楊翠翠 周濤 劉璀 楊玲

摘 要：高校信息化建設(shè)是在信息時代中高等教育院校發(fā)展的必然趨勢，保障高校信息系統(tǒng)網(wǎng)絡(luò)安全的重要性日益凸顯。目前，高校校園網(wǎng)信息系統(tǒng)安全管理機(jī)制的建設(shè)還處于實(shí)驗、摸索階段，還需要在實(shí)踐中去完善。高校需要從信息系統(tǒng)全生命周期的角度出發(fā)，結(jié)合信息安全等級保護(hù)項目和以往信息系統(tǒng)建設(shè)的實(shí)踐經(jīng)驗，進(jìn)一步加強(qiáng)信息系統(tǒng)安全管理機(jī)制的建設(shè)，給校園網(wǎng)信息系統(tǒng)的安全提供制度建設(shè)的參考依據(jù)。論文既是對信息安全管理理論體系的研究和探索，也是對高校多年來網(wǎng)絡(luò)信息安全工作的總結(jié)和分析，具有一定的理論和實(shí)踐意義。

關(guān)鍵詞：信息系統(tǒng)；網(wǎng)絡(luò)安全；管理機(jī)制；安全管理

中圖分類號：TP393.0 文獻(xiàn)標(biāo)識碼：A

1 引言

網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)信息，使其不會因為偶然的或者惡意的原因而遭受到更改、破壞、泄露，可以保障系統(tǒng)能夠可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。近段時間以來，網(wǎng)絡(luò)安全的形式日益嚴(yán)峻，尤其是“棱鏡門”事件以后，全球各國都高度重視網(wǎng)絡(luò)安全問題。習(xí)近平總書記也在講話中頻繁強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全”，并親自出任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的組長。我國網(wǎng)絡(luò)安全法以及其配套的規(guī)范性文件和規(guī)章制度等已經(jīng)陸續(xù)出臺，2017年6月1日起，我國的《中華人民共和國網(wǎng)絡(luò)安全法》也正式實(shí)施。習(xí)近平總書記在十九大工作報告中再次提出要“加強(qiáng)互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營造清朗的網(wǎng)絡(luò)空間”。

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為當(dāng)前主要的信息傳播平臺、社會輿論的放大器和思想文化的集散地。高校學(xué)生作為受教育程度較高的社會群體，其溝通表達(dá)方式、學(xué)習(xí)思維方式、生活休閑方式等都受到網(wǎng)絡(luò)環(huán)境的深遠(yuǎn)影響。高校校園網(wǎng)作為高校學(xué)生網(wǎng)絡(luò)思想教育的主要平臺，保障網(wǎng)絡(luò)空間安全和做好網(wǎng)絡(luò)安全管理工作是所有高校網(wǎng)絡(luò)安全管理必須要面對的主要問題。

在信息時代中，高校信息化建設(shè)是高等教育院校發(fā)展的必然趨勢。隨著高校信息化程度的不斷提高，高校的教學(xué)環(huán)境和辦學(xué)條件也在不斷提升和改善，廣大師生的效率也得到了提高，為大家的學(xué)習(xí)、工作和生活提供了更為便捷的服務(wù)。與此同時，一系列的網(wǎng)絡(luò)安全問題也隨之產(chǎn)生，保障高校信息系統(tǒng)的網(wǎng)絡(luò)安全的重要性日漸明顯。高校中信息系統(tǒng)各式各樣，數(shù)量眾多，信息化主管部門無法評估和審核所有信息資產(chǎn)的安全狀況，且部分業(yè)務(wù)系統(tǒng)未在開發(fā)時考慮安全需求，重視建設(shè)忽略維護(hù)的慣性，使得部分信息系統(tǒng)處于無人管理狀態(tài)，出現(xiàn)了“僵尸”網(wǎng)站，導(dǎo)致了不安全因素的發(fā)生。部分高校沒有對應(yīng)的安全防護(hù)措施，或者將安全設(shè)備當(dāng)擺設(shè)，未真正投入使用，且沒有搭建監(jiān)測預(yù)警平臺，給竊密者和攻擊者更多的可乘之機(jī)。從而導(dǎo)致高校信息系統(tǒng)的安全防護(hù)能力較差，網(wǎng)站容易被攻擊者滲透篡改，張貼非法信息，對高校的形象造成負(fù)面影響。高校大多數(shù)業(yè)務(wù)部門的信息系統(tǒng)是由軟件廠商開發(fā)，對于信息系統(tǒng)存在的后門、漏洞、弱口令、暗鏈等安全隱患，信息系統(tǒng)管理人員由于過于依賴廠商等原因不能及時修復(fù)或采取措施，導(dǎo)致信息系統(tǒng)存在較大的安全威脅，為黑客入侵提供了可能。攻擊者通過安全漏洞對信息系統(tǒng)進(jìn)行攻擊，可能會導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)癱瘓，對高校中各項相關(guān)工作的開展造成了負(fù)面影響。

