高校網絡及信息化安全問題與建議

成都大學信息網絡中心 劉新躍 楊曉蘭 杜小丹 楊 文

近年來，高校校園信息化建設發展迅速，信息化建設和管理水平得到顯著提升，基于校園網的信息資源和應用系統建設逐漸豐富和完善，應用系統和基礎平臺建設也成效明顯，為在校師生提供了諸多便捷的服務。但是，當我們享受校園信息化建設的成果之時，對信息化建設的需求越來越多，對信息化建設的安全需求也越來越高，這使得我們需要對自身的信息化建設工作進行重新思考。信息化建設的基礎是安全，所有的信息化建設都需要從網絡安全以及信息安全出發。

一、高校網絡及信息安全問題分析

（一）信息技術體系需要進一步完善

雖然大部分高校出口部署了防火墻、上網行為管理系統，但難以滿足當前復雜的安全形勢。高?？蓪ΜF有安全體系的升級建設，從單純被動防御層次向“持續檢測、快速響應”邁進，打造一站式的“預測、防御、檢測、響應、加固”五位一體服務，真正做到“安全防御可見效、安全態勢可感知、安全威脅可預警、異常行為可監控、安全價值可呈現”的安全建設效果。

（二）信息安全管理制度亟待梳理完善

由于管理模式、環境要求等方面的不同，引用的制度還不能完全滿足等保、ISO27001 等成熟體系的要求。并且各項制度也還未達到合適的推行力度，仍存在部分人員對制度不知情的情況。同時，各部門往往還擁有自己的內部制度，在執行時可能與制度造成優先級或內容上的實質性沖突。因此，需要對制度進行全面梳理，建立文件化的管理體系，力爭日常工作中遵循唯一的標準，使制度的執行和考核能落實下去。

（三）信息安全管理工作尚未落實到基層

現有的信息安全管理組織主要是網絡安全與信息化領導小組和信息化部門，但是沒有明確指定開展信息安全各項具體工作的執行層面的人員（即學院各個部門的信息安全員），同時也未按照國際成熟標準和業界慣例把三類互相制衡、互相配合的人員職能（即信息安全技術、信息安全管理、信息安全審計）落實到相關部門人員，導致高校領導雖然高度重視信息安全工作，但是具體工作卻難以深入開展下去。

（四）流程尚未實現規范化

從國內外信息安全最佳實踐的角度來看，所依據的制度流程也是少量信息技術部的IT 類管理制度，操作記錄層面居多，缺少提煉為可優化、可重復的管理制度，也尚未提升到目前業界推崇的“流程建設”的高度。服務質量仍主要依賴于技術人員和管理人員的自身經驗，缺少具有繼承性的操作規范，在為客戶提供持續的、穩定的高質量服務方面存在相當大的風險。

（五）對第三方的管理仍需要加強

沒有在第三方職責和合同中對信息安全責任進行進一步的明確界定，對此類人員的信息安全管理全部依賴接口人員的個人意識和能力，缺乏統一的管理標準。

（六）信息安全內外部審計檢查機制尚未形成

大部分高校尚未建立信息安全內外部審計檢查機制，信息安全審計審核工作也未開展。需要把內部審計檢查與外部審計檢查結合起來，建立內外部審計檢查制度，落實相關組織建設和人員責任，參照國際成熟標準和業界最佳實踐，定期組織內外部審計檢查活動，確保信息安全建設覆蓋各個領域。

二、高校網絡及信息化安全管理之運營管理建議

完整的信息安全保障體系應該是安全管理和安全技術實施的結合，以真正達到信息安全保障目標。安全策略在整個安全管理體系的設計、實施、維護和改進過程中都起著重要的指導作用，是一切信息安全實踐活動的方針和指南。人員、技術和操作三個要素，構成了整個安全管理體系的骨架。

