王宇　吳建　吳煒鑫

摘 要：隨著高校信息化建設(shè)從數(shù)字校園建設(shè)向智慧校園建設(shè)過(guò)渡，高校IT服務(wù)也在向“開放與自主”建設(shè)相結(jié)合轉(zhuǎn)變，而在信息安全領(lǐng)域嚴(yán)峻形勢(shì)下，如何在信息安全管控下不斷提高高校信息服務(wù)的管理水平成為信息化建設(shè)關(guān)注點(diǎn)之一。本文面向高校信息化建設(shè)現(xiàn)狀，在總結(jié)智慧校園建設(shè)下IT治理思想基礎(chǔ)上，分析信息服務(wù)安全管控需求，提出面向信息安全管控的高校IT治理支持平臺(tái)的建設(shè)理念，設(shè)計(jì)和實(shí)現(xiàn)了實(shí)際支持系統(tǒng)，并提出下階段完善和拓展方向。

關(guān)鍵詞：信息安全；IT治理；智慧校園；等級(jí)保護(hù)；信息服務(wù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2017）01-0040-05

一、引言

隨著網(wǎng)絡(luò)和信息技術(shù)不斷應(yīng)用到社會(huì)生活的各個(gè)方面，信息服務(wù)成為支撐高校教學(xué)、科研、管理、服務(wù)等職能開展的基礎(chǔ)手段。隨著高校信息化建設(shè)從數(shù)字校園建設(shè)向智慧校園建設(shè)過(guò)渡，高校信息服務(wù)也從以網(wǎng)站為主向網(wǎng)站與移動(dòng)應(yīng)用相結(jié)合轉(zhuǎn)變，規(guī)劃、建設(shè)和運(yùn)行維護(hù)的高校IT環(huán)境也更加繁雜；在“互聯(lián)網(wǎng)+”背景下高校信息化建設(shè)從“自主”建設(shè)為主向“開放與自主”相結(jié)合轉(zhuǎn)變[1]，提升高校IT環(huán)境管控水平的需求也更加迫切；而網(wǎng)絡(luò)信息安全領(lǐng)域面臨的嚴(yán)峻形勢(shì)，國(guó)家推進(jìn)信息系統(tǒng)等級(jí)保護(hù)建設(shè)，也對(duì)高校IT環(huán)境管控能力提出更高要求。如何在信息安全管控要求下，不斷提高高校信息服務(wù)的管理水平已成為信息化建設(shè)的關(guān)注點(diǎn)之一。

本文在總結(jié)智慧校園建設(shè)下IT治理思想的基礎(chǔ)上，梳理和分析智慧校園建設(shè)下信息服務(wù)安全管控需求，提出面向信息安全管控的高校IT治理支持平臺(tái)的建設(shè)理念，采用支持移動(dòng)多終端訪問(wèn)的開發(fā)技術(shù)和組件化信息系統(tǒng)集成技術(shù)，分析、設(shè)計(jì)和實(shí)現(xiàn)面向高校信息安全等級(jí)保護(hù)工作開展的IT治理支持平臺(tái)的實(shí)際應(yīng)用系統(tǒng)，最后結(jié)合平臺(tái)實(shí)現(xiàn)和運(yùn)行狀況及IT治理發(fā)展前景，提出平臺(tái)下階段完善和拓展方向。

二、智慧校園建設(shè)下IT治理思想

隨著校園網(wǎng)絡(luò)建設(shè)和信息應(yīng)用建設(shè)逐步推進(jìn)，高校信息化建設(shè)已經(jīng)從最初以校園網(wǎng)絡(luò)和數(shù)據(jù)中心等硬件為主的建設(shè)階段，過(guò)渡到以數(shù)字化校園等軟件為主的建設(shè)階段；2015年我國(guó)政府工作報(bào)告中從國(guó)家層面提出“互聯(lián)網(wǎng)+”概念以來(lái)，高校信息化建設(shè)領(lǐng)域也從傳統(tǒng)的以“構(gòu)建虛擬校園”為特征的數(shù)字校園建設(shè)向以“移動(dòng)互聯(lián)、智能感知與物聯(lián)網(wǎng)、大數(shù)據(jù)分析與決策支持”為特征的智慧校園建設(shè)過(guò)渡[2]。圖1所示是目前主流的關(guān)于智慧校園系統(tǒng)層次邏輯的描述。

