在高校信息化應(yīng)用日益深化的今天�����,信息和資源的整合日益密切�����,如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行��,確保信息安全是亟待解決的關(guān)鍵問題����。從調(diào)研顯示,目前我國高校網(wǎng)絡(luò)系統(tǒng)存在許多安全問題��,如:非授權(quán)訪問、破壞數(shù)據(jù)完整性����、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等,產(chǎn)生這些安全問題的原因在于:沒有建立完善的網(wǎng)絡(luò)系統(tǒng)安全體系;沒有建立相應(yīng)的安全組織��、管理���、技術(shù)機(jī)構(gòu);沒有建立完備的網(wǎng)絡(luò)系統(tǒng)安全措施�����。
本文從高校信息系統(tǒng)的需求出發(fā)����,遵從風(fēng)險管理的理念��,在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上����,借鑒國際最佳實(shí)踐經(jīng)驗(yàn),研究并實(shí)施高校信息化安全管理體系��,為高校信息安全管理工作提供借鑒和參考�����。
規(guī)劃信息化安全管理體系
分層次建立安全管理制度和手段
信息化安全管理體系規(guī)劃是高校安全體系建立的第一步���,目的是識別安全問題�����,明確安全管理的范圍和內(nèi)容�����,建立安全管理的組織管理機(jī)制��,從管理和技術(shù)兩個角度�����,分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段��,形成完整��、可行的信息化安全管理體系�����。我們將高校信息化安全管理規(guī)劃過程歸納為以下8個步驟:
1. 建立安全管理組織:安全管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成�����,包括來自行政�����、IT��、業(yè)務(wù)����、安全、保衛(wèi)���、風(fēng)險和規(guī)劃部門的人員��。
2. 識別保護(hù)對象:識別學(xué)校目前的關(guān)注點(diǎn)��、面臨的風(fēng)險及威脅����,分析它們存在的原因,將分析結(jié)果納入安全管理體系的規(guī)劃中重點(diǎn)考慮���。
3. 評估現(xiàn)有措施:了解學(xué)校目前的安全管理措施并評估它們的效力�����。
4. 考慮長期需要:安全整體規(guī)劃應(yīng)考慮長期的需要,具有一定的前瞻性���,如長期的制度適應(yīng)性�、設(shè)備老化�、安全人員的發(fā)展需要等。
5. 納入學(xué)校的建設(shè)規(guī)劃:了解學(xué)校新建項(xiàng)目�����,如辦公樓���、教學(xué)樓��、停車場等項(xiàng)目��,是否會影響現(xiàn)有的物理安全規(guī)劃���,如有影響�����,將安全規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤考慮����。
6. 建立安全工作機(jī)制:形成文件化的制度體系和工作條例��,明確各崗位的責(zé)任�����、應(yīng)提供的服務(wù)和交付物���,這些將有助于確保工作的落實(shí)和運(yùn)作效率�����。
7. 應(yīng)對新老技術(shù)的混合:新技術(shù)的規(guī)劃應(yīng)考慮對老技術(shù)的沖擊����,新老技術(shù)的融合運(yùn)用將是一個挑戰(zhàn)�。
8. 關(guān)鍵設(shè)施重點(diǎn)布局:關(guān)鍵設(shè)施指校園中那些需要連續(xù)��、可靠運(yùn)行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合����,這些設(shè)施的安全尤為重要����,風(fēng)險也最為突出。
體系框架的內(nèi)容
上述的規(guī)劃步驟從組織�����、管理和技術(shù)三方面較全面地考慮高校信息化安全管理的具體問題��,有助于形成完整有效的信息化安全管理體系��。圖1是高校信息化安全管理體系整體框架�����,其中包括安全組織體系�、安全管理體系和安全技術(shù)體系�����。
