīng)用。隨著應(yīng)用的深化，系統(tǒng)中積累大量的業(yè)務(wù)數(shù)據(jù)和工作成果，這些信息對(duì)學(xué)校目前的管理乃至今后的發(fā)展都至關(guān)重要，因此，信息的安全問(wèn)題也成為信息化工作的焦點(diǎn)。2009年起，在認(rèn)真分析學(xué)校信息安全管理和技術(shù)兩方面的問(wèn)題和原因的基礎(chǔ)上，學(xué)校從組織、管理、技術(shù)三方面入手進(jìn)行一系列的整改，截至目前，已形成較為完善的組織體系、管理體系和技術(shù)體系。

完善信息安全管理的組織結(jié)構(gòu)

2009年，學(xué)校對(duì)信息安全管理的組織結(jié)構(gòu)進(jìn)行重新梳理，形成包含決策、管理、維護(hù)和應(yīng)用4個(gè)層次在內(nèi)的較為完善的網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)，工作職責(zé)更加明確。上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)如圖2。

1. 決策層：在信息化領(lǐng)導(dǎo)小組的職能中明確信息系統(tǒng)的安全管理職能，由信息化領(lǐng)導(dǎo)小組統(tǒng)一規(guī)劃、部署和統(tǒng)籌資源。

2. 管理層：組建安全工作小組作為信息化安全工作的執(zhí)行機(jī)構(gòu)，工作小組由信息化相關(guān)部門(mén)領(lǐng)導(dǎo)及專(zhuān)業(yè)技術(shù)人員和部分管理人員組成。

3. 運(yùn)營(yíng)層：完善系統(tǒng)運(yùn)營(yíng)各崗位人員的工作職責(zé)，包括機(jī)房管理員、網(wǎng)絡(luò)及服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員和信息系統(tǒng)管理員。

4. 應(yīng)用層：進(jìn)一步明確應(yīng)用層各院系、部門(mén)及用戶的安全責(zé)任，與各院系、部門(mén)簽訂安全責(zé)任書(shū)，同時(shí)明確各院系、部門(mén)信息員的日常信息安全工作職責(zé)，使其成為信息安全工作的基礎(chǔ)支持隊(duì)伍。

形成文件化的信息安全整體策略

早在2008年，學(xué)校就著手組織制定《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全管理辦法》、《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)建設(shè)管理辦法》和《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)運(yùn)行維護(hù)管理辦法》，從場(chǎng)地與設(shè)施安全管理、設(shè)備安全管理、系統(tǒng)安全管理、信息安全管理、建設(shè)安全管理、運(yùn)行維護(hù)安全管理和技術(shù)文檔安全管理7個(gè)方面詳細(xì)制定安全管理規(guī)定，并明確系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維過(guò)程中相關(guān)人員的工作流程和操作規(guī)范，為全校的信息系統(tǒng)安全管理提供依據(jù)。

2009年至2010年，針對(duì)信息安全問(wèn)題突發(fā)性強(qiáng)的特點(diǎn)，為建立健全應(yīng)急工作機(jī)制，提高信息系統(tǒng)安全突發(fā)事件的組織指揮和應(yīng)急處置能力，最大限度地減輕突發(fā)事件造成的損失，學(xué)校完成《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全應(yīng)急預(yù)案》的制定，并在IT部門(mén)建立起突發(fā)事件應(yīng)急響應(yīng)工作機(jī)制。與此同時(shí)，為加強(qiáng)日常防控來(lái)減少突發(fā)事件的發(fā)生，學(xué)校IT部門(mén)制定《運(yùn)行維護(hù)工作條例》對(duì)硬件維護(hù)、操作系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)維護(hù)和應(yīng)用系統(tǒng)維護(hù)的各個(gè)環(huán)節(jié)的工作流程和操作規(guī)程進(jìn)行更加詳細(xì)的規(guī)定，并在工作中增加安全監(jiān)控、安全檢測(cè)、安全策略優(yōu)化、安全審計(jì)等環(huán)節(jié)加強(qiáng)對(duì)信息系統(tǒng)的安全防護(hù)。

2010年初，為明確和建立學(xué)校的信息安全策略，為各部門(mén)制定操作規(guī)范和開(kāi)展安全工作提供指導(dǎo)，學(xué)校制定《上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理整體方案》，從信息安全組織體系、管理體系和技術(shù)體系3個(gè)層次，詳細(xì)描述管理策略以及技術(shù)手段。該方案的出臺(tái)極大地推動(dòng)IT部門(mén)管理制度的完善和技術(shù)改進(jìn)，同時(shí)也促進(jìn)各院系、部門(mén)內(nèi)部安全管理的強(qiáng)化和人員安全意識(shí)的提高。

強(qiáng)化安全管理

信息安全是一項(xiàng)長(zhǎng)期的工作，必須將其納入信息系統(tǒng)的日常管理中常抓不懈，防患于未然。信息系統(tǒng)質(zhì)量的內(nèi)涵，除了系統(tǒng)功能和性能滿足業(yè)務(wù)要求外，與信息系統(tǒng)安全有關(guān)的系統(tǒng)安全性、可靠性、可用性也是系統(tǒng)質(zhì)量控制的范疇。主要采取的管理措施如下：

