高校信息系统的网络安全管理机制研究

杨翠翠 周涛 刘璀 杨玲

摘 要：高校信息化建设是在信息时代中高等教育院校发展的必然趋势，保障高校信息系统网络安全的重要性日益凸显。目前，高校校园网信息系统安全管理机制的建设还处于实验、摸索阶段，还需要在实践中去完善。高校需要从信息系统全生命周期的角度出发，结合信息安全等级保护项目和以往信息系统建设的实践经验，进一步加强信息系统安全管理机制的建设，给校园网信息系统的安全提供制度建设的参考依据。论文既是对信息安全管理理论体系的研究和探索，也是对高校多年来网络信息安全工作的总结和分析，具有一定的理论和实践意义。

关键词：信息系统；网络安全；管理机制；安全管理

中图分类号：TP393.0 文献标识码：A

1 引言

網络安全是指保护网络系统的硬件、软件及其系统中的数据信息，使其不会因为偶然的或者恶意的原因而遭受到更改、破坏、泄露，可以保障系统能够可靠正常地运行，网络服务不被中断。近段时间以来，网络安全的形式日益严峻，尤其是“棱镜门”事件以后，全球各国都高度重视网络安全问题。习近平总书记也在讲话中频繁强调“没有网络安全就没有国家安全”，并亲自出任中央网络安全和信息化领导小组的组长。我国网络安全法以及其配套的规范性文件和规章制度等已经陆续出台，2017年6月1日起，我国的《中华人民共和国网络安全法》也正式实施。习近平总书记在十九大工作报告中再次提出要“加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间”。

随着互联网技术的迅速发展，互联网已经成为当前主要的信息传播平台、社会舆论的放大器和思想文化的集散地。高校学生作为受教育程度较高的社会群体，其沟通表达方式、学习思维方式、生活休闲方式等都受到网络环境的深远影响。高校校园网作为高校学生网络思想教育的主要平台，保障网络空间安全和做好网络安全管理工作是所有高校网络安全管理必须要面对的主要问题。

在信息时代中，高校信息化建设是高等教育院校发展的必然趋势。随着高校信息化程度的不断提高，高校的教学环境和办学条件也在不断提升和改善，广大师生的效率也得到了提高，为大家的学习、工作和生活提供了更为便捷的服务。与此同时，一系列的网络安全问题也随之产生，保障高校信息系统的网络安全的重要性日渐明显。高校中信息系统各式各样，数量众多，信息化主管部门无法评估和审核所有信息资产的安全状况，且部分业务系统未在开发时考虑安全需求，重视建设忽略维护的惯性，使得部分信息系统处于无人管理状态，出现了“僵尸”网站，导致了不安全因素的发生。部分高校没有对应的安全防护措施，或者将安全设备当摆设，未真正投入使用，且没有搭建监测预警平台，给窃密者和攻击者更多的可乘之机。从而导致高校信息系统的安全防护能力较差，网站容易被攻击者渗透篡改，张贴非法信息，对高校的形象造成负面影响。高校大多数业务部门的信息系统是由软件厂商开发，对于信息系统存在的后门、漏洞、弱口令、暗链等安全隐患，信息系统管理人员由于过于依赖厂商等原因不能及时修复或采取措施，导致信息系统存在较大的安全威胁，为黑客入侵提供了可能。攻击者通过安全漏洞对信息系统进行攻击，可能会导致数据丢失或系统瘫痪，对高校中各项相关工作的开展造成了负面影响。

2 基于信息系统的网络安全管理机制

当前，部分高校已经采取了相应的网络安全防护措施，启用了各类安全设备，完成了云安全监测预警平台建设，初步建成了网络安全防御体系。然而，高校信息系统的网络安全管理工作还需要进一步的增强。因此，高校需要基于重要信息系统，对其进行全生命周期的安全管理，从源头上主动发现信息系统存在的安全问题，尽早地主动排除隐患问题。在《中华人民共和国网络安全法》一系列法律法规的约束下，根据高校信息化建设及网络安全建设相关制度的要求，结合网络安全等级保护制度的相关政策，高校需要在信息系统生命周期中全面实施网络信息安全建设和管理。在信息系统的立项、采购、建设、验收、运维以及关闭等各环节，通过增加各环节的网络安全内容，满足信息系统本身的基本安全需求，进一步实现对信息系统的网络安全管理。

2.1 信息系统生命周期

信息系统生命周期是指伴随着生存环境的改变，信息系统在实际使用过程中需要不断的修改、维护，按照产生、发展、成熟、消亡（更新）的过程进行周期循环。信息系统生命周期可以划分为系统规划、系统分析、系统设计、系统实施以及系统运行和维护共五个时期，每一个时期又可以被进一步划分为几个阶段，如图1所示。

2.2 信息安全等级保护

信息安全等级保护是指按照信息系统重要性等级对信息和信息载体进行分级别保护，主要包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

《信息安全等级保护管理办法》中规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在社会生活、经济建设、国家安全中的重要程度，信息系统遭到破坏后对社会秩序、国家安全、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素来确定。

信息系统的安全保护等级划分为五级。

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

信息系统安全等级保护需要对不同安全等级的信息系统进行不同的安全防护措施。一方面，在安全管理和安全技术方面通过选用与安全等级相适应的安全控制措施来实现；另一方面，根据交互、连接、协调、依赖、协同等相互关联的关系，使其应用在信息系统中的不同的安全控制上，共同致力于信息系统的安全功能的实现，使信息系统的结构与整体安全功能以及安全层面间、区域间和控制间的相互关联关系密切关联。

