基于有效性評估的高校信息安全管理制度研究

劉明月

（中央財經大學網絡信息中心, 北京 100081）

1 引言

信息技術是把雙刃劍，人們在享用技術快速發展所帶來的方便時，也感受到網絡生態環境越來越錯綜復雜。隨著網絡空間進入以網絡擴軍熱為代表的“后黑客時代”, 有組織的網絡犯罪持續升高，信息系統頻繁遭受攻擊，教育行業首當其沖。據統計，自2014年1月至2018年5月，某反動黑客組織共攻擊我國網站537個，其中教育行業的網站有149個，占被攻擊網站總數的28%。

在內外交迫的網絡安全形勢下，國家頒布了《網絡安全法》將網絡安全上升到法律高度。高校作為培養天之驕子的重要場所，具有很強的社會影響力，因此高校的網絡安全是網絡信息安全的重要組成部分。而經工作實踐發現，在高校多年的信息化發展中，絕大多數未能從頂層設計上做到信息化建設和安全建設“同步規劃、同步進行”，因此出現信息系統管理混亂，安全漏洞管理流程缺失，問責機制不規范，等級保護難以開展等問題，其根源在于從業人員對高校信息化工作中的安全內容無意識，也沒有有章可循的安全工作規范可供參考，因此開發有效的、成體系的信息安全管理制度尤為重要。

2 高校信息安全制度體系設計

本研究以國家《網絡安全法》《關于加強信息安全保障工作的意見》（中辦〔2003〕27號文件）、《信息安全等級保護管理辦法》（公通字〔2007〕43 號）等政策文件要求，結合高校信息安全工作的特點，按照監督制約、規范化、持續改進等原則，試圖對高校信息安全制度體系進行設計

首先對高校信息安全總體目標進行設定，也就是說履行此制度期望達到的目標。總體目標為：依照高等院校相關信息系統的實際情況，結合國內外的安全標準和規范，充分利用成熟的信息安全理論成果，設計整體性好、可操作性強，并集合組織、管理和技術為一體的設計方案，滿足信息系統安全等級保護基本要求。

為實現總體目標，結合安全控制的五要素，形成覆蓋安全策略體系、安全管理體系、安全技術體系、安全風險評估、安全培訓的高校信息安全制度保障體系框架，如圖1所示。

圖1 高校信息安全制度保障體系框架

具體來說，安全策略體系是指導高校在進行信息系統安全設計、建設和維護的基礎。所有相關人員應根據工作實際情況履行相關安全策略，制定并遵守相應的安全標準、流程和安全制度實施細則，做好相關工作。

安全管理體系是指落實安全管理機構和人員安全管理等方面的相關要求，指導高校安全職能的落實、崗位設置和相關人員的安全管理。

安全技術體系是指實現安全技術相關控制要求，實現物理、網絡、主機、應用和數據的所有安全控制項。通常采用安全產品加以實現，輔助安全服務以增強安全控制能力。

安全風險評估是指信息系統網絡、主機操作系統、數據庫、業務系統的綜合風險評估，全面、準確地了解其安全整體狀況，并通過加強安全風險防護為信息系統提供安全保障。

安全培訓是指切實發揮信息安全建設的成果對業務安全運營的推動作用，提升高校信息化工作人員在安全方面的技術水平和管理意識。通過組織相應的安全培訓，全面提高每個技術崗位的安全意識和能力。

3 高校信息安全制度內容建設

高校信息安全制度框架為基礎，結合等級保護的相關要求，細化和完善高校信息安全工作內容，為組織和制度管理、人員管理、信息系統管理、物理環境和資產、計算機機房管理、介質管理等方面做出進一步規定。

首先，必須定義組織和制度管理，高校需要從領導層面成立信息安全領導小組。通過組織和實施國家信息安全相關政策、法規和標準要求，審查和制定學校信息安全的發展戰略、規劃、政策和管理制度，制定《信息安全組織和職責管理規定》；規范信息安全管理制度制定、出版、審查和修訂的管理要求，并符合國家法律、政策和規范的要求，確保信息安全管理制度的不斷完善，制定《信息安全管理制度管理條例》。

其次，對內外部人員進行規范化管理。注意高校信息化內部人員在錄用前、工作時期、調離崗各階段的安全管理。確保對信息化內部人員的背景、身份、專業資格和職能權限的安全性檢查，要求信息安全人員簽署保密協議，制定《內部人事安全管理規定》。 加強對外來人員的安全管理，防范外部人員帶來的安全隱患，嚴格規范外來人員在參與高校信息系統相關活動必須遵守的行為準則，制定《外部人員信息安全管理規定》；同時，高校定期組織開展員工信息安全教育或培訓，以提高所有員工的信息安全意識，并確保在必要時貫徹落實信息安全目標和策略。