1. 增加建設(shè)過(guò)程中的評(píng)審環(huán)節(jié)

在項(xiàng)目設(shè)計(jì)、開(kāi)發(fā)階段成果接近完成時(shí)，由項(xiàng)目組會(huì)同相關(guān)業(yè)務(wù)部門(mén)共同組織技術(shù)評(píng)審，包括對(duì)系統(tǒng)安全性的審查。評(píng)審以項(xiàng)目前期形成的方案、文檔及學(xué)校的相關(guān)標(biāo)準(zhǔn)和規(guī)范為依據(jù)，對(duì)該階段形成的方案、技術(shù)文檔及系統(tǒng)進(jìn)行審查、確認(rèn)等工作，并形成評(píng)審結(jié)論。

2. 進(jìn)行內(nèi)部測(cè)試和第三方測(cè)試

在項(xiàng)目驗(yàn)收前，除了由項(xiàng)目?jī)?nèi)部和業(yè)務(wù)部門(mén)參與的集成測(cè)試外，聘請(qǐng)專(zhuān)業(yè)的第三方測(cè)試機(jī)構(gòu)進(jìn)行測(cè)試。

3. 安全檢測(cè)與審計(jì)雙管齊下，全方位監(jiān)控安全事件

對(duì)應(yīng)用系統(tǒng)和服務(wù)器進(jìn)行每三個(gè)月一次的定期安全檢測(cè)，有效消除潛在的安全隱患；定期進(jìn)行應(yīng)用系統(tǒng)的安全審計(jì)、數(shù)據(jù)庫(kù)的安全審計(jì)、服務(wù)器的安全審計(jì)、配置管理的安全審計(jì)等，避免越權(quán)操作及數(shù)據(jù)泄漏事件的發(fā)生。

4. 建立突發(fā)事件應(yīng)急響應(yīng)機(jī)制

基于《上海財(cái)經(jīng)大學(xué)信息安全應(yīng)急預(yù)案》，建立突發(fā)事件的應(yīng)急響應(yīng)機(jī)制，落實(shí)信息系統(tǒng)的服務(wù)級(jí)別管理，實(shí)行應(yīng)急預(yù)案演練制度，建立預(yù)案庫(kù)，在突發(fā)事件發(fā)生后形成處置報(bào)告，分析原因，改進(jìn)工作。

5. 加強(qiáng)安全意識(shí)宣傳與教育

我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動(dòng)，包括組織面向?qū)W生和教師的信息安全知識(shí)競(jìng)賽活動(dòng)，開(kāi)展信息安全意識(shí)培訓(xùn)等，提高人員的安全防范意識(shí)，發(fā)揮人在信息安全對(duì)策中的主體作用。

加強(qiáng)技術(shù)防范，構(gòu)筑安全堡壘

系統(tǒng)的日常建設(shè)與運(yùn)行管理中，我們通過(guò)構(gòu)建自動(dòng)化防控系統(tǒng)來(lái)加強(qiáng)系統(tǒng)的安全防范，為應(yīng)用系統(tǒng)和用戶構(gòu)筑起堅(jiān)實(shí)的安全堡壘，具體措施包括：

1. 搭建版本控制系統(tǒng)，確保開(kāi)發(fā)中源代碼的安全

在程序開(kāi)發(fā)的過(guò)程中，需要多人同時(shí)參加和協(xié)作，通過(guò)搭建版本控制系統(tǒng)，記錄系統(tǒng)建設(shè)過(guò)程中相關(guān)文檔和源代碼的變更過(guò)程，防止代碼意外丟失、被覆蓋等情況的出現(xiàn)。

2. 構(gòu)建三套獨(dú)立環(huán)境，保證正式環(huán)境安全

將系統(tǒng)開(kāi)發(fā)環(huán)境、系統(tǒng)測(cè)試環(huán)境和正式系統(tǒng)進(jìn)行分離，確保開(kāi)發(fā)階段和測(cè)試階段的工作不影響正式系統(tǒng)的使用。

3. 建立備份與恢復(fù)機(jī)制，保護(hù)系統(tǒng)建設(shè)成果

建立本地及異地?cái)?shù)據(jù)備份及恢復(fù)規(guī)范及方案，研發(fā)數(shù)據(jù)統(tǒng)一管理與備份的相關(guān)程序，對(duì)系統(tǒng)建設(shè)過(guò)程中的成果進(jìn)行及時(shí)備份，防止因?yàn)檎`操作或機(jī)器故障導(dǎo)致數(shù)據(jù)丟失，切實(shí)保證數(shù)據(jù)的安全。