在“互聯(lián)網(wǎng)+”背景下，智慧校園建設(shè)模式也逐步擺脫數(shù)字校園建設(shè)階段以學(xué)?！白灾鳌苯ㄔO(shè)模式為主的狀況，從自身發(fā)展的實(shí)際需要出發(fā)，以提升學(xué)校IT資源利用效率為主要目的，采取“開放與自主”相結(jié)合的建設(shè)模式，通過(guò)“開放”充分利用信息行業(yè)各類服務(wù)和調(diào)動(dòng)校內(nèi)外各方建設(shè)熱情，通過(guò)“自主”牢牢掌握關(guān)系學(xué)校核心利益和師生各類需求的數(shù)據(jù)、流程和安全管控，營(yíng)造關(guān)注學(xué)校核心職能和師生實(shí)際需求的“合作開放、利益共享”的信息化建設(shè)生態(tài)圈[1]。圖2所示是“開放與自主”相結(jié)合高校信息化建設(shè)模式的邏輯結(jié)構(gòu)。

智慧校園建設(shè)過(guò)程中，隨著服務(wù)外包的采用和社會(huì)服務(wù)的集成，如何高效管理學(xué)校相關(guān)的各類IT資源成為制約數(shù)字校園建設(shè)向智慧校園建設(shè)的一個(gè)重要因素，很多高校在數(shù)字校園階段也沒(méi)有很好解決IT資源管控問(wèn)題，造成IT資源浪費(fèi)、數(shù)據(jù)準(zhǔn)確度差、項(xiàng)目實(shí)施風(fēng)險(xiǎn)高等問(wèn)題。通過(guò)IT治理（IT Government）將IT戰(zhàn)略和高校發(fā)展戰(zhàn)略有機(jī)結(jié)合，將學(xué)校信息技術(shù)資源轉(zhuǎn)換成優(yōu)勢(shì)資源，對(duì)信息化相關(guān)的決策、激勵(lì)、控制緊密協(xié)調(diào)，整合學(xué)校相關(guān)IT資源應(yīng)用的全過(guò)程，整體提升學(xué)校IT政策、組織、服務(wù)與資源的管控水平，成為保障智慧校園建設(shè)順利開展的有力舉措[3]。

IT治理的思想來(lái)源于Brown在20世紀(jì)90年代中期提出的信息系統(tǒng)治理（IS Governance）的概念[4]。IT治理是描述組織是否采用有效機(jī)制，使得IT應(yīng)用能夠完成組織賦予的使命并平衡信息化過(guò)程中的風(fēng)險(xiǎn)，確保組織戰(zhàn)略目標(biāo)實(shí)現(xiàn)的過(guò)程，解決“做什么決策？誰(shuí)來(lái)決策？怎么來(lái)決策？如何監(jiān)督和評(píng)價(jià)決策？”[5]。IT治理的使命包括：保持IT與組織目標(biāo)一致，推動(dòng)組織業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管控與IT相關(guān)風(fēng)險(xiǎn)[6]。

