基于有效性評估的高校信息安全管理制度研究

劉明月

（中央財經(jīng)大學(xué)網(wǎng)絡(luò)信息中心, 北京 100081）

1 引言

信息技術(shù)是把雙刃劍，人們在享用技術(shù)快速發(fā)展所帶來的方便時，也感受到網(wǎng)絡(luò)生態(tài)環(huán)境越來越錯綜復(fù)雜。隨著網(wǎng)絡(luò)空間進入以網(wǎng)絡(luò)擴軍熱為代表的“后黑客時代”, 有組織的網(wǎng)絡(luò)犯罪持續(xù)升高，信息系統(tǒng)頻繁遭受攻擊，教育行業(yè)首當(dāng)其沖。據(jù)統(tǒng)計，自2014年1月至2018年5月，某反動黑客組織共攻擊我國網(wǎng)站537個，其中教育行業(yè)的網(wǎng)站有149個，占被攻擊網(wǎng)站總數(shù)的28%。

在內(nèi)外交迫的網(wǎng)絡(luò)安全形勢下，國家頒布了《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全上升到法律高度。高校作為培養(yǎng)天之驕子的重要場所，具有很強的社會影響力，因此高校的網(wǎng)絡(luò)安全是網(wǎng)絡(luò)信息安全的重要組成部分。而經(jīng)工作實踐發(fā)現(xiàn)，在高校多年的信息化發(fā)展中，絕大多數(shù)未能從頂層設(shè)計上做到信息化建設(shè)和安全建設(shè)“同步規(guī)劃、同步進行”，因此出現(xiàn)信息系統(tǒng)管理混亂，安全漏洞管理流程缺失，問責(zé)機制不規(guī)范，等級保護難以開展等問題，其根源在于從業(yè)人員對高校信息化工作中的安全內(nèi)容無意識，也沒有有章可循的安全工作規(guī)范可供參考，因此開發(fā)有效的、成體系的信息安全管理制度尤為重要。

2 高校信息安全制度體系設(shè)計

本研究以國家《網(wǎng)絡(luò)安全法》《關(guān)于加強信息安全保障工作的意見》（中辦〔2003〕27號文件）、《信息安全等級保護管理辦法》（公通字〔2007〕43 號）等政策文件要求，結(jié)合高校信息安全工作的特點，按照監(jiān)督制約、規(guī)范化、持續(xù)改進等原則，試圖對高校信息安全制度體系進行設(shè)計

首先對高校信息安全總體目標進行設(shè)定，也就是說履行此制度期望達到的目標。總體目標為：依照高等院校相關(guān)信息系統(tǒng)的實際情況，結(jié)合國內(nèi)外的安全標準和規(guī)范，充分利用成熟的信息安全理論成果，設(shè)計整體性好、可操作性強，并集合組織、管理和技術(shù)為一體的設(shè)計方案，滿足信息系統(tǒng)安全等級保護基本要求。

為實現(xiàn)總體目標，結(jié)合安全控制的五要素，形成覆蓋安全策略體系、安全管理體系、安全技術(shù)體系、安全風(fēng)險評估、安全培訓(xùn)的高校信息安全制度保障體系框架，如圖1所示。

圖1 高校信息安全制度保障體系框架

具體來說，安全策略體系是指導(dǎo)高校在進行信息系統(tǒng)安全設(shè)計、建設(shè)和維護的基礎(chǔ)。所有相關(guān)人員應(yīng)根據(jù)工作實際情況履行相關(guān)安全策略，制定并遵守相應(yīng)的安全標準、流程和安全制度實施細則，做好相關(guān)工作。

安全管理體系是指落實安全管理機構(gòu)和人員安全管理等方面的相關(guān)要求，指導(dǎo)高校安全職能的落實、崗位設(shè)置和相關(guān)人員的安全管理。

安全技術(shù)體系是指實現(xiàn)安全技術(shù)相關(guān)控制要求，實現(xiàn)物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)的所有安全控制項。通常采用安全產(chǎn)品加以實現(xiàn)，輔助安全服務(wù)以增強安全控制能力。

安全風(fēng)險評估是指信息系統(tǒng)網(wǎng)絡(luò)、主機操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)的綜合風(fēng)險評估，全面、準確地了解其安全整體狀況，并通過加強安全風(fēng)險防護為信息系統(tǒng)提供安全保障。