4. 防火墻與入侵監(jiān)測(cè)，構(gòu)筑網(wǎng)絡(luò)屏障

在Internet和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務(wù)器之間架設(shè)兩層防火墻，防止校內(nèi)外用戶對(duì)服務(wù)器的攻擊；部署網(wǎng)絡(luò)分析系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊和病毒傳播，為網(wǎng)絡(luò)安全事件的定位和取證提供支持；禁止從公網(wǎng)訪問(wèn)關(guān)鍵信息系統(tǒng)，用戶需要通過(guò)VPN加密鏈路才能實(shí)現(xiàn)從校外訪問(wèn)關(guān)鍵信息系統(tǒng)。

5. 漏洞掃描與日志分析，促進(jìn)應(yīng)用安全的不斷提升

在應(yīng)用系統(tǒng)層，我們采用系統(tǒng)日志分析平臺(tái)對(duì)應(yīng)用進(jìn)行日志分析，捕捉和定位異常事件；定期對(duì)應(yīng)用服務(wù)執(zhí)行漏洞掃描，對(duì)出現(xiàn)的SQL注入、跨站腳本攻擊、網(wǎng)頁(yè)非法篡改、強(qiáng)制訪問(wèn)等系統(tǒng)安全風(fēng)險(xiǎn)及時(shí)進(jìn)行分析和整改。

6. 主動(dòng)式監(jiān)控及時(shí)追蹤問(wèn)題

自主完成服務(wù)器軟硬件運(yùn)行狀態(tài)監(jiān)控系統(tǒng)的開(kāi)發(fā)，實(shí)現(xiàn)對(duì)服務(wù)器運(yùn)行狀態(tài)及各信息系統(tǒng)狀態(tài)進(jìn)行主動(dòng)監(jiān)聽(tīng)和預(yù)警；建立統(tǒng)一日志服務(wù)器，對(duì)所有系統(tǒng)的日志進(jìn)行集中管理和備份，確保問(wèn)題發(fā)生時(shí)通過(guò)日志進(jìn)行定位和追蹤。

所謂“三分技術(shù)，七分管理”，信息化安全管理問(wèn)題需要從管理和技術(shù)兩方面考慮和解決，依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術(shù)的支撐，才能達(dá)到“以較小的代價(jià)利用有限資源控制安全風(fēng)險(xiǎn)”的目標(biāo)，更好地保證信息化建設(shè)和應(yīng)用的成果。

信息安全管理體系發(fā)展歷程

國(guó)外早在20世紀(jì)80年代就開(kāi)始信息安全管理體系的研究，制訂“可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則（TCSEC）”，其后又對(duì)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)等方面的安全進(jìn)行系列解釋?zhuān)纬砂踩畔⑾到y(tǒng)體系結(jié)構(gòu)的最早原則。至今美國(guó)已研制出達(dá)到TCSEC要求的安全系統(tǒng)（包括安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、安全網(wǎng)絡(luò)部件）多達(dá)100多種。20世紀(jì)90年代初，英、法、德、荷四國(guó)針對(duì)TCSEC準(zhǔn)則只考慮保密性的局限，聯(lián)合提出包括保密性、完整性、可用性概念的“信息技術(shù)安全評(píng)價(jià)準(zhǔn)則（ ITSEC ）”，但是該準(zhǔn)則中并沒(méi)有給出綜合解決以上問(wèn)題的理論模型和具體方案。近年來(lái)美（國(guó)家安全局和國(guó)家技術(shù)標(biāo)準(zhǔn)研究所）、加、英、法、德、荷共同提出“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則（CC for ITSEC）”。CC綜合國(guó)際上已有的評(píng)測(cè)準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)，給出框架和原則要求，于1999年7月通過(guò)國(guó)際標(biāo)準(zhǔn)化組織認(rèn)可，確立為國(guó)際標(biāo)準(zhǔn)，編號(hào)為ISO/IEC 15408。ISO/IEC 15408標(biāo)準(zhǔn)對(duì)安全的內(nèi)容和級(jí)別給予更完整的規(guī)范，為用戶對(duì)安全需求的選取提供充分的靈活性。2005年，國(guó)際標(biāo)準(zhǔn)化組織(ISO)頒布ISO 27001:2005 標(biāo)準(zhǔn)，為大量使用信息數(shù)據(jù)的機(jī)構(gòu)提供如何建立、維持及持續(xù)改善信息安全管理體系的指南。信息安全管理體系（ISMS）是機(jī)構(gòu)高層管理人員用以監(jiān)控信息安全、減少商業(yè)風(fēng)險(xiǎn)、確保安全管理體系持續(xù)符合企業(yè)、客戶及法律要求的有效手段。

我國(guó)從2001年起建成國(guó)家信息安全組織保障體系，并逐步制定和引進(jìn)重要的信息安全管理標(biāo)準(zhǔn)，包括GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《ISO 17799：2000：信息安全管理實(shí)施準(zhǔn)則》、《BS 7799-2：2002：信息安全管理體系實(shí)施規(guī)范》等。為配合信息安全管理的需要，國(guó)家、相關(guān)部門(mén)、行業(yè)和地方政府相繼制定《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《軟件產(chǎn)品管理辦法》、《電子簽名法》等有關(guān)信息安全管理的法律法規(guī)文件，開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作。