楊翠翠 周濤 劉璀 楊玲

摘 要：高校信息化建設(shè)是在信息時(shí)代中高等教育院校發(fā)展的必然趨勢(shì)，保障高校信息系統(tǒng)網(wǎng)絡(luò)安全的重要性日益凸顯。目前，高校校園網(wǎng)信息系統(tǒng)安全管理機(jī)制的建設(shè)還處于實(shí)驗(yàn)、摸索階段，還需要在實(shí)踐中去完善。高校需要從信息系統(tǒng)全生命周期的角度出發(fā)，結(jié)合信息安全等級(jí)保護(hù)項(xiàng)目和以往信息系統(tǒng)建設(shè)的實(shí)踐經(jīng)驗(yàn)，進(jìn)一步加強(qiáng)信息系統(tǒng)安全管理機(jī)制的建設(shè)，給校園網(wǎng)信息系統(tǒng)的安全提供制度建設(shè)的參考依據(jù)。論文既是對(duì)信息安全管理理論體系的研究和探索，也是對(duì)高校多年來(lái)網(wǎng)絡(luò)信息安全工作的總結(jié)和分析，具有一定的理論和實(shí)踐意義。

關(guān)鍵詞：信息系統(tǒng)；網(wǎng)絡(luò)安全；管理機(jī)制；安全管理

中圖分類(lèi)號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)信息，使其不會(huì)因?yàn)榕既坏幕蛘邜阂獾脑蚨馐艿礁?、破壞、泄露，可以保障系統(tǒng)能夠可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。近段時(shí)間以來(lái)，網(wǎng)絡(luò)安全的形式日益嚴(yán)峻，尤其是“棱鏡門(mén)”事件以后，全球各國(guó)都高度重視網(wǎng)絡(luò)安全問(wèn)題。習(xí)近平總書(shū)記也在講話(huà)中頻繁強(qiáng)調(diào)“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”，并親自出任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的組長(zhǎng)。我國(guó)網(wǎng)絡(luò)安全法以及其配套的規(guī)范性文件和規(guī)章制度等已經(jīng)陸續(xù)出臺(tái)，2017年6月1日起，我國(guó)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》也正式實(shí)施。習(xí)近平總書(shū)記在十九大工作報(bào)告中再次提出要“加強(qiáng)互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營(yíng)造清朗的網(wǎng)絡(luò)空間”。

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為當(dāng)前主要的信息傳播平臺(tái)、社會(huì)輿論的放大器和思想文化的集散地。高校學(xué)生作為受教育程度較高的社會(huì)群體，其溝通表達(dá)方式、學(xué)習(xí)思維方式、生活休閑方式等都受到網(wǎng)絡(luò)環(huán)境的深遠(yuǎn)影響。高校校園網(wǎng)作為高校學(xué)生網(wǎng)絡(luò)思想教育的主要平臺(tái)，保障網(wǎng)絡(luò)空間安全和做好網(wǎng)絡(luò)安全管理工作是所有高校網(wǎng)絡(luò)安全管理必須要面對(duì)的主要問(wèn)題。

在信息時(shí)代中，高校信息化建設(shè)是高等教育院校發(fā)展的必然趨勢(shì)。隨著高校信息化程度的不斷提高，高校的教學(xué)環(huán)境和辦學(xué)條件也在不斷提升和改善，廣大師生的效率也得到了提高，為大家的學(xué)習(xí)、工作和生活提供了更為便捷的服務(wù)。與此同時(shí)，一系列的網(wǎng)絡(luò)安全問(wèn)題也隨之產(chǎn)生，保障高校信息系統(tǒng)的網(wǎng)絡(luò)安全的重要性日漸明顯。高校中信息系統(tǒng)各式各樣，數(shù)量眾多，信息化主管部門(mén)無(wú)法評(píng)估和審核所有信息資產(chǎn)的安全狀況，且部分業(yè)務(wù)系統(tǒng)未在開(kāi)發(fā)時(shí)考慮安全需求，重視建設(shè)忽略維護(hù)的慣性，使得部分信息系統(tǒng)處于無(wú)人管理狀態(tài)，出現(xiàn)了“僵尸”網(wǎng)站，導(dǎo)致了不安全因素的發(fā)生。部分高校沒(méi)有對(duì)應(yīng)的安全防護(hù)措施，或者將安全設(shè)備當(dāng)擺設(shè)，未真正投入使用，且沒(méi)有搭建監(jiān)測(cè)預(yù)警平臺(tái)，給竊密者和攻擊者更多的可乘之機(jī)。從而導(dǎo)致高校信息系統(tǒng)的安全防護(hù)能力較差，網(wǎng)站容易被攻擊者滲透篡改，張貼非法信息，對(duì)高校的形象造成負(fù)面影響。高校大多數(shù)業(yè)務(wù)部門(mén)的信息系統(tǒng)是由軟件廠(chǎng)商開(kāi)發(fā)，對(duì)于信息系統(tǒng)存在的后門(mén)、漏洞、弱口令、暗鏈等安全隱患，信息系統(tǒng)管理人員由于過(guò)于依賴(lài)廠(chǎng)商等原因不能及時(shí)修復(fù)或采取措施，導(dǎo)致信息系統(tǒng)存在較大的安全威脅，為黑客入侵提供了可能。攻擊者通過(guò)安全漏洞對(duì)信息系統(tǒng)進(jìn)行攻擊，可能會(huì)導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)癱瘓，對(duì)高校中各項(xiàng)相關(guān)工作的開(kāi)展造成了負(fù)面影響。

