高校信息系統的網絡安全管理機制研究

楊翠翠 周濤 劉璀 楊玲

摘 要：高校信息化建設是在信息時代中高等教育院校發展的必然趨勢，保障高校信息系統網絡安全的重要性日益凸顯。目前，高校校園網信息系統安全管理機制的建設還處于實驗、摸索階段，還需要在實踐中去完善。高校需要從信息系統全生命周期的角度出發，結合信息安全等級保護項目和以往信息系統建設的實踐經驗，進一步加強信息系統安全管理機制的建設，給校園網信息系統的安全提供制度建設的參考依據。論文既是對信息安全管理理論體系的研究和探索，也是對高校多年來網絡信息安全工作的總結和分析，具有一定的理論和實踐意義。

關鍵詞：信息系統；網絡安全；管理機制；安全管理

中圖分類號：TP393.0 文獻標識碼：A

1 引言

網絡安全是指保護網絡系統的硬件、軟件及其系統中的數據信息，使其不會因為偶然的或者惡意的原因而遭受到更改、破壞、泄露，可以保障系統能夠可靠正常地運行，網絡服務不被中斷。近段時間以來，網絡安全的形式日益嚴峻，尤其是“棱鏡門”事件以后，全球各國都高度重視網絡安全問題。習近平總書記也在講話中頻繁強調“沒有網絡安全就沒有國家安全”，并親自出任中央網絡安全和信息化領導小組的組長。我國網絡安全法以及其配套的規范性文件和規章制度等已經陸續出臺，2017年6月1日起，我國的《中華人民共和國網絡安全法》也正式實施。習近平總書記在十九大工作報告中再次提出要“加強互聯網內容建設，建立網絡綜合治理體系，營造清朗的網絡空間”。

隨著互聯網技術的迅速發展，互聯網已經成為當前主要的信息傳播平臺、社會輿論的放大器和思想文化的集散地。高校學生作為受教育程度較高的社會群體，其溝通表達方式、學習思維方式、生活休閑方式等都受到網絡環境的深遠影響。高校校園網作為高校學生網絡思想教育的主要平臺，保障網絡空間安全和做好網絡安全管理工作是所有高校網絡安全管理必須要面對的主要問題。

在信息時代中，高校信息化建設是高等教育院校發展的必然趨勢。隨著高校信息化程度的不斷提高，高校的教學環境和辦學條件也在不斷提升和改善，廣大師生的效率也得到了提高，為大家的學習、工作和生活提供了更為便捷的服務。與此同時，一系列的網絡安全問題也隨之產生，保障高校信息系統的網絡安全的重要性日漸明顯。高校中信息系統各式各樣，數量眾多，信息化主管部門無法評估和審核所有信息資產的安全狀況，且部分業務系統未在開發時考慮安全需求，重視建設忽略維護的慣性，使得部分信息系統處于無人管理狀態，出現了“僵尸”網站，導致了不安全因素的發生。部分高校沒有對應的安全防護措施，或者將安全設備當擺設，未真正投入使用，且沒有搭建監測預警平臺，給竊密者和攻擊者更多的可乘之機。從而導致高校信息系統的安全防護能力較差，網站容易被攻擊者滲透篡改，張貼非法信息，對高校的形象造成負面影響。高校大多數業務部門的信息系統是由軟件廠商開發，對于信息系統存在的后門、漏洞、弱口令、暗鏈等安全隱患，信息系統管理人員由于過于依賴廠商等原因不能及時修復或采取措施，導致信息系統存在較大的安全威脅，為黑客入侵提供了可能。攻擊者通過安全漏洞對信息系統進行攻擊，可能會導致數據丟失或系統癱瘓，對高校中各項相關工作的開展造成了負面影響。

2 基于信息系統的網絡安全管理機制

當前，部分高校已經采取了相應的網絡安全防護措施，啟用了各類安全設備，完成了云安全監測預警平臺建設，初步建成了網絡安全防御體系。然而，高校信息系統的網絡安全管理工作還需要進一步的增強。因此，高校需要基于重要信息系統，對其進行全生命周期的安全管理，從源頭上主動發現信息系統存在的安全問題，盡早地主動排除隱患問題。在《中華人民共和國網絡安全法》一系列法律法規的約束下，根據高校信息化建設及網絡安全建設相關制度的要求，結合網絡安全等級保護制度的相關政策，高校需要在信息系統生命周期中全面實施網絡信息安全建設和管理。在信息系統的立項、采購、建設、驗收、運維以及關閉等各環節，通過增加各環節的網絡安全內容，滿足信息系統本身的基本安全需求，進一步實現對信息系統的網絡安全管理。

2.1 信息系統生命周期

信息系統生命周期是指伴隨著生存環境的改變，信息系統在實際使用過程中需要不斷的修改、維護，按照產生、發展、成熟、消亡（更新）的過程進行周期循環。信息系統生命周期可以劃分為系統規劃、系統分析、系統設計、系統實施以及系統運行和維護共五個時期，每一個時期又可以被進一步劃分為幾個階段，如圖1所示。

2.2 信息安全等級保護

信息安全等級保護是指按照信息系統重要性等級對信息和信息載體進行分級別保護，主要包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。

《信息安全等級保護管理辦法》中規定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在社會生活、經濟建設、國家安全中的重要程度，信息系統遭到破壞后對社會秩序、國家安全、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素來確定。

信息系統的安全保護等級劃分為五級。

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

信息系統安全等級保護需要對不同安全等級的信息系統進行不同的安全防護措施。一方面，在安全管理和安全技術方面通過選用與安全等級相適應的安全控制措施來實現；另一方面，根據交互、連接、協調、依賴、協同等相互關聯的關系，使其應用在信息系統中的不同的安全控制上，共同致力于信息系統的安全功能的實現，使信息系統的結構與整體安全功能以及安全層面間、區域間和控制間的相互關聯關系密切關聯。

