黃杰　陸春　陳云

摘 要：本文簡述了信息安全治理的概念，介紹現(xiàn)階段高校信息安全面臨的問題和挑戰(zhàn)，根據(jù)實際情況建立學校信息系統(tǒng)安全治理組織的四層架構體系，并從應用安全、數(shù)據(jù)安全、客戶端安全、軟件開發(fā)安全、故障分級與應急處置、應急預案與演練等六個維度建立了信息安全治理體系。進而對安全風險進行全面的管控，保障學校信息服務的可持續(xù)性。

關鍵詞：信息安全；安全治理；安全風險；可持續(xù)性

中圖分類號：G203 文獻標志碼：A 文章編號：1673-8454（2014）19-0037-04

引言

由瑞星公司于2014年1月發(fā)布的《瑞星2013年中國信息安全報告》針對中國 2013年全年的網絡安全現(xiàn)狀與趨勢進行統(tǒng)計、研究和分析。[1]報告指出全年新增病毒樣本3310萬余個，病毒總體數(shù)量比2012年同期增長163%，呈現(xiàn)出全線爆發(fā)的增長態(tài)勢。其中主要以木馬和感染型病毒為主。新增手機病毒樣本80余萬個，與2012年相比，有數(shù)十倍的增長。其中惡意扣費和隱私竊取為量最大的兩大類。

高校的信息安全現(xiàn)狀也不容樂觀。由360互聯(lián)網安全中心發(fā)布的《2013年中國高校網站安全報告》針對5萬個高校網站做了全面的安全分析和評估。[2]報告指出高校網站平均每五個漏洞就有一個高危安全漏洞，數(shù)量最多的為跨站腳本漏洞、SQL注入漏洞和信息泄露漏洞，分別占22.1%、16.17%和15.49%。其中SQL注入漏洞危害最大，SQL注入攻擊也是黑客最常用的攻擊手段。這就意味著中國高校網站依然存在嚴重的安全風險。數(shù)據(jù)顯示，中國每個高校平均每天被黑客攻擊113次（包含掃描等行為）。高校網站被黑客入侵后通常受到的侵害有掛馬、網站前臺和后臺被篡改、網站數(shù)據(jù)庫被“拖庫”、網頁被掛馬、服務器被控制成為“肉雞”等。其中以網站篡改最為多見，比例占一半以上。

高校普遍存在六大安全隱患，包括網站建設和管理不統(tǒng)一、網站日常維護缺失、對網站安全不重視、網站信息保護意識差、軟件系統(tǒng)漏洞、服務器漏洞。[3]為黑客入侵提供了機會。

習總書記在中央網絡安全和信息化領導小組第一次會議上提出“努力把我國建設成為網絡強國”表示由國家主導信息安全已成現(xiàn)實。[4] 2009年教育部辦公廳已經發(fā)布了高校開展信息系統(tǒng)安全保護工作的部署。政府對信息安全的重視程度已經到了前所未有的高度。

一、信息安全治理組織架構

信息系統(tǒng)安全治理范疇包括場地與設施安全管理、設備安全管理、系統(tǒng)安全管理、信息安全管理、建設安全管理、運行維護安全管理和技術文檔安全管理等。[5]信息安全治理牽涉到組織對其信息資產的識別，包括為實現(xiàn)保密性、完整性和可用性而開發(fā)，文件化及實施策略、標準、程序及指南?？梢岳酶鞣N管理途徑來分類資產、識別威脅、評價弱點以便有效實施安全控制，可用的途徑包括數(shù)據(jù)分類、風險評估和風險分析等。信息安全的實質是確保業(yè)務運行的連續(xù)性。

學校信息系統(tǒng)安全治理的組織體系自上而下分為四個層次，如圖1所示。

決策層，針對信息化領導小組，職責包括貫徹國家有關部門關于信息系統(tǒng)安全工作的方針政策；審定信息系統(tǒng)安全規(guī)劃；研究、審定并發(fā)布信息系統(tǒng)安全管理工作的相關制度文件；研究決定信息系統(tǒng)安全管理中的重大事項；建立信息系統(tǒng)安全管理的獎懲機制。

