成都大學(xué)信息網(wǎng)絡(luò)中心 劉新躍 楊曉蘭 杜小丹 楊 文

近年來，高校校園信息化建設(shè)發(fā)展迅速，信息化建設(shè)和管理水平得到顯著提升，基于校園網(wǎng)的信息資源和應(yīng)用系統(tǒng)建設(shè)逐漸豐富和完善，應(yīng)用系統(tǒng)和基礎(chǔ)平臺建設(shè)也成效明顯，為在校師生提供了諸多便捷的服務(wù)。但是，當(dāng)我們享受校園信息化建設(shè)的成果之時(shí)，對信息化建設(shè)的需求越來越多，對信息化建設(shè)的安全需求也越來越高，這使得我們需要對自身的信息化建設(shè)工作進(jìn)行重新思考。信息化建設(shè)的基礎(chǔ)是安全，所有的信息化建設(shè)都需要從網(wǎng)絡(luò)安全以及信息安全出發(fā)。

一、高校網(wǎng)絡(luò)及信息安全問題分析

（一）信息技術(shù)體系需要進(jìn)一步完善

雖然大部分高校出口部署了防火墻、上網(wǎng)行為管理系統(tǒng)，但難以滿足當(dāng)前復(fù)雜的安全形勢。高?？蓪ΜF(xiàn)有安全體系的升級建設(shè)，從單純被動防御層次向“持續(xù)檢測、快速響應(yīng)”邁進(jìn)，打造一站式的“預(yù)測、防御、檢測、響應(yīng)、加固”五位一體服務(wù)，真正做到“安全防御可見效、安全態(tài)勢可感知、安全威脅可預(yù)警、異常行為可監(jiān)控、安全價(jià)值可呈現(xiàn)”的安全建設(shè)效果。

（二）信息安全管理制度亟待梳理完善

由于管理模式、環(huán)境要求等方面的不同，引用的制度還不能完全滿足等保、ISO27001 等成熟體系的要求。并且各項(xiàng)制度也還未達(dá)到合適的推行力度，仍存在部分人員對制度不知情的情況。同時(shí)，各部門往往還擁有自己的內(nèi)部制度，在執(zhí)行時(shí)可能與制度造成優(yōu)先級或內(nèi)容上的實(shí)質(zhì)性沖突。因此，需要對制度進(jìn)行全面梳理，建立文件化的管理體系，力爭日常工作中遵循唯一的標(biāo)準(zhǔn)，使制度的執(zhí)行和考核能落實(shí)下去。

（三）信息安全管理工作尚未落實(shí)到基層

現(xiàn)有的信息安全管理組織主要是網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組和信息化部門，但是沒有明確指定開展信息安全各項(xiàng)具體工作的執(zhí)行層面的人員（即學(xué)院各個(gè)部門的信息安全員），同時(shí)也未按照國際成熟標(biāo)準(zhǔn)和業(yè)界慣例把三類互相制衡、互相配合的人員職能（即信息安全技術(shù)、信息安全管理、信息安全審計(jì)）落實(shí)到相關(guān)部門人員，導(dǎo)致高校領(lǐng)導(dǎo)雖然高度重視信息安全工作，但是具體工作卻難以深入開展下去。

（四）流程尚未實(shí)現(xiàn)規(guī)范化

從國內(nèi)外信息安全最佳實(shí)踐的角度來看，所依據(jù)的制度流程也是少量信息技術(shù)部的IT 類管理制度，操作記錄層面居多，缺少提煉為可優(yōu)化、可重復(fù)的管理制度，也尚未提升到目前業(yè)界推崇的“流程建設(shè)”的高度。服務(wù)質(zhì)量仍主要依賴于技術(shù)人員和管理人員的自身經(jīng)驗(yàn)，缺少具有繼承性的操作規(guī)范，在為客戶提供持續(xù)的、穩(wěn)定的高質(zhì)量服務(wù)方面存在相當(dāng)大的風(fēng)險(xiǎn)。

