◆黄俊
智慧校园一体化信息安全综合服务体系建设研究
◆黄俊
(广州中医药大学信息中心 广东 510006)
面对日益复杂的国内外网络及信息安全环境,为了确保校园智慧一体化服务平台能够高效、持续、可靠及稳定地提供数据应用及服务,本项目提出重点加强信息安全综合治理,建立一体化信息安全综合服务,建立更高的安全防范体系,全面提升信息系统安全防护能力。
智慧校园;信息安全;一体化
网络安全挑战无处不在,智慧校园平台给学校产学研带来巨大效益的同时,也面临着全新的安全隐患。无论是学校内部还是外部网络都面临着严峻的信息安全挑战。
国家对网络安全的重视程度日益提高,教育信息化作为国家信息化的战略重点,在教育部印发的《2020年教育信息化和网络安全工作要点》中提出:“加强教育信息化和网络安全工作统筹部署”,并要求“开展教育系统关键信息基础设施认定和检查,落实教育系统关键信息基础设施安全防护,组织开展教育系统应急演练,建立覆盖数据全生命周期的安全管理机制”[1]。
建设智慧校园一体化服务平台,不管是学校内部的办公网络和数据中心,还是对外服务区域,保证信息安全都具有非常重要的意义。信息安全涉及学校的财产、业务、科研、教学、日常管理等方方面面。
智慧校园一体化信息安全综合服务旨在从不同的层面及不同的安全类别方面构建一体的纵深防护蓝图,保障智慧校园一体化平台能够从多维角度实现综合安全保护与高效应用的平衡。主要从以下三个方面进行建设:
通过对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析。风险评估可以全面、准确地了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统的最终安全需求提供依据。
根据信息安全保护评估和风险评估结果,采取必要的安全措施进行风险处置,以学校资产保护为核心,着力于保护相关信息资产,主要避免因内部人员的有意或无意的行为导致的安全威胁、财产损失或信息泄漏。
建立信息安全体系的基本框架,确定和建立技术保障体系框架,进一步完善信息安全管理体系的安全管理策略,进一步完善信息安全技术保障体系,着力于保障信息系统不受来自内部和外部各种因素产生的威胁所影响,实现信息访问、认证、授权、审计的统一化平台化,同时完善灾难备份与恢复,确保学校业务持续性。
对安全控制评估的描述,采用评估单元方式组织。评估单元分为安全技术评估和安全管理评估两大类。安全技术评估包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制评估;安全管理评估包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制评估[2]。
图1 一体化信息安全风险评估
(1)物理安全风险评估
评估信息系统应对重要的物理安全设施,如物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等做必要配置。
(2)网络安全风险评估
评估路由交换设备和测试安全设备应对结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等做必要配置。
(3)主机系统安全风险评估
评估操作系统应对重要操作,如令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码防护、信息保护、资源控制等做必要配置。
(4)数据安全风险评估
测试数据库应对重要操作,如软件完整性、数据完整性、访问控制、安全管理、审计等做必要配置。
(5)应用安全风险评估
评估应用应对重要操作,如发布内容的敏感级别,是否有书面的评审过程,定期培训,Web服务器是否使用了防火墙,是否按照要求归档Web服务器访问日志,是否对Web服务器管理人员和内容维护人员有详细的记录,是否有书面的Web服务器事件响应过程。
(6)安全管理风险评估
包括针对相关安全管理人员进行访谈,以及对安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面的文档检查。
(1)操作平台安全加固和优化
包括检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等。
(2)应用软件安全加固和优化
包括对要使用的操作数据库软件(程序)进行必要的安全审核安装最新的补丁,使用安全的密码、账号策略,加强日志的记录审核,修改默认端口,使用加密协议,加固TCP/IP端口,对网络连接进行IP限制等。
(3)网络设备的安全加固和策略配置优化
主要针对防火墙系统等安全设备、数据备份与灾难恢复系统等网络安全设备进行修补和加固,按照安全策略进行安全配置和优化,提供详细操作报告,包括网络安全设备的安全配置,网络安全设备的安全加固,网络安全设备的优化配置等。
(4)机房物理环境整改建设
对机房进行整改建设,将装修、防静电、防雷接地、机房恒温恒湿设备、机房综合布线等重新进行规划设计并进行整改建设。
(5)信息系统安全规划及整改建设
对学校信息中心边界安全、安全审计、防病毒等各方面进行规划整改建设,部署相应的安全产品,通过建立综合立体的纵深防护体系来实现智慧校园一体化服务平台的有效信息安全保障。
完善信息安全体系建设,通过信息安全保护评估和风险评估,采取必要的安全措施进行风险处置,同时建立信息安全体系的基本框架,确定和建立技术保障体系框架,为后续工作进行必要的基础性工作。
着力于将整体信息安全水平提升至卓越运行阶段,实现信息安全管理和信息安全技术的统一,实现信息访问、认证、授权、审计的统一化平台化。同时完善灾难备份与恢复,确保学校业务持续性。
对信息系统进行信息安全体系完善需提供专业漏洞扫描分析服务、网站代码审计服务、专业渗透测试等服务,并根据上述服务结果对信息系统进行全面的安全加固,以实现信息系统安全防护能力的提升。同时,在信息系统后续的日常运营中,提供专业应急响应服务,确保将信息系统安全风险降至最低。
网络安全和信息化相辅相成,必须统一谋划、统一部署、统一推进、统一实施。本项目通过屏蔽、监测、评估、测评等方式建立立体化、全方位信息化安全措施,制定网络与信息安全建设规范,加强安全技术防范,完善安全管理体系,确保管理、教学和服务信息安全,保证学校教育信息化健康发展。
[1]教育部印发《2020年教育信息化和网络安全工作要点》[EB/OL].http://www.ict.edu.cn/news/jrgz/xxhdt/n20200303_66025.shtml.
[2]夏冰,网络安全法和网络安全等级保护2.0[M].电子工业出版社,2017.
本文项目获2015年中央财政支持地方高校发展专项资金支持