2. 管理层：组建安全工作小组作为信息化安全工作的执行机构，工作小组由信息化相关部门领导及专业技术人员和部分管理人员组成。

　　3. 运营层：完善系统运营各岗位人员的工作职责，包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员。

　　4. 应用层：进一步明确应用层各院系、部门及用户的安全责任，与各院系、部门签订安全责任书，同时明确各院系、部门信息员的日常信息安全工作职责，使其成为信息安全工作的基础支持队伍。

　　早在2008年，学校就着手组织制定《上海财经大学信息系统安全管理办法》、《上海财经大学信息系统建设管理办法》和《上海财经大学信息系统运行维护管理办法》，从场地与设施安全管理、设备安全管理、系统安全管理、信息安全管理、建设安全管理、运行维护安全管理和技术文档安全管理7 个方面详细制定安全管理规定，并明确系统建设和系统运维过程中相关人员的工作流程和操作规范，为全校的信息系统安全管理提供依据。

　　2009年至2010年，针对信息安全问题突发性强的特点，为建立健全应急工作机制，提高信息系统安全突发事件的组织指挥和应急处置能力，最大限度地减轻突发事件造成的损失，学校完成《上海财经大学信息系统安全应急预案》的制定，并在IT部门建立起突发事件应急响应工作机制。与此同时，为加强日常防控来减少突发事件的发生，学校IT部门制定《运行维护工作条例》对硬件维护、操作系统维护、数据库维护和应用系统维护的各个环节的工作流程和操作规程进行更加详细的规定，并在工作中增加安全监控、安全检测、安全策略优化、安全审计等环节加强对信息系统的安全防护。

　　2010年初，为明确和建立学校的信息安全策略，为各部门制定操作规范和开展安全工作提供指导，学校制定《上海财经大学网络信息系统安全管理整体方案》，从信息安全组织体系、管理体系和技术体系3个层次，详细描述管理策略以及技术手段。该方案的出台极大地推动IT部门管理制度的完善和技术改进，同时也促进各院系、部门内部安全管理的强化和人员安全意识的提高。

　　强化安全管理

　　信息安全是一项长期的工作，必须将其纳入信息系统的日常管理中常抓不懈，防患于未然。信息系统质量的内涵，除了系统功能和性能满足业务要求外，与信息系统安全有关的系统安全性、可靠性、可用性也是系统质量控制的范畴。主要采取的管理措施如下：

　　1. 增加建设过程中的评审环节

　　在项目设计、开发阶段成果接近完成时，由项目组会同相关业务部门共同组织技术评审，包括对系统安全性的审查。评审以项目前期形成的方案、文档及学校的相关标准和规范为依据，对该阶段形成的方案、技术文档及系统进行审查、确认等工作，并形成评审结论。

　　2. 进行内部测试和第三方测试

　　在项目验收前，除了由项目内部和业务部门参与的集成测试外，聘请专业的第三方测试机构进行测试。

　　3. 安全检测与审计双管齐下，全方位监控安全事件

　　对应用系统和服务器进行每三个月一次的定期安全检测，有效消除潜在的安全隐患;定期进行应用系统的安全审计、数据库的安全审计、服务器的安全审计、配置管理的安全审计等，避免越权操作及数据泄漏事件的发生。

　　4. 建立突发事件应急响应机制

　　基于《上海财经大学信息安全应急预案》，建立突发事件的应急响应机制，落实信息系统的服务级别管理，实行应急预案演练制度，建立预案库，在突发事件发生后形成处置报告，分析原因，改进工作。

　　5. 加强安全意识宣传与教育

　　我们可以面向全校师生员工组织一系列的信息安全宣传和教育活动，包括组织面向学生和教师的信息安全知识竞赛活动，开展信息安全意识培训等，提高人员的安全防范意识，发挥人在信息安全对策中的主体作用。

　　系统的日常建设与运行管理中，我们通过构建自动化防控系统来加强系统的安全防范，为应用系统和用户构筑起坚实的安全堡垒，具体措施包括：

　　1. 搭建版本控制系统，确保开发中源代码的安全

　　在程序开发的过程中，需要多人同时参加和协作，通过搭建版本控制系统，记录系统建设过程中相关文档和源代码的变更过程，防止代码意外丢失、被覆盖等情况的出现。

　　2. 构建三套独立环境，保证正式环境安全

　　将系统开发环境、系统测试环境和正式系统进行分离，确保开发阶段和测试阶段的工作不影响正式系统的使用。

　　3. 建立备份与恢复机制，保护系统建设成果

　　建立本地及异地数据备份及恢复规范及方案，研发数据统一管理与备份的相关程序，对系统建设过程中的成果进行及时备份，防止因为误操作或机器故障导致数据丢失，切实保证数据的安全。

　　4. 防火墙与入侵监测，构筑网络屏障

　　在Internet和校园网之间以及校园网和信息系统服务器之间架设两层防火墙，防止校内外用户对服务器的攻击;部署网络分析系统，实时监控网络流量、网络攻击和病毒传播，为网络安全事件的定位和取证提供支持;禁止从公网访问关键信息系统，用户需要通过VPN加密链路才能实现从校外访问关键信息系统。

　　5. 漏洞扫描与日志分析，促进应用安全的不断提升

　　在应用系统层，我们采用系统日志分析平台对应用进行日志分析，捕捉和定位异常事件;定期对应用服务执行漏洞扫描，对出现的SQL注入、跨站脚本攻击、网页非法篡改、强制访问等系统安全风险及时进行分析和整改。

　　6. 主动式监控及时追踪问题

　　自主完成服务器软硬件运行状态监控系统的开发，实现对服务器运行状态及各信息系统状态进行主动监听和预警;建立统一日志服务器，对所有系统的日志进行集中管理和备份，确保问题发生时通过日志进行定位和追踪。

　　所谓“三分技术，七分管理”，信息化安全管理问题需要从管理和技术两方面考虑和解决，依靠有效的组织保障、规范的管理流程、安全可靠的系统工具及技术的支撑，才能达到“以较小的代价利用有限资源控制安全风险”的目标，更好地保证信息化建设和应用的成果。