TA的每日心情 | 奋斗 2014-7-10 15:10 |
---|
签到天数: 73 天 [LV.6]常住居民II
|
从调研显示,目前我国高校网络系统存在许多安全问题,如:非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等,产生这些安全问题的原因在于:没有建立完善的网络系统安全体系;没有建立相应的安全组织、管理、技术机构;没有建立完备的网络系统安全措施。 本文从高校信息系统的需求出发,遵从风险管理的理念,在信息化战略规划的基础上,借鉴国际最佳实践经验,研究并实施高校信息化安全管理体系,为高校信息安全管理工作提供借鉴和参考。
/ c. W3 b' L" I. t' p 规划信息化安全管理体系
" f% t" H+ W. d 分层次建立安全管理制度和手段5 M# Y% |5 |- O
信息化安全管理体系规划是高校安全体系建立的第一步,目的是识别安全问题,明确安全管理的范围和内容,建立安全管理的组织管理机制,从管理和技术两个角度,分层次规划各环节的安全管理制度和技术防范手段,形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤:
1 H4 `) G: N, w0 q8 [6 ? 1. 建立安全管理组织:安全管理组织的成员由机构的战略影响者组成,包括来自行政、IT、业务、安全、保卫、风险和规划部门的人员。
: ^" N9 f8 U: O i 2. 识别保护对象:识别学校目前的关注点、面临的风险及威胁,分析它们存在的原因,将分析结果纳入安全管理体系的规划中重点考虑。9 B" X. f$ W& u
3. 评估现有措施:了解学校目前的安全管理措施并评估它们的效力。2 Y* C% C* @; T" A8 f
4. 考虑长期需要:安全整体规划应考虑长期的需要,具有一定的前瞻性,如长期的制度适应性、设备老化、安全人员的发展需要等。
, C4 v- `" l; C# _" Q7 e 5. 纳入学校的建设规划:了解学校新建项目,如办公楼、教学楼、停车场等项目,是否会影响现有的物理安全规划,如有影响,将安全规划纳入学校建设规划中通盘考虑。# y$ ^: o3 p" F
6. 建立安全工作机制:形成文件化的制度体系和工作条例,明确各岗位的责任、应提供的服务和交付物,这些将有助于确保工作的落实和运作效率。
1 G8 N. w1 j' d/ H 7. 应对新老技术的混合:新技术的规划应考虑对老技术的冲击,新老技术的融合运用将是一个挑战。
$ r* I% ?7 I1 P7 ] 8. 关键设施重点布局:关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合,这些设施的安全尤为重要,风险也最为突出。! G- {2 Y; L A. w8 n% o, I
体系框架的内容$ a1 M3 Q* h z! S% k
上述的规划步骤从组织、管理和技术三方面较全面地考虑高校信息化安全管理的具体问题,有助于形成完整有效的信息化安全管理体系。图1是高校信息化安全管理体系整体框架,其中包括安全组织体系、安全管理体系和安全技术体系。
' i6 H* A2 d2 h I; u6 |7 t 图1 高校信息化安全管理体系
8 X/ E" g2 c, }; F# F* |6 V9 d* s! W 1. 安全组织体系
% g7 i2 m+ Z% {* K5 l0 ? 它是确保信息安全工作贯彻和落实的基石,基本框架应包含决策、管理、运营和应用4个层次。决策层负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等;管理层负责信息化安全管理体系的实施、安全管理工作机制的研究制订、安全管理制度的贯彻和执行、日常安全管理的组织协调等;运营层具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护;应用层即普通用户,职责包括严格按照系统操作手册正确使用信息系统,不得进行可能危害信息系统安全的操作,不得发布恶意信息等。# ]* b$ `) M+ D4 g
2. 安全管理体系1 r1 L4 K) S+ L4 ^+ Q
它是整个安全管理体系有效运作和持续改进的保障,应在实践中逐步实现规章制度的文件化、工作机制的程序化和监控手段的系统化,基本框架具体包括安全制度的建立、建设与运营工作条例的建立、应急响应机制的建立、审计与评审机制的建立、安全教育与培训。
$ k" \! h6 l# ] 3. 安全技术体系
- D& M8 T' W( @$ `5 Q0 B 该体系有力保障信息资源和应用系统免受外部攻击,基本框架由网络层安全技术、系统层安全技术和应用层安全技术构成。网络层安全技术包括防火墙、病毒防范、入侵检测、VPN等;系统层安全技术包括数据备份与恢复、数据库安全审计、应用系统监控、身份认证等;应用层安全技术包括权限管理、信息加密、桌面系统等。
% U4 s6 K* E$ m1 [# f' L H4 P 信息化安全管理体系整改% e+ h$ E% i% f4 ~
上海财经大学经过多年的信息化建设,包括教学、学生、办公自动化、招生、人事、财务、公共数据平台、校园一卡通等一大批信息系统得到应用。随着应用的深化,系统中积累大量的业务数据和工作成果,这些信息对学校目前的管理乃至今后的发展都至关重要,因此,信息的安全问题也成为信息化工作的焦点。2009年起,在认真分析学校信息安全管理和技术两方面的问题和原因的基础上,学校从组织、管理、技术三方面入手进行一系列的整改,截至目前,已形成较为完善的组织体系、管理体系和技术体系。6 B: L6 \: q: u7 G5 ^2 t$ ]
完善信息安全管理的组织结构
! N- M0 K: d/ Q" `7 N |9 p- M6 k 2009年,学校对信息安全管理的组织结构进行重新梳理,形成包含决策、管理、维护和应用4 个层次在内的较为完善的网络信息系统安全管理组织机构,工作职责更加明确。上海财经大学网络信息系统安全管理组织机构如图2。
6 e* m- Y6 t; v1 @+ R 图2 上海财经大学网络信息系统安全管理组织机构
+ L4 d+ p: r' \, r! i9 p$ `" k1 a( K( K4 w0 U# M
|
|