高校信息化安全管理布局

文/韩婷 傅川 宫剑 杨晓雪

高校信息化安全管理布局

文/韩婷 傅川 宫剑 杨晓雪

信息化安全管理问题需要从管理和技术两方面考虑和解决，依靠有效的组织保障、规范的管理流程、安全可靠的系统工具及技术的支撑，才能达到“以较小的代价利用有限资源控制安全风险”的目标，更好地保证信息化建设和应用的成果。

在高校信息化应用日益深化的今天，信息和资源的整合日益密切，如何保障信息系统的持续稳定运行，确保信息安全是亟待解决的关键问题。从调研显示，目前我国高校网络系统存在许多安全问题，如：非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等，产生这些安全问题的原因在于：没有建立完善的网络系统安全体系；没有建立相应的安全组织、管理、技术机构；没有建立完备的网络系统安全措施。

本文从高校信息系统的需求出发，遵从风险管理的理念，在信息化战略规划的基础上，借鉴国际最佳实践经验，研究并实施高校信息化安全管理体系，为高校信息安全管理工作提供借鉴和参考。

图1 高校信息化安全管理体系

规划信息化安全管理体系

分层次建立安全管理制度和手段

信息化安全管理体系规划是高校安全体系建立的第一步，目的是识别安全问题，明确安全管理的范围和内容，建立安全管理的组织管理机制，从管理和技术两个角度，分层次规划各环节的安全管理制度和技术防范手段，形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤：

1. 建立安全管理组织：安全管理组织的成员由机构的战略影响者组成，包括来自行政、IT、业务、安全、保卫、风险和规划部门的人员。

2. 识别保护对象：识别学校目前的关注点、面临的风险及威胁，分析它们存在的原因，将分析结果纳入安全管理体系的规划中重点考虑。

3. 评估现有措施：了解学校目前的安全管理措施并评估它们的效力。

4. 考虑长期需要：安全整体规划应考虑长期的需要，具有一定的前瞻性，如长期的制度适应性、设备老化、安全人员的发展需要等。

5. 纳入学校的建设规划：了解学校新建项目，如办公楼、教学楼、停车场等项目，是否会影响现有的物理安全规划，如有影响，将安全规划纳入学校建设规划中通盘考虑。

6. 建立安全工作机制：形成文件化的制度体系和工作条例，明确各岗位的责任、应提供的服务和交付物，这些将有助于确保工作的落实和运作效率。

7. 应对新老技术的混合：新技术的规划应考虑对老技术的冲击，新老技术的融合运用将是一个挑战。

8. 关键设施重点布局：关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合，这些设施的安全尤为重要，风险也最为突出。

体系框架的内容

上述的规划步骤从组织、管理和技术三方面较全面地考虑高校信息化安全管理的具体问题，有助于形成完整有效的信息化安全管理体系。图1是高校信息化安全管理体系整体框架，其中包括安全组织体系、安全管理体系和安全技术体系。

1. 安全组织体系

它是确保信息安全工作贯彻和落实的基石，基本框架应包含决策、管理、运营和应用4个层次。决策层负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等；管理层负责信息化安全管理体系的实施、安全管理工作机制的研究制订、安全管理制度的贯彻和执行、日常安全管理的组织协调等；运营层具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护；应用层即普通用户，职责包括严格按照系统操作手册正确使用信息系统，不得进行可能危害信息系统安全的操作，不得发布恶意信息等。

2. 安全管理体系

它是整个安全管理体系有效运作和持续改进的保障，应在实践中逐步实现规章制度的文件化、工作机制的程序化和监控手段的系统化，基本框架具体包括安全制度的建立、建设与运营工作条例的建立、应急响应机制的建立、审计与评审机制的建立、安全教育与培训。

3. 安全技术体系

该体系有力保障信息资源和应用系统免受外部攻击，基本框架由网络层安全技术、系统层安全技术和应用层安全技术构成。网络层安全技术包括防火墙、病毒防范、入侵检测、VPN等；系统层安全技术包括数据备份与恢复、数据库安全审计、应用系统监控、身份认证等；应用层安全技术包括权限管理、信息加密、桌面系统等。