2.3 信息安全管理机制

信息安全管理机制是按照信息安全管理体系中相关标准的要求，组织机构单位制定信息安全管理策略和方针，参照风险管理的方法，进行信息安全管理的计划、实施、评审检查、改进的信息安全管理执行的工作体系。信息安全管理机制是按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求完成建立的。

建立校园网信息系统安全管理机制，是指按照信息安全等级保护制度的相关要求，在信息系统的立项、采购、建设、验收、运维以及关闭等各个步骤中，加入网络安全的相关内容。从计算机网络的逻辑和物理构成上，通过基础设施通讯安全（网络传输安全）、实体安全、平台安全（主机安全）、运行安全、管理安全、应用软件安全、安全防范体系、授权和审计安全以及数据安全共九个方面，将校园网内的信息安全资源进行整合，从人员、政策、技术三个方面来构建校园网信息系统的安全保障体系。

3 当前管理机制中存在的问题及解决办法

将校园网信息系统安全管理机制作为主要研究对象，结合信息安全等级保护制度的相关要求，罗列、整理在生命周期的每个阶段中校内信息系统的安全保障措施，归纳总结基于信息系统安全的校园网信息安全管理机制。通过对以往的信息系统建设和安全等级保护项目的实施案例的分析、總结，对校园网信息安全管理机制进一步改进，同时提出改进的方案和进一步发展的意见。具体的研究方法可以采用文献研究法、实例分析法、全面质量管理法。

文献研究法是指围绕信息安全等级保护、信息安全管理机制的相关理论文献资料进行搜集、分析、筛选和整理，为研究的问题解决和可行性分析提供实践依据和理论依据。实例分析法是指通过总结分析信息系统建设实例，采用模型拟合与评价等方法，对研究结果进行修正。全面质量管理法即PDCA循环。全面质量管理法主要包含四个过程：计划（Plan）、执行（Do）、检查（Check）、行动（Action），其依照这样的执行次序对信息系统进行质量管理，并且循环不止地进行下去，具体过程如图2所示。

通过以上三种研究方法，归纳、总结出校园网信息系统安全管理机制中存在的问题，主要涵盖三个方面的问题：第一方面，信息系统的网络安全问题无法保障，无法进行正常监管，业务系统建设时未进行安全因素的考虑，导致“僵尸”网站的产生；第二方面，安全设备利用率低，无监测预警平台，频繁导致信息系统被攻击事件发生；第三方面，系统管理员专业素质较低，无法及时采取措施，为黑客入侵提供了可乘之机。

为了实现对信息系统安全管理的目标，我们需要在信息系统建设的各个阶段增加网络安全管理的内容，以此来解决信息系统安全管理机制中存在的问题。

3.1 需求分析阶段

按照等级保护的相关要求，在需求分析阶段，我们需要确定信息系统的网络安全技术需求和安全基线要求，同时开展等级保护的定级备案工作。

3.2 设计和开发阶段

在设计和开发阶段，厂商需要在遵循安全开发原则的基础上，在完成功能测试后，还要进行网络安全方面的测试。

3.3 部署阶段

在信息系统部署过程中，按照学校的实际要求完成系统的各项配置后，还要进行安全策略的设置，厂商部署后由校方进行审核修正。网络安全策略的配置主要涉及服务器端口、访问控制策略、堡垒机配置、病毒查杀、Web应用防护策略。对于不同类别、不同用途以及不同建设阶段的服务器，需要配置不同的安全策略，以满足其相应的安全管理需求。

3.4 验收上线阶段

在信息系统验收上线阶段，厂商需要提供项目的安全检测报告，否则不予验收。

3.5 日常运维阶段

在信息系统日常运维阶段，由厂商售后技术支持人员、信息系统管理员、网络安全管理员、数据中心管理员共同完成其安全运维工作，参照建设阶段形成的各类文档，完成日常的安全检查和故障处理，为发现网络安全事件提供基础。

3.6 升级阶段

在信息系统升级阶段，需要在升级后对系统重新进行安全检测和评估，并详细记录安全策略的变化，以保证升级后系统的安全运行。

3.7 关闭阶段

在信息系统关闭阶段，需结合系统的业务需求和等级保护定级标准的要求，制定数据处置方案，妥善处理相应权限的设置以及残留数据的销毁等，同时还要对服务器资源进行回收，避免形成僵尸系统，做好信息系统关闭记录，及时向等保备案主管部门注销登记信息。

4 结束语

目前，高校校园网信息系统安全管理机制的建设还处于实验、摸索阶段，还需要在实践中去完善。高校需要结合以往信息系统建设和信息安全等级保护项目的实践经验，从信息系统全生命周期的角度出发，深入开展信息系统安全管理机制的建设，为高校信息系统的安全建设提供参考依据和发展方向。本文既是对信息安全管理理论体系的研究和探索，也是对高校多年来网络信息安全工作的总结和分析，具有一定的理论意义和实践意义。

参考文献

[1] 黄治华，高峰，汪慧君.网络信息系统安全能力及关键技术研究[J].网络安全技术与应用，2017（5）.

[2] 李超.信息系统安全等级保护实务[M]. 北京：科学出版社，2013.

[3] 刘跃.计算机信息系统的网络管理和安全设计[J].信息与电脑，2016（14）.

[4] 王雪.浅析高校信息系统安全隐患及防范措施[J].吉林农业科技学院学报，2017（26）.