信息化建設(shè)程度高的美國(guó)研究型高校很早就接納和推行IT治理思想，多采用聯(lián)邦式的IT治理模式，對(duì)學(xué)校信息化建設(shè)相關(guān)的決策、激勵(lì)和控制形成有效機(jī)制，在設(shè)置專職的首席信息官（CIO，Chief Information Officer）的基礎(chǔ)上，建設(shè)服務(wù)全校的信息技術(shù)服務(wù)（ITS，Information Technology Service）部門支持高校研究和教育、跨地域和跨機(jī)構(gòu)的合作和協(xié)作、服務(wù)學(xué)習(xí)者和推動(dòng)IT技術(shù)傳播[7]。我國(guó)高校信息化領(lǐng)域在2010年前后逐步關(guān)注IT治理思想[8]，之前對(duì)于在高校設(shè)置專職CIO的呼聲也一直持續(xù)到現(xiàn)在，但是真正的對(duì)學(xué)校整體信息化治理水平提升的影響十分有限。也因此在高校信息化建設(shè)過(guò)程中以管理推動(dòng)的信息化建設(shè)模式只有少數(shù)信息化領(lǐng)先高校才得以實(shí)施，而部分高校通過(guò)技術(shù)推動(dòng)的信息化建設(shè)模式逐步向管理推動(dòng)靠攏[1]；而隨著“互聯(lián)網(wǎng)+”背景下各類社交化應(yīng)用不斷滲入高校職能的各個(gè)方面，真正實(shí)現(xiàn)以師生實(shí)際需求來(lái)推動(dòng)的信息化建設(shè)模式也有了實(shí)際案例。

信息化組織體系與決策機(jī)制、信息化發(fā)展與項(xiàng)目規(guī)劃、項(xiàng)目實(shí)施與過(guò)程控制等三大核心要素是推動(dòng)高校信息化建設(shè)的三大核心要素[9]，也是智慧校園建設(shè)下IT治理主要關(guān)注的三個(gè)方面，在政策制度、組織架構(gòu)建設(shè)的基礎(chǔ)上，對(duì)于高校IT資源情況感知、監(jiān)測(cè)與管理，對(duì)于高校IT項(xiàng)目全生命周期管控等都是需要相關(guān)的支持平臺(tái)來(lái)完成。

三、智慧校園建設(shè)下信息服務(wù)安全管控需求

高校信息化建設(shè)作為高校教學(xué)、科研、管理和服務(wù)等職能的網(wǎng)絡(luò)和信息技術(shù)基礎(chǔ)，智慧校園建設(shè)過(guò)程中以用戶為中心的個(gè)性化信息服務(wù)是重要組成部分。為支撐智慧校園服務(wù)發(fā)揮作用，服務(wù)層、數(shù)據(jù)層、環(huán)境層和通訊層涉及多個(gè)建設(shè)方和運(yùn)維方，實(shí)際運(yùn)行中的包括電子郵件、外網(wǎng)訪問(wèn)等網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)站群、門戶系統(tǒng)、身份認(rèn)證、業(yè)務(wù)系統(tǒng)、移動(dòng)應(yīng)用后端支撐系統(tǒng)等各類信息化應(yīng)用系統(tǒng)，交換機(jī)、路由器、服務(wù)器、存儲(chǔ)、負(fù)載均衡等各類IT硬件設(shè)備，統(tǒng)一的系統(tǒng)運(yùn)維管理是智慧校園建設(shè)順利開展的基本保障。

隨著網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施成為國(guó)家和社會(huì)發(fā)展新的重要戰(zhàn)略資源，以及我國(guó)在IT相關(guān)領(lǐng)域缺少核心技術(shù)支撐的現(xiàn)狀，促使在網(wǎng)絡(luò)信息安全領(lǐng)域要投入更多管理措施。雖然之前對(duì)于網(wǎng)絡(luò)信息安全保障都當(dāng)作是信息化建設(shè)架構(gòu)中的重要組成部分，但是實(shí)際建設(shè)和運(yùn)維過(guò)程中卻關(guān)注很少，或者常為功能實(shí)現(xiàn)而犧牲安全水平，缺乏統(tǒng)一的安全政策制定與執(zhí)行、安全事件無(wú)法及時(shí)發(fā)現(xiàn)定位和應(yīng)急處置；在實(shí)際的信息系統(tǒng)等級(jí)保護(hù)工作推進(jìn)過(guò)程中，也暴露出信息系統(tǒng)管理水平低、定級(jí)備案整改落實(shí)不力、等級(jí)測(cè)評(píng)脫離提高安全管控能力實(shí)際等問(wèn)題。隨著國(guó)家通過(guò)推進(jìn)信息系統(tǒng)等級(jí)保護(hù)建設(shè)以提高國(guó)家整體信息安全水平的工作不斷推進(jìn)，對(duì)高校IT環(huán)境管控能力提出更高要求。以安全管理制度、應(yīng)急響應(yīng)制度等軟環(huán)境和以防火墻、VPN、堡壘機(jī)、IDS/IPS、應(yīng)用防火墻等各類安全設(shè)備硬環(huán)境組成的統(tǒng)一的信息安全管控也成為智慧校園建設(shè)順利開展的基本保障。因此，基于等級(jí)保護(hù)要求，智慧校園建設(shè)中對(duì)信息服務(wù)安全管控提出如下需求：