图2 上海财经大学网络信息系统安全管理组织机构

信息化安全管理体系整改

上海财经大学经过多年的信息化建设，包括教学、学生、办公自动化、招生、人事、财务、公共数据平台、校园一卡通等一大批信息系统得到应用。随着应用的深化，系统中积累大量的业务数据和工作成果，这些信息对学校目前的管理乃至今后的发展都至关重要，因此，信息的安全问题也成为信息化工作的焦点。2009年起，在认真分析学校信息安全管理和技术两方面的问题和原因的基础上，学校从组织、管理、技术三方面入手进行一系列的整改，截至目前，已形成较为完善的组织体系、管理体系和技术体系。

完善信息安全管理的组织结构

2009年，学校对信息安全管理的组织结构进行重新梳理，形成包含决策、管理、维护和应用4个层次在内的较为完善的网络信息系统安全管理组织机构，工作职责更加明确。上海财经大学网络信息系统安全管理组织机构如图2。

1. 决策层：在信息化领导小组的职能中明确信息系统的安全管理职能，由信息化领导小组统一规划、部署和统筹资源。

2. 管理层：组建安全工作小组作为信息化安全工作的执行机构，工作小组由信息化相关部门领导及专业技术人员和部分管理人员组成。

3. 运营层：完善系统运营各岗位人员的工作职责，包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员。

4. 应用层：进一步明确应用层各院系、部门及用户的安全责任，与各院系、部门签订安全责任书，同时明确各院系、部门信息员的日常信息安全工作职责，使其成为信息安全工作的基础支持队伍。

形成文件化的信息安全整体策略

早在2008年，学校就着手组织制定《上海财经大学信息系统安全管理办法》、《上海财经大学信息系统建设管理办法》和《上海财经大学信息系统运行维护管理办法》，从场地与设施安全管理、设备安全管理、系统安全管理、信息安全管理、建设安全管理、运行维护安全管理和技术文档安全管理7个方面详细制定安全管理规定，并明确系统建设和系统运维过程中相关人员的工作流程和操作规范，为全校的信息系统安全管理提供依据。

2009年至2010年，针对信息安全问题突发性强的特点，为建立健全应急工作机制，提高信息系统安全突发事件的组织指挥和应急处置能力，最大限度地减轻突发事件造成的损失，学校完成《上海财经大学信息系统安全应急预案》的制定，并在IT部门建立起突发事件应急响应工作机制。与此同时，为加强日常防控来减少突发事件的发生，学校IT部门制定《运行维护工作条例》对硬件维护、操作系统维护、数据库维护和应用系统维护的各个环节的工作流程和操作规程进行更加详细的规定，并在工作中增加安全监控、安全检测、安全策略优化、安全审计等环节加强对信息系统的安全防护。

2010年初，为明确和建立学校的信息安全策略，为各部门制定操作规范和开展安全工作提供指导，学校制定《上海财经大学网络信息系统安全管理整体方案》，从信息安全组织体系、管理体系和技术体系3个层次，详细描述管理策略以及技术手段。该方案的出台极大地推动IT部门管理制度的完善和技术改进，同时也促进各院系、部门内部安全管理的强化和人员安全意识的提高。

强化安全管理

信息安全是一项长期的工作，必须将其纳入信息系统的日常管理中常抓不懈，防患于未然。信息系统质量的内涵，除了系统功能和性能满足业务要求外，与信息系统安全有关的系统安全性、可靠性、可用性也是系统质量控制的范畴。主要采取的管理措施如下：

1. 增加建设过程中的评审环节

在项目设计、开发阶段成果接近完成时，由项目组会同相关业务部门共同组织技术评审，包括对系统安全性的审查。评审以项目前期形成的方案、文档及学校的相关标准和规范为依据，对该阶段形成的方案、技术文档及系统进行审查、确认等工作，并形成评审结论。

2. 进行内部测试和第三方测试

在项目验收前，除了由项目内部和业务部门参与的集成测试外，聘请专业的第三方测试机构进行测试。

3. 安全检测与审计双管齐下，全方位监控安全事件

对应用系统和服务器进行每三个月一次的定期安全检测，有效消除潜在的安全隐患；定期进行应用系统的安全审计、数据库的安全审计、服务器的安全审计、配置管理的安全审计等，避免越权操作及数据泄漏事件的发生。

4. 建立突发事件应急响应机制

基于《上海财经大学信息安全应急预案》，建立突发事件的应急响应机制，落实信息系统的服务级别管理，实行应急预案演练制度，建立预案库，在突发事件发生后形成处置报告，分析原因，改进工作。

