◆黃俊

智慧校園一體化信息安全綜合服務(wù)體系建設(shè)研究

◆黃俊

（廣州中醫(yī)藥大學(xué)信息中心 廣東 510006）

面對(duì)日益復(fù)雜的國(guó)內(nèi)外網(wǎng)絡(luò)及信息安全環(huán)境，為了確保校園智慧一體化服務(wù)平臺(tái)能夠高效、持續(xù)、可靠及穩(wěn)定地提供數(shù)據(jù)應(yīng)用及服務(wù)，本項(xiàng)目提出重點(diǎn)加強(qiáng)信息安全綜合治理，建立一體化信息安全綜合服務(wù)，建立更高的安全防范體系，全面提升信息系統(tǒng)安全防護(hù)能力。

智慧校園；信息安全；一體化

1 概述

網(wǎng)絡(luò)安全挑戰(zhàn)無(wú)處不在，智慧校園平臺(tái)給學(xué)校產(chǎn)學(xué)研帶來(lái)巨大效益的同時(shí)，也面臨著全新的安全隱患。無(wú)論是學(xué)校內(nèi)部還是外部網(wǎng)絡(luò)都面臨著嚴(yán)峻的信息安全挑戰(zhàn)。

國(guó)家對(duì)網(wǎng)絡(luò)安全的重視程度日益提高，教育信息化作為國(guó)家信息化的戰(zhàn)略重點(diǎn)，在教育部印發(fā)的《2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》中提出：“加強(qiáng)教育信息化和網(wǎng)絡(luò)安全工作統(tǒng)籌部署”，并要求“開(kāi)展教育系統(tǒng)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定和檢查，落實(shí)教育系統(tǒng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)，組織開(kāi)展教育系統(tǒng)應(yīng)急演練，建立覆蓋數(shù)據(jù)全生命周期的安全管理機(jī)制”[1]。

2 需求分析

建設(shè)智慧校園一體化服務(wù)平臺(tái)，不管是學(xué)校內(nèi)部的辦公網(wǎng)絡(luò)和數(shù)據(jù)中心，還是對(duì)外服務(wù)區(qū)域，保證信息安全都具有非常重要的意義。信息安全涉及學(xué)校的財(cái)產(chǎn)、業(yè)務(wù)、科研、教學(xué)、日常管理等方方面面。

智慧校園一體化信息安全綜合服務(wù)旨在從不同的層面及不同的安全類(lèi)別方面構(gòu)建一體的縱深防護(hù)藍(lán)圖，保障智慧校園一體化平臺(tái)能夠從多維角度實(shí)現(xiàn)綜合安全保護(hù)與高效應(yīng)用的平衡。主要從以下三個(gè)方面進(jìn)行建設(shè)：

2.1 一體化信息安全風(fēng)險(xiǎn)評(píng)估

通過(guò)對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析。風(fēng)險(xiǎn)評(píng)估可以全面、準(zhǔn)確地了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害，為系統(tǒng)的最終安全需求提供依據(jù)。

2.2 智慧校園的信息安全綜合治理

根據(jù)信息安全保護(hù)評(píng)估和風(fēng)險(xiǎn)評(píng)估結(jié)果，采取必要的安全措施進(jìn)行風(fēng)險(xiǎn)處置，以學(xué)校資產(chǎn)保護(hù)為核心，著力于保護(hù)相關(guān)信息資產(chǎn)，主要避免因內(nèi)部人員的有意或無(wú)意的行為導(dǎo)致的安全威脅、財(cái)產(chǎn)損失或信息泄漏。

2.3 一體化信息安全體制

建立信息安全體系的基本框架，確定和建立技術(shù)保障體系框架，進(jìn)一步完善信息安全管理體系的安全管理策略，進(jìn)一步完善信息安全技術(shù)保障體系，著力于保障信息系統(tǒng)不受來(lái)自?xún)?nèi)部和外部各種因素產(chǎn)生的威脅所影響，實(shí)現(xiàn)信息訪(fǎng)問(wèn)、認(rèn)證、授權(quán)、審計(jì)的統(tǒng)一化平臺(tái)化，同時(shí)完善災(zāi)難備份與恢復(fù)，確保學(xué)校業(yè)務(wù)持續(xù)性。

