在高校信息化應(yīng)用日益深化的今天,信息和資源的整合日益密切,如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行,確保信息安全是亟待解決的關(guān)鍵問題。從調(diào)研顯示,目前我國(guó)高校網(wǎng)絡(luò)系統(tǒng)存在許多安全問題,如:非授權(quán)訪問、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等,產(chǎn)生這些安全問題的原因在于:沒有建立完善的網(wǎng)絡(luò)系統(tǒng)安全體系;沒有建立相應(yīng)的安全組織、管理、技術(shù)機(jī)構(gòu);沒有建立完備的網(wǎng)絡(luò)系統(tǒng)安全措施。
本文從高校信息系統(tǒng)的需求出發(fā),遵從風(fēng)險(xiǎn)管理的理念,在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上,借鑒國(guó)際最佳實(shí)踐經(jīng)驗(yàn),研究并實(shí)施高校信息化安全管理體系,為高校信息安全管理工作提供借鑒和參考。
規(guī)劃信息化安全管理體系
分層次建立安全管理制度和手段
信息化安全管理體系規(guī)劃是高校安全體系建立的第一步,目的是識(shí)別安全問題,明確安全管理的范圍和內(nèi)容,建立安全管理的組織管理機(jī)制,從管理和技術(shù)兩個(gè)角度,分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段,形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規(guī)劃過程歸納為以下8個(gè)步驟:
1. 建立安全管理組織:安全管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成,包括來自行政、IT、業(yè)務(wù)、安全、保衛(wèi)、風(fēng)險(xiǎn)和規(guī)劃部門的人員。
2. 識(shí)別保護(hù)對(duì)象:識(shí)別學(xué)校目前的關(guān)注點(diǎn)、面臨的風(fēng)險(xiǎn)及威脅,分析它們存在的原因,將分析結(jié)果納入安全管理體系的規(guī)劃中重點(diǎn)考慮。
3. 評(píng)估現(xiàn)有措施:了解學(xué)校目前的安全管理措施并評(píng)估它們的效力。
4. 考慮長(zhǎng)期需要:安全整體規(guī)劃應(yīng)考慮長(zhǎng)期的需要,具有一定的前瞻性,如長(zhǎng)期的制度適應(yīng)性、設(shè)備老化、安全人員的發(fā)展需要等。
5. 納入學(xué)校的建設(shè)規(guī)劃:了解學(xué)校新建項(xiàng)目,如辦公樓、教學(xué)樓、停車場(chǎng)等項(xiàng)目,是否會(huì)影響現(xiàn)有的物理安全規(guī)劃,如有影響,將安全規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤考慮。
6. 建立安全工作機(jī)制:形成文件化的制度體系和工作條例,明確各崗位的責(zé)任、應(yīng)提供的服務(wù)和交付物,這些將有助于確保工作的落實(shí)和運(yùn)作效率。
7. 應(yīng)對(duì)新老技術(shù)的混合:新技術(shù)的規(guī)劃應(yīng)考慮對(duì)老技術(shù)的沖擊,新老技術(shù)的融合運(yùn)用將是一個(gè)挑戰(zhàn)。
8. 關(guān)鍵設(shè)施重點(diǎn)布局:關(guān)鍵設(shè)施指校園中那些需要連續(xù)、可靠運(yùn)行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合,這些設(shè)施的安全尤為重要,風(fēng)險(xiǎn)也最為突出。
體系框架的內(nèi)容
上述的規(guī)劃步驟從組織、管理和技術(shù)三方面較全面地考慮高校信息化安全管理的具體問題,有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架,其中包括安全組織體系、安全管理體系和安全技術(shù)體系。
圖1 高校信息化安全管理體系
1. 安全組織體系
它是確保信息安全工作貫徹和落實(shí)的基石,基本框架應(yīng)包含決策、管理、運(yùn)營(yíng)和應(yīng)用4個(gè)層次。決策層負(fù)責(zé)信息化安全管理體系的規(guī)劃、管理制度的審定及重大事項(xiàng)的決策等;管理層負(fù)責(zé)信息化安全管理體系的實(shí)施、安全管理工作機(jī)制的研究制訂、安全管理制度的貫徹和執(zhí)行、日常安全管理的組織協(xié)調(diào)等;運(yùn)營(yíng)層具體負(fù)責(zé)機(jī)房、網(wǎng)絡(luò)和服務(wù)器、數(shù)據(jù)庫、信息系統(tǒng)的安全管理和維護(hù);應(yīng)用層即普通用戶,職責(zé)包括嚴(yán)格按照系統(tǒng)操作手冊(cè)正確使用信息系統(tǒng),不得進(jìn)行可能危害信息系統(tǒng)安全的操作,不得發(fā)布惡意信息等。
2. 安全管理體系
它是整個(gè)安全管理體系有效運(yùn)作和持續(xù)改進(jìn)的保障,應(yīng)在實(shí)踐中逐步實(shí)現(xiàn)規(guī)章制度的文件化、工作機(jī)制的程序化和監(jiān)控手段的系統(tǒng)化,基本框架具體包括安全制度的建立、建設(shè)與運(yùn)營(yíng)工作條例的建立、應(yīng)急響應(yīng)機(jī)制的建立、審計(jì)與評(píng)審機(jī)制的建立、安全教育與培訓(xùn)。
3. 安全技術(shù)體系
該體系有力保障信息資源和應(yīng)用系統(tǒng)免受外部攻擊,基本框架由網(wǎng)絡(luò)層安全技術(shù)、系統(tǒng)層安全技術(shù)和應(yīng)用層安全技術(shù)構(gòu)成。網(wǎng)絡(luò)層安全技術(shù)包括防火墻、病毒防范、入侵檢測(cè)、VPN等;系統(tǒng)層安全技術(shù)包括數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)庫安全審計(jì)、應(yīng)用系統(tǒng)監(jiān)控、身份認(rèn)證等;應(yīng)用層安全技術(shù)包括權(quán)限管理、信息加密、桌面系統(tǒng)等。
信息化安全管理體系整改
上海財(cái)經(jīng)大學(xué)經(jīng)過多年的信息化建設(shè),包括教學(xué)、學(xué)生、辦公自動(dòng)化、招生、人事、財(cái)務(wù)、公共數(shù)據(jù)平臺(tái)、校園一卡通等一大批信息系統(tǒng)得到應(yīng)用。隨著應(yīng)用的深化,系統(tǒng)中積累大量的業(yè)務(wù)數(shù)據(jù)和工作成果,這些信息對(duì)學(xué)校目前的管理乃至今后的發(fā)展都至關(guān)重要,因此,信息的安全問題也成為信息化工作的焦點(diǎn)。2009年起,在認(rèn)真分析學(xué)校信息安全管理和技術(shù)兩方面的問題和原因的基礎(chǔ)上,學(xué)校從組織、管理、技術(shù)三方面入手進(jìn)行一系列的整改,截至目前,已形成較為完善的組織體系、管理體系和技術(shù)體系。
完善信息安全管理的組織結(jié)構(gòu)
2009年,學(xué)校對(duì)信息安全管理的組織結(jié)構(gòu)進(jìn)行重新梳理,形成包含決策、管理、維護(hù)和應(yīng)用4 個(gè)層次在內(nèi)的較為完善的網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu),工作職責(zé)更加明確。上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)如圖2。
?
圖2 財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)
1. 決策層:在信息化領(lǐng)導(dǎo)小組的職能中明確信息系統(tǒng)的安全管理職能,由信息化領(lǐng)導(dǎo)小組統(tǒng)一規(guī)劃、部署和統(tǒng)籌資源。