刘明月
(中央财经大学网络信息中心, 北京 100081)
信息技术是把双刃剑,人们在享用技术快速发展所带来的方便时,也感受到网络生态环境越来越错综复杂。随着网络空间进入以网络扩军热为代表的“后黑客时代”, 有组织的网络犯罪持续升高,信息系统频繁遭受攻击,教育行业首当其冲。据统计,自2014年1月至2018年5月,某反动黑客组织共攻击我国网站537个,其中教育行业的网站有149个,占被攻击网站总数的28%。
在内外交迫的网络安全形势下,国家颁布了《网络安全法》将网络安全上升到法律高度。高校作为培养天之骄子的重要场所,具有很强的社会影响力,因此高校的网络安全是网络信息安全的重要组成部分。而经工作实践发现,在高校多年的信息化发展中,绝大多数未能从顶层设计上做到信息化建设和安全建设“同步规划、同步进行”,因此出现信息系统管理混乱,安全漏洞管理流程缺失,问责机制不规范,等级保护难以开展等问题,其根源在于从业人员对高校信息化工作中的安全内容无意识,也没有有章可循的安全工作规范可供参考,因此开发有效的、成体系的信息安全管理制度尤为重要。
本研究以国家《网络安全法》《关于加强信息安全保障工作的意见》(中办〔2003〕27号文件)、《信息安全等级保护管理办法》(公通字〔2007〕43 号)等政策文件要求,结合高校信息安全工作的特点,按照监督制约、规范化、持续改进等原则,试图对高校信息安全制度体系进行设计
首先对高校信息安全总体目标进行设定,也就是说履行此制度期望达到的目标。总体目标为:依照高等院校相关信息系统的实际情况,结合国内外的安全标准和规范,充分利用成熟的信息安全理论成果,设计整体性好、可操作性强,并集合组织、管理和技术为一体的设计方案,满足信息系统安全等级保护基本要求。
为实现总体目标,结合安全控制的五要素,形成覆盖安全策略体系、安全管理体系、安全技术体系、安全风险评估、安全培训的高校信息安全制度保障体系框架,如图1所示。
图1 高校信息安全制度保障体系框架
具体来说,安全策略体系是指导高校在进行信息系统安全设计、建设和维护的基础。所有相关人员应根据工作实际情况履行相关安全策略,制定并遵守相应的安全标准、流程和安全制度实施细则,做好相关工作。
安全管理体系是指落实安全管理机构和人员安全管理等方面的相关要求,指导高校安全职能的落实、岗位设置和相关人员的安全管理。
安全技术体系是指实现安全技术相关控制要求,实现物理、网络、主机、应用和数据的所有安全控制项。通常采用安全产品加以实现,辅助安全服务以增强安全控制能力。
安全风险评估是指信息系统网络、主机操作系统、数据库、业务系统的综合风险评估,全面、准确地了解其安全整体状况,并通过加强安全风险防护为信息系统提供安全保障。
安全培训是指切实发挥信息安全建设的成果对业务安全运营的推动作用,提升高校信息化工作人员在安全方面的技术水平和管理意识。通过组织相应的安全培训,全面提高每个技术岗位的安全意识和能力。
高校信息安全制度框架为基础,结合等级保护的相关要求,细化和完善高校信息安全工作内容,为组织和制度管理、人员管理、信息系统管理、物理环境和资产、计算机机房管理、介质管理等方面做出进一步规定。
首先,必须定义组织和制度管理,高校需要从领导层面成立信息安全领导小组。通过组织和实施国家信息安全相关政策、法规和标准要求,审查和制定学校信息安全的发展战略、规划、政策和管理制度,制定《信息安全组织和职责管理规定》;规范信息安全管理制度制定、出版、审查和修订的管理要求,并符合国家法律、政策和规范的要求,确保信息安全管理制度的不断完善,制定《信息安全管理制度管理条例》。
其次,对内外部人员进行规范化管理。注意高校信息化内部人员在录用前、工作时期、调离岗各阶段的安全管理。确保对信息化内部人员的背景、身份、专业资格和职能权限的安全性检查,要求信息安全人员签署保密协议,制定《内部人事安全管理规定》。 加强对外来人员的安全管理,防范外部人员带来的安全隐患,严格规范外来人员在参与高校信息系统相关活动必须遵守的行为准则,制定《外部人员信息安全管理规定》;同时,高校定期组织开展员工信息安全教育或培训,以提高所有员工的信息安全意识,并确保在必要时贯彻落实信息安全目标和策略。