1）信息服務(wù)安全管控應(yīng)該以全面掌握各類IT資源基本情況、配置變動(dòng)、狀態(tài)監(jiān)控等為基礎(chǔ)實(shí)施。

2）信息服務(wù)安全管控應(yīng)該貫穿智慧校園建設(shè)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維等各個(gè)階段，并在組織、戰(zhàn)略、架構(gòu)、基礎(chǔ)設(shè)施、業(yè)務(wù)需求、投資等各方面充分被考慮，實(shí)現(xiàn)安全管控的全過(guò)程參與。

3）信息服務(wù)安全管控應(yīng)該充分考慮國(guó)家信息系統(tǒng)等級(jí)保護(hù)要求，對(duì)信息系統(tǒng)的定級(jí)、備案、測(cè)評(píng)、整改等提供全生命周期管理。

4）圖形化、集中化的對(duì)信息服務(wù)安全管控態(tài)勢(shì)相關(guān)的各個(gè)支撐環(huán)節(jié)進(jìn)行展示和分析，在充分獲取各類安全日志、威脅情報(bào)的基礎(chǔ)上，分析和定期實(shí)現(xiàn)安全評(píng)估報(bào)告和態(tài)勢(shì)分析，并對(duì)發(fā)現(xiàn)的不足方面及時(shí)完善和加強(qiáng)監(jiān)控。

5）信息服務(wù)的狀態(tài)監(jiān)控、安全信息的獲取與分析等都要充分實(shí)現(xiàn)自動(dòng)化、智能化管理，減少人工操作工作量份額，以實(shí)現(xiàn)全天候狀態(tài)監(jiān)控和安全響應(yīng)的要求，并通過(guò)各類事件分析與告知機(jī)制實(shí)現(xiàn)信息及時(shí)交互與分享，提高整體安全防控水平。

在對(duì)高校整體IT資源環(huán)境進(jìn)行管控的基礎(chǔ)上，智慧校園中信息服務(wù)安全管控將在組織和制度建設(shè)的基礎(chǔ)上，通過(guò)集中實(shí)時(shí)獲取、維護(hù)、管理、分析信息服務(wù)相關(guān)的各類信息，將各類智慧校園建設(shè)利益關(guān)聯(lián)方整合在統(tǒng)一的IT治理支持平臺(tái)上，實(shí)現(xiàn)決策、激勵(lì)和控制相關(guān)信息的充分共享，不斷推動(dòng)高校信息化決策實(shí)施和項(xiàng)目實(shí)現(xiàn)，支撐高校新形勢(shì)下的人才培養(yǎng)和教學(xué)科研的戰(zhàn)略轉(zhuǎn)型。