2 基于信息系統(tǒng)的網(wǎng)絡(luò)安全管理機(jī)制

當(dāng)前，部分高校已經(jīng)采取了相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施，啟用了各類安全設(shè)備，完成了云安全監(jiān)測預(yù)警平臺建設(shè)，初步建成了網(wǎng)絡(luò)安全防御體系。然而，高校信息系統(tǒng)的網(wǎng)絡(luò)安全管理工作還需要進(jìn)一步的增強(qiáng)。因此，高校需要基于重要信息系統(tǒng)，對其進(jìn)行全生命周期的安全管理，從源頭上主動發(fā)現(xiàn)信息系統(tǒng)存在的安全問題，盡早地主動排除隱患問題。在《中華人民共和國網(wǎng)絡(luò)安全法》一系列法律法規(guī)的約束下，根據(jù)高校信息化建設(shè)及網(wǎng)絡(luò)安全建設(shè)相關(guān)制度的要求，結(jié)合網(wǎng)絡(luò)安全等級保護(hù)制度的相關(guān)政策，高校需要在信息系統(tǒng)生命周期中全面實(shí)施網(wǎng)絡(luò)信息安全建設(shè)和管理。在信息系統(tǒng)的立項、采購、建設(shè)、驗收、運(yùn)維以及關(guān)閉等各環(huán)節(jié)，通過增加各環(huán)節(jié)的網(wǎng)絡(luò)安全內(nèi)容，滿足信息系統(tǒng)本身的基本安全需求，進(jìn)一步實(shí)現(xiàn)對信息系統(tǒng)的網(wǎng)絡(luò)安全管理。

2.1 信息系統(tǒng)生命周期

信息系統(tǒng)生命周期是指伴隨著生存環(huán)境的改變，信息系統(tǒng)在實(shí)際使用過程中需要不斷的修改、維護(hù)，按照產(chǎn)生、發(fā)展、成熟、消亡（更新）的過程進(jìn)行周期循環(huán)。信息系統(tǒng)生命周期可以劃分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實(shí)施以及系統(tǒng)運(yùn)行和維護(hù)共五個時期，每一個時期又可以被進(jìn)一步劃分為幾個階段，如圖1所示。

2.2 信息安全等級保護(hù)

信息安全等級保護(hù)是指按照信息系統(tǒng)重要性等級對信息和信息載體進(jìn)行分級別保護(hù)，主要包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。

《信息安全等級保護(hù)管理辦法》中規(guī)定，國家信息安全等級保護(hù)堅持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在社會生活、經(jīng)濟(jì)建設(shè)、國家安全中的重要程度，信息系統(tǒng)遭到破壞后對社會秩序、國家安全、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素來確定。

信息系統(tǒng)的安全保護(hù)等級劃分為五級。

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

信息系統(tǒng)安全等級保護(hù)需要對不同安全等級的信息系統(tǒng)進(jìn)行不同的安全防護(hù)措施。一方面，在安全管理和安全技術(shù)方面通過選用與安全等級相適應(yīng)的安全控制措施來實(shí)現(xiàn)；另一方面，根據(jù)交互、連接、協(xié)調(diào)、依賴、協(xié)同等相互關(guān)聯(lián)的關(guān)系，使其應(yīng)用在信息系統(tǒng)中的不同的安全控制上，共同致力于信息系統(tǒng)的安全功能的實(shí)現(xiàn)，使信息系統(tǒng)的結(jié)構(gòu)與整體安全功能以及安全層面間、區(qū)域間和控制間的相互關(guān)聯(lián)關(guān)系密切關(guān)聯(lián)。

