楊翠翠 周濤 劉璀 楊玲
摘 要:高校信息化建設是在信息時代中高等教育院校發(fā)展的必然趨勢,保障高校信息系統(tǒng)網(wǎng)絡安全的重要性日益凸顯。目前,高校校園網(wǎng)信息系統(tǒng)安全管理機制的建設還處于實驗、摸索階段,還需要在實踐中去完善。高校需要從信息系統(tǒng)全生命周期的角度出發(fā),結(jié)合信息安全等級保護項目和以往信息系統(tǒng)建設的實踐經(jīng)驗,進一步加強信息系統(tǒng)安全管理機制的建設,給校園網(wǎng)信息系統(tǒng)的安全提供制度建設的參考依據(jù)。論文既是對信息安全管理理論體系的研究和探索,也是對高校多年來網(wǎng)絡信息安全工作的總結(jié)和分析,具有一定的理論和實踐意義。
關鍵詞:信息系統(tǒng);網(wǎng)絡安全;管理機制;安全管理
中圖分類號:TP393.0 文獻標識碼:A
1 引言
網(wǎng)絡安全是指保護網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)信息,使其不會因為偶然的或者惡意的原因而遭受到更改、破壞、泄露,可以保障系統(tǒng)能夠可靠正常地運行,網(wǎng)絡服務不被中斷。近段時間以來,網(wǎng)絡安全的形式日益嚴峻,尤其是“棱鏡門”事件以后,全球各國都高度重視網(wǎng)絡安全問題。習近平總書記也在講話中頻繁強調(diào)“沒有網(wǎng)絡安全就沒有國家安全”,并親自出任中央網(wǎng)絡安全和信息化領導小組的組長。我國網(wǎng)絡安全法以及其配套的規(guī)范性文件和規(guī)章制度等已經(jīng)陸續(xù)出臺,2017年6月1日起,我國的《中華人民共和國網(wǎng)絡安全法》也正式實施。習近平總書記在十九大工作報告中再次提出要“加強互聯(lián)網(wǎng)內(nèi)容建設,建立網(wǎng)絡綜合治理體系,營造清朗的網(wǎng)絡空間”。
隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,互聯(lián)網(wǎng)已經(jīng)成為當前主要的信息傳播平臺、社會輿論的放大器和思想文化的集散地。高校學生作為受教育程度較高的社會群體,其溝通表達方式、學習思維方式、生活休閑方式等都受到網(wǎng)絡環(huán)境的深遠影響。高校校園網(wǎng)作為高校學生網(wǎng)絡思想教育的主要平臺,保障網(wǎng)絡空間安全和做好網(wǎng)絡安全管理工作是所有高校網(wǎng)絡安全管理必須要面對的主要問題。
在信息時代中,高校信息化建設是高等教育院校發(fā)展的必然趨勢。隨著高校信息化程度的不斷提高,高校的教學環(huán)境和辦學條件也在不斷提升和改善,廣大師生的效率也得到了提高,為大家的學習、工作和生活提供了更為便捷的服務。與此同時,一系列的網(wǎng)絡安全問題也隨之產(chǎn)生,保障高校信息系統(tǒng)的網(wǎng)絡安全的重要性日漸明顯。高校中信息系統(tǒng)各式各樣,數(shù)量眾多,信息化主管部門無法評估和審核所有信息資產(chǎn)的安全狀況,且部分業(yè)務系統(tǒng)未在開發(fā)時考慮安全需求,重視建設忽略維護的慣性,使得部分信息系統(tǒng)處于無人管理狀態(tài),出現(xiàn)了“僵尸”網(wǎng)站,導致了不安全因素的發(fā)生。部分高校沒有對應的安全防護措施,或者將安全設備當擺設,未真正投入使用,且沒有搭建監(jiān)測預警平臺,給竊密者和攻擊者更多的可乘之機。從而導致高校信息系統(tǒng)的安全防護能力較差,網(wǎng)站容易被攻擊者滲透篡改,張貼非法信息,對高校的形象造成負面影響。高校大多數(shù)業(yè)務部門的信息系統(tǒng)是由軟件廠商開發(fā),對于信息系統(tǒng)存在的后門、漏洞、弱口令、暗鏈等安全隱患,信息系統(tǒng)管理人員由于過于依賴廠商等原因不能及時修復或采取措施,導致信息系統(tǒng)存在較大的安全威脅,為黑客入侵提供了可能。攻擊者通過安全漏洞對信息系統(tǒng)進行攻擊,可能會導致數(shù)據(jù)丟失或系統(tǒng)癱瘓,對高校中各項相關工作的開展造成了負面影響。
2 基于信息系統(tǒng)的網(wǎng)絡安全管理機制
