張波　宋毅君　王文劍

摘 要：隨著教育信息化的升級(jí)，如何保障高校的信息安全及服務(wù)，是一個(gè)值得探究的問(wèn)題。ISO/IEC 20000&27001體系認(rèn)證，可以幫助高校彌補(bǔ)信息安全漏洞，制定安全完善的信息化管理體系。文章通過(guò)對(duì)山西大學(xué)認(rèn)證過(guò)程的研究，探討如何將ISO/IEC 20000&27001標(biāo)準(zhǔn)與高校信息安全建設(shè)相融合，真正幫助高校提升信息安全及信息服務(wù)能力。

關(guān)鍵詞：高校;信息安全建設(shè);ISO/IEC 20000&27001

1 高校信息安全現(xiàn)狀

在信息化時(shí)代，計(jì)算機(jī)和網(wǎng)絡(luò)在軍事、政治、金融、工業(yè)、商業(yè)、生活和工作中等方面的應(yīng)用越來(lái)越廣泛，社會(huì)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的依賴也越來(lái)越大[1]。重點(diǎn)高校作為我國(guó)各行業(yè)人才儲(chǔ)備、科研項(xiàng)目承建機(jī)構(gòu)，一旦發(fā)生師生信息泄露、科研數(shù)據(jù)被竊取等事件將會(huì)造成重大損失。2017年，WannaCry病毒肆虐，中國(guó)部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密;2018年，江蘇常州大學(xué)懷德學(xué)院發(fā)生大規(guī)模信息泄露，上千名學(xué)生信息被不法企業(yè)盜用;2020年鄭州西亞斯學(xué)院近兩萬(wàn)名學(xué)生信息遭泄露。

來(lái)自安全牛網(wǎng)站的2017年教育行業(yè)網(wǎng)絡(luò)安全報(bào)告指出，重點(diǎn)高校面對(duì)的威脅相對(duì)最嚴(yán)重的;行業(yè)發(fā)現(xiàn)605個(gè)CVE安全漏洞，19%教育機(jī)構(gòu)受影響;42%教育機(jī)構(gòu)遭受到總計(jì)166 997次DDOS拒絕服務(wù)攻擊，其中重點(diǎn)高校成了黑客的主要目標(biāo)[2]。同樣，來(lái)自安全牛網(wǎng)站的2016年第一季度全國(guó)重點(diǎn)高校網(wǎng)絡(luò)安全報(bào)告中指出，通過(guò)對(duì)985和211工程共115所高校信息安全進(jìn)行風(fēng)險(xiǎn)量化分析，其中21所（18%）為良好;54所（47%）為一般;40所（35%）為較差[3]。

2020年，教育部印發(fā)的《2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》提出：教育網(wǎng)絡(luò)安全支撐體系應(yīng)不斷完善，教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平需不斷提高[4]。

2 ISO/IEC 20000&27001體系認(rèn)證過(guò)程及意義

信息安全及服務(wù)管理體系的目的，是為包括高校在內(nèi)的組織在建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全和服務(wù)管理體系時(shí)提供參考模型，該體系涉及了最廣泛意義上的信息安全，讓管理者有一個(gè)參考框架用來(lái)管理信息服務(wù)。

近年來(lái)，新聞屢屢報(bào)道一些銀行、企業(yè)通過(guò)該體系認(rèn)證，但國(guó)內(nèi)高校目前還鮮有報(bào)道。

認(rèn)證過(guò)程可以大致劃分為以下幾個(gè)階段：認(rèn)證組織了解認(rèn)證目的并識(shí)別適用范圍;理解認(rèn)證術(shù)語(yǔ)及定義;學(xué)習(xí)體系結(jié)構(gòu)及管理思想;組織管理者制定管理體系方針，并指定管理者代表，制定管理者代表職責(zé);制定可實(shí)現(xiàn)的信息安全及服務(wù)目標(biāo)和計(jì)劃;建立和改進(jìn)服務(wù)管理體系;信息安全管理體系的運(yùn)行;文檔化管理和改進(jìn);總結(jié)。