（五）對第三方的管理仍需要加強(qiáng)

沒有在第三方職責(zé)和合同中對信息安全責(zé)任進(jìn)行進(jìn)一步的明確界定，對此類人員的信息安全管理全部依賴接口人員的個(gè)人意識和能力，缺乏統(tǒng)一的管理標(biāo)準(zhǔn)。

（六）信息安全內(nèi)外部審計(jì)檢查機(jī)制尚未形成

大部分高校尚未建立信息安全內(nèi)外部審計(jì)檢查機(jī)制，信息安全審計(jì)審核工作也未開展。需要把內(nèi)部審計(jì)檢查與外部審計(jì)檢查結(jié)合起來，建立內(nèi)外部審計(jì)檢查制度，落實(shí)相關(guān)組織建設(shè)和人員責(zé)任，參照國際成熟標(biāo)準(zhǔn)和業(yè)界最佳實(shí)踐，定期組織內(nèi)外部審計(jì)檢查活動，確保信息安全建設(shè)覆蓋各個(gè)領(lǐng)域。

二、高校網(wǎng)絡(luò)及信息化安全管理之運(yùn)營管理建議

完整的信息安全保障體系應(yīng)該是安全管理和安全技術(shù)實(shí)施的結(jié)合，以真正達(dá)到信息安全保障目標(biāo)。安全策略在整個(gè)安全管理體系的設(shè)計(jì)、實(shí)施、維護(hù)和改進(jìn)過程中都起著重要的指導(dǎo)作用，是一切信息安全實(shí)踐活動的方針和指南。人員、技術(shù)和操作三個(gè)要素，構(gòu)成了整個(gè)安全管理體系的骨架。

（一）人員安全管理

在人員安全管理方面，高校在人員錄用規(guī)模上已經(jīng)有部分規(guī)則制度，但整體上還不夠健全。在人員錄用、調(diào)動、離崗、考核、培訓(xùn)教育和第三方人員安全等幾個(gè)方面，需要進(jìn)一步加強(qiáng)及優(yōu)化。其中，內(nèi)部人員的管理歸納形成人力資源安全管理的具體安全要求，外部人員的管理歸納形成第三方人員安全管理的具體安全要求。

（二）系統(tǒng)日常運(yùn)維管理

按照等級保護(hù)要求，日常運(yùn)維管理主要從環(huán)境管理、資產(chǎn)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、防病毒管理、監(jiān)控管理、密碼管理、變更管理、備份與恢復(fù)管理九個(gè)方面進(jìn)行考慮。

環(huán)境管理：所有的服務(wù)器和核心網(wǎng)絡(luò)設(shè)備均按照要求放置在集中的機(jī)房中，網(wǎng)絡(luò)中心機(jī)房環(huán)境的安全管理要求應(yīng)按照《機(jī)房管理辦法》中機(jī)房管理部分的相關(guān)規(guī)定執(zhí)行。

資產(chǎn)管理：信息資產(chǎn)是構(gòu)成網(wǎng)絡(luò)和信息系統(tǒng)的基礎(chǔ)，是系統(tǒng)各種服務(wù)功能實(shí)現(xiàn)的提供者和信息存儲的承載者，制定《信息資產(chǎn)安全管理辦法》，主要包括指定責(zé)任部門；把各類硬件、軟件、數(shù)據(jù)、介質(zhì)、文檔均作為信息資產(chǎn)進(jìn)行管理。

網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)作為信息系統(tǒng)的基礎(chǔ)性設(shè)施，為各個(gè)業(yè)務(wù)系統(tǒng)和辦公應(yīng)用提供連通和數(shù)據(jù)傳輸，實(shí)現(xiàn)信息共享。制定《網(wǎng)絡(luò)安全管理規(guī)定》，制度中應(yīng)體現(xiàn)以下內(nèi)容：指定責(zé)任部門；對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面做出規(guī)定；定義更新流程；定義漏洞管理方法；定義設(shè)備配置方法；定義外部連接審批流程；定義設(shè)備接入策略；定義非法上網(wǎng)管理方法。

