趙宏偉，王曦雯，杜小剛

（1.西安電子科技大學(xué)，陜西 西安 710071；2.西安外事學(xué)院，陜西 西安 710077）

1 數(shù)據(jù)化時(shí)代高校信息安全管理現(xiàn)狀

在信息安全管理實(shí)踐過(guò)程中，經(jīng)歷了典型的技術(shù)浪潮階段、管理浪潮階段、制度浪潮階段。目前，由于多元全球化背景下的各國(guó)高校互聯(lián)網(wǎng)技術(shù)發(fā)展不平衡，三個(gè)階段之間存在交叉并存的現(xiàn)象。以我國(guó)為例，進(jìn)入數(shù)據(jù)化時(shí)代后高校在統(tǒng)一戰(zhàn)略信息安全管理方案下，需要將安全信息管理推向制度化管理方向，提高信息安全管理的組織能力與管理效果。從現(xiàn)狀看，部分高校已經(jīng)在安全管理方面實(shí)現(xiàn)了初級(jí)信息安全管理向中、高級(jí)的數(shù)據(jù)安全管理升級(jí)，圍繞數(shù)據(jù)中心、虛擬數(shù)據(jù)中心建設(shè)，擴(kuò)大了對(duì)安全隔離技術(shù)的應(yīng)用、增強(qiáng)了安全設(shè)計(jì)方面的創(chuàng)新研發(fā)，逐漸走向了制度化的信息安全管理。但對(duì)于部分高校而言，雖然在“統(tǒng)一戰(zhàn)線”思想牽引下，建立了統(tǒng)一戰(zhàn)略信息安全管理方案，可是仍沒(méi)有完成信息安全管理向數(shù)據(jù)安全管理的轉(zhuǎn)型，所以尚處在技術(shù)、管理并存的信息安全管理狀態(tài)。在這種不均衡的信息安全管理狀況下，各大高校應(yīng)順應(yīng)時(shí)代潮流，結(jié)合高校信息安全管理在新時(shí)期的實(shí)際需求，創(chuàng)新一些有效的方法完善信息安全管理體系，推動(dòng)其向制度化方向升級(jí)。

2 高校統(tǒng)一戰(zhàn)略信息安全管理方法創(chuàng)新需求

2.1 需要完善信息安全管理體系

戰(zhàn)略導(dǎo)向下的高校信息安全管理體系建設(shè)中，包括了設(shè)備、人才、技術(shù)、資本等各類(lèi)要素，為了達(dá)到各項(xiàng)要素的優(yōu)化配置，需要借助制度化建設(shè)使信息安全管理標(biāo)準(zhǔn)化、安全管理認(rèn)證流程化、安全管理組織高效化、安全管理實(shí)踐持續(xù)化。同時(shí)，在統(tǒng)一戰(zhàn)略信息安全管理限定條件下，高校通過(guò)實(shí)施數(shù)據(jù)化管理擴(kuò)大了信息安全管理需求，并在基礎(chǔ)平臺(tái)建設(shè)方面，利用數(shù)據(jù)庫(kù)建設(shè)思想，將資產(chǎn)庫(kù)、合規(guī)庫(kù)、組織庫(kù)、漏洞庫(kù)、數(shù)據(jù)存儲(chǔ)、工作流引擎等進(jìn)行了統(tǒng)一整合，利用模塊化管理思想把內(nèi)容龐雜的安全管理、安全監(jiān)測(cè)、安全服務(wù)內(nèi)容整合到了各個(gè)模塊，進(jìn)而利用數(shù)據(jù)交換總線技術(shù)將各模塊與基礎(chǔ)平臺(tái)進(jìn)行了關(guān)聯(lián)，形成了包括“基礎(chǔ)平臺(tái)—數(shù)據(jù)交換總線—安全管理/監(jiān)測(cè)/服務(wù)模塊”內(nèi)容的安全管理方案（見(jiàn)圖1）。因此，在這種條件下需要進(jìn)一步推進(jìn)信息安全制度化建設(shè)，完善信息化管理體系。

圖1 數(shù)據(jù)化時(shí)代高校統(tǒng)一戰(zhàn)略信息安全管理框架示意

2.2 需要配置信息安全管理技術(shù)

