高校信息化安全管理布局

文/韓婷 傅川 宮劍 楊曉雪

高校信息化安全管理布局

文/韓婷 傅川 宮劍 楊曉雪

信息化安全管理問題需要從管理和技術兩方面考慮和解決，依靠有效的組織保障、規范的管理流程、安全可靠的系統工具及技術的支撐，才能達到“以較小的代價利用有限資源控制安全風險”的目標，更好地保證信息化建設和應用的成果。

在高校信息化應用日益深化的今天，信息和資源的整合日益密切，如何保障信息系統的持續穩定運行，確保信息安全是亟待解決的關鍵問題。從調研顯示，目前我國高校網絡系統存在許多安全問題，如：非授權訪問、破壞數據完整性、干擾系統正常運行和利用網絡傳播病毒等，產生這些安全問題的原因在于：沒有建立完善的網絡系統安全體系；沒有建立相應的安全組織、管理、技術機構；沒有建立完備的網絡系統安全措施。

本文從高校信息系統的需求出發，遵從風險管理的理念，在信息化戰略規劃的基礎上，借鑒國際最佳實踐經驗，研究并實施高校信息化安全管理體系，為高校信息安全管理工作提供借鑒和參考。

圖1 高校信息化安全管理體系

規劃信息化安全管理體系

分層次建立安全管理制度和手段

信息化安全管理體系規劃是高校安全體系建立的第一步，目的是識別安全問題，明確安全管理的范圍和內容，建立安全管理的組織管理機制，從管理和技術兩個角度，分層次規劃各環節的安全管理制度和技術防范手段，形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規劃過程歸納為以下8個步驟：

1. 建立安全管理組織：安全管理組織的成員由機構的戰略影響者組成，包括來自行政、IT、業務、安全、保衛、風險和規劃部門的人員。

2. 識別保護對象：識別學校目前的關注點、面臨的風險及威脅，分析它們存在的原因，將分析結果納入安全管理體系的規劃中重點考慮。

3. 評估現有措施：了解學校目前的安全管理措施并評估它們的效力。

4. 考慮長期需要：安全整體規劃應考慮長期的需要，具有一定的前瞻性，如長期的制度適應性、設備老化、安全人員的發展需要等。

5. 納入學校的建設規劃：了解學校新建項目，如辦公樓、教學樓、停車場等項目，是否會影響現有的物理安全規劃，如有影響，將安全規劃納入學校建設規劃中通盤考慮。

6. 建立安全工作機制：形成文件化的制度體系和工作條例，明確各崗位的責任、應提供的服務和交付物，這些將有助于確保工作的落實和運作效率。

7. 應對新老技術的混合：新技術的規劃應考慮對老技術的沖擊，新老技術的融合運用將是一個挑戰。

8. 關鍵設施重點布局：關鍵設施指校園中那些需要連續、可靠運行而又相互關聯的復雜設施集合，這些設施的安全尤為重要，風險也最為突出。

體系框架的內容

上述的規劃步驟從組織、管理和技術三方面較全面地考慮高校信息化安全管理的具體問題，有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架，其中包括安全組織體系、安全管理體系和安全技術體系。

1. 安全組織體系

它是確保信息安全工作貫徹和落實的基石，基本框架應包含決策、管理、運營和應用4個層次。決策層負責信息化安全管理體系的規劃、管理制度的審定及重大事項的決策等；管理層負責信息化安全管理體系的實施、安全管理工作機制的研究制訂、安全管理制度的貫徹和執行、日常安全管理的組織協調等；運營層具體負責機房、網絡和服務器、數據庫、信息系統的安全管理和維護；應用層即普通用戶，職責包括嚴格按照系統操作手冊正確使用信息系統，不得進行可能危害信息系統安全的操作，不得發布惡意信息等。

2. 安全管理體系

它是整個安全管理體系有效運作和持續改進的保障，應在實踐中逐步實現規章制度的文件化、工作機制的程序化和監控手段的系統化，基本框架具體包括安全制度的建立、建設與運營工作條例的建立、應急響應機制的建立、審計與評審機制的建立、安全教育與培訓。

3. 安全技術體系

該體系有力保障信息資源和應用系統免受外部攻擊，基本框架由網絡層安全技術、系統層安全技術和應用層安全技術構成。網絡層安全技術包括防火墻、病毒防范、入侵檢測、VPN等；系統層安全技術包括數據備份與恢復、數據庫安全審計、應用系統監控、身份認證等；應用層安全技術包括權限管理、信息加密、桌面系統等。

