楊翠翠 周濤 劉璀 楊玲

摘 要：高校信息化建設是在信息時代中高等教育院校發(fā)展的必然趨勢，保障高校信息系統(tǒng)網(wǎng)絡安全的重要性日益凸顯。目前，高校校園網(wǎng)信息系統(tǒng)安全管理機制的建設還處于實驗、摸索階段，還需要在實踐中去完善。高校需要從信息系統(tǒng)全生命周期的角度出發(fā)，結(jié)合信息安全等級保護項目和以往信息系統(tǒng)建設的實踐經(jīng)驗，進一步加強信息系統(tǒng)安全管理機制的建設，給校園網(wǎng)信息系統(tǒng)的安全提供制度建設的參考依據(jù)。論文既是對信息安全管理理論體系的研究和探索，也是對高校多年來網(wǎng)絡信息安全工作的總結(jié)和分析，具有一定的理論和實踐意義。

關鍵詞：信息系統(tǒng)；網(wǎng)絡安全；管理機制；安全管理

中圖分類號：TP393.0 文獻標識碼：A

1 引言

網(wǎng)絡安全是指保護網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)信息，使其不會因為偶然的或者惡意的原因而遭受到更改、破壞、泄露，可以保障系統(tǒng)能夠可靠正常地運行，網(wǎng)絡服務不被中斷。近段時間以來，網(wǎng)絡安全的形式日益嚴峻，尤其是“棱鏡門”事件以后，全球各國都高度重視網(wǎng)絡安全問題。習近平總書記也在講話中頻繁強調(diào)“沒有網(wǎng)絡安全就沒有國家安全”，并親自出任中央網(wǎng)絡安全和信息化領導小組的組長。我國網(wǎng)絡安全法以及其配套的規(guī)范性文件和規(guī)章制度等已經(jīng)陸續(xù)出臺，2017年6月1日起，我國的《中華人民共和國網(wǎng)絡安全法》也正式實施。習近平總書記在十九大工作報告中再次提出要“加強互聯(lián)網(wǎng)內(nèi)容建設，建立網(wǎng)絡綜合治理體系，營造清朗的網(wǎng)絡空間”。

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為當前主要的信息傳播平臺、社會輿論的放大器和思想文化的集散地。高校學生作為受教育程度較高的社會群體，其溝通表達方式、學習思維方式、生活休閑方式等都受到網(wǎng)絡環(huán)境的深遠影響。高校校園網(wǎng)作為高校學生網(wǎng)絡思想教育的主要平臺，保障網(wǎng)絡空間安全和做好網(wǎng)絡安全管理工作是所有高校網(wǎng)絡安全管理必須要面對的主要問題。

在信息時代中，高校信息化建設是高等教育院校發(fā)展的必然趨勢。隨著高校信息化程度的不斷提高，高校的教學環(huán)境和辦學條件也在不斷提升和改善，廣大師生的效率也得到了提高，為大家的學習、工作和生活提供了更為便捷的服務。與此同時，一系列的網(wǎng)絡安全問題也隨之產(chǎn)生，保障高校信息系統(tǒng)的網(wǎng)絡安全的重要性日漸明顯。高校中信息系統(tǒng)各式各樣，數(shù)量眾多，信息化主管部門無法評估和審核所有信息資產(chǎn)的安全狀況，且部分業(yè)務系統(tǒng)未在開發(fā)時考慮安全需求，重視建設忽略維護的慣性，使得部分信息系統(tǒng)處于無人管理狀態(tài)，出現(xiàn)了“僵尸”網(wǎng)站，導致了不安全因素的發(fā)生。部分高校沒有對應的安全防護措施，或者將安全設備當擺設，未真正投入使用，且沒有搭建監(jiān)測預警平臺，給竊密者和攻擊者更多的可乘之機。從而導致高校信息系統(tǒng)的安全防護能力較差，網(wǎng)站容易被攻擊者滲透篡改，張貼非法信息，對高校的形象造成負面影響。高校大多數(shù)業(yè)務部門的信息系統(tǒng)是由軟件廠商開發(fā)，對于信息系統(tǒng)存在的后門、漏洞、弱口令、暗鏈等安全隱患，信息系統(tǒng)管理人員由于過于依賴廠商等原因不能及時修復或采取措施，導致信息系統(tǒng)存在較大的安全威脅，為黑客入侵提供了可能。攻擊者通過安全漏洞對信息系統(tǒng)進行攻擊，可能會導致數(shù)據(jù)丟失或系統(tǒng)癱瘓，對高校中各項相關工作的開展造成了負面影響。