ISO/IEC 20000&27001體系認(rèn)證，可以幫助高校建立健全網(wǎng)絡(luò)信息安全保障體系，提高安全防護(hù)能力，確保學(xué)校網(wǎng)絡(luò)信息安全工作規(guī)范、有序開(kāi)展。

3 山西大學(xué)體系認(rèn)證初探

3.1? 制定信息安全及技術(shù)服務(wù)管理方針

為了滿足適用法律法規(guī)及相關(guān)方要求，維持計(jì)算機(jī)機(jī)房運(yùn)行與維護(hù)服務(wù)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。山西大學(xué)根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)等實(shí)際情況，并結(jié)合相關(guān)方的需求定義了信息安全、信息技術(shù)服務(wù)管理體系方針如下：統(tǒng)籌規(guī)劃，主動(dòng)防御，快速反應(yīng)，持續(xù)改進(jìn);以師生為中心，主動(dòng)服務(wù)，規(guī)范完整，高效高質(zhì)。

3.2? 制定信息安全及技術(shù)服務(wù)管理目標(biāo)

學(xué)院一般于每年初將信息安全及信息安全服務(wù)管理目標(biāo)分解到信息安全服務(wù)部門，形成部門信息安全及信息安全服務(wù)管理目標(biāo)，并對(duì)信息安全及信息安全服務(wù)部門的管理目標(biāo)的達(dá)成情況進(jìn)行考核。信息安全服務(wù)管理目標(biāo)實(shí)施一段時(shí)期后，根據(jù)學(xué)院發(fā)展情況，做適宜的調(diào)整，確定新的信息安全服務(wù)管理目標(biāo)。

（1）確保信息安全事件發(fā)現(xiàn)率100%、上報(bào)和處理率100%。

（2）確保全年無(wú)重大信息安全事件（事故）發(fā)生。

（3）對(duì)于所有運(yùn)維項(xiàng)目，學(xué)院收到服務(wù)對(duì)象重大投訴不得超過(guò)3次。

（4）用戶滿意度≥90%。

（5）服務(wù)事件解決率≥90%。

（6）工單及時(shí)響應(yīng)率≥95%。

3.3? 風(fēng)險(xiǎn)管理

ISO/IEC 20000&27001 對(duì)風(fēng)險(xiǎn)的管理有一套嚴(yán)格的治理方法。對(duì)每一項(xiàng)資產(chǎn)按自身承載信息的保密性、完整性、可用性、合規(guī)性進(jìn)行量化賦值，使用合理的公式計(jì)算出資產(chǎn)的重要性[5];對(duì)在定義范圍內(nèi)的資產(chǎn)評(píng)估其風(fēng)險(xiǎn)，風(fēng)險(xiǎn)評(píng)估主要從威脅嚴(yán)重性、資產(chǎn)重要性、脆弱性、安全措施有效性方面進(jìn)行分析，還需評(píng)估控制風(fēng)險(xiǎn)所需的代價(jià)，形成風(fēng)險(xiǎn)清單，并制定相應(yīng)的風(fēng)險(xiǎn)處置措施。制定風(fēng)險(xiǎn)處置措施時(shí)，應(yīng)考慮風(fēng)險(xiǎn)與代價(jià)的平衡原則，兩者之間的關(guān)系是互相制約的，付出的代價(jià)低，風(fēng)險(xiǎn)就較大;反之，要使風(fēng)險(xiǎn)降到很低，付出的代價(jià)就越大。這個(gè)代價(jià)不單指資金投入，還包括信息系統(tǒng)效率下降等隱性代價(jià)。一個(gè)好的風(fēng)險(xiǎn)控制措施，應(yīng)該有效控制兩者的平衡點(diǎn)，既保證風(fēng)險(xiǎn)在可接受范圍之內(nèi)，又使風(fēng)險(xiǎn)管控措施付出的代價(jià)可接受，達(dá)到適度安全的平衡點(diǎn)。在進(jìn)行風(fēng)險(xiǎn)評(píng)估過(guò)程中，要實(shí)現(xiàn)動(dòng)態(tài)評(píng)估，即評(píng)估過(guò)程、指標(biāo)和時(shí)間點(diǎn)都不是一成不變的，需要隨著信息系統(tǒng)的使用環(huán)境、使用背景、使用單位的變化而變化，平衡點(diǎn)也不是固定不變的。隨著安全風(fēng)險(xiǎn)和代價(jià)的變化，平衡點(diǎn)也在動(dòng)態(tài)變化，從而使適度安全成為一個(gè)動(dòng)態(tài)平衡的狀態(tài)。

