序論:在您撰寫高校信息安全運維時,參考他人的優秀作品可以開闊視野���,小編為您整理的7篇范文����,希望這些建議能夠激發您的創作熱情����,引導您走向新的創作高度�����。
第1篇
1現狀與問題
1.信息安全現狀
隨著信息化建設的推進����,我校信息化建設初具規模���,軟硬件設備配備完成����,運行保障的基礎技術手段基本具備��。網絡中心技術力量雄厚���,承擔網絡系統管理和應用支持的專業技術人員達20余人;針對重要應用系統采用了防火墻、IPS/IDS���、防病毒等常規安全防護手段���,保障了核心業務系統在一般情況下的正常運行�����,具備了基本的安全防護能力|6];日常運行管理規范�����,按照信息基礎設施運行操作流程和管理對象的不同��,確定了網絡系統運行保障管理的角色和崗位�,初步建立了問題處理的應急響應機制�����。由網絡中心進行日常管理的主要有六大業務應用系統�,即網絡通信平臺、認證計費系統�、校園一卡通��、電子校務系統��、網站群、郵件系統。
網絡通信平臺是大學各大業務平臺的基礎核心�����,是整個校園網的基礎��,其他應用系統都運行在高校的基礎網絡環境上;認證計費系統是針對用戶接入校園網和互聯網的一種接入認證計費的管理方式;校園一卡通系統建設在物理專網上�����,主要實現學生校園卡消費管理,校園卡與大學網絡有3個物理接口;電子校務系統是大學最重要的業務應用系統�����,系統中存儲著重要的教務工作數據�����、學生考試信息��、財務數據等重要數據信息;大學主頁網站系統為大學校園的互聯網窗口起到學校對外介紹宣傳的功能;郵件系統主要為大學教師與學生提供郵件收發服務,目前郵件系統注冊用1.2面臨的主要問題
通過等級保護差距分析和風險評估�����,目前大學所面臨的信息安全風險和主要問題如下:
(1)高校領域沒有總體安全標準指引,方向不明確��,缺少主線���。
(2)對國際國內信息安全法律法規缺乏深刻意識和認識����。
(3)信息安全機構不完善�,缺乏總體安全方針與策略����,職責不夠明確�。
(4)教職員工和學生數量龐大��,管理復雜���,人員安全意識相對薄弱,日常安全問題多��。
()建設投資和投入有限,運維和管理人員的信息安全專業能力有待提高。
(6)內部管理相對松散��,缺乏安全監管及檢查機制�����,無法有效整體管控����。
(7)缺乏信息安全總體規劃�����,難以全面提升管理
(8)缺乏監控���、預警����、響應��、恢復的集中運行管理手段�,無法提高安全運維能力。
2建設思路
2.1建設原則和工作路線
學校信息安全建設的總體原則是:總體規劃、適度防護�����,分級分域����、強化控制�,保障核心���、提升管理���,支撐應用�����、規范運維。
依據這一總體原則�,我們的信息安全體系建設工作以風險評估為起點,以安全體系為核心,通過對安全工作生命周期的理解從風險評估���、安全體系規劃著手����,并以解決方案和策略設計落實安全體系的各個環節�,在建設過程中逐步完善安全體系��,以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求,最終達到全面、持續��、突出重點的安全保障����。
2.2體系框架
信息安全體系框架依據《信息安全技術信息系統安全等級保護基本要求》GBT22239-2008����、《信息系統等級保護安全建設技術方案設計要求》(征求意見稿),并吸納了IATF模型[7]中“深度防護戰略,,理論���,強調安全策略��、安全技術��、安全組織和安全運行4個核心原則��,重點關注計算環境����、區域邊界�����、通信網絡等多個層次的安全防護����,構建信息系統的安全技術體系和安全管理體系���,并通過安全運維服務和itsm[8]集中運維管理(基于IT服務管理標準的最佳實踐)���,形成了集風險評估����、安全加固�����、安全巡檢�����、統一監控、提前預警、應急響應、系統恢復、安全審計和違規取證于一體的安全運維體系架構(見圖2)�����,從而實現并覆蓋了等級保護基本要求中對網絡安全���、主機安全�、應用安全�����、數據安全和管理安全的防護要求����,以滿足信息系統全方位的安全保護需求�。