系統(tǒng)安全管理：根據(jù)等級保護(hù)制度要求，每個(gè)業(yè)務(wù)系統(tǒng)作為安全保護(hù)的對象，應(yīng)當(dāng)對每個(gè)業(yè)務(wù)系統(tǒng)制定相應(yīng)的安全運(yùn)維流程和規(guī)范，制定《系統(tǒng)安全管理規(guī)定》，用于指導(dǎo)如何根據(jù)業(yè)務(wù)安全等級和安全需求來制定相應(yīng)的運(yùn)維流程和規(guī)范。

防病毒管理：根據(jù)等級保護(hù)制度要求，病毒（惡意代碼）防范應(yīng)有詳細(xì)的管理、處理、病毒庫更新等管理方法，制定《防病毒管理辦法》。制度中應(yīng)體現(xiàn)的內(nèi)容包括指定責(zé)任部門；每年進(jìn)行定期培訓(xùn)；由信息管理部負(fù)責(zé)對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；定義防惡意代碼軟件授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等流程。

監(jiān)控管理：為建立集中的安全監(jiān)控管理制度，對監(jiān)控內(nèi)容、監(jiān)控方式、監(jiān)控記錄集中保存、監(jiān)控記錄審計(jì)等進(jìn)行規(guī)范，制定《信息資產(chǎn)運(yùn)行維護(hù)安全管理辦法》。

密碼管理：針對服務(wù)器、網(wǎng)絡(luò)設(shè)備中的賬號、密碼需要定期更改，同時(shí)需要規(guī)定密碼復(fù)雜度，制定《口令管理辦法》。制度中應(yīng)體現(xiàn)的內(nèi)容為：指定責(zé)任部門；總結(jié)在密碼設(shè)備的采購、使用、維護(hù)、保修及報(bào)廢的整個(gè)生命周期內(nèi)的各項(xiàng)國家有關(guān)規(guī)定；嚴(yán)格執(zhí)行上述規(guī)定。

變更管理：信息安全風(fēng)險(xiǎn)是“動態(tài)”的主要因素之一，就是網(wǎng)絡(luò)和信息系統(tǒng)是會發(fā)生變化的，為了加強(qiáng)防范由于網(wǎng)絡(luò)和系統(tǒng)變化對整體安全現(xiàn)狀的影響，規(guī)避變更產(chǎn)生的風(fēng)險(xiǎn)，制定變更管理制度，其變更管理內(nèi)容和要求按照《業(yè)務(wù)系統(tǒng)用戶需求變更管理細(xì)則》和《信息系統(tǒng)變更管理規(guī)定》中的相關(guān)規(guī)定執(zhí)行。

備份與恢復(fù)管理：制定并按照《備份與恢復(fù)管理規(guī)定》中的恢復(fù)流程和規(guī)范執(zhí)行。制度中應(yīng)體現(xiàn)的內(nèi)容為：指定責(zé)任部門；識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；定義備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等；根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ唤浞莺突謴?fù)流程，對備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；建立演練流程，每季度對恢復(fù)程序進(jìn)行演練，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。

綜上所述，高校網(wǎng)絡(luò)及信息安全問題已經(jīng)成為高校信息化發(fā)展道路中不可避免的現(xiàn)實(shí)問題，除了上述從高校網(wǎng)絡(luò)及信息安全問題的運(yùn)營管理提出的相關(guān)建議外，高校還可從技術(shù)上對網(wǎng)絡(luò)和信息安全問題進(jìn)行管理，從而保證高校網(wǎng)絡(luò)能夠穩(wěn)定健康地為高校教學(xué)、管理及研究工作提供服務(wù)。