2. 管理層:組建安全工作小組作為信息化安全工作的執(zhí)行機構����,工作小組由信息化相關部門領導及專業(yè)技術人員和部分管理人員組成。
3. 運營層:完善系統(tǒng)運營各崗位人員的工作職責��,包括機房管理員��、網(wǎng)絡及服務器管理員����、數(shù)據(jù)庫管理員和信息系統(tǒng)管理員��。
4. 應用層:進一步明確應用層各院系��、部門及用戶的安全責任���,與各院系���、部門簽訂安全責任書,同時明確各院系�、部門信息員的日常信息安全工作職責,使其成為信息安全工作的基礎支持隊伍����。
形成文件化的信息安全整體策略
早在2008年���,學校就著手組織制定《上海財經(jīng)大學信息系統(tǒng)安全管理辦法》、《上海財經(jīng)大學信息系統(tǒng)建設管理辦法》和《上海財經(jīng)大學信息系統(tǒng)運行維護管理辦法》����,從場地與設施安全管理、設備安全管理����、系統(tǒng)安全管理、信息安全管理����、建設安全管理、運行維護安全管理和技術文檔安全管理7 個方面詳細制定安全管理規(guī)定��,并明確系統(tǒng)建設和系統(tǒng)運維過程中相關人員的工作流程和操作規(guī)范���,為全校的信息系統(tǒng)安全管理提供依據(jù)�����。
2009年至2010年����,針對信息安全問題突發(fā)性強的特點,為建立健全應急工作機制�,提高信息系統(tǒng)安全突發(fā)事件的組織指揮和應急處置能力,最大限度地減輕突發(fā)事件造成的損失���,學校完成《上海財經(jīng)大學信息系統(tǒng)安全應急預案》的制定��,并在IT部門建立起突發(fā)事件應急響應工作機制�。與此同時��,為加強日常防控來減少突發(fā)事件的發(fā)生���,學校IT部門制定《運行維護工作條例》對硬件維護、操作系統(tǒng)維護���、數(shù)據(jù)庫維護和應用系統(tǒng)維護的各個環(huán)節(jié)的工作流程和操作規(guī)程進行更加詳細的規(guī)定����,并在工作中增加安全監(jiān)控����、安全檢測、安全策略優(yōu)化、安全審計等環(huán)節(jié)加強對信息系統(tǒng)的安全防護��。
2010年初��,為明確和建立學校的信息安全策略�,為各部門制定操作規(guī)范和開展安全工作提供指導,學校制定《上海財經(jīng)大學網(wǎng)絡信息系統(tǒng)安全管理整體方案》�����,從信息安全組織體系���、管理體系和技術體系3個層次�����,詳細描述管理策略以及技術手段��。該方案的出臺極大地推動IT部門管理制度的完善和技術改進����,同時也促進各院系����、部門內(nèi)部安全管理的強化和人員安全意識的提高�����。
強化安全管理
信息安全是一項長期的工作�,必須將其納入信息系統(tǒng)的日常管理中常抓不懈��,防患于未然�����。信息系統(tǒng)質量的內(nèi)涵�,除了系統(tǒng)功能和性能滿足業(yè)務要求外,與信息系統(tǒng)安全有關的系統(tǒng)安全性����、可靠性���、可用性也是系統(tǒng)質量控制的范疇��。主要采取的管理措施如下:
1. 增加建設過程中的評審環(huán)節(jié)
在項目設計����、開發(fā)階段成果接近完成時���,由項目組會同相關業(yè)務部門共同組織技術評審���,包括對系統(tǒng)安全性的審查����。評審以項目前期形成的方案�、文檔及學校的相關標準和規(guī)范為依據(jù),對該階段形成的方案�、技術文檔及系統(tǒng)進行審查、確認等工作����,并形成評審結論。
2. 進行內(nèi)部測試和第三方測試
在項目驗收前�����,除了由項目內(nèi)部和業(yè)務部門參與的集成測試外���,聘請專業(yè)的第三方測試機構進行測試�。
3. 安全檢測與審計雙管齊下�,全方位監(jiān)控安全事件
對應用系統(tǒng)和服務器進行每三個月一次的定期安全檢測,有效消除潛在的安全隱患;定期進行應用系統(tǒng)的安全審計��、數(shù)據(jù)庫的安全審計、服務器的安全審計����、配置管理的安全審計等,避免越權操作及數(shù)據(jù)泄漏事件的發(fā)生��。