在信息系统的规范化管理方面,确保信息化建设项目的立项、设计、实施、验收等方面与信息安全管理控制机制的整合。实现项目工程管理流程和内容安全控制,制定《信息系统建设安全管理办法》;加强信息系统运维中的变更管理,确保信息系统变更的可验证性和可追溯性,合理控制信息系统变更产生的信息安全风险。根据日常信息系统的运行有关管理规定,制定《信息系统变更管理条例》;规范系统使用,有效控制系统账号权限,及时更新系统补丁,保护重要系统文件,制定《信息系统安全管理规定》;规范设备管理员对信息系统的访问及操作,降低密码强度不够和设置不完善等带来的安全隐患和风险,加强高校各业务信息系统的口令管理规范,制定《密码管理条例》;定期备份应用系统、数据库的文件,定期进行数据恢复演练,根据情况调整备份时间,制定《信息备份与恢复管理制度》。
在物理环境和资产方面,应加强对信息系统的物理环境和设施的标准化管理,以确保物理环境、设施设备和进出访问控制安全,制定《机房环境安全管理条例》和《办公环境信息安全管理条例》;管理各类移动存储介质的所有使用行为,如磁带、磁盘、磁盘阵列、光盘、硬盘、纸质等,必须要有介质的使用授权说明,保证介质使用的安全,制定《介质安全管理规定》;加强高校所有信息资产的运行维护管理,定期检查系统的工作环境、安全运行、策略,记录信息系统运行的日志和状态,同时定期统计信息资产数目,制定《信息安全运行维护安全管理办法》;加强信息资产的安全管理,建立信息资产的统一分类、责任、授权和配置管理,明确高校硬件资产、软件资产和数据资产的信息安全管理,并制定《信息资产安全管理办法》和《设备安全管理条例》。
在应急响应方面,有必要加强对信息安全事件的监控和管理规范,建立应急事件的及时报告、多方协调、快速处理机制。制定重要信息系统应急响应预案,定期开展演练,确保信息系统持续稳定运行,制定《应急管理条例》和《应急响应分类专项预案》。
对于第三方服务商和安全产品采购,应明确第三方安全服务商的管理,及时、有效和可控地对外部方所提供的服务质量、服务交付和安全状况进行管理,规范第三方服务管理相关流程及安全要求,制定《第三方安全服务提供商管理办法》;对于在安全产品,应明确信息安全产品的选购和使用,明确信息安全产品的管理工作,对信息安全产品采购和使用环节实施适当的保护管理,制定《信息安全产品采购及使用管理制度》,制度内容如表1所示。
表1 制度内容列表(部分)
制度的有效性评估是检视制度体系的完备性、规范性和适用性是否满足社会关系调整需求的重要方法和手段。为评估上述高校信息安全管理制度的有效性,根据有效性评估指标体系进行研究。
首先,根据全生命周期理论,评估指标可划分为三个方向:体系设计、制度建设、制度实施。其中,制度的框架体系设计是从制度体系设计期的系统化、集约化和一体化三个维度衡量其设计水平和能力, 为制度建设和制度实施指引方向。制度建设是从制度建设期的合规性、协调性和操作性三个维度权衡其建设质量,为后续的制度实施提供有效保障。制度实施是从规章制度实施期的宣贯力、执行力和影响力三个维度衡量规章制度在实施过程的规范性以及实施结果对管理和效益的影响程度,有效性评估维度如表2所示。
根据有效性评估模型的三个方向、九项指标,研究者设计调查问卷对上述信息安全制度进行有效性评估。问卷调查采用分层抽样的方法,向高校信息安全工作人员、高校师生、高校管理层、教育部门工作人员发放问卷89份,收回有效问卷82份。通过对问卷调查结果进行分析,制度体系设计和制度建设方面基本有效,而在制度实施方面失效较高,结合问卷调查分析结果,提出了提升制度有效性的路径。
(1)持续改进性:网络具有的的无限延伸性、匿名性、攻击导向性等特点会使网络安全威胁层出不穷,高校信息安全制度需能够对新风险进行持续的说明和修改,以能够全方位、多层次的实现制度的规范效果。
(2)加强制度宣传和贯彻:可以利用信息化辅助工具开展制度的宣传和贯彻,例如制作掌上制度移动端,提供主动推送制度和查询制度的功能,鼓励高校师生积极学习和执行。
表2 有效性评估维度
目前高校信息安全管理制度的有效性建设仍处于探索阶段,还需要在实际工作中不断完善。本文旨在通过制度体系设计和内容建设两方面提供适用于高校的信息安全管理制度框架,制度的有效性评估对高校信息安全管理体系建设有一定的参考价值。