王 宇,吴 建,吴炜鑫,易秀双
(东北大学,辽宁 沈阳110819)
面向安全管控的高校IT治理平台研究与应用
王 宇,吴 建,吴炜鑫,易秀双
(东北大学,辽宁 沈阳110819)
随着高校信息化建设从数字校园建设向智慧校园建设过渡,高校IT服务也在向“开放与自主”建设相结合转变,而在信息安全领域严峻形势下,如何在信息安全管控下不断提高高校信息服务的管理水平成为信息化建设关注点之一。本文面向高校信息化建设现状,在总结智慧校园建设下IT治理思想基础上,分析信息服务安全管控需求,提出面向信息安全管控的高校IT治理支持平台的建设理念,设计和实现了实际支持系统,并提出下阶段完善和拓展方向。
信息安全;IT治理;智慧校园;等级保护;信息服务
随着网络和信息技术不断应用到社会生活的各个方面,信息服务成为支撑高校教学、科研、管理、服务等职能开展的基础手段。随着高校信息化建设从数字校园建设向智慧校园建设过渡,高校信息服务也从以网站为主向网站与移动应用相结合转变,规划、建设和运行维护的高校IT环境也更加繁杂;在“互联网+”背景下高校信息化建设从“自主”建设为主向“开放与自主”相结合转变[1],提升高校IT环境管控水平的需求也更加迫切;而网络信息安全领域面临的严峻形势,国家推进信息系统等级保护建设,也对高校IT环境管控能力提出更高要求。如何在信息安全管控要求下,不断提高高校信息服务的管理水平已成为信息化建设的关注点之一。
本文在总结智慧校园建设下IT治理思想的基础上,梳理和分析智慧校园建设下信息服务安全管控需求,提出面向信息安全管控的高校IT治理支持平台的建设理念,采用支持移动多终端访问的开发技术和组件化信息系统集成技术,分析、设计和实现面向高校信息安全等级保护工作开展的IT治理支持平台的实际应用系统,最后结合平台实现和运行状况及IT治理发展前景,提出平台下阶段完善和拓展方向。
随着校园网络建设和信息应用建设逐步推进,高校信息化建设已经从最初以校园网络和数据中心等硬件为主的建设阶段,过渡到以数字化校园等软件为主的建设阶段;2015年我国政府工作报告中从国家层面提出“互联网+”概念以来,高校信息化建设领域也从传统的以“构建虚拟校园”为特征的数字校园建设向以“移动互联、智能感知与物联网、大数据分析与决策支持”为特征的智慧校园建设过渡[2]。图1所示是目前主流的关于智慧校园系统层次逻辑的描述。
图1 智慧校园系统层次逻辑图
在“互联网+”背景下,智慧校园建设模式也逐步摆脱数字校园建设阶段以学校“自主”建设模式为主的状况,从自身发展的实际需要出发,以提升学校IT资源利用效率为主要目的,采取“开放与自主”相结合的建设模式,通过“开放”充分利用信息行业各类服务和调动校内外各方建设热情,通过“自主”牢牢掌握关系学校核心利益和师生各类需求的数据、流程和安全管控,营造关注学校核心职能和师生实际需求的“合作开放、利益共享”的信息化建设生态圈[1]。图2所示是“开放与自主”相结合高校信息化建设模式的逻辑结构。
图2 “开放与自主”相结合高校信息化建设模式逻辑图
智慧校园建设过程中,随着服务外包的采用和社会服务的集成,如何高效管理学校相关的各类IT资源成为制约数字校园建设向智慧校园建设的一个重要因素,很多高校在数字校园阶段也没有很好解决IT资源管控问题,造成IT资源浪费、数据准确度差、项目实施风险高等问题。通过IT治理(ITGovernment)将IT战略和高校发展战略有机结合,将学校信息技术资源转换成优势资源,对信息化相关的决策、激励、控制紧密协调,整合学校相关IT资源应用的全过程,整体提升学校IT政策、组织、服务与资源的管控水平,成为保障智慧校园建设顺利开展的有力举措[3]。
IT治理的思想来源于Brown在20世纪90年代中期提出的信息系统治理(ISGovernance)的概念[4]。IT治理是描述组织是否采用有效机制,使得IT应用能够完成组织赋予的使命并平衡信息化过程中的风险,确保组织战略目标实现的过程,解决“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”[5]。IT治理的使命包括:保持IT与组织目标一致,推动组织业务发展,促使收益最大化,合理利用IT资源,适当管控与IT相关风险[6]。