2.3 信息安全管理機制

信息安全管理機制是按照信息安全管理體系中相關標準的要求，組織機構單位制定信息安全管理策略和方針，參照風險管理的方法，進行信息安全管理的計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。信息安全管理機制是按照ISO/IEC 27001標準《信息技術安全技術信息安全管理體系要求》的要求完成建立的。

建立校園網信息系統安全管理機制，是指按照信息安全等級保護制度的相關要求，在信息系統的立項、采購、建設、驗收、運維以及關閉等各個步驟中，加入網絡安全的相關內容。從計算機網絡的邏輯和物理構成上，通過基礎設施通訊安全（網絡傳輸安全）、實體安全、平臺安全（主機安全）、運行安全、管理安全、應用軟件安全、安全防范體系、授權和審計安全以及數據安全共九個方面，將校園網內的信息安全資源進行整合，從人員、政策、技術三個方面來構建校園網信息系統的安全保障體系。

3 當前管理機制中存在的問題及解決辦法

將校園網信息系統安全管理機制作為主要研究對象，結合信息安全等級保護制度的相關要求，羅列、整理在生命周期的每個階段中校內信息系統的安全保障措施，歸納總結基于信息系統安全的校園網信息安全管理機制。通過對以往的信息系統建設和安全等級保護項目的實施案例的分析、總結，對校園網信息安全管理機制進一步改進，同時提出改進的方案和進一步發展的意見。具體的研究方法可以采用文獻研究法、實例分析法、全面質量管理法。

文獻研究法是指圍繞信息安全等級保護、信息安全管理機制的相關理論文獻資料進行搜集、分析、篩選和整理，為研究的問題解決和可行性分析提供實踐依據和理論依據。實例分析法是指通過總結分析信息系統建設實例，采用模型擬合與評價等方法，對研究結果進行修正。全面質量管理法即PDCA循環。全面質量管理法主要包含四個過程：計劃（Plan）、執行（Do）、檢查（Check）、行動（Action），其依照這樣的執行次序對信息系統進行質量管理，并且循環不止地進行下去，具體過程如圖2所示。

通過以上三種研究方法，歸納、總結出校園網信息系統安全管理機制中存在的問題，主要涵蓋三個方面的問題：第一方面，信息系統的網絡安全問題無法保障，無法進行正常監管，業務系統建設時未進行安全因素的考慮，導致“僵尸”網站的產生；第二方面，安全設備利用率低，無監測預警平臺，頻繁導致信息系統被攻擊事件發生；第三方面，系統管理員專業素質較低，無法及時采取措施，為黑客入侵提供了可乘之機。

為了實現對信息系統安全管理的目標，我們需要在信息系統建設的各個階段增加網絡安全管理的內容，以此來解決信息系統安全管理機制中存在的問題。

3.1 需求分析階段

按照等級保護的相關要求，在需求分析階段，我們需要確定信息系統的網絡安全技術需求和安全基線要求，同時開展等級保護的定級備案工作。

3.2 設計和開發階段

在設計和開發階段，廠商需要在遵循安全開發原則的基礎上，在完成功能測試后，還要進行網絡安全方面的測試。

3.3 部署階段

在信息系統部署過程中，按照學校的實際要求完成系統的各項配置后，還要進行安全策略的設置，廠商部署后由校方進行審核修正。網絡安全策略的配置主要涉及服務器端口、訪問控制策略、堡壘機配置、病毒查殺、Web應用防護策略。對于不同類別、不同用途以及不同建設階段的服務器，需要配置不同的安全策略，以滿足其相應的安全管理需求。

3.4 驗收上線階段

在信息系統驗收上線階段，廠商需要提供項目的安全檢測報告，否則不予驗收。

3.5 日常運維階段

在信息系統日常運維階段，由廠商售后技術支持人員、信息系統管理員、網絡安全管理員、數據中心管理員共同完成其安全運維工作，參照建設階段形成的各類文檔，完成日常的安全檢查和故障處理，為發現網絡安全事件提供基礎。

3.6 升級階段

在信息系統升級階段，需要在升級后對系統重新進行安全檢測和評估，并詳細記錄安全策略的變化，以保證升級后系統的安全運行。

3.7 關閉階段

在信息系統關閉階段，需結合系統的業務需求和等級保護定級標準的要求，制定數據處置方案，妥善處理相應權限的設置以及殘留數據的銷毀等，同時還要對服務器資源進行回收，避免形成僵尸系統，做好信息系統關閉記錄，及時向等保備案主管部門注銷登記信息。

4 結束語

目前，高校校園網信息系統安全管理機制的建設還處于實驗、摸索階段，還需要在實踐中去完善。高校需要結合以往信息系統建設和信息安全等級保護項目的實踐經驗，從信息系統全生命周期的角度出發，深入開展信息系統安全管理機制的建設，為高校信息系統的安全建設提供參考依據和發展方向。本文既是對信息安全管理理論體系的研究和探索，也是對高校多年來網絡信息安全工作的總結和分析，具有一定的理論意義和實踐意義。

參考文獻

[1] 黃治華，高峰，汪慧君.網絡信息系統安全能力及關鍵技術研究[J].網絡安全技術與應用，2017（5）.

[2] 李超.信息系統安全等級保護實務[M]. 北京：科學出版社，2013.

[3] 劉躍.計算機信息系統的網絡管理和安全設計[J].信息與電腦，2016（14）.

[4] 王雪.淺析高校信息系統安全隱患及防范措施[J].吉林農業科技學院學報，2017（26）.