圖2 上海財經大學網絡信息系統安全管理組織機構

信息化安全管理體系整改

上海財經大學經過多年的信息化建設，包括教學、學生、辦公自動化、招生、人事、財務、公共數據平臺、校園一卡通等一大批信息系統得到應用。隨著應用的深化，系統中積累大量的業務數據和工作成果，這些信息對學校目前的管理乃至今后的發展都至關重要，因此，信息的安全問題也成為信息化工作的焦點。2009年起，在認真分析學校信息安全管理和技術兩方面的問題和原因的基礎上，學校從組織、管理、技術三方面入手進行一系列的整改，截至目前，已形成較為完善的組織體系、管理體系和技術體系。

完善信息安全管理的組織結構

2009年，學校對信息安全管理的組織結構進行重新梳理，形成包含決策、管理、維護和應用4個層次在內的較為完善的網絡信息系統安全管理組織機構，工作職責更加明確。上海財經大學網絡信息系統安全管理組織機構如圖2。

1. 決策層：在信息化領導小組的職能中明確信息系統的安全管理職能，由信息化領導小組統一規劃、部署和統籌資源。

2. 管理層：組建安全工作小組作為信息化安全工作的執行機構，工作小組由信息化相關部門領導及專業技術人員和部分管理人員組成。

3. 運營層：完善系統運營各崗位人員的工作職責，包括機房管理員、網絡及服務器管理員、數據庫管理員和信息系統管理員。

4. 應用層：進一步明確應用層各院系、部門及用戶的安全責任，與各院系、部門簽訂安全責任書，同時明確各院系、部門信息員的日常信息安全工作職責，使其成為信息安全工作的基礎支持隊伍。

形成文件化的信息安全整體策略

早在2008年，學校就著手組織制定《上海財經大學信息系統安全管理辦法》、《上海財經大學信息系統建設管理辦法》和《上海財經大學信息系統運行維護管理辦法》，從場地與設施安全管理、設備安全管理、系統安全管理、信息安全管理、建設安全管理、運行維護安全管理和技術文檔安全管理7個方面詳細制定安全管理規定，并明確系統建設和系統運維過程中相關人員的工作流程和操作規范，為全校的信息系統安全管理提供依據。

2009年至2010年，針對信息安全問題突發性強的特點，為建立健全應急工作機制，提高信息系統安全突發事件的組織指揮和應急處置能力，最大限度地減輕突發事件造成的損失，學校完成《上海財經大學信息系統安全應急預案》的制定，并在IT部門建立起突發事件應急響應工作機制。與此同時，為加強日常防控來減少突發事件的發生，學校IT部門制定《運行維護工作條例》對硬件維護、操作系統維護、數據庫維護和應用系統維護的各個環節的工作流程和操作規程進行更加詳細的規定，并在工作中增加安全監控、安全檢測、安全策略優化、安全審計等環節加強對信息系統的安全防護。

2010年初，為明確和建立學校的信息安全策略，為各部門制定操作規范和開展安全工作提供指導，學校制定《上海財經大學網絡信息系統安全管理整體方案》，從信息安全組織體系、管理體系和技術體系3個層次，詳細描述管理策略以及技術手段。該方案的出臺極大地推動IT部門管理制度的完善和技術改進，同時也促進各院系、部門內部安全管理的強化和人員安全意識的提高。

強化安全管理

信息安全是一項長期的工作，必須將其納入信息系統的日常管理中常抓不懈，防患于未然。信息系統質量的內涵，除了系統功能和性能滿足業務要求外，與信息系統安全有關的系統安全性、可靠性、可用性也是系統質量控制的范疇。主要采取的管理措施如下：

1. 增加建設過程中的評審環節

在項目設計、開發階段成果接近完成時，由項目組會同相關業務部門共同組織技術評審，包括對系統安全性的審查。評審以項目前期形成的方案、文檔及學校的相關標準和規范為依據，對該階段形成的方案、技術文檔及系統進行審查、確認等工作，并形成評審結論。

2. 進行內部測試和第三方測試

在項目驗收前，除了由項目內部和業務部門參與的集成測試外，聘請專業的第三方測試機構進行測試。

3. 安全檢測與審計雙管齊下，全方位監控安全事件

對應用系統和服務器進行每三個月一次的定期安全檢測，有效消除潛在的安全隱患；定期進行應用系統的安全審計、數據庫的安全審計、服務器的安全審計、配置管理的安全審計等，避免越權操作及數據泄漏事件的發生。

4. 建立突發事件應急響應機制

基于《上海財經大學信息安全應急預案》，建立突發事件的應急響應機制，落實信息系統的服務級別管理，實行應急預案演練制度，建立預案庫，在突發事件發生后形成處置報告，分析原因，改進工作。

5. 加強安全意識宣傳與教育

我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動，包括組織面向學生和教師的信息安全知識競賽活動，開展信息安全意識培訓等，提高人員的安全防范意識，發揮人在信息安全對策中的主體作用。