4. 建立突發(fā)事件應急響應機制
基于《上海財經(jīng)大學信息安全應急預案》�����,建立突發(fā)事件的應急響應機制����,落實信息系統(tǒng)的服務級別管理,實行應急預案演練制度����,建立預案庫,在突發(fā)事件發(fā)生后形成處置報告�����,分析原因��,改進工作�。
5. 加強安全意識宣傳與教育
我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動,包括組織面向學生和教師的信息安全知識競賽活動��,開展信息安全意識培訓等�����,提高人員的安全防范意識����,發(fā)揮人在信息安全對策中的主體作用。
加強技術防范��,構筑安全堡壘
系統(tǒng)的日常建設與運行管理中����,我們通過構建自動化防控系統(tǒng)來加強系統(tǒng)的安全防范,為應用系統(tǒng)和用戶構筑起堅實的安全堡壘�����,具體措施包括:
1. 搭建版本控制系統(tǒng)�����,確保開發(fā)中源代碼的安全
在程序開發(fā)的過程中�����,需要多人同時參加和協(xié)作,通過搭建版本控制系統(tǒng)�����,記錄系統(tǒng)建設過程中相關文檔和源代碼的變更過程���,防止代碼意外丟失�����、被覆蓋等情況的出現(xiàn)����。
2. 構建三套獨立環(huán)境��,保證正式環(huán)境安全
將系統(tǒng)開發(fā)環(huán)境�、系統(tǒng)測試環(huán)境和正式系統(tǒng)進行分離,確保開發(fā)階段和測試階段的工作不影響正式系統(tǒng)的使用���。
3. 建立備份與恢復機制,保護系統(tǒng)建設成果
建立本地及異地數(shù)據(jù)備份及恢復規(guī)范及方案�,研發(fā)數(shù)據(jù)統(tǒng)一管理與備份的相關程序���,對系統(tǒng)建設過程中的成果進行及時備份,防止因為誤操作或機器故障導致數(shù)據(jù)丟失���,切實保證數(shù)據(jù)的安全�。
4. 防火墻與入侵監(jiān)測���,構筑網(wǎng)絡屏障
在Internet和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務器之間架設兩層防火墻���,防止校內(nèi)外用戶對服務器的攻擊;部署網(wǎng)絡分析系統(tǒng),實時監(jiān)控網(wǎng)絡流量�、網(wǎng)絡攻擊和病毒傳播,為網(wǎng)絡安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問關鍵信息系統(tǒng)���,用戶需要通過VPN加密鏈路才能實現(xiàn)從校外訪問關鍵信息系統(tǒng)�。
5. 漏洞掃描與日志分析����,促進應用安全的不斷提升
在應用系統(tǒng)層,我們采用系統(tǒng)日志分析平臺對應用進行日志分析�,捕捉和定位異常事件;定期對應用服務執(zhí)行漏洞掃描,對出現(xiàn)的SQL注入、跨站腳本攻擊����、網(wǎng)頁非法篡改、強制訪問等系統(tǒng)安全風險及時進行分析和整改�。
6. 主動式監(jiān)控及時追蹤問題
自主完成服務器軟硬件運行狀態(tài)監(jiān)控系統(tǒng)的開發(fā),實現(xiàn)對服務器運行狀態(tài)及各信息系統(tǒng)狀態(tài)進行主動監(jiān)聽和預警;建立統(tǒng)一日志服務器���,對所有系統(tǒng)的日志進行集中管理和備份���,確保問題發(fā)生時通過日志進行定位和追蹤。
所謂“三分技術�,七分管理”,信息化安全管理問題需要從管理和技術兩方面考慮和解決���,依靠有效的組織保障�����、規(guī)范的管理流程����、安全可靠的系統(tǒng)工具及技術的支撐���,才能達到“以較小的代價利用有限資源控制安全風險”的目標���,更好地保證信息化建設和應用的成果。
中學內(nèi)部安全保衛(wèi)方案