四、面向信息安全管控的高校IT治理支持平臺(tái)的實(shí)現(xiàn)與應(yīng)用

高校IT治理支持平臺(tái)是根據(jù)實(shí)際采納的IT治理框架，實(shí)現(xiàn)全過(guò)程的信息服務(wù)支撐。目前國(guó)內(nèi)外主流IT治理框架包括ITIL（IT Infrastructure Library，信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)）框架、COBIT（Control Objectives for Information and Related Technologic，信息通用審計(jì)標(biāo)準(zhǔn)）框架、PRINCE2（Project in Controlled Environment2，受控環(huán)境下的項(xiàng)目管理）框架等[10]，各有側(cè)重點(diǎn)和優(yōu)勢(shì)領(lǐng)域，其中ITIL重點(diǎn)關(guān)注IT過(guò)程管理，對(duì)整個(gè)IT治理流程和信息進(jìn)行完整的實(shí)現(xiàn)和管控，特別強(qiáng)調(diào)對(duì)組織的IT服務(wù)支持和IT項(xiàng)目交付，很契合支撐高校各自特色發(fā)展目標(biāo)的信息化建設(shè)的治理需求。

ITIL是由英國(guó)政府商務(wù)辦公室（The Office of Government Commerce，OGC）為解決“IT服務(wù)質(zhì)量差”的問(wèn)題提出和逐步完善的一套被廣泛承認(rèn)的用于IT服務(wù)管理的實(shí)踐準(zhǔn)則。ITIL以流程為導(dǎo)向、以用戶為中心，通過(guò)整合IT服務(wù)與組織業(yè)務(wù)，提高組織的IT服務(wù)提供、運(yùn)營(yíng)和管理的能力，詳細(xì)指明了IT管理流程應(yīng)當(dāng)如何構(gòu)建和落實(shí)，操作性和指導(dǎo)性優(yōu)良[11]。

ITIL主體框架包括服務(wù)管理、業(yè)務(wù)管理、基礎(chǔ)設(shè)施管理、應(yīng)用管理、IT服務(wù)管理實(shí)施規(guī)劃、安全管理等模塊，以服務(wù)管理模塊為核心，面向IT基礎(chǔ)設(shè)施管理提供支持，面向業(yè)務(wù)管理提供服務(wù)。其中，IT服務(wù)支持關(guān)注基礎(chǔ)設(shè)施的日常服務(wù)支持，確保IT服務(wù)的穩(wěn)定性與適應(yīng)性，通常包括一個(gè)服務(wù)機(jī)構(gòu)（服務(wù)臺(tái)）和五個(gè)管理流程（配置管理、事件管理、問(wèn)題管理、變更管理和發(fā)布管理）；IT服務(wù)提供承擔(dān)為業(yè)務(wù)用戶提供高質(zhì)量、低成本的IT服務(wù)，與IT服務(wù)能力評(píng)估有直接關(guān)聯(lián)，與組織階段規(guī)劃和持續(xù)評(píng)估相關(guān)，通常包括服務(wù)級(jí)別管理、可用性管理、能力管理、IT服務(wù)可持續(xù)管理和IT服務(wù)財(cái)務(wù)管理。

面向信息安全管控的高校IT治理支持平臺(tái)，就是在基本的ITIL IT治理主體框架和流程基礎(chǔ)上，結(jié)合高校信息化建設(shè)特點(diǎn)和智慧校園建設(shè)要求，對(duì)業(yè)務(wù)和基礎(chǔ)設(shè)施的描述和監(jiān)測(cè)進(jìn)行數(shù)據(jù)化，并進(jìn)一步明確和細(xì)化安全管理，在服務(wù)臺(tái)中增加安全服務(wù)職能，根據(jù)信息系統(tǒng)等級(jí)保護(hù)具體要求增加專門的安全管理流程，與事件管理、問(wèn)題管理等流程形成完整的支持信息安全管控的治理結(jié)構(gòu)，具體主要流程結(jié)構(gòu)參見圖6。

1.業(yè)務(wù)和基礎(chǔ)設(shè)施描述與監(jiān)測(cè)數(shù)據(jù)化

智慧校園建設(shè)中，業(yè)務(wù)和基礎(chǔ)設(shè)施的描述都要與具體的建設(shè)和運(yùn)維相關(guān)，并在業(yè)務(wù)與基礎(chǔ)設(shè)施間建立起有效的可監(jiān)測(cè)的關(guān)聯(lián)。