2 基于信息系統(tǒng)的網(wǎng)絡(luò)安全管理機(jī)制

當(dāng)前，部分高校已經(jīng)采取了相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施，啟用了各類(lèi)安全設(shè)備，完成了云安全監(jiān)測(cè)預(yù)警平臺(tái)建設(shè)，初步建成了網(wǎng)絡(luò)安全防御體系。然而，高校信息系統(tǒng)的網(wǎng)絡(luò)安全管理工作還需要進(jìn)一步的增強(qiáng)。因此，高校需要基于重要信息系統(tǒng)，對(duì)其進(jìn)行全生命周期的安全管理，從源頭上主動(dòng)發(fā)現(xiàn)信息系統(tǒng)存在的安全問(wèn)題，盡早地主動(dòng)排除隱患問(wèn)題。在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》一系列法律法規(guī)的約束下，根據(jù)高校信息化建設(shè)及網(wǎng)絡(luò)安全建設(shè)相關(guān)制度的要求，結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的相關(guān)政策，高校需要在信息系統(tǒng)生命周期中全面實(shí)施網(wǎng)絡(luò)信息安全建設(shè)和管理。在信息系統(tǒng)的立項(xiàng)、采購(gòu)、建設(shè)、驗(yàn)收、運(yùn)維以及關(guān)閉等各環(huán)節(jié)，通過(guò)增加各環(huán)節(jié)的網(wǎng)絡(luò)安全內(nèi)容，滿(mǎn)足信息系統(tǒng)本身的基本安全需求，進(jìn)一步實(shí)現(xiàn)對(duì)信息系統(tǒng)的網(wǎng)絡(luò)安全管理。

2.1 信息系統(tǒng)生命周期

信息系統(tǒng)生命周期是指伴隨著生存環(huán)境的改變，信息系統(tǒng)在實(shí)際使用過(guò)程中需要不斷的修改、維護(hù)，按照產(chǎn)生、發(fā)展、成熟、消亡（更新）的過(guò)程進(jìn)行周期循環(huán)。信息系統(tǒng)生命周期可以劃分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施以及系統(tǒng)運(yùn)行和維護(hù)共五個(gè)時(shí)期，每一個(gè)時(shí)期又可以被進(jìn)一步劃分為幾個(gè)階段，如圖1所示。

2.2 信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指按照信息系統(tǒng)重要性等級(jí)對(duì)信息和信息載體進(jìn)行分級(jí)別保護(hù)，主要包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查五個(gè)階段。

《信息安全等級(jí)保護(hù)管理辦法》中規(guī)定，國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在社會(huì)生活、經(jīng)濟(jì)建設(shè)、國(guó)家安全中的重要程度，信息系統(tǒng)遭到破壞后對(duì)社會(huì)秩序、國(guó)家安全、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素來(lái)確定。

信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí)。

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)監(jiān)督、檢查。

信息系統(tǒng)安全等級(jí)保護(hù)需要對(duì)不同安全等級(jí)的信息系統(tǒng)進(jìn)行不同的安全防護(hù)措施。一方面，在安全管理和安全技術(shù)方面通過(guò)選用與安全等級(jí)相適應(yīng)的安全控制措施來(lái)實(shí)現(xiàn)；另一方面，根據(jù)交互、連接、協(xié)調(diào)、依賴(lài)、協(xié)同等相互關(guān)聯(lián)的關(guān)系，使其應(yīng)用在信息系統(tǒng)中的不同的安全控制上，共同致力于信息系統(tǒng)的安全功能的實(shí)現(xiàn)，使信息系統(tǒng)的結(jié)構(gòu)與整體安全功能以及安全層面間、區(qū)域間和控制間的相互關(guān)聯(lián)關(guān)系密切關(guān)聯(lián)。