2 基于信息系統(tǒng)的網(wǎng)絡安全管理機制

當前，部分高校已經(jīng)采取了相應的網(wǎng)絡安全防護措施，啟用了各類安全設備，完成了云安全監(jiān)測預警平臺建設，初步建成了網(wǎng)絡安全防御體系。然而，高校信息系統(tǒng)的網(wǎng)絡安全管理工作還需要進一步的增強。因此，高校需要基于重要信息系統(tǒng)，對其進行全生命周期的安全管理，從源頭上主動發(fā)現(xiàn)信息系統(tǒng)存在的安全問題，盡早地主動排除隱患問題。在《中華人民共和國網(wǎng)絡安全法》一系列法律法規(guī)的約束下，根據(jù)高校信息化建設及網(wǎng)絡安全建設相關制度的要求，結(jié)合網(wǎng)絡安全等級保護制度的相關政策，高校需要在信息系統(tǒng)生命周期中全面實施網(wǎng)絡信息安全建設和管理。在信息系統(tǒng)的立項、采購、建設、驗收、運維以及關閉等各環(huán)節(jié)，通過增加各環(huán)節(jié)的網(wǎng)絡安全內(nèi)容，滿足信息系統(tǒng)本身的基本安全需求，進一步實現(xiàn)對信息系統(tǒng)的網(wǎng)絡安全管理。

2.1 信息系統(tǒng)生命周期

信息系統(tǒng)生命周期是指伴隨著生存環(huán)境的改變，信息系統(tǒng)在實際使用過程中需要不斷的修改、維護，按照產(chǎn)生、發(fā)展、成熟、消亡（更新）的過程進行周期循環(huán)。信息系統(tǒng)生命周期可以劃分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施以及系統(tǒng)運行和維護共五個時期，每一個時期又可以被進一步劃分為幾個階段，如圖1所示。

2.2 信息安全等級保護

信息安全等級保護是指按照信息系統(tǒng)重要性等級對信息和信息載體進行分級別保護，主要包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。

《信息安全等級保護管理辦法》中規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在社會生活、經(jīng)濟建設、國家安全中的重要程度，信息系統(tǒng)遭到破壞后對社會秩序、國家安全、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素來確定。

信息系統(tǒng)的安全保護等級劃分為五級。

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。

信息系統(tǒng)安全等級保護需要對不同安全等級的信息系統(tǒng)進行不同的安全防護措施。一方面，在安全管理和安全技術(shù)方面通過選用與安全等級相適應的安全控制措施來實現(xiàn)；另一方面，根據(jù)交互、連接、協(xié)調(diào)、依賴、協(xié)同等相互關聯(lián)的關系，使其應用在信息系統(tǒng)中的不同的安全控制上，共同致力于信息系統(tǒng)的安全功能的實現(xiàn)，使信息系統(tǒng)的結(jié)構(gòu)與整體安全功能以及安全層面間、區(qū)域間和控制間的相互關聯(lián)關系密切關聯(lián)。

2.3 信息安全管理機制

信息安全管理機制是按照信息安全管理體系中相關標準的要求，組織機構(gòu)單位制定信息安全管理策略和方針，參照風險管理的方法，進行信息安全管理的計劃、實施、評審檢查、改進的信息安全管理執(zhí)行的工作體系。信息安全管理機制是按照ISO/IEC 27001標準《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求完成建立的。

建立校園網(wǎng)信息系統(tǒng)安全管理機制，是指按照信息安全等級保護制度的相關要求，在信息系統(tǒng)的立項、采購、建設、驗收、運維以及關閉等各個步驟中，加入網(wǎng)絡安全的相關內(nèi)容。從計算機網(wǎng)絡的邏輯和物理構(gòu)成上，通過基礎設施通訊安全（網(wǎng)絡傳輸安全）、實體安全、平臺安全（主機安全）、運行安全、管理安全、應用軟件安全、安全防范體系、授權(quán)和審計安全以及數(shù)據(jù)安全共九個方面，將校園網(wǎng)內(nèi)的信息安全資源進行整合，從人員、政策、技術(shù)三個方面來構(gòu)建校園網(wǎng)信息系統(tǒng)的安全保障體系。

3 當前管理機制中存在的問題及解決辦法

將校園網(wǎng)信息系統(tǒng)安全管理機制作為主要研究對象，結(jié)合信息安全等級保護制度的相關要求，羅列、整理在生命周期的每個階段中校內(nèi)信息系統(tǒng)的安全保障措施，歸納總結(jié)基于信息系統(tǒng)安全的校園網(wǎng)信息安全管理機制。通過對以往的信息系統(tǒng)建設和安全等級保護項目的實施案例的分析、總結(jié)，對校園網(wǎng)信息安全管理機制進一步改進，同時提出改進的方案和進一步發(fā)展的意見。具體的研究方法可以采用文獻研究法、實例分析法、全面質(zhì)量管理法。