信息化建设程度高的美国研究型高校很早就接纳和推行IT治理思想,多采用联邦式的IT治理模式,对学校信息化建设相关的决策、激励和控制形成有效机制,在设置专职的首席信息官 (CIO,Chief Information Officer)的基础上,建设服务全校的信息技术服务(ITS,Information Technology Service)部门支持高校研究和教育、跨地域和跨机构的合作和协作、服务学习者和推动IT技术传播[7]。我国高校信息化领域在2010年前后逐步关注IT治理思想[8],之前对于在高校设置专职CIO的呼声也一直持续到现在,但是真正的对学校整体信息化治理水平提升的影响十分有限。也因此在高校信息化建设过程中以管理推动的信息化建设模式只有少数信息化领先高校才得以实施,而部分高校通过技术推动的信息化建设模式逐步向管理推动靠拢[1];而随着“互联网+”背景下各类社交化应用不断渗入高校职能的各个方面,真正实现以师生实际需求来推动的信息化建设模式也有了实际案例。
信息化组织体系与决策机制、信息化发展与项目规划、项目实施与过程控制等三大核心要素是推动高校信息化建设的三大核心要素[9],也是智慧校园建设下IT治理主要关注的三个方面,在政策制度、组织架构建设的基础上,对于高校IT资源情况感知、监测与管理,对于高校IT项目全生命周期管控等都是需要相关的支持平台来完成。
高校信息化建设作为高校教学、科研、管理和服务等职能的网络和信息技术基础,智慧校园建设过程中以用户为中心的个性化信息服务是重要组成部分。为支撑智慧校园服务发挥作用,服务层、数据层、环境层和通讯层涉及多个建设方和运维方,实际运行中的包括电子邮件、外网访问等网络基础服务、网站群、门户系统、身份认证、业务系统、移动应用后端支撑系统等各类信息化应用系统,交换机、路由器、服务器、存储、负载均衡等各类IT硬件设备,统一的系统运维管理是智慧校园建设顺利开展的基本保障。
随着网络和信息基础设施成为国家和社会发展新的重要战略资源,以及我国在IT相关领域缺少核心技术支撑的现状,促使在网络信息安全领域要投入更多管理措施。虽然之前对于网络信息安全保障都当作是信息化建设架构中的重要组成部分,但是实际建设和运维过程中却关注很少,或者常为功能实现而牺牲安全水平,缺乏统一的安全政策制定与执行、安全事件无法及时发现定位和应急处置;在实际的信息系统等级保护工作推进过程中,也暴露出信息系统管理水平低、定级备案整改落实不力、等级测评脱离提高安全管控能力实际等问题。随着国家通过推进信息系统等级保护建设以提高国家整体信息安全水平的工作不断推进,对高校IT环境管控能力提出更高要求。以安全管理制度、应急响应制度等软环境和以防火墙、VPN、堡垒机、IDS/IPS、应用防火墙等各类安全设备硬环境组成的统一的信息安全管控也成为智慧校园建设顺利开展的基本保障。因此,基于等级保护要求,智慧校园建设中对信息服务安全管控提出如下需求:
1)信息服务安全管控应该以全面掌握各类IT资源基本情况、配置变动、状态监控等为基础实施。
2)信息服务安全管控应该贯穿智慧校园建设的规划、设计、实施、运维等各个阶段,并在组织、战略、架构、基础设施、业务需求、投资等各方面充分被考虑,实现安全管控的全过程参与。
3)信息服务安全管控应该充分考虑国家信息系统等级保护要求,对信息系统的定级、备案、测评、整改等提供全生命周期管理。
4)图形化、集中化的对信息服务安全管控态势相关的各个支撑环节进行展示和分析,在充分获取各类安全日志、威胁情报的基础上,分析和定期实现安全评估报告和态势分析,并对发现的不足方面及时完善和加强监控。
5)信息服务的状态监控、安全信息的获取与分析等都要充分实现自动化、智能化管理,减少人工操作工作量份额,以实现全天候状态监控和安全响应的要求,并通过各类事件分析与告知机制实现信息及时交互与分享,提高整体安全防控水平。
在对高校整体IT资源环境进行管控的基础上,智慧校园中信息服务安全管控将在组织和制度建设的基础上,通过集中实时获取、维护、管理、分析信息服务相关的各类信息,将各类智慧校园建设利益关联方整合在统一的IT治理支持平台上,实现决策、激励和控制相关信息的充分共享,不断推动高校信息化决策实施和项目实现,支撑高校新形势下的人才培养和教学科研的战略转型。
高校IT治理支持平台是根据实际采纳的IT治理框架,实现全过程的信息服务支撑。目前国内外主流IT治理框架包括ITIL(IT Infrastructure Library,信息技术基础架构库)框架、COBIT(Control Objectives for Information and Related Technologic,信息通用审计标准)框架、PRINCE2(Project in Controlled Environment2,受控环境下的项目管理)框架等[10],各有侧重点和优势领域,其中ITIL重点关注IT过程管理,对整个IT治理流程和信息进行完整的实现和管控,特别强调对组织的IT服务支持和IT项目交付,很契合支撑高校各自特色发展目标的信息化建设的治理需求。