3 建設(shè)內(nèi)容及具體措施

3.1 一體化信息安全風(fēng)險(xiǎn)評(píng)估

對(duì)安全控制評(píng)估的描述，采用評(píng)估單元方式組織。評(píng)估單元分為安全技術(shù)評(píng)估和安全管理評(píng)估兩大類(lèi)。安全技術(shù)評(píng)估包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上的安全控制評(píng)估；安全管理評(píng)估包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面的安全控制評(píng)估[2]。

圖1 一體化信息安全風(fēng)險(xiǎn)評(píng)估

（1）物理安全風(fēng)險(xiǎn)評(píng)估

評(píng)估信息系統(tǒng)應(yīng)對(duì)重要的物理安全設(shè)施，如物理位置的選擇、物理訪(fǎng)問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等做必要配置。

（2）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

評(píng)估路由交換設(shè)備和測(cè)試安全設(shè)備應(yīng)對(duì)結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)等做必要配置。

（3）主機(jī)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

評(píng)估操作系統(tǒng)應(yīng)對(duì)重要操作，如令牌的使用、賬戶(hù)認(rèn)證、密碼管理、登錄限制、身份標(biāo)識(shí)和鑒別、主體和客體的訪(fǎng)問(wèn)控制、用戶(hù)授權(quán)、安全審計(jì)、報(bào)警、監(jiān)控、系統(tǒng)保護(hù)、惡意代碼防護(hù)、信息保護(hù)、資源控制等做必要配置。

（4）數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估

測(cè)試數(shù)據(jù)庫(kù)應(yīng)對(duì)重要操作，如軟件完整性、數(shù)據(jù)完整性、訪(fǎng)問(wèn)控制、安全管理、審計(jì)等做必要配置。

（5）應(yīng)用安全風(fēng)險(xiǎn)評(píng)估

評(píng)估應(yīng)用應(yīng)對(duì)重要操作，如發(fā)布內(nèi)容的敏感級(jí)別，是否有書(shū)面的評(píng)審過(guò)程，定期培訓(xùn)，Web服務(wù)器是否使用了防火墻，是否按照要求歸檔Web服務(wù)器訪(fǎng)問(wèn)日志，是否對(duì)Web服務(wù)器管理人員和內(nèi)容維護(hù)人員有詳細(xì)的記錄，是否有書(shū)面的Web服務(wù)器事件響應(yīng)過(guò)程。

（6）安全管理風(fēng)險(xiǎn)評(píng)估

包括針對(duì)相關(guān)安全管理人員進(jìn)行訪(fǎng)談，以及對(duì)安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面的文檔檢查。

3.2 智慧校園的信息安全綜合治理

（1）操作平臺(tái)安全加固和優(yōu)化

包括檢查系統(tǒng)補(bǔ)丁、停止不必要的服務(wù)、修改不合適的權(quán)限、修改安全策略、檢查賬戶(hù)與口令安全、開(kāi)啟審核策略、關(guān)閉不必要的端口等。

（2）應(yīng)用軟件安全加固和優(yōu)化

包括對(duì)要使用的操作數(shù)據(jù)庫(kù)軟件（程序）進(jìn)行必要的安全審核安裝最新的補(bǔ)丁，使用安全的密碼、賬號(hào)策略，加強(qiáng)日志的記錄審核，修改默認(rèn)端口，使用加密協(xié)議，加固TCP/IP端口，對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制等。