業(yè)務(wù)可以看作是面向具體用戶方的服務(wù)，而基礎(chǔ)設(shè)施也是提供自己能力的服務(wù)。通過(guò)將業(yè)務(wù)和基礎(chǔ)設(shè)施都看成是基礎(chǔ)服務(wù)，來(lái)對(duì)其進(jìn)行描述與監(jiān)測(cè)，并實(shí)現(xiàn)集中的監(jiān)測(cè)與展示。

1）服務(wù)相關(guān)的具體組成部分的邏輯定義，從具體相關(guān)用戶角度進(jìn)行，建立對(duì)象、內(nèi)容項(xiàng)、數(shù)據(jù)項(xiàng)、元數(shù)據(jù)的層次結(jié)構(gòu)供IT治理支持平臺(tái)建模和對(duì)象監(jiān)測(cè)使用；

2）服務(wù)相關(guān)的用戶描述，根據(jù)用戶類型和服務(wù)功能對(duì)用戶角色進(jìn)行分析和歸納，智慧校園建設(shè)相關(guān)的用戶角色通常包括普通用戶（注冊(cè)用戶、校友、教師、學(xué)生等）、管理人員、系統(tǒng)管理人員、運(yùn)維人員、外包人員等；

3）服務(wù)根據(jù)相關(guān)對(duì)象組成的流程進(jìn)行組織，如，某臺(tái)交換設(shè)備和教務(wù)課表查詢功能、成績(jī)查詢功能、校園網(wǎng)網(wǎng)費(fèi)查詢功能都成為一個(gè)可識(shí)別的服務(wù)[12]。

2.安全管理細(xì)化與服務(wù)臺(tái)增加安全服務(wù)職能

智慧校園建設(shè)中，安全管理是基本的保障機(jī)制，不僅僅是安全環(huán)境監(jiān)測(cè)、安全設(shè)備管理、安全漏洞發(fā)現(xiàn)、安全事件處置，還包括等級(jí)保護(hù)合規(guī)、數(shù)據(jù)安全管理、安全態(tài)勢(shì)感知等功能，在IT治理后臺(tái)知識(shí)庫(kù)中也要專門為安全建立專門結(jié)構(gòu)，并與第三方安全服務(wù)廠商緊密服務(wù)獲取漏洞信息和安全態(tài)勢(shì)。在IT治理框架中服務(wù)臺(tái)也需要有針對(duì)性的增加具體的安全服務(wù)職能，該服務(wù)即是面向業(yè)務(wù)部門提供安全建議，也是面向信息部門提供安全預(yù)警，并接受安全管控職能部門的來(lái)訪和反饋。

3.根據(jù)信息系統(tǒng)等級(jí)保護(hù)要求增加安全管理流程

信息系統(tǒng)等級(jí)保護(hù)建設(shè)已經(jīng)是智慧校園建設(shè)中不能回避的IT治理內(nèi)容，也是推進(jìn)高校IT治理水平的一個(gè)抓手和動(dòng)力。安全管理流程需要在原有的配置管理、變更管理、發(fā)布管理等信息服務(wù)系統(tǒng)信息管理流程的基礎(chǔ)上，根據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)管理辦法和標(biāo)準(zhǔn)指南，實(shí)現(xiàn)對(duì)信息系統(tǒng)等級(jí)保護(hù)相關(guān)動(dòng)作的全過(guò)程管理，實(shí)現(xiàn)對(duì)信息系統(tǒng)的立項(xiàng)、定級(jí)、備案、上線、測(cè)評(píng)、整改、變更、撤銷等的管理，集中管理和呈現(xiàn)組織信息系統(tǒng)數(shù)據(jù)，并提供對(duì)等級(jí)保護(hù)指定動(dòng)作的主動(dòng)告知和預(yù)先準(zhǔn)備，提高整體安全管理合規(guī)程序的執(zhí)行效率和自動(dòng)化水平，并提供第三方測(cè)評(píng)機(jī)構(gòu)、人員、活動(dòng)的信息支持和可控共享。