管理層，針對信息系統(tǒng)安全工作小組，職責包括貫徹和執(zhí)行學校信息系統(tǒng)安全管理制度，落實學校信息系統(tǒng)安全的建設發(fā)展規(guī)劃；參與信息系統(tǒng)安全體系的規(guī)劃，負責信息系統(tǒng)安全體系的實施和完善；負責信息系統(tǒng)的日常安全管理、組織協(xié)調工作，監(jiān)控信息系統(tǒng)安全運行情況，負責為用戶的信息系統(tǒng)安全防范提供技術指導等。校園網絡信息管理工作小組，職責包括負責研究制定校園網絡信息安全管理的運行機制和工作方案，建立網絡信息安全的組織機制、管理制度和隊伍培養(yǎng)方案；負責研究有害信息的界定以及網上輿論的監(jiān)控方案和工作機制等。

維護層，針對系統(tǒng)管理員，具體負責機房、網絡和服務器、數(shù)據(jù)庫、信息系統(tǒng)的安全管理和維護。

應用層，針對普通用戶，職責包括嚴格按照系統(tǒng)操作手冊正確使用信息系統(tǒng)，不得進行可能危害信息系統(tǒng)安全的操作，不得發(fā)布惡意信息等。

二、信息安全治理實踐

1.應用安全

高校為師生提供信息服務，發(fā)生安全事件是不可避免的，騰訊CTO張志東曾說，“安全問題可以讓騰訊一天倒閉”，所以制定相應的安全管理規(guī)范、杜絕信息系統(tǒng)的安全隱患、保證業(yè)務健康運行，是不可缺少的。

新應用上線前必須經過風險評估平臺的掃描，檢查并修復存在的漏洞。漏洞修復的重要程度必須依照表1執(zhí)行，高危漏洞要修復并經過回歸掃描后方可上線，中低危漏洞要安排修復計劃并經安全中心確認后方可上線。

2.客戶端安全

客戶端類應用上線前必須經過風險評估平臺的掃描，檢查并修復存在的漏洞。新建客戶端類應用必須修正代碼中所有的高危險函數(shù)后方可上線。高危險函數(shù)可以使用代碼安全檢查工具進行自查。如表2所示。

3.數(shù)據(jù)安全

系統(tǒng)上線前信息安全責任人統(tǒng)一提交到信息系統(tǒng)安全工作小組備案，提供第一處理責任人和第二處理責任人。

系統(tǒng)信息安全處理響應規(guī)范：

一級信息指反動類（包括反黨、反政府、游行、集會及突發(fā)事件等），系統(tǒng)部門對于該類信息的響應處理時限30分鐘內處理完畢。

二級信息指色情、詐騙、謾罵誹謗、暴力犯罪類（包括淫穢文字、圖片，釣魚網站，詆毀他人，血腥圖片、文字，買賣槍支彈藥、毒品等）系統(tǒng)部門對于該類信息的響應處理時限60分鐘內處理完畢。

三級信息指廣告類，系統(tǒng)部門對于該類信息的響應處理時限600分鐘內處理完畢。

4.軟件開發(fā)安全

為了提高軟件安全質量，對安全編程做出統(tǒng)一的規(guī)范約束是必要的，主要分為開發(fā)環(huán)境和編譯環(huán)境，開發(fā)環(huán)境安全規(guī)范要求所有開發(fā)者知曉并按照要求執(zhí)行，編譯環(huán)境安全規(guī)范要求編譯管理者知曉并執(zhí)行。endprint

（1）開發(fā)機的安裝配置必須符合信息辦統(tǒng)一的辦公電腦的安裝配置要求。開發(fā)機操作系統(tǒng)的安裝配置必須按照信息辦的統(tǒng)一規(guī)范執(zhí)行，安裝統(tǒng)一規(guī)定的殺毒軟件，加入統(tǒng)一的域管理，安裝指定的安全客戶端。

（2）禁止在開發(fā)機上進行病毒木馬測試。如果開發(fā)人員需要分析、測試、調試木馬病毒，一定需要使用專門的測試機器，禁止在開發(fā)機上進行這些操作。

（3）開發(fā)機上的開發(fā)軟件必須與編譯機上的一致。開發(fā)機上的開發(fā)軟件的版本必須與編譯機上的一致，開發(fā)機上的開發(fā)軟件的補丁必須與編譯機上的一致。