當前,部分高校已經(jīng)采取了相應的網(wǎng)絡安全防護措施,啟用了各類安全設備,完成了云安全監(jiān)測預警平臺建設,初步建成了網(wǎng)絡安全防御體系。然而,高校信息系統(tǒng)的網(wǎng)絡安全管理工作還需要進一步的增強。因此,高校需要基于重要信息系統(tǒng),對其進行全生命周期的安全管理,從源頭上主動發(fā)現(xiàn)信息系統(tǒng)存在的安全問題,盡早地主動排除隱患問題。在《中華人民共和國網(wǎng)絡安全法》一系列法律法規(guī)的約束下,根據(jù)高校信息化建設及網(wǎng)絡安全建設相關制度的要求,結(jié)合網(wǎng)絡安全等級保護制度的相關政策,高校需要在信息系統(tǒng)生命周期中全面實施網(wǎng)絡信息安全建設和管理。在信息系統(tǒng)的立項、采購、建設、驗收、運維以及關閉等各環(huán)節(jié),通過增加各環(huán)節(jié)的網(wǎng)絡安全內(nèi)容,滿足信息系統(tǒng)本身的基本安全需求,進一步實現(xiàn)對信息系統(tǒng)的網(wǎng)絡安全管理。
2.1 信息系統(tǒng)生命周期
信息系統(tǒng)生命周期是指伴隨著生存環(huán)境的改變,信息系統(tǒng)在實際使用過程中需要不斷的修改、維護,按照產(chǎn)生、發(fā)展、成熟、消亡(更新)的過程進行周期循環(huán)。信息系統(tǒng)生命周期可以劃分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施以及系統(tǒng)運行和維護共五個時期,每一個時期又可以被進一步劃分為幾個階段,如圖1所示。
2.2 信息安全等級保護
信息安全等級保護是指按照信息系統(tǒng)重要性等級對信息和信息載體進行分級別保護,主要包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
《信息安全等級保護管理辦法》中規(guī)定,國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在社會生活、經(jīng)濟建設、國家安全中的重要程度,信息系統(tǒng)遭到破壞后對社會秩序、國家安全、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素來確定。
信息系統(tǒng)的安全保護等級劃分為五級。
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。
信息系統(tǒng)安全等級保護需要對不同安全等級的信息系統(tǒng)進行不同的安全防護措施。一方面,在安全管理和安全技術(shù)方面通過選用與安全等級相適應的安全控制措施來實現(xiàn);另一方面,根據(jù)交互、連接、協(xié)調(diào)、依賴、協(xié)同等相互關聯(lián)的關系,使其應用在信息系統(tǒng)中的不同的安全控制上,共同致力于信息系統(tǒng)的安全功能的實現(xiàn),使信息系統(tǒng)的結(jié)構(gòu)與整體安全功能以及安全層面間、區(qū)域間和控制間的相互關聯(lián)關系密切關聯(lián)。
2.3 信息安全管理機制
信息安全管理機制是按照信息安全管理體系中相關標準的要求,組織機構(gòu)單位制定信息安全管理策略和方針,參照風險管理的方法,進行信息安全管理的計劃、實施、評審檢查、改進的信息安全管理執(zhí)行的工作體系。信息安全管理機制是按照ISO/IEC 27001標準《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求完成建立的。
建立校園網(wǎng)信息系統(tǒng)安全管理機制,是指按照信息安全等級保護制度的相關要求,在信息系統(tǒng)的立項、采購、建設、驗收、運維以及關閉等各個步驟中,加入網(wǎng)絡安全的相關內(nèi)容。從計算機網(wǎng)絡的邏輯和物理構(gòu)成上,通過基礎設施通訊安全(網(wǎng)絡傳輸安全)、實體安全、平臺安全(主機安全)、運行安全、管理安全、應用軟件安全、安全防范體系、授權(quán)和審計安全以及數(shù)據(jù)安全共九個方面,將校園網(wǎng)內(nèi)的信息安全資源進行整合,從人員、政策、技術(shù)三個方面來構(gòu)建校園網(wǎng)信息系統(tǒng)的安全保障體系。
3 當前管理機制中存在的問題及解決辦法
將校園網(wǎng)信息系統(tǒng)安全管理機制作為主要研究對象,結(jié)合信息安全等級保護制度的相關要求,羅列、整理在生命周期的每個階段中校內(nèi)信息系統(tǒng)的安全保障措施,歸納總結(jié)基于信息系統(tǒng)安全的校園網(wǎng)信息安全管理機制。通過對以往的信息系統(tǒng)建設和安全等級保護項目的實施案例的分析、總結(jié),對校園網(wǎng)信息安全管理機制進一步改進,同時提出改進的方案和進一步發(fā)展的意見。具體的研究方法可以采用文獻研究法、實例分析法、全面質(zhì)量管理法。