方法是一種工具，既包括管理科學(xué)技術(shù)層面的方法，也有管理技術(shù)層面的方法。信息安全管理的制度化建設(shè)，屬于管理技術(shù)層面的方法創(chuàng)新。但是，按照現(xiàn)代經(jīng)濟(jì)學(xué)（也稱發(fā)展經(jīng)濟(jì)學(xué)）的生產(chǎn)要素配置理論看，在任何行業(yè)、任一領(lǐng)域的高質(zhì)量發(fā)展階段，為了提高管理效率、擴(kuò)增管理效用，需要將技術(shù)要素配置作為主導(dǎo)要素，然后再配置匹配的資本要素、人才要素等。而且，信息安全管理技術(shù)兼具了管理技術(shù)特征、科學(xué)技術(shù)特征，無(wú)論從哪個(gè)層面看，均需要進(jìn)行配置與創(chuàng)新應(yīng)用。

具體而言，在信息化時(shí)代高校創(chuàng)建的統(tǒng)一戰(zhàn)略信息安全管理方案中，主要依據(jù)信息安全管理的基本需求，通過(guò)防火墻、安全隔離技術(shù)、密鑰管理、日常運(yùn)維檢修等實(shí)現(xiàn)信息安全管理。操作時(shí)既對(duì)信息安全管理技術(shù)進(jìn)行獨(dú)立應(yīng)用，也借助其交互功能實(shí)施聯(lián)合應(yīng)用。進(jìn)入數(shù)據(jù)化時(shí)代后，高校信息化建設(shè)進(jìn)入到了更高一級(jí)的階段，大范圍內(nèi)建設(shè)了數(shù)據(jù)庫(kù)、建立了數(shù)據(jù)中心。而且，伴隨著數(shù)據(jù)生成總量的增加，進(jìn)一步加快了虛擬數(shù)據(jù)中心建設(shè)。在數(shù)據(jù)中心的信息安全管理方面，采用不同類(lèi)型的安全隔離技術(shù)可以滿足其管理需求。然而，在虛擬數(shù)據(jù)中心方面，卻需要結(jié)合虛擬機(jī)、同一硬件設(shè)備載體，研發(fā)設(shè)計(jì)配套的信息安全管理方案。

2.3 需要提升信息安全管理隊(duì)伍水平

目前各大高校于“互聯(lián)網(wǎng)+”改革時(shí)期建設(shè)了信息安全管理隊(duì)伍，滿足了當(dāng)時(shí)的高校信息網(wǎng)絡(luò)建設(shè)要求。但是新時(shí)期高校“統(tǒng)一戰(zhàn)線”平臺(tái)與行政機(jī)構(gòu)、企業(yè)、海內(nèi)外優(yōu)秀學(xué)者等組建的“統(tǒng)一戰(zhàn)略”平臺(tái)進(jìn)行了關(guān)聯(lián)，加上數(shù)據(jù)化時(shí)代的到來(lái)，對(duì)于信息安全管理的需求進(jìn)一步增加。此時(shí)，受到管理隊(duì)伍的人員結(jié)構(gòu)、安全教育、專(zhuān)業(yè)素養(yǎng)以及配套用人機(jī)制不夠完善等因素影響，信息安全管理隊(duì)伍整體水平仍需進(jìn)一步提升。例如，在信息安全管理方面的級(jí)別劃分沿用行政級(jí)別劃分方式，造成了專(zhuān)業(yè)人員與非專(zhuān)業(yè)人員的混雜，不僅拉低了隊(duì)伍水平，而且存在非專(zhuān)業(yè)人士管理專(zhuān)業(yè)人士的情況，容易出現(xiàn)“瞎指揮”的情況。

3 高校統(tǒng)一戰(zhàn)略信息安全管理方法創(chuàng)新措施

3.1 增強(qiáng)制度建設(shè)，健全信息安全管理體系

首先，應(yīng)該從信息安全管理的基本演進(jìn)歷程，突出數(shù)據(jù)化時(shí)代高校統(tǒng)一戰(zhàn)略信息安全管理中進(jìn)行制度建設(shè)的必要性。然后參照國(guó)際、國(guó)家的信息安全標(biāo)準(zhǔn)，運(yùn)用全要素分析方法梳理“實(shí)踐中漏掉了哪些安全管理要素”，采用查缺補(bǔ)漏的辦法進(jìn)行完善。同時(shí)，在安全認(rèn)證方面，應(yīng)該先從組織結(jié)構(gòu)上，劃分出應(yīng)用層的普通用戶、運(yùn)營(yíng)層的系統(tǒng)管理員、管理層的工作小組、決策層的領(lǐng)導(dǎo)小組，進(jìn)而保障整個(gè)信息安全認(rèn)證的級(jí)別（見(jiàn)圖2）。另外，在各級(jí)別中，應(yīng)該按照現(xiàn)行的信息安全體系規(guī)則、安全操作策略與規(guī)范化要求、安全風(fēng)險(xiǎn)管理、信息分級(jí)保護(hù)、安全事件響應(yīng)等，保障整個(gè)組織結(jié)構(gòu)發(fā)揮應(yīng)有的作用。除此之外，網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)病毒具有一定的突發(fā)性，為了預(yù)防此類(lèi)風(fēng)險(xiǎn)，應(yīng)該增加信息安全應(yīng)急響應(yīng)組，這樣有利于在風(fēng)險(xiǎn)發(fā)生的第一時(shí)間做出有效響應(yīng)。