安全培訓(xùn)是指切實發(fā)揮信息安全建設(shè)的成果對業(yè)務(wù)安全運營的推動作用，提升高校信息化工作人員在安全方面的技術(shù)水平和管理意識。通過組織相應(yīng)的安全培訓(xùn)，全面提高每個技術(shù)崗位的安全意識和能力。

3 高校信息安全制度內(nèi)容建設(shè)

高校信息安全制度框架為基礎(chǔ)，結(jié)合等級保護的相關(guān)要求，細化和完善高校信息安全工作內(nèi)容，為組織和制度管理、人員管理、信息系統(tǒng)管理、物理環(huán)境和資產(chǎn)、計算機機房管理、介質(zhì)管理等方面做出進一步規(guī)定。

首先，必須定義組織和制度管理，高校需要從領(lǐng)導(dǎo)層面成立信息安全領(lǐng)導(dǎo)小組。通過組織和實施國家信息安全相關(guān)政策、法規(guī)和標準要求，審查和制定學(xué)校信息安全的發(fā)展戰(zhàn)略、規(guī)劃、政策和管理制度，制定《信息安全組織和職責(zé)管理規(guī)定》；規(guī)范信息安全管理制度制定、出版、審查和修訂的管理要求，并符合國家法律、政策和規(guī)范的要求，確保信息安全管理制度的不斷完善，制定《信息安全管理制度管理條例》。

其次，對內(nèi)外部人員進行規(guī)范化管理。注意高校信息化內(nèi)部人員在錄用前、工作時期、調(diào)離崗各階段的安全管理。確保對信息化內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的安全性檢查，要求信息安全人員簽署保密協(xié)議，制定《內(nèi)部人事安全管理規(guī)定》。 加強對外來人員的安全管理，防范外部人員帶來的安全隱患，嚴格規(guī)范外來人員在參與高校信息系統(tǒng)相關(guān)活動必須遵守的行為準則，制定《外部人員信息安全管理規(guī)定》；同時，高校定期組織開展員工信息安全教育或培訓(xùn)，以提高所有員工的信息安全意識，并確保在必要時貫徹落實信息安全目標和策略。

在信息系統(tǒng)的規(guī)范化管理方面，確保信息化建設(shè)項目的立項、設(shè)計、實施、驗收等方面與信息安全管理控制機制的整合。實現(xiàn)項目工程管理流程和內(nèi)容安全控制，制定《信息系統(tǒng)建設(shè)安全管理辦法》；加強信息系統(tǒng)運維中的變更管理，確保信息系統(tǒng)變更的可驗證性和可追溯性，合理控制信息系統(tǒng)變更產(chǎn)生的信息安全風(fēng)險。根據(jù)日常信息系統(tǒng)的運行有關(guān)管理規(guī)定，制定《信息系統(tǒng)變更管理條例》；規(guī)范系統(tǒng)使用，有效控制系統(tǒng)賬號權(quán)限，及時更新系統(tǒng)補丁，保護重要系統(tǒng)文件，制定《信息系統(tǒng)安全管理規(guī)定》；規(guī)范設(shè)備管理員對信息系統(tǒng)的訪問及操作，降低密碼強度不夠和設(shè)置不完善等帶來的安全隱患和風(fēng)險，加強高校各業(yè)務(wù)信息系統(tǒng)的口令管理規(guī)范，制定《密碼管理條例》；定期備份應(yīng)用系統(tǒng)、數(shù)據(jù)庫的文件，定期進行數(shù)據(jù)恢復(fù)演練，根據(jù)情況調(diào)整備份時間，制定《信息備份與恢復(fù)管理制度》。

在物理環(huán)境和資產(chǎn)方面，應(yīng)加強對信息系統(tǒng)的物理環(huán)境和設(shè)施的標準化管理，以確保物理環(huán)境、設(shè)施設(shè)備和進出訪問控制安全，制定《機房環(huán)境安全管理條例》和《辦公環(huán)境信息安全管理條例》；管理各類移動存儲介質(zhì)的所有使用行為，如磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等，必須要有介質(zhì)的使用授權(quán)說明，保證介質(zhì)使用的安全，制定《介質(zhì)安全管理規(guī)定》；加強高校所有信息資產(chǎn)的運行維護管理，定期檢查系統(tǒng)的工作環(huán)境、安全運行、策略，記錄信息系統(tǒng)運行的日志和狀態(tài)，同時定期統(tǒng)計信息資產(chǎn)數(shù)目，制定《信息安全運行維護安全管理辦法》；加強信息資產(chǎn)的安全管理，建立信息資產(chǎn)的統(tǒng)一分類、責(zé)任、授權(quán)和配置管理，明確高校硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的信息安全管理，并制定《信息資產(chǎn)安全管理辦法》和《設(shè)備安全管理條例》。