2.3 信息安全管理機(jī)制

信息安全管理機(jī)制是按照信息安全管理體系中相關(guān)標(biāo)準(zhǔn)的要求，組織機(jī)構(gòu)單位制定信息安全管理策略和方針，參照風(fēng)險(xiǎn)管理的方法，進(jìn)行信息安全管理的計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。信息安全管理機(jī)制是按照ISO/IEC 27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求完成建立的。

建立校園網(wǎng)信息系統(tǒng)安全管理機(jī)制，是指按照信息安全等級(jí)保護(hù)制度的相關(guān)要求，在信息系統(tǒng)的立項(xiàng)、采購(gòu)、建設(shè)、驗(yàn)收、運(yùn)維以及關(guān)閉等各個(gè)步驟中，加入網(wǎng)絡(luò)安全的相關(guān)內(nèi)容。從計(jì)算機(jī)網(wǎng)絡(luò)的邏輯和物理構(gòu)成上，通過(guò)基礎(chǔ)設(shè)施通訊安全（網(wǎng)絡(luò)傳輸安全）、實(shí)體安全、平臺(tái)安全（主機(jī)安全）、運(yùn)行安全、管理安全、應(yīng)用軟件安全、安全防范體系、授權(quán)和審計(jì)安全以及數(shù)據(jù)安全共九個(gè)方面，將校園網(wǎng)內(nèi)的信息安全資源進(jìn)行整合，從人員、政策、技術(shù)三個(gè)方面來(lái)構(gòu)建校園網(wǎng)信息系統(tǒng)的安全保障體系。

3 當(dāng)前管理機(jī)制中存在的問(wèn)題及解決辦法

將校園網(wǎng)信息系統(tǒng)安全管理機(jī)制作為主要研究對(duì)象，結(jié)合信息安全等級(jí)保護(hù)制度的相關(guān)要求，羅列、整理在生命周期的每個(gè)階段中校內(nèi)信息系統(tǒng)的安全保障措施，歸納總結(jié)基于信息系統(tǒng)安全的校園網(wǎng)信息安全管理機(jī)制。通過(guò)對(duì)以往的信息系統(tǒng)建設(shè)和安全等級(jí)保護(hù)項(xiàng)目的實(shí)施案例的分析、總結(jié)，對(duì)校園網(wǎng)信息安全管理機(jī)制進(jìn)一步改進(jìn)，同時(shí)提出改進(jìn)的方案和進(jìn)一步發(fā)展的意見(jiàn)。具體的研究方法可以采用文獻(xiàn)研究法、實(shí)例分析法、全面質(zhì)量管理法。

文獻(xiàn)研究法是指圍繞信息安全等級(jí)保護(hù)、信息安全管理機(jī)制的相關(guān)理論文獻(xiàn)資料進(jìn)行搜集、分析、篩選和整理，為研究的問(wèn)題解決和可行性分析提供實(shí)踐依據(jù)和理論依據(jù)。實(shí)例分析法是指通過(guò)總結(jié)分析信息系統(tǒng)建設(shè)實(shí)例，采用模型擬合與評(píng)價(jià)等方法，對(duì)研究結(jié)果進(jìn)行修正。全面質(zhì)量管理法即PDCA循環(huán)。全面質(zhì)量管理法主要包含四個(gè)過(guò)程：計(jì)劃（Plan）、執(zhí)行（Do）、檢查（Check）、行動(dòng)（Action），其依照這樣的執(zhí)行次序?qū)π畔⑾到y(tǒng)進(jìn)行質(zhì)量管理，并且循環(huán)不止地進(jìn)行下去，具體過(guò)程如圖2所示。

通過(guò)以上三種研究方法，歸納、總結(jié)出校園網(wǎng)信息系統(tǒng)安全管理機(jī)制中存在的問(wèn)題，主要涵蓋三個(gè)方面的問(wèn)題：第一方面，信息系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題無(wú)法保障，無(wú)法進(jìn)行正常監(jiān)管，業(yè)務(wù)系統(tǒng)建設(shè)時(shí)未進(jìn)行安全因素的考慮，導(dǎo)致“僵尸”網(wǎng)站的產(chǎn)生；第二方面，安全設(shè)備利用率低，無(wú)監(jiān)測(cè)預(yù)警平臺(tái)，頻繁導(dǎo)致信息系統(tǒng)被攻擊事件發(fā)生；第三方面，系統(tǒng)管理員專(zhuān)業(yè)素質(zhì)較低，無(wú)法及時(shí)采取措施，為黑客入侵提供了可乘之機(jī)。

為了實(shí)現(xiàn)對(duì)信息系統(tǒng)安全管理的目標(biāo)，我們需要在信息系統(tǒng)建設(shè)的各個(gè)階段增加網(wǎng)絡(luò)安全管理的內(nèi)容，以此來(lái)解決信息系統(tǒng)安全管理機(jī)制中存在的問(wèn)題。

