基于全生命周期安全管理的高校業(yè)務系統(tǒng)管理方案設計

金純

摘要：當下高校業(yè)務系統(tǒng)建設混亂。為了提升業(yè)務系統(tǒng)的安全性，須要對業(yè)務系統(tǒng)的整個生命周期進行有效的安全管理。該文提出一個對業(yè)務系統(tǒng)全生命周期進行安全管理的方案，旨在提升高校業(yè)務系統(tǒng)安全管理的能力。

關鍵詞：全生命周期；信息安全；業(yè)務系統(tǒng)管理；安全管理

中圖分類號：G642 文獻標識碼：A

文章編號：1009-3044（2019）12-0105-02

開放科學（資源服務）標識碼（OSID）：

Management Scheme Design of information System in Colleges and Universities Based on Life Cycle Safety Management

JIN Chun

（East China University of Politics and Law， Shanghai 201620， China）

Abstract： At present， the construction of university business system is confused. In order to improve the security of business system， it is necessary to carry out effective security management for the whole life cycle of business system. This paper puts forward a management plan for the whole life cycle of business system， aiming at improving the ability of business system safety management in Colleges and universities.

Key words： Life cycle； Information security； Information system management； Safety Manager

1 高校應用系統(tǒng)建設現(xiàn)狀和信息安全管理現(xiàn)狀

在信息時代的大背景下，高校信息化程度在不斷提高，信息系統(tǒng)建設各式各樣，業(yè)務系統(tǒng)數(shù)量眾多。高校的教學環(huán)境和辦公條件得到了不斷提升和改善，廣大師生的工作效率得到了提高，學習和生活也變得更為便捷。與此同時，一系列的信息安全問題也隨之產生，提升高校業(yè)務系統(tǒng)信息安全管理的能力迫在眉睫。目前，高校信息安全的管理主要存在以下幾點問題：1）信息化統(tǒng)籌的管理和建設基礎薄弱。息化管理部門，信息技術支撐部門，業(yè)務部門之間對信息系統(tǒng)建設的目的，步調也存在差異，很難評估和審核所有信息系統(tǒng)的安全狀況。 2）信息系統(tǒng)全生命周期管理滯后。部分業(yè)務系統(tǒng)未在開發(fā)時考慮安全需求，安全漏洞存在整個系統(tǒng)的生命周期。而重視建設忽略維護的慣性使得很多信息系統(tǒng)處于無人管理狀態(tài)，甚至出現(xiàn)了“僵尸”網(wǎng)站，導致了不安全因素的發(fā)生。3）網(wǎng)絡安全工作仍側重應急響應。網(wǎng)絡安全工作的主要內容停留在信息和安全事件的應急處理和整改監(jiān)督上，容易忽略事前的預警和管控。4）網(wǎng)絡安全工作主動性較弱。整個學校信息系統(tǒng)管理混亂，職責不明確，導致對信息安全的重視普遍不足。

2 應用系統(tǒng)全生命周期安全管理內容

信息系統(tǒng)生命周期是指信息系統(tǒng)在實際使用過程中需要不斷的修改、維護，按照產生、發(fā)展、成熟、消亡（更新）的過程進行周期循環(huán)。從信息安全管理的角度看，信息系統(tǒng)生命周期可以劃分為需求分析階段、設計和開發(fā)階段、部署階段、驗收上線階段、日常維護階段、關閉階段共七個階段。每個階段都有安全工作內容的工作重點：

1）需求分析階段。我們需要確定應用安全、數(shù)據(jù)安全、安全審計、訪問控制等要求，而且需求的固定不得隨意更改。

2）設計和開發(fā)階段。檢測開放所使用的編程語言，開發(fā)框架，數(shù)據(jù)庫，中間件，服務器軟件，開源軟件情況以及自主開發(fā)的插件情況等。廠商需要在遵循安全開發(fā)原則的基礎上，在完成功能測試后，還要進行網(wǎng)絡安全方面的測試。

3）部署階段。進行安全策略的設置，廠商部署后由校方進行審核修正。網(wǎng)絡安全策略的配置主要涉及服務器端口、訪問控制策略、堡壘機配置、病毒查殺、Web應用防護策略。對于不同類別、不同用途以及不同建設階段的服務器，需要配置不同的安全策略，以滿足其相應的安全管理需求。

4）驗收上線階段。廠商需要提供第三方的安全檢測報告。

5）日常維護階段。定時對服務器巡檢，處理異常情況，并修復。形成巡檢報告，異常報告以及bug修復的記錄等。如果遇到系統(tǒng)需要升級，需要在升級后對系統(tǒng)重新進行安全檢測和評估，并詳細記錄安全策略的變化，以保證升級后系統(tǒng)的安全運行。