面向信息安全管控的IT治理支持平臺(tái)的建設(shè)理念是來(lái)源于校園信息服務(wù)日常運(yùn)維和安全管控的實(shí)際經(jīng)驗(yàn)，主要是為學(xué)校IT治理體系和工作推進(jìn)提供基礎(chǔ)數(shù)據(jù)和信息服務(wù)，并面向信息系統(tǒng)等級(jí)保護(hù)工作開展提供面向信息安全管控的專項(xiàng)提升功能，促進(jìn)IT治理能力和信息安全管控能力的不斷提升。該平臺(tái)的IT服務(wù)支持側(cè)的系統(tǒng)架構(gòu)圖參見圖7所示。

東北大學(xué)擁有高專業(yè)素養(yǎng)和技術(shù)水平的網(wǎng)絡(luò)和信息技術(shù)實(shí)施與運(yùn)維團(tuán)隊(duì)，長(zhǎng)期自動(dòng)自發(fā)的通過(guò)網(wǎng)絡(luò)和信息技術(shù)推動(dòng)學(xué)校數(shù)字校園乃至智慧校園建設(shè)，分階段分層次的實(shí)現(xiàn)學(xué)校各類用戶的信息服務(wù)水平[13]，形成可持續(xù)發(fā)展的信息化建設(shè)氛圍，推動(dòng)信息化建設(shè)管理部門組建和頂層設(shè)計(jì)推動(dòng)。

現(xiàn)階段，東北大學(xué)在信息系統(tǒng)等級(jí)保護(hù)工作推進(jìn)下，實(shí)現(xiàn)對(duì)校內(nèi)相關(guān)的IT資源的全面調(diào)研、排查和系統(tǒng)管理，并通過(guò)在原有的面向用戶的智慧校園信息服務(wù)集中監(jiān)測(cè)平臺(tái)的基礎(chǔ)上，結(jié)合ITIL IT治理思想設(shè)計(jì)和實(shí)現(xiàn)了面向信息安全管控的IT治理支持平臺(tái)。該平臺(tái)采取數(shù)據(jù)層面的統(tǒng)一邏輯化和抽象化，通過(guò)插件化設(shè)計(jì)為系統(tǒng)提供預(yù)先定義的各類對(duì)象模板、流程模板等，系統(tǒng)訪問(wèn)界面采用基于Boostrap框架的響應(yīng)式界面技術(shù)設(shè)計(jì)和實(shí)現(xiàn)，基本實(shí)現(xiàn)在桌面電腦操作系統(tǒng)、移動(dòng)手機(jī)、平板電腦等終端上提供相對(duì)統(tǒng)一的用戶體驗(yàn)，數(shù)據(jù)交換參考REST（Representational State Transfer，表述性狀態(tài)傳遞）實(shí)現(xiàn)。通過(guò)該平臺(tái)的建設(shè)和應(yīng)用，學(xué)校整體IT資源情況得到集中統(tǒng)一的獲取、維護(hù)、監(jiān)測(cè)和統(tǒng)計(jì)分析，為學(xué)校推進(jìn)IT治理思想提供了前期的信息技術(shù)手段，同時(shí)也滿足現(xiàn)階段信息系統(tǒng)等級(jí)保護(hù)對(duì)信息系統(tǒng)的基本信息、定級(jí)備案、整改測(cè)評(píng)等相關(guān)信息的集中管理，對(duì)及時(shí)發(fā)現(xiàn)與處置漏洞和安全事件提供了基礎(chǔ)數(shù)據(jù)支撐，明顯提升學(xué)校信息安全管控水平。

五、總結(jié)與展望

面向信息安全管控的高校IT治理平臺(tái)是在總結(jié)智慧校園建設(shè)下IT治理思想基礎(chǔ)上，結(jié)合等級(jí)保護(hù)管理要求，在ITIL IT治理框架基礎(chǔ)上，提出和設(shè)計(jì)的IT治理建設(shè)信息支持手段，為高校智慧校園建設(shè)提供高水平的合規(guī)的信息安全管控能力，對(duì)于提升安全管控與信息服務(wù)全生命周期管理建立良好的信息共享和交互。

