在高校信息化应用日益深化的今天,信息和资源的整合日益密切,如何保障信息系统的持续稳定运行,确保信息安全是亟待解决的关键问题。从调研显示,目前我国高校网络系统存在许多安全问题,如:非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等,产生这些安全问题的原因在于:没有建立完善的网络系统安全体系;没有建立相应的安全组织、管理、技术机构;没有建立完备的网络系统安全措施。
本文从高校信息系统的需求出发,遵从风险管理的理念,在信息化战略规划的基础上,借鉴国际最佳实践经验,研究并实施高校信息化安全管理体系,为高校信息安全管理工作提供借鉴和参考。
规划信息化安全管理体系
分层次建立安全管理制度和手段
信息化安全管理体系规划是高校安全体系建立的第一步,目的是识别安全问题,明确安全管理的范围和内容,建立安全管理的组织管理机制,从管理和技术两个角度,分层次规划各环节的安全管理制度和技术防范手段,形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤:
1. 建立安全管理组织:安全管理组织的成员由机构的战略影响者组成,包括来自行政、IT、业务、安全、保卫、风险和规划部门的人员。
2. 识别保护对象:识别学校目前的关注点、面临的风险及威胁,分析它们存在的原因,将分析结果纳入安全管理体系的规划中重点考虑。
3. 评估现有措施:了解学校目前的安全管理措施并评估它们的效力。
4. 考虑长期需要:安全整体规划应考虑长期的需要,具有一定的前瞻性,如长期的制度适应性、设备老化、安全人员的发展需要等。
5. 纳入学校的建设规划:了解学校新建项目,如办公楼、教学楼、停车场等项目,是否会影响现有的物理安全规划,如有影响,将安全规划纳入学校建设规划中通盘考虑。
6. 建立安全工作机制:形成文件化的制度体系和工作条例,明确各岗位的责任、应提供的服务和交付物,这些将有助于确保工作的落实和运作效率。
7. 应对新老技术的混合:新技术的规划应考虑对老技术的冲击,新老技术的融合运用将是一个挑战。
8. 关键设施重点布局:关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合,这些设施的安全尤为重要,风险也最为突出。
体系框架的内容
上述的规划步骤从组织、管理和技术三方面较全面地考虑高校信息化安全管理的具体问题,有助于形成完整有效的信息化安全管理体系。图1是高校信息化安全管理体系整体框架,其中包括安全组织体系、安全管理体系和安全技术体系。
图1 高校信息化安全管理体系
1. 安全组织体系
它是确保信息安全工作贯彻和落实的基石,基本框架应包含决策、管理、运营和应用4个层次。决策层负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等;管理层负责信息化安全管理体系的实施、安全管理工作机制的研究制订、安全管理制度的贯彻和执行、日常安全管理的组织协调等;运营层具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护;应用层即普通用户,职责包括严格按照系统操作手册正确使用信息系统,不得进行可能危害信息系统安全的操作,不得发布恶意信息等。
2. 安全管理体系
它是整个安全管理体系有效运作和持续改进的保障,应在实践中逐步实现规章制度的文件化、工作机制的程序化和监控手段的系统化,基本框架具体包括安全制度的建立、建设与运营工作条例的建立、应急响应机制的建立、审计与评审机制的建立、安全教育与培训。
3. 安全技术体系
该体系有力保障信息资源和应用系统免受外部攻击,基本框架由网络层安全技术、系统层安全技术和应用层安全技术构成。网络层安全技术包括防火墙、病毒防范、入侵检测、VPN等;系统层安全技术包括数据备份与恢复、数据库安全审计、应用系统监控、身份认证等;应用层安全技术包括权限管理、信息加密、桌面系统等。
信息化安全管理体系整改
上海财经大学经过多年的信息化建设,包括教学、学生、办公自动化、招生、人事、财务、公共数据平台、校园一卡通等一大批信息系统得到应用。随着应用的深化,系统中积累大量的业务数据和工作成果,这些信息对学校目前的管理乃至今后的发展都至关重要,因此,信息的安全问题也成为信息化工作的焦点。2009年起,在认真分析学校信息安全管理和技术两方面的问题和原因的基础上,学校从组织、管理、技术三方面入手进行一系列的整改,截至目前,已形成较为完善的组织体系、管理体系和技术体系。
完善信息安全管理的组织结构
2009年,学校对信息安全管理的组织结构进行重新梳理,形成包含决策、管理、维护和应用4 个层次在内的较为完善的网络信息系统安全管理组织机构,工作职责更加明确。上海财经大学网络信息系统安全管理组织机构如图2。
图2 财经大学网络信息系统安全管理组织机构
1. 决策层:在信息化领导小组的职能中明确信息系统的安全管理职能,由信息化领导小组统一规划、部署和统筹资源。
中学内部安全保卫方案
浅谈食品安全的重要性