2.3 信息安全管理機(jī)制

信息安全管理機(jī)制是按照信息安全管理體系中相關(guān)標(biāo)準(zhǔn)的要求，組織機(jī)構(gòu)單位制定信息安全管理策略和方針，參照風(fēng)險管理的方法，進(jìn)行信息安全管理的計劃、實(shí)施、評審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。信息安全管理機(jī)制是按照ISO/IEC 27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求完成建立的。

建立校園網(wǎng)信息系統(tǒng)安全管理機(jī)制，是指按照信息安全等級保護(hù)制度的相關(guān)要求，在信息系統(tǒng)的立項、采購、建設(shè)、驗收、運(yùn)維以及關(guān)閉等各個步驟中，加入網(wǎng)絡(luò)安全的相關(guān)內(nèi)容。從計算機(jī)網(wǎng)絡(luò)的邏輯和物理構(gòu)成上，通過基礎(chǔ)設(shè)施通訊安全（網(wǎng)絡(luò)傳輸安全）、實(shí)體安全、平臺安全（主機(jī)安全）、運(yùn)行安全、管理安全、應(yīng)用軟件安全、安全防范體系、授權(quán)和審計安全以及數(shù)據(jù)安全共九個方面，將校園網(wǎng)內(nèi)的信息安全資源進(jìn)行整合，從人員、政策、技術(shù)三個方面來構(gòu)建校園網(wǎng)信息系統(tǒng)的安全保障體系。

3 當(dāng)前管理機(jī)制中存在的問題及解決辦法

將校園網(wǎng)信息系統(tǒng)安全管理機(jī)制作為主要研究對象，結(jié)合信息安全等級保護(hù)制度的相關(guān)要求，羅列、整理在生命周期的每個階段中校內(nèi)信息系統(tǒng)的安全保障措施，歸納總結(jié)基于信息系統(tǒng)安全的校園網(wǎng)信息安全管理機(jī)制。通過對以往的信息系統(tǒng)建設(shè)和安全等級保護(hù)項目的實(shí)施案例的分析、總結(jié)，對校園網(wǎng)信息安全管理機(jī)制進(jìn)一步改進(jìn)，同時提出改進(jìn)的方案和進(jìn)一步發(fā)展的意見。具體的研究方法可以采用文獻(xiàn)研究法、實(shí)例分析法、全面質(zhì)量管理法。

文獻(xiàn)研究法是指圍繞信息安全等級保護(hù)、信息安全管理機(jī)制的相關(guān)理論文獻(xiàn)資料進(jìn)行搜集、分析、篩選和整理，為研究的問題解決和可行性分析提供實(shí)踐依據(jù)和理論依據(jù)。實(shí)例分析法是指通過總結(jié)分析信息系統(tǒng)建設(shè)實(shí)例，采用模型擬合與評價等方法，對研究結(jié)果進(jìn)行修正。全面質(zhì)量管理法即PDCA循環(huán)。全面質(zhì)量管理法主要包含四個過程：計劃（Plan）、執(zhí)行（Do）、檢查（Check）、行動（Action），其依照這樣的執(zhí)行次序?qū)π畔⑾到y(tǒng)進(jìn)行質(zhì)量管理，并且循環(huán)不止地進(jìn)行下去，具體過程如圖2所示。

通過以上三種研究方法，歸納、總結(jié)出校園網(wǎng)信息系統(tǒng)安全管理機(jī)制中存在的問題，主要涵蓋三個方面的問題：第一方面，信息系統(tǒng)的網(wǎng)絡(luò)安全問題無法保障，無法進(jìn)行正常監(jiān)管，業(yè)務(wù)系統(tǒng)建設(shè)時未進(jìn)行安全因素的考慮，導(dǎo)致“僵尸”網(wǎng)站的產(chǎn)生；第二方面，安全設(shè)備利用率低，無監(jiān)測預(yù)警平臺，頻繁導(dǎo)致信息系統(tǒng)被攻擊事件發(fā)生；第三方面，系統(tǒng)管理員專業(yè)素質(zhì)較低，無法及時采取措施，為黑客入侵提供了可乘之機(jī)。