图3 高校IT治理整体框架
ITIL是由英国政府商务办公室 (The Office of Government Commerce,OGC)为解决“IT服务质量差”的问题提出和逐步完善的一套被广泛承认的用于IT服务管理的实践准则。ITIL以流程为导向、以用户为中心,通过整合IT服务与组织业务,提高组织的IT服务提供、运营和管理的能力,详细指明了IT管理流程应当如何构建和落实,操作性和指导性优良[11]。
图4 ITIL IT治理主体框架示意图
ITIL主体框架包括服务管理、业务管理、基础设施管理、应用管理、IT服务管理实施规划、安全管理等模块,以服务管理模块为核心,面向IT基础设施管理提供支持,面向业务管理提供服务。其中,IT服务支持关注基础设施的日常服务支持,确保IT服务的稳定性与适应性,通常包括一个服务机构(服务台)和五个管理流程(配置管理、事件管理、问题管理、变更管理和发布管理);IT服务提供承担为业务用户提供高质量、低成本的IT服务,与IT服务能力评估有直接关联,与组织阶段规划和持续评估相关,通常包括服务级别管理、可用性管理、能力管理、IT服务可持续管理和IT服务财务管理。
图5 ITIL IT治理主要流程结构图
面向信息安全管控的高校IT治理支持平台,就是在基本的ITIL IT治理主体框架和流程基础上,结合高校信息化建设特点和智慧校园建设要求,对业务和基础设施的描述和监测进行数据化,并进一步明确和细化安全管理,在服务台中增加安全服务职能,根据信息系统等级保护具体要求增加专门的安全管理流程,与事件管理、问题管理等流程形成完整的支持信息安全管控的治理结构,具体主要流程结构参见图6。
图6 基于ITIL的面向信息安全管控的高校IT治理服务支持主要流程结构图
1.业务和基础设施描述与监测数据化
智慧校园建设中,业务和基础设施的描述都要与具体的建设和运维相关,并在业务与基础设施间建立起有效的可监测的关联。
业务可以看作是面向具体用户方的服务,而基础设施也是提供自己能力的服务。通过将业务和基础设施都看成是基础服务,来对其进行描述与监测,并实现集中的监测与展示。
1)服务相关的具体组成部分的逻辑定义,从具体相关用户角度进行,建立对象、内容项、数据项、元数据的层次结构供IT治理支持平台建模和对象监测使用;
2)服务相关的用户描述,根据用户类型和服务功能对用户角色进行分析和归纳,智慧校园建设相关的用户角色通常包括普通用户(注册用户、校友、教师、学生等)、管理人员、系统管理人员、运维人员、外包人员等;
3)服务根据相关对象组成的流程进行组织,如,某台交换设备和教务课表查询功能、成绩查询功能、校园网网费查询功能都成为一个可识别的服务[12]。
2.安全管理细化与服务台增加安全服务职能
智慧校园建设中,安全管理是基本的保障机制,不仅仅是安全环境监测、安全设备管理、安全漏洞发现、安全事件处置,还包括等级保护合规、数据安全管理、安全态势感知等功能,在IT治理后台知识库中也要专门为安全建立专门结构,并与第三方安全服务厂商紧密服务获取漏洞信息和安全态势。在IT治理框架中服务台也需要有针对性的增加具体的安全服务职能,该服务即是面向业务部门提供安全建议,也是面向信息部门提供安全预警,并接受安全管控职能部门的来访和反馈。
3.根据信息系统等级保护要求增加安全管理流程
信息系统等级保护建设已经是智慧校园建设中不能回避的IT治理内容,也是推进高校IT治理水平的一个抓手和动力。安全管理流程需要在原有的配置管理、变更管理、发布管理等信息服务系统信息管理流程的基础上,根据国家信息安全等级保护相关管理办法和标准指南,实现对信息系统等级保护相关动作的全过程管理,实现对信息系统的立项、定级、备案、上线、测评、整改、变更、撤销等的管理,集中管理和呈现组织信息系统数据,并提供对等级保护指定动作的主动告知和预先准备,提高整体安全管理合规程序的执行效率和自动化水平,并提供第三方测评机构、人员、活动的信息支持和可控共享。
面向信息安全管控的IT治理支持平台的建设理念是来源于校园信息服务日常运维和安全管控的实际经验,主要是为学校IT治理体系和工作推进提供基础数据和信息服务,并面向信息系统等级保护工作开展提供面向信息安全管控的专项提升功能,促进IT治理能力和信息安全管控能力的不断提升。该平台的IT服务支持侧的系统架构图参见图7所示。
