基于全生命周期安全管理的高校業務系統管理方案設計

金純

摘要：當下高校業務系統建設混亂。為了提升業務系統的安全性，須要對業務系統的整個生命周期進行有效的安全管理。該文提出一個對業務系統全生命周期進行安全管理的方案，旨在提升高校業務系統安全管理的能力。

關鍵詞：全生命周期；信息安全；業務系統管理；安全管理

中圖分類號：G642 文獻標識碼：A

文章編號：1009-3044（2019）12-0105-02

開放科學（資源服務）標識碼（OSID）：

Management Scheme Design of information System in Colleges and Universities Based on Life Cycle Safety Management

JIN Chun

（East China University of Politics and Law， Shanghai 201620， China）

Abstract： At present， the construction of university business system is confused. In order to improve the security of business system， it is necessary to carry out effective security management for the whole life cycle of business system. This paper puts forward a management plan for the whole life cycle of business system， aiming at improving the ability of business system safety management in Colleges and universities.

Key words： Life cycle； Information security； Information system management； Safety Manager

1 高校應用系統建設現狀和信息安全管理現狀

在信息時代的大背景下，高校信息化程度在不斷提高，信息系統建設各式各樣，業務系統數量眾多。高校的教學環境和辦公條件得到了不斷提升和改善，廣大師生的工作效率得到了提高，學習和生活也變得更為便捷。與此同時，一系列的信息安全問題也隨之產生，提升高校業務系統信息安全管理的能力迫在眉睫。目前，高校信息安全的管理主要存在以下幾點問題：1）信息化統籌的管理和建設基礎薄弱。息化管理部門，信息技術支撐部門，業務部門之間對信息系統建設的目的，步調也存在差異，很難評估和審核所有信息系統的安全狀況。 2）信息系統全生命周期管理滯后。部分業務系統未在開發時考慮安全需求，安全漏洞存在整個系統的生命周期。而重視建設忽略維護的慣性使得很多信息系統處于無人管理狀態，甚至出現了“僵尸”網站，導致了不安全因素的發生。3）網絡安全工作仍側重應急響應。網絡安全工作的主要內容停留在信息和安全事件的應急處理和整改監督上，容易忽略事前的預警和管控。4）網絡安全工作主動性較弱。整個學校信息系統管理混亂，職責不明確，導致對信息安全的重視普遍不足。

2 應用系統全生命周期安全管理內容

信息系統生命周期是指信息系統在實際使用過程中需要不斷的修改、維護，按照產生、發展、成熟、消亡（更新）的過程進行周期循環。從信息安全管理的角度看，信息系統生命周期可以劃分為需求分析階段、設計和開發階段、部署階段、驗收上線階段、日常維護階段、關閉階段共七個階段。每個階段都有安全工作內容的工作重點：

1）需求分析階段。我們需要確定應用安全、數據安全、安全審計、訪問控制等要求，而且需求的固定不得隨意更改。

2）設計和開發階段。檢測開放所使用的編程語言，開發框架，數據庫，中間件，服務器軟件，開源軟件情況以及自主開發的插件情況等。廠商需要在遵循安全開發原則的基礎上，在完成功能測試后，還要進行網絡安全方面的測試。

3）部署階段。進行安全策略的設置，廠商部署后由校方進行審核修正。網絡安全策略的配置主要涉及服務器端口、訪問控制策略、堡壘機配置、病毒查殺、Web應用防護策略。對于不同類別、不同用途以及不同建設階段的服務器，需要配置不同的安全策略，以滿足其相應的安全管理需求。

4）驗收上線階段。廠商需要提供第三方的安全檢測報告。

5）日常維護階段。定時對服務器巡檢，處理異常情況，并修復。形成巡檢報告，異常報告以及bug修復的記錄等。如果遇到系統需要升級，需要在升級后對系統重新進行安全檢測和評估，并詳細記錄安全策略的變化，以保證升級后系統的安全運行。

6）關閉階段。妥善處理相應權限的撤銷以及殘留數據的銷毀等，同時還要對服務器資源進行回收，避免形成僵尸系統，并做好信息系統關閉記錄。

3 高校業務系統管理方案設計

基于目前高校信息化建設存在的問題，以及全生命周期安全管理的需要，我們提出一個針對高校業務系統安全管理的建設方案。

1）功能介紹

高校業務系統管理主要是通過對學校所有在建的和已建成的業務系統進行全生命周期的跟蹤，動態了解每個系統的當前安全狀態并精準解決系統安全隱患。從而實現對學校所有業務系統的安全監控，確保業務系統的信息安全。同時，掌握所有業務數據的內部流動及支撐查詢、統計管理功能。系統基礎數據及業務操作產生的數據沉淀后可作為信息系統的基礎數據支撐更加復雜的線上業務申請、審核、管理等。

2）模塊設計

3）應用系統基礎數據管理

應用系統基礎數據管理模塊主要是對學校所有應用用系統的管理。包括應用系統的添加、應用系統基本信息的維護等。數據來源主要是各系統負責人在線錄入或批量導入。頁面內容主要有：系統負責人員可根據自身負責的系統情況在此頁面錄入、查看及管理系統信息，頁面信息包括，系統名稱、URL、外網地址（若沒有則為空）、內網地址、系統功能描述、系統負責部門、系統負責人、負責人聯系方式、是否已開放外網、部署位置，生命周期階段，安全狀態等信息。頁面內容根據當前登錄人信息僅呈現當前登錄人本人錄入的信息系統的數據。

4）業務系統安全管理

業務系統安全管理主要是通過記錄業務系統在各個生命周期里的安全事件，達到對業務系統的安全管理。從新增一個業務系統開始，該業務系統在生命周期的每個階段，業務系統負責人必須完成所有該項目的安全任務，提交出相應的文檔，才能進入下個生命周期階段。每個安全任務都會觸發該業務系統的安全狀態的變化，為從方便業務系統負責人和學校信息系統安全員了解當前業務系統的安全情況。

5）數據統計分析管理

數據統計分析管理主要功能是對業務系統進行查找，歸類，分析和統計。安全管理員可以快速查找出某個業務系統的安全狀態，或者統計出所有有安全隱患的系統，快速形成安全報告，方便精準對每個業務系統的安全隱患做出解決方案。

4 結束語

高校在高速信息化建設的同時，并沒有很好地對各業務系統進行安全管理。建立一套基于全生命周期信息系統管理方案勢必提升信息安全人員管理各業務系統安全的能力，從而降低高校發生安全事件的風險。

參考文獻：

[1]吳曉東. 信息安全技術在工程項目管理中的應用[J]. 中國戰略新興產業， 2017（16）.

[2]張達. 教育管理信息系統信息安全運維體系建設[J]. 科技資訊 2017（34）：16.

[3]劉述忠 軟件研發中的信息安全管理[J].中國金融電腦，2016（5）.

【通聯編輯：王力】