5. 加强安全意识宣传与教育

我们可以面向全校师生员工组织一系列的信息安全宣传和教育活动，包括组织面向学生和教师的信息安全知识竞赛活动，开展信息安全意识培训等，提高人员的安全防范意识，发挥人在信息安全对策中的主体作用。

加强技术防范，构筑安全堡垒

系统的日常建设与运行管理中，我们通过构建自动化防控系统来加强系统的安全防范，为应用系统和用户构筑起坚实的安全堡垒，具体措施包括：

1. 搭建版本控制系统，确保开发中源代码的安全

在程序开发的过程中，需要多人同时参加和协作，通过搭建版本控制系统，记录系统建设过程中相关文档和源代码的变更过程，防止代码意外丢失、被覆盖等情况的出现。

2. 构建三套独立环境，保证正式环境安全

将系统开发环境、系统测试环境和正式系统进行分离，确保开发阶段和测试阶段的工作不影响正式系统的使用。

3. 建立备份与恢复机制，保护系统建设成果

建立本地及异地数据备份及恢复规范及方案，研发数据统一管理与备份的相关程序，对系统建设过程中的成果进行及时备份，防止因为误操作或机器故障导致数据丢失，切实保证数据的安全。

4. 防火墙与入侵监测，构筑网络屏障

在Internet和校园网之间以及校园网和信息系统服务器之间架设两层防火墙，防止校内外用户对服务器的攻击；部署网络分析系统，实时监控网络流量、网络攻击和病毒传播，为网络安全事件的定位和取证提供支持；禁止从公网访问关键信息系统，用户需要通过VPN加密链路才能实现从校外访问关键信息系统。

5. 漏洞扫描与日志分析，促进应用安全的不断提升

在应用系统层，我们采用系统日志分析平台对应用进行日志分析，捕捉和定位异常事件；定期对应用服务执行漏洞扫描，对出现的SQL注入、跨站脚本攻击、网页非法篡改、强制访问等系统安全风险及时进行分析和整改。

6. 主动式监控及时追踪问题

自主完成服务器软硬件运行状态监控系统的开发，实现对服务器运行状态及各信息系统状态进行主动监听和预警；建立统一日志服务器，对所有系统的日志进行集中管理和备份，确保问题发生时通过日志进行定位和追踪。

所谓“三分技术，七分管理”，信息化安全管理问题需要从管理和技术两方面考虑和解决，依靠有效的组织保障、规范的管理流程、安全可靠的系统工具及技术的支撑，才能达到“以较小的代价利用有限资源控制安全风险”的目标，更好地保证信息化建设和应用的成果。

信息安全管理体系发展历程

国外早在20世纪80年代就开始信息安全管理体系的研究，制订“可信计算机系统安全评价准则（TCSEC）”，其后又对网络系统、数据库等方面的安全进行系列解释，形成安全信息系统体系结构的最早原则。至今美国已研制出达到TCSEC要求的安全系统（包括安全操作系统、安全数据库、安全网络部件）多达100多种。20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出包括保密性、完整性、可用性概念的“信息技术安全评价准则（ ITSEC ）”，但是该准则中并没有给出综合解决以上问题的理论模型和具体方案。近年来美（国家安全局和国家技术标准研究所）、加、英、法、德、荷共同提出“信息技术安全评价通用准则（CC for ITSEC）”。CC综合国际上已有的评测准则和技术标准，给出框架和原则要求，于1999年7月通过国际标准化组织认可，确立为国际标准，编号为ISO/IEC 15408。ISO/IEC 15408标准对安全的内容和级别给予更完整的规范，为用户对安全需求的选取提供充分的灵活性。2005年，国际标准化组织(ISO)颁布ISO 27001:2005 标准，为大量使用信息数据的机构提供如何建立、维持及持续改善信息安全管理体系的指南。信息安全管理体系（ISMS）是机构高层管理人员用以监控信息安全、减少商业风险、确保安全管理体系持续符合企业、客户及法律要求的有效手段。

我国从2001年起建成国家信息安全组织保障体系，并逐步制定和引进重要的信息安全管理标准，包括GB17895-1999《计算机信息系统安全保护等级划分准则》、《ISO 17799：2000：信息安全管理实施准则》、《BS 7799-2：2002：信息安全管理体系实施规范》等。为配合信息安全管理的需要，国家、相关部门、行业和地方政府相继制定《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《软件产品管理办法》、《电子签名法》等有关信息安全管理的法律法规文件，开展信息安全风险评估工作。