淺談構建基于ISMS的學校信息安全管理體系

方彬人+謝嵩嵐

根據(jù)《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》提出的“三通兩平臺”建設核心目標，目前教育信息化已經(jīng)進入了一個高速發(fā)展時期，教育信息化日益被普及推廣，對教育的改革和發(fā)展起到了重要推動作用。

一、學校信息化建設現(xiàn)狀分析

現(xiàn)階段各高校及中小學都基本普及了校園網(wǎng)絡，其中大部分也已開始進行信息系統(tǒng)的建設，以校園一卡通系統(tǒng)、校園安全監(jiān)控系統(tǒng)、科研管理數(shù)據(jù)庫等為主。 還有一部分開始推行普及整個校園的身份認證系統(tǒng)，提供賬號支持師生設備上網(wǎng)。學校的教學和管理工作對信息系統(tǒng)的依賴性也越來越強。

隨著網(wǎng)絡規(guī)模的不斷擴大以及對信息系統(tǒng)建設的深入和完善，數(shù)據(jù)大量產(chǎn)生并持續(xù)快速增長，信息系統(tǒng)數(shù)據(jù)庫的規(guī)模也在不斷擴大，隨著其承載的信息量的不斷增加，這些信息的安全性也就凸顯出來，系統(tǒng)保護和數(shù)據(jù)防災就變得愈發(fā)重要。

二、威脅學校信息系統(tǒng)數(shù)據(jù)安全的因素

網(wǎng)絡故障、病毒侵害、非法訪問、軟件設計缺陷、數(shù)據(jù)庫破壞、拒絕服務攻擊、系統(tǒng)物理故障、使用人員人為失誤、信息泄密、自然災害等，都可對系統(tǒng)數(shù)據(jù)可用性、完整性和保密性的進行破壞，從而對信息系統(tǒng)構成威脅，由此而造成的安全后果是難以估量的。

三、學校信息安全管理體系的構建

學校信息系統(tǒng)應用是多方面的，一旦投入使用，就會產(chǎn)生大量的數(shù)據(jù)，面對來自多方面的威脅，稍有不慎就會造成災難性后果。所以，建立完善的信息安全管理體系，即Information Security Management System（簡稱ISMS），勢在必行。

1. 構建學校ISMS的方法和目的

針對信息安全在不同網(wǎng)絡層次上（物理層、網(wǎng)絡層、數(shù)據(jù)鏈路層、應用層、用戶終端層等）的需要，參照國際標準ISO/IEC27001信息安全管理體系（ISMS），明確信息安全的方針和目標，建立完整的信息安全管理制度和流程，制定完善的安全策略，強化安全技術的應用，采取行之有效的安全防范措施，保證信息系統(tǒng)的安全穩(wěn)定運行。

2. 安全策略與防范措施

（1）強化安全技術

從安全技術實施上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結果，完善安全策略，制定防范措施和完整的解決方案。

采用冗余技術 。學校信息網(wǎng)絡是運行整個學校業(yè)務系統(tǒng)的基礎，更是數(shù)據(jù)處理及轉發(fā)中心，首先需要通過增加設備及鏈路的冗余來提高其可靠性，包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。

部署網(wǎng)絡安全設備。在Internet出口處部署主動入侵防御設備（IPS）及流控設備，開啟實時防御和安全過濾，優(yōu)化網(wǎng)絡帶寬，構建可視、可控、高效的網(wǎng)絡。通過防火墻與IPS的緊密配合，抵御來自校園網(wǎng)內外的各種惡意攻擊和病毒傳播，確保校園核心業(yè)務和核心資源的安全，真正實現(xiàn)校園網(wǎng)絡與應用的安全保障。

加強用戶終端管理。制定統(tǒng)一且便于管理的終端管理方案，強制準入制度，對特定區(qū)域、數(shù)據(jù)及設備設定訪問權限，保證整個網(wǎng)絡的安全性和可管理性。根據(jù)物理位置、功能區(qū)域、業(yè)務應用或者管理策略等劃分VLAN，對需要接入網(wǎng)絡的用戶與設備進行實名認證，并保證用戶帳號的唯一性。同時，部署上網(wǎng)行為管理設備，對校內終端用戶的網(wǎng)上行為進行有效監(jiān)管，降低因終端用戶的違法網(wǎng)絡行為帶來的安全及法規(guī)風險。

強化數(shù)據(jù)安全。建立統(tǒng)一的數(shù)據(jù)存儲中心，增加負載均衡設備及同步磁盤陣列，提高數(shù)據(jù)庫服務器業(yè)務連續(xù)性及應用服務器負載能力，并針對整個信息系統(tǒng)進行統(tǒng)一定時的D2D2T備份，并結合重復數(shù)據(jù)刪除等技術，提高數(shù)據(jù)備份效率和數(shù)據(jù)保留周期。

（2）完善安全管理制度

建立信息安全體系與實行保護措施，只是邁出了ISMS建設的第一步，更重要的是，通過規(guī)范信息安全體系建設，形成科學完善的安全保障制度及長效的保障機制，明確職責與管理責任，制定應急預案，加強安全培訓，定期進行信息安全查驗及應急演練，做到對安全隱患及時發(fā)現(xiàn)、及時消除，以持續(xù)有效的、全方位地保證校園信息網(wǎng)絡的安全。

安全只是相對的，沒有哪一種技術和產(chǎn)品能夠完全解決安全問題。學校的信息安全保障，需要建立一整套網(wǎng)絡安全防御體系，并采用多種技術手段全方位的防止來自網(wǎng)絡內外的威脅。隨著數(shù)據(jù)量急劇膨脹，學校要根據(jù)自身網(wǎng)絡的實際情況確定安全管理等級和安全管理范圍，系統(tǒng)的進行安全規(guī)劃，制訂相關操作使用規(guī)程、管理制度和應急措施等，建立適合自身的網(wǎng)絡安全管理策略，并嚴格遵循這些策略，通過技術防治和管理防范相結合，才能最終達到保護學校信息安全的。

責任編輯 龍建剛