信息安全治理在高校的研究和实践

黄杰　陆春　陈云

摘 要：本文简述了信息安全治理的概念，介绍现阶段高校信息安全面临的问题和挑战，根据实际情况建立学校信息系统安全治理组织的四层架构体系，并从应用安全、数据安全、客户端安全、软件开发安全、故障分级与应急处置、应急预案与演练等六个维度建立了信息安全治理体系。进而对安全风险进行全面的管控，保障学校信息服务的可持续性。

关键词：信息安全；安全治理；安全风险；可持续性

中图分类号：G203 文献标志码：A 文章编号：1673-8454（2014）19-0037-04

引言

由瑞星公司于2014年1月发布的《瑞星2013年中国信息安全报告》针对中国 2013年全年的网络安全现状与趋势进行统计、研究和分析。[1]报告指出全年新增病毒样本3310万余个，病毒总体数量比2012年同期增长163%，呈现出全线爆发的增长态势。其中主要以木马和感染型病毒为主。新增手机病毒样本80余万个，与2012年相比，有数十倍的增长。其中恶意扣费和隐私窃取为量最大的两大类。

高校的信息安全现状也不容乐观。由360互联网安全中心发布的《2013年中国高校网站安全报告》针对5万个高校网站做了全面的安全分析和评估。[2]报告指出高校网站平均每五个漏洞就有一个高危安全漏洞，数量最多的为跨站脚本漏洞、SQL注入漏洞和信息泄露漏洞，分别占22.1%、16.17%和15.49%。其中SQL注入漏洞危害最大，SQL注入攻击也是黑客最常用的攻击手段。这就意味着中国高校网站依然存在严重的安全风险。数据显示，中国每个高校平均每天被黑客攻击113次（包含扫描等行为）。高校网站被黑客入侵后通常受到的侵害有挂马、网站前台和后台被篡改、网站数据库被“拖库”、网页被挂马、服务器被控制成为“肉鸡”等。其中以网站篡改最为多见，比例占一半以上。

高校普遍存在六大安全隐患，包括网站建设和管理不统一、网站日常维护缺失、对网站安全不重视、网站信息保护意识差、软件系统漏洞、服务器漏洞。[3]为黑客入侵提供了机会。

习总书记在中央网络安全和信息化领导小组第一次会议上提出“努力把我国建设成为网络强国”表示由国家主导信息安全已成现实。[4] 2009年教育部办公厅已经发布了高校开展信息系统安全保护工作的部署。政府对信息安全的重视程度已经到了前所未有的高度。

一、信息安全治理组织架构

信息系统安全治理范畴包括场地与设施安全管理、设备安全管理、系统安全管理、信息安全管理、建设安全管理、运行维护安全管理和技术文档安全管理等。[5]信息安全治理牵涉到组织对其信息资产的识别，包括为实现保密性、完整性和可用性而开发，文件化及实施策略、标准、程序及指南。可以利用各种管理途径来分类资产、识别威胁、评价弱点以便有效实施安全控制，可用的途径包括数据分类、风险评估和风险分析等。信息安全的实质是确保业务运行的连续性。

学校信息系统安全治理的组织体系自上而下分为四个层次，如图1所示。

决策层，针对信息化领导小组，职责包括贯彻国家有关部门关于信息系统安全工作的方针政策；审定信息系统安全规划；研究、审定并发布信息系统安全管理工作的相关制度文件；研究决定信息系统安全管理中的重大事项；建立信息系统安全管理的奖惩机制。

管理层，针对信息系统安全工作小组，职责包括贯彻和执行学校信息系统安全管理制度，落实学校信息系统安全的建设发展规划；参与信息系统安全体系的规划，负责信息系统安全体系的实施和完善；负责信息系统的日常安全管理、组织协调工作，监控信息系统安全运行情况，负责为用户的信息系统安全防范提供技术指导等。校园网络信息管理工作小组，职责包括负责研究制定校园网络信息安全管理的运行机制和工作方案，建立网络信息安全的组织机制、管理制度和队伍培养方案；负责研究有害信息的界定以及网上舆论的监控方案和工作机制等。

维护层，针对系统管理员，具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护。

应用层，针对普通用户，职责包括严格按照系统操作手册正确使用信息系统，不得进行可能危害信息系统安全的操作，不得发布恶意信息等。

二、信息安全治理实践

1.应用安全

高校为师生提供信息服务，发生安全事件是不可避免的，腾讯CTO张志东曾说，“安全问题可以让腾讯一天倒闭”，所以制定相应的安全管理规范、杜绝信息系统的安全隐患、保证业务健康运行，是不可缺少的。

新应用上线前必须经过风险评估平台的扫描，检查并修复存在的漏洞。漏洞修复的重要程度必须依照表1执行，高危漏洞要修复并经过回归扫描后方可上线，中低危漏洞要安排修复计划并经安全中心确认后方可上线。

2.客户端安全

客户端类应用上线前必须经过风险评估平台的扫描，检查并修复存在的漏洞。新建客户端类应用必须修正代码中所有的高危险函数后方可上线。高危险函数可以使用代码安全检查工具进行自查。如表2所示。