圖2 高校統(tǒng)一戰(zhàn)略信息安全管理組織結(jié)構(gòu)示意

其次，需要在制度化建設(shè)方面，明確其中的體系化建設(shè)思路，利用制度化建設(shè)完善當(dāng)前的信息安全管理體系。具體而言，應(yīng)創(chuàng)建制度牽引、五項(xiàng)基本機(jī)制（評(píng)價(jià)、監(jiān)督、激勵(lì)、權(quán)責(zé)、協(xié)同機(jī)制）并行運(yùn)作的基本模式，確保整個(gè)體系的有效運(yùn)行。并在此基礎(chǔ)上，借助人力資源管理部門(mén)解決“組織內(nèi)部用戶是組織的最大敵人”的問(wèn)題，具體可以通過(guò)高校的信息安全文化建設(shè)加以實(shí)現(xiàn)，包括信息安全教育、信息安全管理、信息安全監(jiān)察等。尤其應(yīng)該在全校范圍內(nèi)利用當(dāng)前普遍應(yīng)用的學(xué)習(xí)機(jī)制，開(kāi)展相關(guān)專(zhuān)題的講座、培訓(xùn)等工作，同時(shí)下發(fā)關(guān)于數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)、信息資源安全操作手冊(cè)。

第三，考慮到高校統(tǒng)一戰(zhàn)略信息安全管理方案的模塊化發(fā)展，應(yīng)該在此基礎(chǔ)上，增設(shè)一項(xiàng)動(dòng)態(tài)管理?xiàng)l例，并將其具體到程序化操作方式上，有效落實(shí)高校信息安全方針。例如，借助“線上+線下”混合管理模式，實(shí)施關(guān)于信息安全管理現(xiàn)場(chǎng)數(shù)據(jù)采集，與數(shù)據(jù)中心數(shù)據(jù)監(jiān)測(cè)、數(shù)據(jù)分析、生成數(shù)據(jù)分析報(bào)告、應(yīng)用數(shù)據(jù)分析報(bào)告的基本流程等。尤其在安全意外報(bào)告方面，應(yīng)該設(shè)置簡(jiǎn)易化的流程，按照上報(bào)、核查、處理的“三步走”辦法，提升程序化操作效率。如此，也能夠?yàn)楦咝！敖y(tǒng)一戰(zhàn)線”平臺(tái)與其他組織的“統(tǒng)一戰(zhàn)線”平臺(tái)之間開(kāi)展協(xié)同管理奠定必要條件。

3.2 創(chuàng)新管理技術(shù)，擴(kuò)增信息安全管理效用

首先，建議按照現(xiàn)代經(jīng)濟(jì)學(xué)中的生產(chǎn)要素配置理論，依據(jù)我國(guó)高校統(tǒng)一戰(zhàn)略信息安全管理工作的開(kāi)展現(xiàn)狀，合理的劃分出初期建設(shè)階段、中期發(fā)展階段、高質(zhì)量發(fā)展階段，然后，按照初期場(chǎng)地要素主導(dǎo)配置、中期資本要素主導(dǎo)配置、高質(zhì)量時(shí)期技術(shù)要素主導(dǎo)配置的基本思路，增強(qiáng)對(duì)信息安全管理技術(shù)的創(chuàng)新，進(jìn)而利用該方面的技術(shù)創(chuàng)新與技術(shù)要素配置主導(dǎo)，優(yōu)化各項(xiàng)資源配置率，進(jìn)而達(dá)到擴(kuò)增信息安全管理效用的目標(biāo)。需要說(shuō)明的是，信息安全管理發(fā)展的三階段，與這里所說(shuō)的高校信息安全管理發(fā)展三階段，是不同角度下的階段劃分。前一種劃分主要依據(jù)信息安全的發(fā)展，后一種劃分側(cè)重于要素配置理論。