在應(yīng)急響應(yīng)方面，有必要加強對信息安全事件的監(jiān)控和管理規(guī)范，建立應(yīng)急事件的及時報告、多方協(xié)調(diào)、快速處理機制。制定重要信息系統(tǒng)應(yīng)急響應(yīng)預(yù)案，定期開展演練，確保信息系統(tǒng)持續(xù)穩(wěn)定運行，制定《應(yīng)急管理條例》和《應(yīng)急響應(yīng)分類專項預(yù)案》。

對于第三方服務(wù)商和安全產(chǎn)品采購，應(yīng)明確第三方安全服務(wù)商的管理，及時、有效和可控地對外部方所提供的服務(wù)質(zhì)量、服務(wù)交付和安全狀況進行管理，規(guī)范第三方服務(wù)管理相關(guān)流程及安全要求，制定《第三方安全服務(wù)提供商管理辦法》；對于在安全產(chǎn)品，應(yīng)明確信息安全產(chǎn)品的選購和使用，明確信息安全產(chǎn)品的管理工作，對信息安全產(chǎn)品采購和使用環(huán)節(jié)實施適當(dāng)?shù)谋Ｗo管理，制定《信息安全產(chǎn)品采購及使用管理制度》，制度內(nèi)容如表1所示。

表1 制度內(nèi)容列表（部分）

4 信息安全制度的有效性評估

制度的有效性評估是檢視制度體系的完備性、規(guī)范性和適用性是否滿足社會關(guān)系調(diào)整需求的重要方法和手段。為評估上述高校信息安全管理制度的有效性，根據(jù)有效性評估指標體系進行研究。

首先，根據(jù)全生命周期理論，評估指標可劃分為三個方向：體系設(shè)計、制度建設(shè)、制度實施。其中，制度的框架體系設(shè)計是從制度體系設(shè)計期的系統(tǒng)化、集約化和一體化三個維度衡量其設(shè)計水平和能力, 為制度建設(shè)和制度實施指引方向。制度建設(shè)是從制度建設(shè)期的合規(guī)性、協(xié)調(diào)性和操作性三個維度權(quán)衡其建設(shè)質(zhì)量,為后續(xù)的制度實施提供有效保障。制度實施是從規(guī)章制度實施期的宣貫力、執(zhí)行力和影響力三個維度衡量規(guī)章制度在實施過程的規(guī)范性以及實施結(jié)果對管理和效益的影響程度，有效性評估維度如表2所示。

根據(jù)有效性評估模型的三個方向、九項指標，研究者設(shè)計調(diào)查問卷對上述信息安全制度進行有效性評估。問卷調(diào)查采用分層抽樣的方法，向高校信息安全工作人員、高校師生、高校管理層、教育部門工作人員發(fā)放問卷89份，收回有效問卷82份。通過對問卷調(diào)查結(jié)果進行分析，制度體系設(shè)計和制度建設(shè)方面基本有效，而在制度實施方面失效較高，結(jié)合問卷調(diào)查分析結(jié)果，提出了提升制度有效性的路徑。

（1）持續(xù)改進性：網(wǎng)絡(luò)具有的的無限延伸性、匿名性、攻擊導(dǎo)向性等特點會使網(wǎng)絡(luò)安全威脅層出不窮，高校信息安全制度需能夠?qū)π嘛L(fēng)險進行持續(xù)的說明和修改，以能夠全方位、多層次的實現(xiàn)制度的規(guī)范效果。

（2）加強制度宣傳和貫徹：可以利用信息化輔助工具開展制度的宣傳和貫徹，例如制作掌上制度移動端，提供主動推送制度和查詢制度的功能，鼓勵高校師生積極學(xué)習(xí)和執(zhí)行。

表2 有效性評估維度

5 結(jié)束語

目前高校信息安全管理制度的有效性建設(shè)仍處于探索階段，還需要在實際工作中不斷完善。本文旨在通過制度體系設(shè)計和內(nèi)容建設(shè)兩方面提供適用于高校的信息安全管理制度框架，制度的有效性評估對高校信息安全管理體系建設(shè)有一定的參考價值。