數據化時代高校統一戰略信息安全管理方法創新

趙宏偉，王曦雯，杜小剛

（1.西安電子科技大學，陜西 西安 710071；2.西安外事學院，陜西 西安 710077）

1 數據化時代高校信息安全管理現狀

在信息安全管理實踐過程中，經歷了典型的技術浪潮階段、管理浪潮階段、制度浪潮階段。目前，由于多元全球化背景下的各國高校互聯網技術發展不平衡，三個階段之間存在交叉并存的現象。以我國為例，進入數據化時代后高校在統一戰略信息安全管理方案下，需要將安全信息管理推向制度化管理方向，提高信息安全管理的組織能力與管理效果。從現狀看，部分高校已經在安全管理方面實現了初級信息安全管理向中、高級的數據安全管理升級，圍繞數據中心、虛擬數據中心建設，擴大了對安全隔離技術的應用、增強了安全設計方面的創新研發，逐漸走向了制度化的信息安全管理。但對于部分高校而言，雖然在“統一戰線”思想牽引下，建立了統一戰略信息安全管理方案，可是仍沒有完成信息安全管理向數據安全管理的轉型，所以尚處在技術、管理并存的信息安全管理狀態。在這種不均衡的信息安全管理狀況下，各大高校應順應時代潮流，結合高校信息安全管理在新時期的實際需求，創新一些有效的方法完善信息安全管理體系，推動其向制度化方向升級。

2 高校統一戰略信息安全管理方法創新需求

2.1 需要完善信息安全管理體系

戰略導向下的高校信息安全管理體系建設中，包括了設備、人才、技術、資本等各類要素，為了達到各項要素的優化配置，需要借助制度化建設使信息安全管理標準化、安全管理認證流程化、安全管理組織高效化、安全管理實踐持續化。同時，在統一戰略信息安全管理限定條件下，高校通過實施數據化管理擴大了信息安全管理需求，并在基礎平臺建設方面，利用數據庫建設思想，將資產庫、合規庫、組織庫、漏洞庫、數據存儲、工作流引擎等進行了統一整合，利用模塊化管理思想把內容龐雜的安全管理、安全監測、安全服務內容整合到了各個模塊，進而利用數據交換總線技術將各模塊與基礎平臺進行了關聯，形成了包括“基礎平臺—數據交換總線—安全管理/監測/服務模塊”內容的安全管理方案（見圖1）。因此，在這種條件下需要進一步推進信息安全制度化建設，完善信息化管理體系。

圖1 數據化時代高校統一戰略信息安全管理框架示意

2.2 需要配置信息安全管理技術

方法是一種工具，既包括管理科學技術層面的方法，也有管理技術層面的方法。信息安全管理的制度化建設，屬于管理技術層面的方法創新。但是，按照現代經濟學（也稱發展經濟學）的生產要素配置理論看，在任何行業、任一領域的高質量發展階段，為了提高管理效率、擴增管理效用，需要將技術要素配置作為主導要素，然后再配置匹配的資本要素、人才要素等。而且，信息安全管理技術兼具了管理技術特征、科學技術特征，無論從哪個層面看，均需要進行配置與創新應用。

具體而言，在信息化時代高校創建的統一戰略信息安全管理方案中，主要依據信息安全管理的基本需求，通過防火墻、安全隔離技術、密鑰管理、日常運維檢修等實現信息安全管理。操作時既對信息安全管理技術進行獨立應用，也借助其交互功能實施聯合應用。進入數據化時代后，高校信息化建設進入到了更高一級的階段，大范圍內建設了數據庫、建立了數據中心。而且，伴隨著數據生成總量的增加，進一步加快了虛擬數據中心建設。在數據中心的信息安全管理方面，采用不同類型的安全隔離技術可以滿足其管理需求。然而，在虛擬數據中心方面，卻需要結合虛擬機、同一硬件設備載體，研發設計配套的信息安全管理方案。

2.3 需要提升信息安全管理隊伍水平

目前各大高校于“互聯網+”改革時期建設了信息安全管理隊伍，滿足了當時的高校信息網絡建設要求。但是新時期高校“統一戰線”平臺與行政機構、企業、海內外優秀學者等組建的“統一戰略”平臺進行了關聯，加上數據化時代的到來，對于信息安全管理的需求進一步增加。此時，受到管理隊伍的人員結構、安全教育、專業素養以及配套用人機制不夠完善等因素影響，信息安全管理隊伍整體水平仍需進一步提升。例如，在信息安全管理方面的級別劃分沿用行政級別劃分方式，造成了專業人員與非專業人員的混雜，不僅拉低了隊伍水平，而且存在非專業人士管理專業人士的情況，容易出現“瞎指揮”的情況。

3 高校統一戰略信息安全管理方法創新措施

3.1 增強制度建設，健全信息安全管理體系

首先，應該從信息安全管理的基本演進歷程，突出數據化時代高校統一戰略信息安全管理中進行制度建設的必要性。然后參照國際、國家的信息安全標準，運用全要素分析方法梳理“實踐中漏掉了哪些安全管理要素”，采用查缺補漏的辦法進行完善。同時，在安全認證方面，應該先從組織結構上，劃分出應用層的普通用戶、運營層的系統管理員、管理層的工作小組、決策層的領導小組，進而保障整個信息安全認證的級別（見圖2）。另外，在各級別中，應該按照現行的信息安全體系規則、安全操作策略與規范化要求、安全風險管理、信息分級保護、安全事件響應等，保障整個組織結構發揮應有的作用。除此之外，網絡攻擊與網絡病毒具有一定的突發性，為了預防此類風險，應該增加信息安全應急響應組，這樣有利于在風險發生的第一時間做出有效響應。