在信息系統的規范化管理方面，確保信息化建設項目的立項、設計、實施、驗收等方面與信息安全管理控制機制的整合。實現項目工程管理流程和內容安全控制，制定《信息系統建設安全管理辦法》；加強信息系統運維中的變更管理，確保信息系統變更的可驗證性和可追溯性，合理控制信息系統變更產生的信息安全風險。根據日常信息系統的運行有關管理規定，制定《信息系統變更管理條例》；規范系統使用，有效控制系統賬號權限，及時更新系統補丁，保護重要系統文件，制定《信息系統安全管理規定》；規范設備管理員對信息系統的訪問及操作，降低密碼強度不夠和設置不完善等帶來的安全隱患和風險，加強高校各業務信息系統的口令管理規范，制定《密碼管理條例》；定期備份應用系統、數據庫的文件，定期進行數據恢復演練，根據情況調整備份時間，制定《信息備份與恢復管理制度》。

在物理環境和資產方面，應加強對信息系統的物理環境和設施的標準化管理，以確保物理環境、設施設備和進出訪問控制安全，制定《機房環境安全管理條例》和《辦公環境信息安全管理條例》；管理各類移動存儲介質的所有使用行為，如磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質等，必須要有介質的使用授權說明，保證介質使用的安全，制定《介質安全管理規定》；加強高校所有信息資產的運行維護管理，定期檢查系統的工作環境、安全運行、策略，記錄信息系統運行的日志和狀態，同時定期統計信息資產數目，制定《信息安全運行維護安全管理辦法》；加強信息資產的安全管理，建立信息資產的統一分類、責任、授權和配置管理，明確高校硬件資產、軟件資產和數據資產的信息安全管理，并制定《信息資產安全管理辦法》和《設備安全管理條例》。

在應急響應方面，有必要加強對信息安全事件的監控和管理規范，建立應急事件的及時報告、多方協調、快速處理機制。制定重要信息系統應急響應預案，定期開展演練，確保信息系統持續穩定運行，制定《應急管理條例》和《應急響應分類專項預案》。

對于第三方服務商和安全產品采購，應明確第三方安全服務商的管理，及時、有效和可控地對外部方所提供的服務質量、服務交付和安全狀況進行管理，規范第三方服務管理相關流程及安全要求，制定《第三方安全服務提供商管理辦法》；對于在安全產品，應明確信息安全產品的選購和使用，明確信息安全產品的管理工作，對信息安全產品采購和使用環節實施適當的保護管理，制定《信息安全產品采購及使用管理制度》，制度內容如表1所示。

表1 制度內容列表（部分）

4 信息安全制度的有效性評估

制度的有效性評估是檢視制度體系的完備性、規范性和適用性是否滿足社會關系調整需求的重要方法和手段。為評估上述高校信息安全管理制度的有效性，根據有效性評估指標體系進行研究。

首先，根據全生命周期理論，評估指標可劃分為三個方向：體系設計、制度建設、制度實施。其中，制度的框架體系設計是從制度體系設計期的系統化、集約化和一體化三個維度衡量其設計水平和能力, 為制度建設和制度實施指引方向。制度建設是從制度建設期的合規性、協調性和操作性三個維度權衡其建設質量,為后續的制度實施提供有效保障。制度實施是從規章制度實施期的宣貫力、執行力和影響力三個維度衡量規章制度在實施過程的規范性以及實施結果對管理和效益的影響程度，有效性評估維度如表2所示。

根據有效性評估模型的三個方向、九項指標，研究者設計調查問卷對上述信息安全制度進行有效性評估。問卷調查采用分層抽樣的方法，向高校信息安全工作人員、高校師生、高校管理層、教育部門工作人員發放問卷89份，收回有效問卷82份。通過對問卷調查結果進行分析，制度體系設計和制度建設方面基本有效，而在制度實施方面失效較高，結合問卷調查分析結果，提出了提升制度有效性的路徑。

（1）持續改進性：網絡具有的的無限延伸性、匿名性、攻擊導向性等特點會使網絡安全威脅層出不窮，高校信息安全制度需能夠對新風險進行持續的說明和修改，以能夠全方位、多層次的實現制度的規范效果。

（2）加強制度宣傳和貫徹：可以利用信息化輔助工具開展制度的宣傳和貫徹，例如制作掌上制度移動端，提供主動推送制度和查詢制度的功能，鼓勵高校師生積極學習和執行。

表2 有效性評估維度

5 結束語

目前高校信息安全管理制度的有效性建設仍處于探索階段，還需要在實際工作中不斷完善。本文旨在通過制度體系設計和內容建設兩方面提供適用于高校的信息安全管理制度框架，制度的有效性評估對高校信息安全管理體系建設有一定的參考價值。