圖1 高校信息化安全管理體系
1. 安全組織體系
它是確保信息安全工作貫徹和落實(shí)的基石,基本框架應(yīng)包含決策����、管理、運(yùn)營和應(yīng)用4個層次�����。決策層負(fù)責(zé)信息化安全管理體系的規(guī)劃����、管理制度的審定及重大事項(xiàng)的決策等;管理層負(fù)責(zé)信息化安全管理體系的實(shí)施、安全管理工作機(jī)制的研究制訂�����、安全管理制度的貫徹和執(zhí)行���、日常安全管理的組織協(xié)調(diào)等;運(yùn)營層具體負(fù)責(zé)機(jī)房�����、網(wǎng)絡(luò)和服務(wù)器���、數(shù)據(jù)庫����、信息系統(tǒng)的安全管理和維護(hù);應(yīng)用層即普通用戶��,職責(zé)包括嚴(yán)格按照系統(tǒng)操作手冊正確使用信息系統(tǒng)��,不得進(jìn)行可能危害信息系統(tǒng)安全的操作�,不得發(fā)布惡意信息等。
2. 安全管理體系
它是整個安全管理體系有效運(yùn)作和持續(xù)改進(jìn)的保障���,應(yīng)在實(shí)踐中逐步實(shí)現(xiàn)規(guī)章制度的文件化��、工作機(jī)制的程序化和監(jiān)控手段的系統(tǒng)化,基本框架具體包括安全制度的建立�����、建設(shè)與運(yùn)營工作條例的建立�����、應(yīng)急響應(yīng)機(jī)制的建立�、審計與評審機(jī)制的建立、安全教育與培訓(xùn)�����。
3. 安全技術(shù)體系
該體系有力保障信息資源和應(yīng)用系統(tǒng)免受外部攻擊,基本框架由網(wǎng)絡(luò)層安全技術(shù)����、系統(tǒng)層安全技術(shù)和應(yīng)用層安全技術(shù)構(gòu)成。網(wǎng)絡(luò)層安全技術(shù)包括防火墻��、病毒防范�、入侵檢測、VPN等;系統(tǒng)層安全技術(shù)包括數(shù)據(jù)備份與恢復(fù)�、數(shù)據(jù)庫安全審計、應(yīng)用系統(tǒng)監(jiān)控���、身份認(rèn)證等;應(yīng)用層安全技術(shù)包括權(quán)限管理����、信息加密��、桌面系統(tǒng)等����。
信息化安全管理體系整改
上海財經(jīng)大學(xué)經(jīng)過多年的信息化建設(shè),包括教學(xué)�、學(xué)生��、辦公自動化���、招生、人事���、財務(wù)�、公共數(shù)據(jù)平臺�����、校園一卡通等一大批信息系統(tǒng)得到應(yīng)用�。隨著應(yīng)用的深化,系統(tǒng)中積累大量的業(yè)務(wù)數(shù)據(jù)和工作成果���,這些信息對學(xué)校目前的管理乃至今后的發(fā)展都至關(guān)重要,因此��,信息的安全問題也成為信息化工作的焦點(diǎn)�����。2009年起�,在認(rèn)真分析學(xué)校信息安全管理和技術(shù)兩方面的問題和原因的基礎(chǔ)上�����,學(xué)校從組織��、管理��、技術(shù)三方面入手進(jìn)行一系列的整改�,截至目前�����,已形成較為完善的組織體系��、管理體系和技術(shù)體系��。
完善信息安全管理的組織結(jié)構(gòu)
2009年�����,學(xué)校對信息安全管理的組織結(jié)構(gòu)進(jìn)行重新梳理��,形成包含決策�、管理、維護(hù)和應(yīng)用4 個層次在內(nèi)的較為完善的網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)���,工作職責(zé)更加明確�����。上海財經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)如圖2���。
?
圖2 財經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)
1. 決策層:在信息化領(lǐng)導(dǎo)小組的職能中明確信息系統(tǒng)的安全管理職能�,由信息化領(lǐng)導(dǎo)小組統(tǒng)一規(guī)劃�����、部署和統(tǒng)籌資源��。
淺談食品安全的重要性