6）關閉階段。妥善處理相應權限的撤銷以及殘留數(shù)據(jù)的銷毀等，同時還要對服務器資源進行回收，避免形成僵尸系統(tǒng)，并做好信息系統(tǒng)關閉記錄。

3 高校業(yè)務系統(tǒng)管理方案設計

基于目前高校信息化建設存在的問題，以及全生命周期安全管理的需要，我們提出一個針對高校業(yè)務系統(tǒng)安全管理的建設方案。

1）功能介紹

高校業(yè)務系統(tǒng)管理主要是通過對學校所有在建的和已建成的業(yè)務系統(tǒng)進行全生命周期的跟蹤，動態(tài)了解每個系統(tǒng)的當前安全狀態(tài)并精準解決系統(tǒng)安全隱患。從而實現(xiàn)對學校所有業(yè)務系統(tǒng)的安全監(jiān)控，確保業(yè)務系統(tǒng)的信息安全。同時，掌握所有業(yè)務數(shù)據(jù)的內部流動及支撐查詢、統(tǒng)計管理功能。系統(tǒng)基礎數(shù)據(jù)及業(yè)務操作產生的數(shù)據(jù)沉淀后可作為信息系統(tǒng)的基礎數(shù)據(jù)支撐更加復雜的線上業(yè)務申請、審核、管理等。

2）模塊設計

3）應用系統(tǒng)基礎數(shù)據(jù)管理

應用系統(tǒng)基礎數(shù)據(jù)管理模塊主要是對學校所有應用用系統(tǒng)的管理。包括應用系統(tǒng)的添加、應用系統(tǒng)基本信息的維護等。數(shù)據(jù)來源主要是各系統(tǒng)負責人在線錄入或批量導入。頁面內容主要有：系統(tǒng)負責人員可根據(jù)自身負責的系統(tǒng)情況在此頁面錄入、查看及管理系統(tǒng)信息，頁面信息包括，系統(tǒng)名稱、URL、外網(wǎng)地址（若沒有則為空）、內網(wǎng)地址、系統(tǒng)功能描述、系統(tǒng)負責部門、系統(tǒng)負責人、負責人聯(lián)系方式、是否已開放外網(wǎng)、部署位置，生命周期階段，安全狀態(tài)等信息。頁面內容根據(jù)當前登錄人信息僅呈現(xiàn)當前登錄人本人錄入的信息系統(tǒng)的數(shù)據(jù)。

4）業(yè)務系統(tǒng)安全管理

業(yè)務系統(tǒng)安全管理主要是通過記錄業(yè)務系統(tǒng)在各個生命周期里的安全事件，達到對業(yè)務系統(tǒng)的安全管理。從新增一個業(yè)務系統(tǒng)開始，該業(yè)務系統(tǒng)在生命周期的每個階段，業(yè)務系統(tǒng)負責人必須完成所有該項目的安全任務，提交出相應的文檔，才能進入下個生命周期階段。每個安全任務都會觸發(fā)該業(yè)務系統(tǒng)的安全狀態(tài)的變化，為從方便業(yè)務系統(tǒng)負責人和學校信息系統(tǒng)安全員了解當前業(yè)務系統(tǒng)的安全情況。

5）數(shù)據(jù)統(tǒng)計分析管理

數(shù)據(jù)統(tǒng)計分析管理主要功能是對業(yè)務系統(tǒng)進行查找，歸類，分析和統(tǒng)計。安全管理員可以快速查找出某個業(yè)務系統(tǒng)的安全狀態(tài)，或者統(tǒng)計出所有有安全隱患的系統(tǒng)，快速形成安全報告，方便精準對每個業(yè)務系統(tǒng)的安全隱患做出解決方案。

4 結束語

高校在高速信息化建設的同時，并沒有很好地對各業(yè)務系統(tǒng)進行安全管理。建立一套基于全生命周期信息系統(tǒng)管理方案勢必提升信息安全人員管理各業(yè)務系統(tǒng)安全的能力，從而降低高校發(fā)生安全事件的風險。

參考文獻：

[1]吳曉東. 信息安全技術在工程項目管理中的應用[J]. 中國戰(zhàn)略新興產業(yè)， 2017（16）.

[2]張達. 教育管理信息系統(tǒng)信息安全運維體系建設[J]. 科技資訊 2017（34）：16.

[3]劉述忠 軟件研發(fā)中的信息安全管理[J].中國金融電腦，2016（5）.

【通聯(lián)編輯：王力】