該平臺(tái)主要完善信息安全管控方面功能，是對(duì)現(xiàn)有IT治理支持平臺(tái)的有益補(bǔ)充，特別是對(duì)于提ITIL中服務(wù)臺(tái)功能完善是對(duì)高校實(shí)現(xiàn)信息安全整體管控的有益推動(dòng)；接下來(lái)，可以進(jìn)一步吸取其他主流IT治理架構(gòu)優(yōu)點(diǎn)，結(jié)合高校智慧校園建設(shè)的社會(huì)化、服務(wù)化、用戶體驗(yàn)中心為主等特點(diǎn)進(jìn)一步完善IT治理支持平臺(tái)，如通過(guò)可視化的地理信息系統(tǒng)技術(shù)實(shí)現(xiàn)對(duì)IT資源的實(shí)時(shí)監(jiān)控與展示，還可以集成校內(nèi)部門IT能力績(jī)效評(píng)估等功能促進(jìn)高校智慧校園建設(shè)不斷向深層次推進(jìn)。

參考文獻(xiàn)：

[1]王宇，吳煒鑫，王興偉.“互聯(lián)網(wǎng)+”下高校信息化建設(shè)模式的探索與研究[C].第四屆中國(guó)互聯(lián)網(wǎng)學(xué)術(shù)年會(huì)（ICoC 2015）論文集，2015：235-241.

[2]蔣東興，付小龍，袁芳，吳海燕，劉啟新.大數(shù)據(jù)背景下的高校智慧校園建設(shè)探討[J].華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2015（S1）：119-125+131.

[3]劉曉文，胡克瑾.美國(guó)高校IT治理的現(xiàn)狀與啟示[J].中國(guó)教育信息化，2008（13）：20-22.

[4]Carol V. Brown. Examining the Emergence of Hybrid IS Governance Solutions： Evidence From a Single Case Study[J]. Information Systems Research， March 1997， 8（1）：69-94.

[5]丁天翔.IT治理與我國(guó)高校信息化建設(shè)[J].中國(guó)工程科學(xué)，2011，13（1）：109-112.

[6]彼得.維爾，珍妮.W.羅斯.楊波，譯.IT治理：一流績(jī)效企業(yè)的IT治理之道[M].北京：商務(wù)印書館， 2005.

[7]杜炤，朱悅月，付小龍，蔣東興.美國(guó)研究型高校IT治理結(jié)構(gòu)研究[J].中國(guó)教育信息化，2012（1）：9-11.

[8]李林，王賀松.校園IT治理框架研究[J].中國(guó)教育信息化，2010（9）：4-6.

[9]趙亞萍，賈春燕，程艷旗，魯東明.美國(guó)高校信息化推進(jìn)機(jī)制分析及其啟示[J].中國(guó)教育信息化，2011（1）：20-23.

[10]孟秀轉(zhuǎn)，于秀艷，郝曉玲，孫強(qiáng)，等.IT治理：標(biāo)準(zhǔn)、框架與案例分析[M].北京：清華大學(xué)出版社，2012.

[11]李萍，郭玉嬌.高校IT資源管理服務(wù)平臺(tái)探究[J].實(shí)驗(yàn)技術(shù)與管理，2011，28（6）：138-141.

[12]王宇，溫占考，吳煒鑫，王興偉.面向用戶的智慧校園信息服務(wù)集中監(jiān)測(cè)平臺(tái)的研究與應(yīng)用[J].南昌大學(xué)學(xué)報(bào)，2015，39（Z1）：130-134.

[13]王宇，吳煒鑫，劉軍等.以信息技術(shù)部門推動(dòng)的高校數(shù)字化校園建設(shè)可持續(xù)發(fā)展模式的探索與實(shí)踐[J]，太原理工大學(xué)學(xué)報(bào)，2012，43（S）：161-165.

（編輯：王曉明）