智慧校園一體化信息安全綜合服務體系建設研究

◆黃俊

智慧校園一體化信息安全綜合服務體系建設研究

◆黃俊

（廣州中醫藥大學信息中心 廣東 510006）

面對日益復雜的國內外網絡及信息安全環境，為了確保校園智慧一體化服務平臺能夠高效、持續、可靠及穩定地提供數據應用及服務，本項目提出重點加強信息安全綜合治理，建立一體化信息安全綜合服務，建立更高的安全防范體系，全面提升信息系統安全防護能力。

智慧校園；信息安全；一體化

1 概述

網絡安全挑戰無處不在，智慧校園平臺給學校產學研帶來巨大效益的同時，也面臨著全新的安全隱患。無論是學校內部還是外部網絡都面臨著嚴峻的信息安全挑戰。

國家對網絡安全的重視程度日益提高，教育信息化作為國家信息化的戰略重點，在教育部印發的《2020年教育信息化和網絡安全工作要點》中提出：“加強教育信息化和網絡安全工作統籌部署”，并要求“開展教育系統關鍵信息基礎設施認定和檢查，落實教育系統關鍵信息基礎設施安全防護，組織開展教育系統應急演練，建立覆蓋數據全生命周期的安全管理機制”[1]。

2 需求分析

建設智慧校園一體化服務平臺，不管是學校內部的辦公網絡和數據中心，還是對外服務區域，保證信息安全都具有非常重要的意義。信息安全涉及學校的財產、業務、科研、教學、日常管理等方方面面。

智慧校園一體化信息安全綜合服務旨在從不同的層面及不同的安全類別方面構建一體的縱深防護藍圖，保障智慧校園一體化平臺能夠從多維角度實現綜合安全保護與高效應用的平衡。主要從以下三個方面進行建設：

2.1 一體化信息安全風險評估

通過對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析。風險評估可以全面、準確地了解組織機構的網絡安全現狀，發現系統的安全問題及其可能的危害，為系統的最終安全需求提供依據。

2.2 智慧校園的信息安全綜合治理

根據信息安全保護評估和風險評估結果，采取必要的安全措施進行風險處置，以學校資產保護為核心，著力于保護相關信息資產，主要避免因內部人員的有意或無意的行為導致的安全威脅、財產損失或信息泄漏。

2.3 一體化信息安全體制

建立信息安全體系的基本框架，確定和建立技術保障體系框架，進一步完善信息安全管理體系的安全管理策略，進一步完善信息安全技術保障體系，著力于保障信息系統不受來自內部和外部各種因素產生的威脅所影響，實現信息訪問、認證、授權、審計的統一化平臺化，同時完善災難備份與恢復，確保學校業務持續性。

3 建設內容及具體措施

3.1 一體化信息安全風險評估

對安全控制評估的描述，采用評估單元方式組織。評估單元分為安全技術評估和安全管理評估兩大類。安全技術評估包括：物理安全、網絡安全、主機系統安全、應用安全和數據安全五個層面上的安全控制評估；安全管理評估包括：安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理五個方面的安全控制評估[2]。

圖1 一體化信息安全風險評估

（1）物理安全風險評估

評估信息系統應對重要的物理安全設施，如物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等做必要配置。

（2）網絡安全風險評估

評估路由交換設備和測試安全設備應對結構安全與網段劃分、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、網絡設備防護等做必要配置。

（3）主機系統安全風險評估

評估操作系統應對重要操作，如令牌的使用、賬戶認證、密碼管理、登錄限制、身份標識和鑒別、主體和客體的訪問控制、用戶授權、安全審計、報警、監控、系統保護、惡意代碼防護、信息保護、資源控制等做必要配置。

（4）數據安全風險評估

測試數據庫應對重要操作，如軟件完整性、數據完整性、訪問控制、安全管理、審計等做必要配置。

（5）應用安全風險評估

評估應用應對重要操作，如發布內容的敏感級別，是否有書面的評審過程，定期培訓，Web服務器是否使用了防火墻，是否按照要求歸檔Web服務器訪問日志，是否對Web服務器管理人員和內容維護人員有詳細的記錄，是否有書面的Web服務器事件響應過程。

（6）安全管理風險評估

包括針對相關安全管理人員進行訪談，以及對安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面的文檔檢查。

3.2 智慧校園的信息安全綜合治理

（1）操作平臺安全加固和優化

包括檢查系統補丁、停止不必要的服務、修改不合適的權限、修改安全策略、檢查賬戶與口令安全、開啟審核策略、關閉不必要的端口等。

（2）應用軟件安全加固和優化

包括對要使用的操作數據庫軟件（程序）進行必要的安全審核安裝最新的補丁，使用安全的密碼、賬號策略，加強日志的記錄審核，修改默認端口，使用加密協議，加固TCP/IP端口，對網絡連接進行IP限制等。

（3）網絡設備的安全加固和策略配置優化

主要針對防火墻系統等安全設備、數據備份與災難恢復系統等網絡安全設備進行修補和加固，按照安全策略進行安全配置和優化，提供詳細操作報告，包括網絡安全設備的安全配置，網絡安全設備的安全加固，網絡安全設備的優化配置等。

（4）機房物理環境整改建設

對機房進行整改建設，將裝修、防靜電、防雷接地、機房恒溫恒濕設備、機房綜合布線等重新進行規劃設計并進行整改建設。

（5）信息系統安全規劃及整改建設

對學校信息中心邊界安全、安全審計、防病毒等各方面進行規劃整改建設，部署相應的安全產品，通過建立綜合立體的縱深防護體系來實現智慧校園一體化服務平臺的有效信息安全保障。

3.3 一體化信息安全體制建設

完善信息安全體系建設，通過信息安全保護評估和風險評估，采取必要的安全措施進行風險處置，同時建立信息安全體系的基本框架，確定和建立技術保障體系框架，為后續工作進行必要的基礎性工作。

著力于將整體信息安全水平提升至卓越運行階段，實現信息安全管理和信息安全技術的統一，實現信息訪問、認證、授權、審計的統一化平臺化。同時完善災難備份與恢復，確保學校業務持續性。

對信息系統進行信息安全體系完善需提供專業漏洞掃描分析服務、網站代碼審計服務、專業滲透測試等服務，并根據上述服務結果對信息系統進行全面的安全加固，以實現信息系統安全防護能力的提升。同時，在信息系統后續的日常運營中，提供專業應急響應服務，確保將信息系統安全風險降至最低。

4 結束語

網絡安全和信息化相輔相成，必須統一謀劃、統一部署、統一推進、統一實施。本項目通過屏蔽、監測、評估、測評等方式建立立體化、全方位信息化安全措施，制定網絡與信息安全建設規范，加強安全技術防范，完善安全管理體系，確保管理、教學和服務信息安全，保證學校教育信息化健康發展。

[1]教育部印發《2020年教育信息化和網絡安全工作要點》[EB/OL].http://www.ict.edu.cn/news/jrgz/xxhdt/n20200303_66025.shtml.

[2]夏冰，網絡安全法和網絡安全等級保護2.0[M].電子工業出版社，2017.

本文項目獲2015年中央財政支持地方高校發展專項資金支持