东北大学拥有高专业素养和技术水平的网络和信息技术实施与运维团队,长期自动自发的通过网络和信息技术推动学校数字校园乃至智慧校园建设,分阶段分层次的实现学校各类用户的信息服务水平[13],形成可持续发展的信息化建设氛围,推动信息化建设管理部门组建和顶层设计推动。
图7面向信息安全管控的IT治理支持平台的IT服务支持侧的架构示意图
现阶段,东北大学在信息系统等级保护工作推进下,实现对校内相关的IT资源的全面调研、排查和系统管理,并通过在原有的面向用户的智慧校园信息服务集中监测平台的基础上,结合ITIL IT治理思想设计和实现了面向信息安全管控的IT治理支持平台。该平台采取数据层面的统一逻辑化和抽象化,通过插件化设计为系统提供预先定义的各类对象模板、流程模板等,系统访问界面采用基于Boostrap框架的响应式界面技术设计和实现,基本实现在桌面电脑操作系统、移动手机、平板电脑等终端上提供相对统一的用户体验,数据交换参考REST(Representational State Transfer,表述性状态传递)实现。通过该平台的建设和应用,学校整体IT资源情况得到集中统一的获取、维护、监测和统计分析,为学校推进IT治理思想提供了前期的信息技术手段,同时也满足现阶段信息系统等级保护对信息系统的基本信息、定级备案、整改测评等相关信息的集中管理,对及时发现与处置漏洞和安全事件提供了基础数据支撑,明显提升学校信息安全管控水平。
面向信息安全管控的高校IT治理平台是在总结智慧校园建设下IT治理思想基础上,结合等级保护管理要求,在ITIL IT治理框架基础上,提出和设计的IT治理建设信息支持手段,为高校智慧校园建设提供高水平的合规的信息安全管控能力,对于提升安全管控与信息服务全生命周期管理建立良好的信息共享和交互。
该平台主要完善信息安全管控方面功能,是对现有IT治理支持平台的有益补充,特别是对于提ITIL中服务台功能完善是对高校实现信息安全整体管控的有益推动;接下来,可以进一步吸取其他主流IT治理架构优点,结合高校智慧校园建设的社会化、服务化、用户体验中心为主等特点进一步完善IT治理支持平台,如通过可视化的地理信息系统技术实现对IT资源的实时监控与展示,还可以集成校内部门IT能力绩效评估等功能促进高校智慧校园建设不断向深层次推进。
[1]王宇,吴炜鑫,王兴伟.“互联网+”下高校信息化建设模式的探索与研究 [C].第四届中国互联网学术年会(ICoC 2015)论文集,2015:235-241.
[2]蒋东兴,付小龙,袁芳,吴海燕,刘启新.大数据背景下的高校智慧校园建设探讨[J].华东师范大学学报(自然科学版),2015(S1):119-125+131.
[3]刘晓文,胡克瑾.美国高校IT治理的现状与启示[J].中国教育信息化,2008(13):20-22.
[4]Carol V.Brown.Exam ining the Emergence of Hybrid ISGovernance Solutions:Evidence From a Single Case Study[J].Information Systems Research,M arch 1997, 8(1):69-94.
[5]丁天翔.IT治理与我国高校信息化建设[J].中国工程科学,2011,13(1):109-112.
[6]彼得.维尔,珍妮.W.罗斯.杨波,译.IT治理:一流绩效企业的IT治理之道[M].北京:商务印书馆,2005.
[7]杜炤,朱悦月,付小龙,蒋东兴.美国研究型高校IT治理结构研究[J].中国教育信息化,2012(1):9-11.
[8]李林,王贺松.校园IT治理框架研究[J].中国教育信息化,2010(9):4-6.
[9]赵亚萍,贾春燕,程艳旗,鲁东明.美国高校信息化推进机制分析及其启示[J].中国教育信息化,2011(1):20-23.
[10]孟秀转,于秀艳,郝晓玲,孙强,等.IT治理:标准、框架与案例分析[M].北京:清华大学出版社,2012.
[11]李萍,郭玉娇.高校IT资源管理服务平台探究[J].实验技术与管理,2011,28(6):138-141.
[12]王宇,温占考,吴炜鑫,王兴伟.面向用户的智慧校园信息服务集中监测平台的研究与应用[J].南昌大学学报,2015,39(Z1):130-134.
[13]王宇,吴炜鑫,刘军等.以信息技术部门推动的高校数字化校园建设可持续发展模式的探索与实践 [J],太原理工大学学报,2012,43(S):161-165.
(编辑:王晓明)
TP393
:A
:1673-8454(2017)01-0040-05