利用PDCA循環模式提升校園信息網絡安全質量的探索與實踐

◆摘? 要：校園信息網絡安全建設是一項系統性的工程，各高校信息化建設經過長時間的建設，網絡安全已經取得了一定的成效，但隨著等保2.0新標準的提出，信息網絡安全質量還需要進行很大的提升。本文利用PDCA戴明環模式，提出了校園信息網絡安全質量建設的探索思路。

◆關鍵詞：信息安全;網絡安全;PDCA;等保測評

2017年6月1日《中華人民共和國網絡安全法》已經開始實施，標志著等級保護2.0的正式啟動。全面推進校園信息系統等級保護及測評工作，加強關鍵基礎設施管控能力，強化網絡安全監測預警和技術防護，增強應急處置和災難恢復能力，有效防范、控制和抵御網絡安全風險。建成完備網絡信息安全體系，開展上網行為審計，建立系統性安全防御體系，提高整體網絡安全防護水平，構建可信、可控、可查的網絡環境空間成為了校園信息網絡安全建設的工作目標。

一、校園信息網絡安全質量現狀

對照等保2.0標準要求，校園信息網絡安全整體質量依然不足，人員防護體系、技術防護體系、安全評估體系、演練加固體系等均不完善，信息網絡安全整體質量均需要進行有效改進和提升。

1.技術安全防護體系需要增強，安全防護范圍需要擴大

技術安全防護體系簡稱“技防”，是網絡與信息安全建設體系的重要內容。等保2.0的保護對象在范圍上有了很大的擴充，在傳統系統的基礎上擴大了云計算、移動互聯、物聯網、大數據等。因此1.0標準下的安全防護體系均出現了防護范圍不足，技術手段有限、關鍵位置防控不到位等問題。

2.安全管理制度體系依然不健全，安全培訓和安全教育還有待加強。

“人防”是網絡與信息安全建設體系的重要保障，等保2.0在控制措施分類上有了新的變化。現有安全管理體系和服務支撐體系存在通訊控制不嚴格、安全策略不嚴謹、系統管理不健全等問題。安全服務體系方面缺乏有效安全培訓和教育機制。全員安全意識、法律意識和風險意識還有待加強。

3.安全評估存在不全面、不及時、不到位的問題

信息系統安全評估是一項周期性工作，各單位需要對信息系統及時進行定級備案和測評加固。由于信息系統隨著應用和需求的調整，經常發生變化，導致備案和測評工作很難及時跟進處理。

4.系統加固和演練能力依然脆弱

隨著新漏洞的發現，系統加固需專業技術團隊長期跟進。應急演練作為模擬事件，需要調動各項資源積極參與演練，以充分發揮應急演練效果和效能。但往往由于制度設計缺陷，無法整體協同，導致演練效果不足。

二、基于PDCA原理的網絡安全體系設計思路

PDCA循環是美國質量管理專家休哈特博士首先提出的，由戴明采納、宣傳，獲得普及，所以又稱戴明環。全面質量管理的思想基礎和方法依據就是PDCA循環。基于PDCA原理，圍繞著校園網絡安全整體工作質量目標，通過技術防護實施計劃（P），人員防護實施執行（D），安全評估檢查效果（C），加固演練總結處理（A），可形成有效的安全質量提升路徑，不斷循環，不斷檢查，不斷總結，循序漸進推進安全質量建設工作。

1.技術防護實施計劃

技術防護實施計劃要根據經濟性、安全性、可行性等幾個方面進行規劃設計，經濟性方面要結合學校信息化整體規模及防護要求，合理利用現有資源，合理進行設計規劃和防護體系設計。安全性要從總體上做到相對安全，要覆蓋全、要全面涵蓋物理環境安全、網絡安全、主機安全、應用安全和數據安全等五個層面。可行性要從有效果、能落地、易檢查方面進行設計，要實現不同防護層面所采用的技術防護支撐工具要能實際產生防護作用，要防止出現木桶效應，要實現日常防護監控和管理能做到及時監控、精準定位，出現問題要能夠第一時間進行技術響應。

2.人員防護實施執行

人員防護體系的建設，首先要建立安全管理體系和安全服務體系。安全管理體系通過規章制度的形式進行責權利的劃分，安全服務體系通過培訓教育的形式進行思想意識引領。

安全管理體系要從安全方針和安全策略總體設計。安全方針要明確管理責任、使用責任和運營責任。安全策略要從組織、人員、系統建設、系統運維等方向進行設計，要明確安全事件決策機制和處置流程，要合理劃分職責和分工，要明確溝通模式，要制定安全人員任用條件、培訓和處罰條例，系統建設要制定有效項目管理制度，系統運維要制定運維策略和應急處置預案。

安全服務體系要從全員參與，人人相關角度出發。合理制定安全培訓方案和計劃，針對不同崗位和不同用戶定期進行安全培訓教育和意識宣傳，及時跟蹤安全培訓效果，并改進培訓方案。

3.安全評估檢查效果

依據《等級保護管理辦法》，信息系統建成后，需及時進行備案工作，并獲得《備案證書》。按照等保相關指標要求和流程規范進行評估檢查工作。等保測評工作從信息系統調研和資產識別開始，要做好詳細的資產梳理，需結合系統的相關性、一致性和有效性詳細開展。資產梳理內容包括信息系統基本情況、物理環境、承載業務、網絡結構、外聯線路及設備端口、網絡設備、安全設備、服務器設備、終端設備等等多項關聯性內容。根據資產數情況，開展定級初測和復測工作，并出具初測和復測報告，結合等保測評標準得出差距分析報告。

4.加固演練總結處理

加固演練總結是針對系統加固和應急演練的最后總結。具體內容可包括系統加固、制度體系完善，輿情管控，攻防演練和應急演練等等。加固是根據發現的漏洞進行技術或制度的升級和策略修改。演練是根據制定的流程進行協同化安全事件模擬處置，以提升應急響應能力。

系統加固可根據差距分析編寫安全加固整改方案并進行系統加固整改。整改結束，再進行復測，直至問題消除。安全制度體系加固主要針對人員防護方面進行管理提升，輿情管控主要針對信息內容方面進行進行管理提升，攻防演練主要模擬事件未發生時的處置能力提升，應急演練主要模擬事件發生后的處理能力進行提升。

三、結語

校園安全防護體系建設是一項綜合性的系統化工程，基于PDCA原理的校園信息網絡安全質量建設思路，能夠通過體系規劃、人員執行、評估檢查、演練加固等四個階段有效銜接，從而形成工作質量提升閉環，螺旋式提升信息網絡安全整理治理能力和水平，有效提升校園信息網絡整體安全建設質量。

作者簡介

喻民權（1975—），男，云南省人，北京經濟管理職業學院信息與網絡中心工程師。