（3）網(wǎng)絡(luò)設(shè)備的安全加固和策略配置優(yōu)化

主要針對(duì)防火墻系統(tǒng)等安全設(shè)備、數(shù)據(jù)備份與災(zāi)難恢復(fù)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備進(jìn)行修補(bǔ)和加固，按照安全策略進(jìn)行安全配置和優(yōu)化，提供詳細(xì)操作報(bào)告，包括網(wǎng)絡(luò)安全設(shè)備的安全配置，網(wǎng)絡(luò)安全設(shè)備的安全加固，網(wǎng)絡(luò)安全設(shè)備的優(yōu)化配置等。

（4）機(jī)房物理環(huán)境整改建設(shè)

對(duì)機(jī)房進(jìn)行整改建設(shè)，將裝修、防靜電、防雷接地、機(jī)房恒溫恒濕設(shè)備、機(jī)房綜合布線(xiàn)等重新進(jìn)行規(guī)劃設(shè)計(jì)并進(jìn)行整改建設(shè)。

（5）信息系統(tǒng)安全規(guī)劃及整改建設(shè)

對(duì)學(xué)校信息中心邊界安全、安全審計(jì)、防病毒等各方面進(jìn)行規(guī)劃整改建設(shè)，部署相應(yīng)的安全產(chǎn)品，通過(guò)建立綜合立體的縱深防護(hù)體系來(lái)實(shí)現(xiàn)智慧校園一體化服務(wù)平臺(tái)的有效信息安全保障。

3.3 一體化信息安全體制建設(shè)

完善信息安全體系建設(shè)，通過(guò)信息安全保護(hù)評(píng)估和風(fēng)險(xiǎn)評(píng)估，采取必要的安全措施進(jìn)行風(fēng)險(xiǎn)處置，同時(shí)建立信息安全體系的基本框架，確定和建立技術(shù)保障體系框架，為后續(xù)工作進(jìn)行必要的基礎(chǔ)性工作。

著力于將整體信息安全水平提升至卓越運(yùn)行階段，實(shí)現(xiàn)信息安全管理和信息安全技術(shù)的統(tǒng)一，實(shí)現(xiàn)信息訪(fǎng)問(wèn)、認(rèn)證、授權(quán)、審計(jì)的統(tǒng)一化平臺(tái)化。同時(shí)完善災(zāi)難備份與恢復(fù)，確保學(xué)校業(yè)務(wù)持續(xù)性。

對(duì)信息系統(tǒng)進(jìn)行信息安全體系完善需提供專(zhuān)業(yè)漏洞掃描分析服務(wù)、網(wǎng)站代碼審計(jì)服務(wù)、專(zhuān)業(yè)滲透測(cè)試等服務(wù)，并根據(jù)上述服務(wù)結(jié)果對(duì)信息系統(tǒng)進(jìn)行全面的安全加固，以實(shí)現(xiàn)信息系統(tǒng)安全防護(hù)能力的提升。同時(shí)，在信息系統(tǒng)后續(xù)的日常運(yùn)營(yíng)中，提供專(zhuān)業(yè)應(yīng)急響應(yīng)服務(wù)，確保將信息系統(tǒng)安全風(fēng)險(xiǎn)降至最低。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全和信息化相輔相成，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。本項(xiàng)目通過(guò)屏蔽、監(jiān)測(cè)、評(píng)估、測(cè)評(píng)等方式建立立體化、全方位信息化安全措施，制定網(wǎng)絡(luò)與信息安全建設(shè)規(guī)范，加強(qiáng)安全技術(shù)防范，完善安全管理體系，確保管理、教學(xué)和服務(wù)信息安全，保證學(xué)校教育信息化健康發(fā)展。

[1]教育部印發(fā)《2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》[EB/OL].http://www.ict.edu.cn/news/jrgz/xxhdt/n20200303_66025.shtml.

[2]夏冰，網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0[M].電子工業(yè)出版社，2017.

本文項(xiàng)目獲2015年中央財(cái)政支持地方高校發(fā)展專(zhuān)項(xiàng)資金支持