通常，使用如下4種策略（表1）來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)，分別是規(guī)避、轉(zhuǎn)移、減輕與接受。

4 結(jié)語(yǔ)

在大數(shù)據(jù)和信息化飛速發(fā)展的時(shí)代背景下，高校信息安全建設(shè)也成為高校一項(xiàng)重點(diǎn)建設(shè)的項(xiàng)目。而信息安全建設(shè)不能僅依靠技術(shù)手段，需建立一套科學(xué)完善的信息安全管理體系。本文基于山西大學(xué)認(rèn)證過(guò)程，將ISO/IEC 20000&27001標(biāo)準(zhǔn)與高校信息安全及服務(wù)標(biāo)準(zhǔn)相結(jié)合，引入風(fēng)險(xiǎn)管理和評(píng)審管理，工作實(shí)踐與體系標(biāo)準(zhǔn)全面對(duì)標(biāo)，在信息安全及服務(wù)規(guī)范化管理進(jìn)程上邁出扎實(shí)一步。

[參考文獻(xiàn)]

[1]張煥國(guó)，王麗娜，黃傳河，等.武漢大學(xué)信息安全學(xué)科建設(shè)與人才培養(yǎng)的探索與實(shí)踐[J].計(jì)算機(jī)教育，2007（23）：53-57.

[2]教育部辦公廳.2017年教育行業(yè)網(wǎng)絡(luò)安全報(bào)告.安全牛[R/OL].（2018-1-25）[2021-11-15].https：//www.aqniu.com/industry/31169.html.

[3]教育部辦公廳.2016年第一季度全國(guó)重點(diǎn)高校網(wǎng)絡(luò)安全報(bào)告.安全牛[R/OL].（2016-5-27）[2021-11-15].https：//www.aqniu.com/industry/16304.html.

[4]教育部辦公廳.2020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)[R/OL].（2020-02-26-）[2021-11-15].https：//www.ict.edu.cn/news/jrgz/xxhdt/n20200303_66025.shtml.

[5]趙鋒，趙首花.一種實(shí)用可行的信息資產(chǎn)登記及風(fēng)險(xiǎn)評(píng)估方法研究[J].情報(bào)雜志，2009（11）：97-100.

（編輯 王永超）

Optimize the information security service of universities based on

ISO/IEC 20000 & 27001 system certification

Zhang Bo1， Song Yijun1， Wang Wenjian2

（1.Shanxi University? Modern Educational Technology College， Taiyuan 030006， China; 2.Shanxi University? Computer and

Information Technology College， Taiyuan 030006， China）

Abstract：With the transformation of educational informationization， how to guarantee? information security and service of colleges is a problem. Passing the ISO/IEC 20000&27001 system certification can help colleges make up the loopholes and develop a safe information management system. Through Shanxi University certification process， this paper discusses how to integrate ISO/IEC 20000&27001 with information security construction， so as to help colleges improve information security and information service ability.

Key words：college; information security construction; ISO/IEC 20000&27001

作者簡(jiǎn)介：張波（1987— ），女，山西太原人，實(shí)驗(yàn)師，碩士;研究方向：高校信息化建設(shè)，信息安全。