3.1 需求分析階段

按照等級(jí)保護(hù)的相關(guān)要求，在需求分析階段，我們需要確定信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)需求和安全基線(xiàn)要求，同時(shí)開(kāi)展等級(jí)保護(hù)的定級(jí)備案工作。

3.2 設(shè)計(jì)和開(kāi)發(fā)階段

在設(shè)計(jì)和開(kāi)發(fā)階段，廠(chǎng)商需要在遵循安全開(kāi)發(fā)原則的基礎(chǔ)上，在完成功能測(cè)試后，還要進(jìn)行網(wǎng)絡(luò)安全方面的測(cè)試。

3.3 部署階段

在信息系統(tǒng)部署過(guò)程中，按照學(xué)校的實(shí)際要求完成系統(tǒng)的各項(xiàng)配置后，還要進(jìn)行安全策略的設(shè)置，廠(chǎng)商部署后由校方進(jìn)行審核修正。網(wǎng)絡(luò)安全策略的配置主要涉及服務(wù)器端口、訪(fǎng)問(wèn)控制策略、堡壘機(jī)配置、病毒查殺、Web應(yīng)用防護(hù)策略。對(duì)于不同類(lèi)別、不同用途以及不同建設(shè)階段的服務(wù)器，需要配置不同的安全策略，以滿(mǎn)足其相應(yīng)的安全管理需求。

3.4 驗(yàn)收上線(xiàn)階段

在信息系統(tǒng)驗(yàn)收上線(xiàn)階段，廠(chǎng)商需要提供項(xiàng)目的安全檢測(cè)報(bào)告，否則不予驗(yàn)收。

3.5 日常運(yùn)維階段

在信息系統(tǒng)日常運(yùn)維階段，由廠(chǎng)商售后技術(shù)支持人員、信息系統(tǒng)管理員、網(wǎng)絡(luò)安全管理員、數(shù)據(jù)中心管理員共同完成其安全運(yùn)維工作，參照建設(shè)階段形成的各類(lèi)文檔，完成日常的安全檢查和故障處理，為發(fā)現(xiàn)網(wǎng)絡(luò)安全事件提供基礎(chǔ)。

3.6 升級(jí)階段

在信息系統(tǒng)升級(jí)階段，需要在升級(jí)后對(duì)系統(tǒng)重新進(jìn)行安全檢測(cè)和評(píng)估，并詳細(xì)記錄安全策略的變化，以保證升級(jí)后系統(tǒng)的安全運(yùn)行。

3.7 關(guān)閉階段

在信息系統(tǒng)關(guān)閉階段，需結(jié)合系統(tǒng)的業(yè)務(wù)需求和等級(jí)保護(hù)定級(jí)標(biāo)準(zhǔn)的要求，制定數(shù)據(jù)處置方案，妥善處理相應(yīng)權(quán)限的設(shè)置以及殘留數(shù)據(jù)的銷(xiāo)毀等，同時(shí)還要對(duì)服務(wù)器資源進(jìn)行回收，避免形成僵尸系統(tǒng)，做好信息系統(tǒng)關(guān)閉記錄，及時(shí)向等保備案主管部門(mén)注銷(xiāo)登記信息。

4 結(jié)束語(yǔ)

目前，高校校園網(wǎng)信息系統(tǒng)安全管理機(jī)制的建設(shè)還處于實(shí)驗(yàn)、摸索階段，還需要在實(shí)踐中去完善。高校需要結(jié)合以往信息系統(tǒng)建設(shè)和信息安全等級(jí)保護(hù)項(xiàng)目的實(shí)踐經(jīng)驗(yàn)，從信息系統(tǒng)全生命周期的角度出發(fā)，深入開(kāi)展信息系統(tǒng)安全管理機(jī)制的建設(shè)，為高校信息系統(tǒng)的安全建設(shè)提供參考依據(jù)和發(fā)展方向。本文既是對(duì)信息安全管理理論體系的研究和探索，也是對(duì)高校多年來(lái)網(wǎng)絡(luò)信息安全工作的總結(jié)和分析，具有一定的理論意義和實(shí)踐意義。

參考文獻(xiàn)

[1] 黃治華，高峰，汪慧君.網(wǎng)絡(luò)信息系統(tǒng)安全能力及關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（5）.

[2] 李超.信息系統(tǒng)安全等級(jí)保護(hù)實(shí)務(wù)[M]. 北京：科學(xué)出版社，2013.

[3] 劉躍.計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理和安全設(shè)計(jì)[J].信息與電腦，2016（14）.

[4] 王雪.淺析高校信息系統(tǒng)安全隱患及防范措施[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)，2017（26）.