3.数据安全

系统上线前信息安全责任人统一提交到信息系统安全工作小组备案，提供第一处理责任人和第二处理责任人。

系统信息安全处理响应规范：

一级信息指反动类（包括反党、反政府、游行、集会及突发事件等），系统部门对于该类信息的响应处理时限30分钟内处理完毕。

二级信息指色情、诈骗、谩骂诽谤、暴力犯罪类（包括淫秽文字、图片，钓鱼网站，诋毁他人，血腥图片、文字，买卖枪支弹药、毒品等）系统部门对于该类信息的响应处理时限60分钟内处理完毕。

三级信息指广告类，系统部门对于该类信息的响应处理时限600分钟内处理完毕。

4.软件开发安全

为了提高软件安全质量，对安全编程做出统一的规范约束是必要的，主要分为开发环境和编译环境，开发环境安全规范要求所有开发者知晓并按照要求执行，编译环境安全规范要求编译管理者知晓并执行。endprint

（1）开发机的安装配置必须符合信息办统一的办公电脑的安装配置要求。开发机操作系统的安装配置必须按照信息办的统一规范执行，安装统一规定的杀毒软件，加入统一的域管理，安装指定的安全客户端。

（2）禁止在开发机上进行病毒木马测试。如果开发人员需要分析、测试、调试木马病毒，一定需要使用专门的测试机器，禁止在开发机上进行这些操作。

（3）开发机上的开发软件必须与编译机上的一致。开发机上的开发软件的版本必须与编译机上的一致，开发机上的开发软件的补丁必须与编译机上的一致。

（4）开发机上的编译选项必须与编译机一致。

5.故障分级和应急处置

学校核心系统提供7×24小时服务，而因人为操作、程序故障等原因导致服务不可用是影响服务持续运行的重要原因，为了提高业务系统的运维和运营质量，规范各业务线的服务、故障响应，拟定和发布“故障分级和处罚规范”是非常必要的。

故障分级，如表3所示。运维故障中，对非不可抗力所造成的故障归类为故障，对于故障将追究故障的分级、故障责任人及故障处理结果。下面将就各类故障级别进行定义说明，由于故障可能在多方面体现影响，所以故障的综合等级评定原则是，取各个方面中严重等级最高者为该故障综合严重等级。

故障奖惩制度，运营故障处理评定是根据相关责任人对故障的响应、处理、完成结果等因素来对故障的处理情况进行综合评定，信息办会依据表4的评定标准来对故障处罚等级进行调整。该评定只用于由部门内决定的故障处罚分级，处罚条例不受此约束。符合下面条件者，可以对故障处罚等级进行适当降级，具体所降等级由部门领导决定。

6.应急预案和演练

预案主要针对可能遭遇的重大运维故障，如核心IDC机房电力瞬断、核心网络瘫痪、遇重大安全事故时，能更好保障迅速、有序、有效地开展应急恢复工作，尽可能降低故障对用户与业务带来的损失。所以应急预案是运维中不可缺少的一个重要环节。预案场景及分类如表5所示。

预案职责及流程如表6所示。预案必需明确故障处理中的角色，界定故障处理中的职责，定义清晰角色和流程，提高故障处理能力和支持效率，尽快恢复因故障造成的影响，将故障对业务造成的负面影响尽可能降低。

预案流程主要分为启动、处理、结束三个阶段，有以下7个方面：

一是重大事故处理流程启动，应急处置团队负责人第一时间通知团队成员和系统管理员。

二是团队成员通知业务负责人登录VPN或者到故障现场，同时，系统管理员需要统计受到影响的服务器列表。

三是各个业务负责人检查和恢复业务，并把结果反馈给应急处置团队负责人，团队成员协同运维人员对业务做影响评估并上报给应急处置团队负责人，同时，如果需要向用户发出通告，则由系统管理员把业务影响通知用户，统一口径，拟定通告和发布形式。

四是系统管理员协同团队成员了解业务恢复的最新情况并保持沟通。

五是业务恢复完毕，事故处理完毕之后由系统管理员通知用户，业务已经恢复。

六是应急处置团队留守一定的时间，待业务全部恢复正常之后由应急处置团队负责人确认后撤离。

七是整个处理过程结束后，由应急处置团队负责人发处理总结。

三、结束语

为实现“网络安全立校”的目标，信息安全治理工作要长期基于以下基本思路：一是确保信息的自由传播；二是采取新的技术和管理措施应对日益复杂的安全风险；三是根据不断变化的安全风险加强应对措施；四是基于高校的社会责任开展相关行动和合作。

参考文献：

[1]北京瑞星信息技术有限公司.瑞星2013年中国信息安全报告[DB/OL].http：//www.rising.com.cn/2013/baogao/2013baogao.pdf 2014，1.

[2]360互联网安全中心.2013年中国高校网站安全报告[DB/OL].http：//corp.360.cn/report/2013gaoxiaowang-zhananquan.pdf 2013，6.

[3]赵欢，陈熙.高校信息安全体系的研究与实现[J].中国教育信息化（上）， 2013 （7）： 87-89.

[4]刘金瑞.美国网络安全立法近期进展及对我国的启示[J].暨南学报（哲学社会科学版），2014（2）： 74-84.

[5]尹建国.美国网络信息安全治理机制及其对我国之启示[J].法商研究，2013（2）： 138-146.

（编辑：王天鹏）endprint