文獻研究法是指圍繞信息安全等級保護、信息安全管理機制的相關理論文獻資料進行搜集、分析、篩選和整理，為研究的問題解決和可行性分析提供實踐依據(jù)和理論依據(jù)。實例分析法是指通過總結(jié)分析信息系統(tǒng)建設實例，采用模型擬合與評價等方法，對研究結(jié)果進行修正。全面質(zhì)量管理法即PDCA循環(huán)。全面質(zhì)量管理法主要包含四個過程：計劃（Plan）、執(zhí)行（Do）、檢查（Check）、行動（Action），其依照這樣的執(zhí)行次序?qū)π畔⑾到y(tǒng)進行質(zhì)量管理，并且循環(huán)不止地進行下去，具體過程如圖2所示。

通過以上三種研究方法，歸納、總結(jié)出校園網(wǎng)信息系統(tǒng)安全管理機制中存在的問題，主要涵蓋三個方面的問題：第一方面，信息系統(tǒng)的網(wǎng)絡安全問題無法保障，無法進行正常監(jiān)管，業(yè)務系統(tǒng)建設時未進行安全因素的考慮，導致“僵尸”網(wǎng)站的產(chǎn)生；第二方面，安全設備利用率低，無監(jiān)測預警平臺，頻繁導致信息系統(tǒng)被攻擊事件發(fā)生；第三方面，系統(tǒng)管理員專業(yè)素質(zhì)較低，無法及時采取措施，為黑客入侵提供了可乘之機。

為了實現(xiàn)對信息系統(tǒng)安全管理的目標，我們需要在信息系統(tǒng)建設的各個階段增加網(wǎng)絡安全管理的內(nèi)容，以此來解決信息系統(tǒng)安全管理機制中存在的問題。

3.1 需求分析階段

按照等級保護的相關要求，在需求分析階段，我們需要確定信息系統(tǒng)的網(wǎng)絡安全技術(shù)需求和安全基線要求，同時開展等級保護的定級備案工作。

3.2 設計和開發(fā)階段

在設計和開發(fā)階段，廠商需要在遵循安全開發(fā)原則的基礎上，在完成功能測試后，還要進行網(wǎng)絡安全方面的測試。

3.3 部署階段

在信息系統(tǒng)部署過程中，按照學校的實際要求完成系統(tǒng)的各項配置后，還要進行安全策略的設置，廠商部署后由校方進行審核修正。網(wǎng)絡安全策略的配置主要涉及服務器端口、訪問控制策略、堡壘機配置、病毒查殺、Web應用防護策略。對于不同類別、不同用途以及不同建設階段的服務器，需要配置不同的安全策略，以滿足其相應的安全管理需求。

3.4 驗收上線階段

在信息系統(tǒng)驗收上線階段，廠商需要提供項目的安全檢測報告，否則不予驗收。

3.5 日常運維階段

在信息系統(tǒng)日常運維階段，由廠商售后技術(shù)支持人員、信息系統(tǒng)管理員、網(wǎng)絡安全管理員、數(shù)據(jù)中心管理員共同完成其安全運維工作，參照建設階段形成的各類文檔，完成日常的安全檢查和故障處理，為發(fā)現(xiàn)網(wǎng)絡安全事件提供基礎。

3.6 升級階段

在信息系統(tǒng)升級階段，需要在升級后對系統(tǒng)重新進行安全檢測和評估，并詳細記錄安全策略的變化，以保證升級后系統(tǒng)的安全運行。

3.7 關閉階段

在信息系統(tǒng)關閉階段，需結(jié)合系統(tǒng)的業(yè)務需求和等級保護定級標準的要求，制定數(shù)據(jù)處置方案，妥善處理相應權(quán)限的設置以及殘留數(shù)據(jù)的銷毀等，同時還要對服務器資源進行回收，避免形成僵尸系統(tǒng)，做好信息系統(tǒng)關閉記錄，及時向等保備案主管部門注銷登記信息。

4 結(jié)束語

目前，高校校園網(wǎng)信息系統(tǒng)安全管理機制的建設還處于實驗、摸索階段，還需要在實踐中去完善。高校需要結(jié)合以往信息系統(tǒng)建設和信息安全等級保護項目的實踐經(jīng)驗，從信息系統(tǒng)全生命周期的角度出發(fā)，深入開展信息系統(tǒng)安全管理機制的建設，為高校信息系統(tǒng)的安全建設提供參考依據(jù)和發(fā)展方向。本文既是對信息安全管理理論體系的研究和探索，也是對高校多年來網(wǎng)絡信息安全工作的總結(jié)和分析，具有一定的理論意義和實踐意義。

參考文獻

[1] 黃治華，高峰，汪慧君.網(wǎng)絡信息系統(tǒng)安全能力及關鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用，2017（5）.

[2] 李超.信息系統(tǒng)安全等級保護實務[M]. 北京：科學出版社，2013.

[3] 劉躍.計算機信息系統(tǒng)的網(wǎng)絡管理和安全設計[J].信息與電腦，2016（14）.

[4] 王雪.淺析高校信息系統(tǒng)安全隱患及防范措施[J].吉林農(nóng)業(yè)科技學院學報，2017（26）.