文獻研究法是指圍繞信息安全等級保護、信息安全管理機制的相關理論文獻資料進行搜集、分析、篩選和整理,為研究的問題解決和可行性分析提供實踐依據(jù)和理論依據(jù)。實例分析法是指通過總結(jié)分析信息系統(tǒng)建設實例,采用模型擬合與評價等方法,對研究結(jié)果進行修正。全面質(zhì)量管理法即PDCA循環(huán)。全面質(zhì)量管理法主要包含四個過程:計劃(Plan)、執(zhí)行(Do)、檢查(Check)、行動(Action),其依照這樣的執(zhí)行次序?qū)π畔⑾到y(tǒng)進行質(zhì)量管理,并且循環(huán)不止地進行下去,具體過程如圖2所示。
通過以上三種研究方法,歸納、總結(jié)出校園網(wǎng)信息系統(tǒng)安全管理機制中存在的問題,主要涵蓋三個方面的問題:第一方面,信息系統(tǒng)的網(wǎng)絡安全問題無法保障,無法進行正常監(jiān)管,業(yè)務系統(tǒng)建設時未進行安全因素的考慮,導致“僵尸”網(wǎng)站的產(chǎn)生;第二方面,安全設備利用率低,無監(jiān)測預警平臺,頻繁導致信息系統(tǒng)被攻擊事件發(fā)生;第三方面,系統(tǒng)管理員專業(yè)素質(zhì)較低,無法及時采取措施,為黑客入侵提供了可乘之機。
為了實現(xiàn)對信息系統(tǒng)安全管理的目標,我們需要在信息系統(tǒng)建設的各個階段增加網(wǎng)絡安全管理的內(nèi)容,以此來解決信息系統(tǒng)安全管理機制中存在的問題。
3.1 需求分析階段
按照等級保護的相關要求,在需求分析階段,我們需要確定信息系統(tǒng)的網(wǎng)絡安全技術(shù)需求和安全基線要求,同時開展等級保護的定級備案工作。
3.2 設計和開發(fā)階段
在設計和開發(fā)階段,廠商需要在遵循安全開發(fā)原則的基礎上,在完成功能測試后,還要進行網(wǎng)絡安全方面的測試。
3.3 部署階段
在信息系統(tǒng)部署過程中,按照學校的實際要求完成系統(tǒng)的各項配置后,還要進行安全策略的設置,廠商部署后由校方進行審核修正。網(wǎng)絡安全策略的配置主要涉及服務器端口、訪問控制策略、堡壘機配置、病毒查殺、Web應用防護策略。對于不同類別、不同用途以及不同建設階段的服務器,需要配置不同的安全策略,以滿足其相應的安全管理需求。
3.4 驗收上線階段
在信息系統(tǒng)驗收上線階段,廠商需要提供項目的安全檢測報告,否則不予驗收。
3.5 日常運維階段
在信息系統(tǒng)日常運維階段,由廠商售后技術(shù)支持人員、信息系統(tǒng)管理員、網(wǎng)絡安全管理員、數(shù)據(jù)中心管理員共同完成其安全運維工作,參照建設階段形成的各類文檔,完成日常的安全檢查和故障處理,為發(fā)現(xiàn)網(wǎng)絡安全事件提供基礎。
3.6 升級階段
在信息系統(tǒng)升級階段,需要在升級后對系統(tǒng)重新進行安全檢測和評估,并詳細記錄安全策略的變化,以保證升級后系統(tǒng)的安全運行。
3.7 關閉階段
在信息系統(tǒng)關閉階段,需結(jié)合系統(tǒng)的業(yè)務需求和等級保護定級標準的要求,制定數(shù)據(jù)處置方案,妥善處理相應權(quán)限的設置以及殘留數(shù)據(jù)的銷毀等,同時還要對服務器資源進行回收,避免形成僵尸系統(tǒng),做好信息系統(tǒng)關閉記錄,及時向等保備案主管部門注銷登記信息。
4 結(jié)束語
目前,高校校園網(wǎng)信息系統(tǒng)安全管理機制的建設還處于實驗、摸索階段,還需要在實踐中去完善。高校需要結(jié)合以往信息系統(tǒng)建設和信息安全等級保護項目的實踐經(jīng)驗,從信息系統(tǒng)全生命周期的角度出發(fā),深入開展信息系統(tǒng)安全管理機制的建設,為高校信息系統(tǒng)的安全建設提供參考依據(jù)和發(fā)展方向。本文既是對信息安全管理理論體系的研究和探索,也是對高校多年來網(wǎng)絡信息安全工作的總結(jié)和分析,具有一定的理論意義和實踐意義。
參考文獻
[1] 黃治華,高峰,汪慧君.網(wǎng)絡信息系統(tǒng)安全能力及關鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用,2017(5).
[2] 李超.信息系統(tǒng)安全等級保護實務[M]. 北京:科學出版社,2013.
[3] 劉躍.計算機信息系統(tǒng)的網(wǎng)絡管理和安全設計[J].信息與電腦,2016(14).
[4] 王雪.淺析高校信息系統(tǒng)安全隱患及防范措施[J].吉林農(nóng)業(yè)科技學院學報,2017(26).