在高校信息化應用日益深化的今天,信息和資源的整合日益密切,如何保障信息系統的持續穩定運行,確保信息安全是亟待解決的關鍵問題。從調研顯示,目前我國高校網絡系統存在許多安全問題,如:非授權訪問、破壞數據完整性、干擾系統正常運行和利用網絡傳播病毒等,產生這些安全問題的原因在于:沒有建立完善的網絡系統安全體系;沒有建立相應的安全組織、管理、技術機構;沒有建立完備的網絡系統安全措施。
本文從高校信息系統的需求出發,遵從風險管理的理念,在信息化戰略規劃的基礎上,借鑒國際最佳實踐經驗,研究并實施高校信息化安全管理體系,為高校信息安全管理工作提供借鑒和參考。
規劃信息化安全管理體系
分層次建立安全管理制度和手段
信息化安全管理體系規劃是高校安全體系建立的第一步,目的是識別安全問題,明確安全管理的范圍和內容,建立安全管理的組織管理機制,從管理和技術兩個角度,分層次規劃各環節的安全管理制度和技術防范手段,形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規劃過程歸納為以下8個步驟:
1. 建立安全管理組織:安全管理組織的成員由機構的戰略影響者組成,包括來自行政、IT、業務、安全、保衛、風險和規劃部門的人員。
2. 識別保護對象:識別學校目前的關注點、面臨的風險及威脅,分析它們存在的原因,將分析結果納入安全管理體系的規劃中重點考慮。
3. 評估現有措施:了解學校目前的安全管理措施并評估它們的效力。
4. 考慮長期需要:安全整體規劃應考慮長期的需要,具有一定的前瞻性,如長期的制度適應性、設備老化、安全人員的發展需要等。
5. 納入學校的建設規劃:了解學校新建項目,如辦公樓、教學樓、停車場等項目,是否會影響現有的物理安全規劃,如有影響,將安全規劃納入學校建設規劃中通盤考慮。
6. 建立安全工作機制:形成文件化的制度體系和工作條例,明確各崗位的責任、應提供的服務和交付物,這些將有助于確保工作的落實和運作效率。
7. 應對新老技術的混合:新技術的規劃應考慮對老技術的沖擊,新老技術的融合運用將是一個挑戰。
8. 關鍵設施重點布局:關鍵設施指校園中那些需要連續、可靠運行而又相互關聯的復雜設施集合,這些設施的安全尤為重要,風險也最為突出。
體系框架的內容
上述的規劃步驟從組織、管理和技術三方面較全面地考慮高校信息化安全管理的具體問題,有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架,其中包括安全組織體系、安全管理體系和安全技術體系。
圖1 高校信息化安全管理體系
1. 安全組織體系
它是確保信息安全工作貫徹和落實的基石,基本框架應包含決策、管理、運營和應用4個層次。決策層負責信息化安全管理體系的規劃、管理制度的審定及重大事項的決策等;管理層負責信息化安全管理體系的實施、安全管理工作機制的研究制訂、安全管理制度的貫徹和執行、日常安全管理的組織協調等;運營層具體負責機房、網絡和服務器、數據庫、信息系統的安全管理和維護;應用層即普通用戶,職責包括嚴格按照系統操作手冊正確使用信息系統,不得進行可能危害信息系統安全的操作,不得發布惡意信息等。
2. 安全管理體系
它是整個安全管理體系有效運作和持續改進的保障,應在實踐中逐步實現規章制度的文件化、工作機制的程序化和監控手段的系統化,基本框架具體包括安全制度的建立、建設與運營工作條例的建立、應急響應機制的建立、審計與評審機制的建立、安全教育與培訓。
3. 安全技術體系
該體系有力保障信息資源和應用系統免受外部攻擊,基本框架由網絡層安全技術、系統層安全技術和應用層安全技術構成。網絡層安全技術包括防火墻、病毒防范、入侵檢測、VPN等;系統層安全技術包括數據備份與恢復、數據庫安全審計、應用系統監控、身份認證等;應用層安全技術包括權限管理、信息加密、桌面系統等。
信息化安全管理體系整改
上海財經大學經過多年的信息化建設,包括教學、學生、辦公自動化、招生、人事、財務、公共數據平臺、校園一卡通等一大批信息系統得到應用。隨著應用的深化,系統中積累大量的業務數據和工作成果,這些信息對學校目前的管理乃至今后的發展都至關重要,因此,信息的安全問題也成為信息化工作的焦點。2009年起,在認真分析學校信息安全管理和技術兩方面的問題和原因的基礎上,學校從組織、管理、技術三方面入手進行一系列的整改,截至目前,已形成較為完善的組織體系、管理體系和技術體系。
完善信息安全管理的組織結構
2009年,學校對信息安全管理的組織結構進行重新梳理,形成包含決策、管理、維護和應用4 個層次在內的較為完善的網絡信息系統安全管理組織機構,工作職責更加明確。上海財經大學網絡信息系統安全管理組織機構如圖2。
?
圖2 財經大學網絡信息系統安全管理組織機構
1. 決策層:在信息化領導小組的職能中明確信息系統的安全管理職能,由信息化領導小組統一規劃、部署和統籌資源。
健康風險評估技術規范
淺談食品安全的重要性