加強技術防范，構筑安全堡壘

系統的日常建設與運行管理中，我們通過構建自動化防控系統來加強系統的安全防范，為應用系統和用戶構筑起堅實的安全堡壘，具體措施包括：

1. 搭建版本控制系統，確保開發中源代碼的安全

在程序開發的過程中，需要多人同時參加和協作，通過搭建版本控制系統，記錄系統建設過程中相關文檔和源代碼的變更過程，防止代碼意外丟失、被覆蓋等情況的出現。

2. 構建三套獨立環境，保證正式環境安全

將系統開發環境、系統測試環境和正式系統進行分離，確保開發階段和測試階段的工作不影響正式系統的使用。

3. 建立備份與恢復機制，保護系統建設成果

建立本地及異地數據備份及恢復規范及方案，研發數據統一管理與備份的相關程序，對系統建設過程中的成果進行及時備份，防止因為誤操作或機器故障導致數據丟失，切實保證數據的安全。

4. 防火墻與入侵監測，構筑網絡屏障

在Internet和校園網之間以及校園網和信息系統服務器之間架設兩層防火墻，防止校內外用戶對服務器的攻擊；部署網絡分析系統，實時監控網絡流量、網絡攻擊和病毒傳播，為網絡安全事件的定位和取證提供支持；禁止從公網訪問關鍵信息系統，用戶需要通過VPN加密鏈路才能實現從校外訪問關鍵信息系統。

5. 漏洞掃描與日志分析，促進應用安全的不斷提升

在應用系統層，我們采用系統日志分析平臺對應用進行日志分析，捕捉和定位異常事件；定期對應用服務執行漏洞掃描，對出現的SQL注入、跨站腳本攻擊、網頁非法篡改、強制訪問等系統安全風險及時進行分析和整改。

6. 主動式監控及時追蹤問題

自主完成服務器軟硬件運行狀態監控系統的開發，實現對服務器運行狀態及各信息系統狀態進行主動監聽和預警；建立統一日志服務器，對所有系統的日志進行集中管理和備份，確保問題發生時通過日志進行定位和追蹤。

所謂“三分技術，七分管理”，信息化安全管理問題需要從管理和技術兩方面考慮和解決，依靠有效的組織保障、規范的管理流程、安全可靠的系統工具及技術的支撐，才能達到“以較小的代價利用有限資源控制安全風險”的目標，更好地保證信息化建設和應用的成果。

信息安全管理體系發展歷程

國外早在20世紀80年代就開始信息安全管理體系的研究，制訂“可信計算機系統安全評價準則（TCSEC）”，其后又對網絡系統、數據庫等方面的安全進行系列解釋，形成安全信息系統體系結構的最早原則。至今美國已研制出達到TCSEC要求的安全系統（包括安全操作系統、安全數據庫、安全網絡部件）多達100多種。20世紀90年代初，英、法、德、荷四國針對TCSEC準則只考慮保密性的局限，聯合提出包括保密性、完整性、可用性概念的“信息技術安全評價準則（ ITSEC ）”，但是該準則中并沒有給出綜合解決以上問題的理論模型和具體方案。近年來美（國家安全局和國家技術標準研究所）、加、英、法、德、荷共同提出“信息技術安全評價通用準則（CC for ITSEC）”。CC綜合國際上已有的評測準則和技術標準，給出框架和原則要求，于1999年7月通過國際標準化組織認可，確立為國際標準，編號為ISO/IEC 15408。ISO/IEC 15408標準對安全的內容和級別給予更完整的規范，為用戶對安全需求的選取提供充分的靈活性。2005年，國際標準化組織(ISO)頒布ISO 27001:2005 標準，為大量使用信息數據的機構提供如何建立、維持及持續改善信息安全管理體系的指南。信息安全管理體系（ISMS）是機構高層管理人員用以監控信息安全、減少商業風險、確保安全管理體系持續符合企業、客戶及法律要求的有效手段。

我國從2001年起建成國家信息安全組織保障體系，并逐步制定和引進重要的信息安全管理標準，包括GB17895-1999《計算機信息系統安全保護等級劃分準則》、《ISO 17799：2000：信息安全管理實施準則》、《BS 7799-2：2002：信息安全管理體系實施規范》等。為配合信息安全管理的需要，國家、相關部門、行業和地方政府相繼制定《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《商用密碼管理條例》、《互聯網信息服務管理辦法》、《計算機信息網絡國際聯網安全保護管理辦法》、《計算機病毒防治管理辦法》、《軟件產品管理辦法》、《電子簽名法》等有關信息安全管理的法律法規文件，開展信息安全風險評估工作。