圖2 高校統一戰略信息安全管理組織結構示意

其次，需要在制度化建設方面，明確其中的體系化建設思路，利用制度化建設完善當前的信息安全管理體系。具體而言，應創建制度牽引、五項基本機制（評價、監督、激勵、權責、協同機制）并行運作的基本模式，確保整個體系的有效運行。并在此基礎上，借助人力資源管理部門解決“組織內部用戶是組織的最大敵人”的問題，具體可以通過高校的信息安全文化建設加以實現，包括信息安全教育、信息安全管理、信息安全監察等。尤其應該在全校范圍內利用當前普遍應用的學習機制，開展相關專題的講座、培訓等工作，同時下發關于數據分級標準、信息資源安全操作手冊。

第三，考慮到高校統一戰略信息安全管理方案的模塊化發展，應該在此基礎上，增設一項動態管理條例，并將其具體到程序化操作方式上，有效落實高校信息安全方針。例如，借助“線上+線下”混合管理模式，實施關于信息安全管理現場數據采集，與數據中心數據監測、數據分析、生成數據分析報告、應用數據分析報告的基本流程等。尤其在安全意外報告方面，應該設置簡易化的流程，按照上報、核查、處理的“三步走”辦法，提升程序化操作效率。如此，也能夠為高校“統一戰線”平臺與其他組織的“統一戰線”平臺之間開展協同管理奠定必要條件。

3.2 創新管理技術，擴增信息安全管理效用

首先，建議按照現代經濟學中的生產要素配置理論，依據我國高校統一戰略信息安全管理工作的開展現狀，合理的劃分出初期建設階段、中期發展階段、高質量發展階段，然后，按照初期場地要素主導配置、中期資本要素主導配置、高質量時期技術要素主導配置的基本思路，增強對信息安全管理技術的創新，進而利用該方面的技術創新與技術要素配置主導，優化各項資源配置率，進而達到擴增信息安全管理效用的目標。需要說明的是，信息安全管理發展的三階段，與這里所說的高校信息安全管理發展三階段，是不同角度下的階段劃分。前一種劃分主要依據信息安全的發展，后一種劃分側重于要素配置理論。

其次，針對數據中心的信息安全管理，應該按照當前普遍使用的運用控制對策，通過增設認證服務器、策略服務器、數據庫服務器的辦法，結合“加密文檔打開操作—操作用信息和加密目標文件唯一標識—操作用戶身份確認—用戶操作文件權限策略—加密文檔解密受控打開”五項基本管理技術，保障整個用戶端與PC端的信息安全操作（見圖3）。或者利用當前普遍應用的安全隔離技術，將內網與外網進行隔離方式下的數據連接。至于虛擬數據中心的信息安全管理，建議根據大數據技術、云計算技術的具體應用情況研發設計配套的安全設計方案。

圖3 信息安全管理對策—運用控制

3.3 培育專業人才，優化信息安全管理隊伍

首先，通過制度化建設可以改變現階段的信息安全管理隊伍的組織結構、組織方式，而且有利于將外部響應系統與內部的安全管理系統結合起來，發揮出不同崗位上的人力資源優勢。因此建議按照基本的“外部響應系統—信息安全管理系統—內部控制系統”中的各項職能需求合理的配置各項人才。例如，在外部響應系統中，重點放在外部協同上，此時應該按照自身系統維護管理、用戶管理、知識管理、安全知識庫管理等，合理安排各項人員。再如，在信息安全管理系統方面，應該按照內部控制系統中的安全評估中心、網管中心、事件流量控制中心等，劃分出若干管理職能，合理配置各項人才。

其次，近年來經過對“統一戰線”思想的有效運用，不僅國內“統一戰線”平臺在各類組織機構中獲得了有效的建設，同時在海內外優秀學者方面也組建了“統一戰線”平臺。因此，高校應該進一步結合“統一戰線”思想，從意識形態層面對高校信息安全管理人員的安全意識進行深化，結合網絡化的信息安全保護宣傳，使高校信息安全管理人員將這種安全管理認知傳播到海內外優秀學者中，進而借助高校人力資源優勢，為全面實施信息安全管理做出有力支持等。

4 結束語

總之，綜合上述模式構建一套融合了可復制、可拓展、可持續發展特征的信息安全管理基礎架構十分必要。通過以上初步分析可以看出，目前高校網絡安全管理需求較多，因此有必要利用戰略思維，創建戰略導向型的信息安全管理體系，通過安全技術創新擴增信息安全管理效用。尤其是高校統一戰略信息安全管理中離不開管理主體的創新與發明，以及專業化實踐。所以，應該配套利用高校優勢較大的人力資源管理辦法，建設綜合素質全面的新型信息及安全管理隊伍。