為了實(shí)現(xiàn)對信息系統(tǒng)安全管理的目標(biāo)，我們需要在信息系統(tǒng)建設(shè)的各個階段增加網(wǎng)絡(luò)安全管理的內(nèi)容，以此來解決信息系統(tǒng)安全管理機(jī)制中存在的問題。

3.1 需求分析階段

按照等級保護(hù)的相關(guān)要求，在需求分析階段，我們需要確定信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)需求和安全基線要求，同時開展等級保護(hù)的定級備案工作。

3.2 設(shè)計和開發(fā)階段

在設(shè)計和開發(fā)階段，廠商需要在遵循安全開發(fā)原則的基礎(chǔ)上，在完成功能測試后，還要進(jìn)行網(wǎng)絡(luò)安全方面的測試。

3.3 部署階段

在信息系統(tǒng)部署過程中，按照學(xué)校的實(shí)際要求完成系統(tǒng)的各項配置后，還要進(jìn)行安全策略的設(shè)置，廠商部署后由校方進(jìn)行審核修正。網(wǎng)絡(luò)安全策略的配置主要涉及服務(wù)器端口、訪問控制策略、堡壘機(jī)配置、病毒查殺、Web應(yīng)用防護(hù)策略。對于不同類別、不同用途以及不同建設(shè)階段的服務(wù)器，需要配置不同的安全策略，以滿足其相應(yīng)的安全管理需求。

3.4 驗收上線階段

在信息系統(tǒng)驗收上線階段，廠商需要提供項目的安全檢測報告，否則不予驗收。

3.5 日常運(yùn)維階段

在信息系統(tǒng)日常運(yùn)維階段，由廠商售后技術(shù)支持人員、信息系統(tǒng)管理員、網(wǎng)絡(luò)安全管理員、數(shù)據(jù)中心管理員共同完成其安全運(yùn)維工作，參照建設(shè)階段形成的各類文檔，完成日常的安全檢查和故障處理，為發(fā)現(xiàn)網(wǎng)絡(luò)安全事件提供基礎(chǔ)。

3.6 升級階段

在信息系統(tǒng)升級階段，需要在升級后對系統(tǒng)重新進(jìn)行安全檢測和評估，并詳細(xì)記錄安全策略的變化，以保證升級后系統(tǒng)的安全運(yùn)行。

3.7 關(guān)閉階段

在信息系統(tǒng)關(guān)閉階段，需結(jié)合系統(tǒng)的業(yè)務(wù)需求和等級保護(hù)定級標(biāo)準(zhǔn)的要求，制定數(shù)據(jù)處置方案，妥善處理相應(yīng)權(quán)限的設(shè)置以及殘留數(shù)據(jù)的銷毀等，同時還要對服務(wù)器資源進(jìn)行回收，避免形成僵尸系統(tǒng)，做好信息系統(tǒng)關(guān)閉記錄，及時向等保備案主管部門注銷登記信息。

4 結(jié)束語

目前，高校校園網(wǎng)信息系統(tǒng)安全管理機(jī)制的建設(shè)還處于實(shí)驗、摸索階段，還需要在實(shí)踐中去完善。高校需要結(jié)合以往信息系統(tǒng)建設(shè)和信息安全等級保護(hù)項目的實(shí)踐經(jīng)驗，從信息系統(tǒng)全生命周期的角度出發(fā)，深入開展信息系統(tǒng)安全管理機(jī)制的建設(shè)，為高校信息系統(tǒng)的安全建設(shè)提供參考依據(jù)和發(fā)展方向。本文既是對信息安全管理理論體系的研究和探索，也是對高校多年來網(wǎng)絡(luò)信息安全工作的總結(jié)和分析，具有一定的理論意義和實(shí)踐意義。

參考文獻(xiàn)

[1] 黃治華，高峰，汪慧君.網(wǎng)絡(luò)信息系統(tǒng)安全能力及關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（5）.

[2] 李超.信息系統(tǒng)安全等級保護(hù)實(shí)務(wù)[M]. 北京：科學(xué)出版社，2013.

[3] 劉躍.計算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理和安全設(shè)計[J].信息與電腦，2016（14）.

[4] 王雪.淺析高校信息系統(tǒng)安全隱患及防范措施[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報，2017（26）.