（一）人員安全管理

在人員安全管理方面，高校在人員錄用規模上已經有部分規則制度，但整體上還不夠健全。在人員錄用、調動、離崗、考核、培訓教育和第三方人員安全等幾個方面，需要進一步加強及優化。其中，內部人員的管理歸納形成人力資源安全管理的具體安全要求，外部人員的管理歸納形成第三方人員安全管理的具體安全要求。

（二）系統日常運維管理

按照等級保護要求，日常運維管理主要從環境管理、資產管理、網絡安全管理、系統安全管理、防病毒管理、監控管理、密碼管理、變更管理、備份與恢復管理九個方面進行考慮。

環境管理：所有的服務器和核心網絡設備均按照要求放置在集中的機房中，網絡中心機房環境的安全管理要求應按照《機房管理辦法》中機房管理部分的相關規定執行。

資產管理：信息資產是構成網絡和信息系統的基礎，是系統各種服務功能實現的提供者和信息存儲的承載者，制定《信息資產安全管理辦法》，主要包括指定責任部門；把各類硬件、軟件、數據、介質、文檔均作為信息資產進行管理。

網絡安全管理：網絡作為信息系統的基礎性設施，為各個業務系統和辦公應用提供連通和數據傳輸，實現信息共享。制定《網絡安全管理規定》，制度中應體現以下內容：指定責任部門；對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面做出規定；定義更新流程；定義漏洞管理方法；定義設備配置方法；定義外部連接審批流程；定義設備接入策略；定義非法上網管理方法。

系統安全管理：根據等級保護制度要求，每個業務系統作為安全保護的對象，應當對每個業務系統制定相應的安全運維流程和規范，制定《系統安全管理規定》，用于指導如何根據業務安全等級和安全需求來制定相應的運維流程和規范。

防病毒管理：根據等級保護制度要求，病毒（惡意代碼）防范應有詳細的管理、處理、病毒庫更新等管理方法，制定《防病毒管理辦法》。制度中應體現的內容包括指定責任部門；每年進行定期培訓；由信息管理部負責對網絡和主機進行惡意代碼檢測并保存檢測記錄；定義防惡意代碼軟件授權使用、惡意代碼庫升級、定期匯報等流程。

監控管理：為建立集中的安全監控管理制度，對監控內容、監控方式、監控記錄集中保存、監控記錄審計等進行規范，制定《信息資產運行維護安全管理辦法》。

密碼管理：針對服務器、網絡設備中的賬號、密碼需要定期更改，同時需要規定密碼復雜度，制定《口令管理辦法》。制度中應體現的內容為：指定責任部門；總結在密碼設備的采購、使用、維護、保修及報廢的整個生命周期內的各項國家有關規定；嚴格執行上述規定。

變更管理：信息安全風險是“動態”的主要因素之一，就是網絡和信息系統是會發生變化的，為了加強防范由于網絡和系統變化對整體安全現狀的影響，規避變更產生的風險，制定變更管理制度，其變更管理內容和要求按照《業務系統用戶需求變更管理細則》和《信息系統變更管理規定》中的相關規定執行。

備份與恢復管理：制定并按照《備份與恢復管理規定》中的恢復流程和規范執行。制度中應體現的內容為：指定責任部門；識別需要定期備份的重要業務信息、系統數據及軟件系統等；定義備份信息的備份方式、備份頻度、存儲介質和保存期等；根據數據的重要性和數據對系統運行的影響，制定數據的備份策略和恢復策略，備份策略須指明備份數據的放置場所、文件命名規則、介質替換頻率和將數據離站運輸的方法；建立備份和恢復流程，對備份過程進行記錄，所有文件和記錄應妥善保存；建立演練流程，每季度對恢復程序進行演練，檢查和測試備份介質的有效性，確?？梢栽诨謴统绦蛞幎ǖ臅r間內完成備份的恢復。

綜上所述，高校網絡及信息安全問題已經成為高校信息化發展道路中不可避免的現實問題，除了上述從高校網絡及信息安全問題的運營管理提出的相關建議外，高校還可從技術上對網絡和信息安全問題進行管理，從而保證高校網絡能夠穩定健康地為高校教學、管理及研究工作提供服務。