其次，針對(duì)數(shù)據(jù)中心的信息安全管理，應(yīng)該按照當(dāng)前普遍使用的運(yùn)用控制對(duì)策，通過(guò)增設(shè)認(rèn)證服務(wù)器、策略服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器的辦法，結(jié)合“加密文檔打開(kāi)操作—操作用信息和加密目標(biāo)文件唯一標(biāo)識(shí)—操作用戶身份確認(rèn)—用戶操作文件權(quán)限策略—加密文檔解密受控打開(kāi)”五項(xiàng)基本管理技術(shù)，保障整個(gè)用戶端與PC端的信息安全操作（見(jiàn)圖3）?；蛘呃卯?dāng)前普遍應(yīng)用的安全隔離技術(shù)，將內(nèi)網(wǎng)與外網(wǎng)進(jìn)行隔離方式下的數(shù)據(jù)連接。至于虛擬數(shù)據(jù)中心的信息安全管理，建議根據(jù)大數(shù)據(jù)技術(shù)、云計(jì)算技術(shù)的具體應(yīng)用情況研發(fā)設(shè)計(jì)配套的安全設(shè)計(jì)方案。

圖3 信息安全管理對(duì)策—運(yùn)用控制

3.3 培育專(zhuān)業(yè)人才，優(yōu)化信息安全管理隊(duì)伍

首先，通過(guò)制度化建設(shè)可以改變現(xiàn)階段的信息安全管理隊(duì)伍的組織結(jié)構(gòu)、組織方式，而且有利于將外部響應(yīng)系統(tǒng)與內(nèi)部的安全管理系統(tǒng)結(jié)合起來(lái)，發(fā)揮出不同崗位上的人力資源優(yōu)勢(shì)。因此建議按照基本的“外部響應(yīng)系統(tǒng)—信息安全管理系統(tǒng)—內(nèi)部控制系統(tǒng)”中的各項(xiàng)職能需求合理的配置各項(xiàng)人才。例如，在外部響應(yīng)系統(tǒng)中，重點(diǎn)放在外部協(xié)同上，此時(shí)應(yīng)該按照自身系統(tǒng)維護(hù)管理、用戶管理、知識(shí)管理、安全知識(shí)庫(kù)管理等，合理安排各項(xiàng)人員。再如，在信息安全管理系統(tǒng)方面，應(yīng)該按照內(nèi)部控制系統(tǒng)中的安全評(píng)估中心、網(wǎng)管中心、事件流量控制中心等，劃分出若干管理職能，合理配置各項(xiàng)人才。

其次，近年來(lái)經(jīng)過(guò)對(duì)“統(tǒng)一戰(zhàn)線”思想的有效運(yùn)用，不僅國(guó)內(nèi)“統(tǒng)一戰(zhàn)線”平臺(tái)在各類(lèi)組織機(jī)構(gòu)中獲得了有效的建設(shè)，同時(shí)在海內(nèi)外優(yōu)秀學(xué)者方面也組建了“統(tǒng)一戰(zhàn)線”平臺(tái)。因此，高校應(yīng)該進(jìn)一步結(jié)合“統(tǒng)一戰(zhàn)線”思想，從意識(shí)形態(tài)層面對(duì)高校信息安全管理人員的安全意識(shí)進(jìn)行深化，結(jié)合網(wǎng)絡(luò)化的信息安全保護(hù)宣傳，使高校信息安全管理人員將這種安全管理認(rèn)知傳播到海內(nèi)外優(yōu)秀學(xué)者中，進(jìn)而借助高校人力資源優(yōu)勢(shì)，為全面實(shí)施信息安全管理做出有力支持等。

4 結(jié)束語(yǔ)

總之，綜合上述模式構(gòu)建一套融合了可復(fù)制、可拓展、可持續(xù)發(fā)展特征的信息安全管理基礎(chǔ)架構(gòu)十分必要。通過(guò)以上初步分析可以看出，目前高校網(wǎng)絡(luò)安全管理需求較多，因此有必要利用戰(zhàn)略思維，創(chuàng)建戰(zhàn)略導(dǎo)向型的信息安全管理體系，通過(guò)安全技術(shù)創(chuàng)新擴(kuò)增信息安全管理效用。尤其是高校統(tǒng)一戰(zhàn)略信息安全管理中離不開(kāi)管理主體的創(chuàng)新與發(fā)明，以及專(zhuān)業(yè)化實(shí)踐。所以，應(yīng)該配套利用高校優(yōu)勢(shì)較大的人力資源管理辦法，建設(shè)綜合素質(zhì)全面的新型信息及安全管理隊(duì)伍。