（4）開發(fā)機上的編譯選項必須與編譯機一致。

5.故障分級和應急處置

學校核心系統(tǒng)提供7×24小時服務，而因人為操作、程序故障等原因導致服務不可用是影響服務持續(xù)運行的重要原因，為了提高業(yè)務系統(tǒng)的運維和運營質量，規(guī)范各業(yè)務線的服務、故障響應，擬定和發(fā)布“故障分級和處罰規(guī)范”是非常必要的。

故障分級，如表3所示。運維故障中，對非不可抗力所造成的故障歸類為故障，對于故障將追究故障的分級、故障責任人及故障處理結果。下面將就各類故障級別進行定義說明，由于故障可能在多方面體現(xiàn)影響，所以故障的綜合等級評定原則是，取各個方面中嚴重等級最高者為該故障綜合嚴重等級。

故障獎懲制度，運營故障處理評定是根據(jù)相關責任人對故障的響應、處理、完成結果等因素來對故障的處理情況進行綜合評定，信息辦會依據(jù)表4的評定標準來對故障處罰等級進行調整。該評定只用于由部門內決定的故障處罰分級，處罰條例不受此約束。符合下面條件者，可以對故障處罰等級進行適當降級，具體所降等級由部門領導決定。

6.應急預案和演練

預案主要針對可能遭遇的重大運維故障，如核心IDC機房電力瞬斷、核心網絡癱瘓、遇重大安全事故時，能更好保障迅速、有序、有效地開展應急恢復工作，盡可能降低故障對用戶與業(yè)務帶來的損失。所以應急預案是運維中不可缺少的一個重要環(huán)節(jié)。預案場景及分類如表5所示。

預案職責及流程如表6所示。預案必需明確故障處理中的角色，界定故障處理中的職責，定義清晰角色和流程，提高故障處理能力和支持效率，盡快恢復因故障造成的影響，將故障對業(yè)務造成的負面影響盡可能降低。

預案流程主要分為啟動、處理、結束三個階段，有以下7個方面：

一是重大事故處理流程啟動，應急處置團隊負責人第一時間通知團隊成員和系統(tǒng)管理員。

二是團隊成員通知業(yè)務負責人登錄VPN或者到故障現(xiàn)場，同時，系統(tǒng)管理員需要統(tǒng)計受到影響的服務器列表。

三是各個業(yè)務負責人檢查和恢復業(yè)務，并把結果反饋給應急處置團隊負責人，團隊成員協(xié)同運維人員對業(yè)務做影響評估并上報給應急處置團隊負責人，同時，如果需要向用戶發(fā)出通告，則由系統(tǒng)管理員把業(yè)務影響通知用戶，統(tǒng)一口徑，擬定通告和發(fā)布形式。

四是系統(tǒng)管理員協(xié)同團隊成員了解業(yè)務恢復的最新情況并保持溝通。

五是業(yè)務恢復完畢，事故處理完畢之后由系統(tǒng)管理員通知用戶，業(yè)務已經恢復。

六是應急處置團隊留守一定的時間，待業(yè)務全部恢復正常之后由應急處置團隊負責人確認后撤離。

七是整個處理過程結束后，由應急處置團隊負責人發(fā)處理總結。

三、結束語

為實現(xiàn)“網絡安全立校”的目標，信息安全治理工作要長期基于以下基本思路：一是確保信息的自由傳播；二是采取新的技術和管理措施應對日益復雜的安全風險；三是根據(jù)不斷變化的安全風險加強應對措施；四是基于高校的社會責任開展相關行動和合作。

參考文獻：

[1]北京瑞星信息技術有限公司.瑞星2013年中國信息安全報告[DB/OL].http：//www.rising.com.cn/2013/baogao/2013baogao.pdf 2014，1.

[2]360互聯(lián)網安全中心.2013年中國高校網站安全報告[DB/OL].http：//corp.#/report/2013gaoxiaowang-zhananquan.pdf 2013，6.

[3]趙歡，陳熙.高校信息安全體系的研究與實現(xiàn)[J].中國教育信息化（上）， 2013 （7）： 87-89.

[4]劉金瑞.美國網絡安全立法近期進展及對我國的啟示[J].暨南學報（哲學社會科學版），2014（2）： 74-84.

[5]尹建國.美國網絡信息安全治理機制及其對我國之啟示[J].法商研究，2013（2）： 138-146.

（編輯：王天鵬）endprint