(1)安全策略:明確信息安全工作目的�����、信息安全建設目標、信息安全管理目標等,是信息安全各個方面所應遵守的原則方法和指導性策略�����。
(2)安全組織:是信息安全體系框架中最重要的
各級組織間的工作職責�,覆蓋安全管理制度、安全管理機構和人員安全管理3個部分����。
(3)安全運行:是信息安全體系框架中最重要的安全管理策略之一��,是維持信息系統持續運行的保障制度和規范�。主要集中在規范信息系統應用過程和人員的操作執行��,該部分以國家等級保護制度為依據,覆蓋系統建設管理��、系統運維管理2個部分。
(4)安全技術:是從技術角度出發,落實學校組織機構的總體安全策略及管理的具體技術措施的實現��,是對各個防護對象進行有效地技術措施保護����。安全技術注重信息系統執行的安全控制����,針對未授權的訪問或誤用提供自動保護,發現違背安全策略的行為����,并滿足應用程序和數據的安全需求�����。安全技術包含通信網絡��、計算環境、區域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據����,覆蓋物理層����、網絡層�、主機層�、應用層和數據層5個部分�����。
()安全運維:安全運維服務體系架構共分兩層���,實現人員�����、技術、流程三者的完美整合���,通過基于ITIL[9]的運維管理方法����,保障基礎設施和生產環境的正常運轉����,提升業務的可持續性,從而也體現了安全運3重點建設工作
3.1安全滲透測試
2009年4月���,學校對38個網站、2個關鍵系統和6臺主機系統進行遠程滲透測評。通過測評�����,全面、完整地了解了當前系統的安全狀況��,發現了20個高危漏洞,并針對高危漏洞分析了系統所面臨的各種風險��,根據測評結果發現被測系統存在的安全隱患�����。滲透測試主要任務包括:收集網站信息����、網站威脅分析���、脆弱性分析和滲透入侵測評、提升權限測評���、獲取代碼�����、滲透測評報告。
3.2風險評估和安全加固
2009年5月���,依據安全滲透測試結果�����,對大學的六大信息系統進行了安全測評�。根據評估結果得出系統存在的安全問題,并對嚴重的問題提出相應的風險控制策略��。主要工作任務包括:系統調研����、方案編寫�����、現場檢測、資產分析��、威脅分析����、脆弱性分析和風險分析���。通過風險評估最終得出了威脅的數量和等級,表1���、表2為威脅的數量和等級統計��。2009年6月和9月����,基于風險評估結果����,對涉及到的網絡設備(4臺)和主機設備(14臺)進行了安全加固工作。
3.3安全體系規劃
根據前期對全校的網絡���、重要信息系統及管理層面的全面評估和了解整理出符合大學實際的安全需求,并結合實際業務要求�����,對學校整體信息系統的安全工作進行規劃和設計,并通過未來3年的逐步安全建設��,滿足學校的信息安全目標及國家相關政策和標準學校依據國際國內規范及標準�,參考業界的最佳實踐ISMS[10](信息安全管理體系)�����,結合我校目前的實際情況,制定了一套完整���、科學�、實際的信息安全管理體系,制定并描述了網絡與信息安全管理必須遵守的基本原則和要求�。
通過信息安全管理體系的建立�,使學校的組織結構布局更加合理�����,人員安全意識也明顯提高����,從而保證了網絡暢通和業務正常運行��,提高了IT服務質量。通過制度、流程、標準及規范��,加強了日常安全工作執行能力,提高了信息安全保障水平。
4未來展望和下一步工作
4.1安全防護體系
根據網絡與信息系統各節點的網絡結構��、具體的應用以及安全等級的需求,可以考慮使用邏輯隔離技術(VLAN或防火墻技術)將整個學校的網絡系統劃分為3個層次的安全域:第一層次安全域包括整個學校網絡信息系統;第二層次安全域將各應用系統從邏輯上和物理上分別劃分;第三層次安全域主要是各應用系統內部根據應用人群的終端分布、部門等劃分子網或子系統。
公鑰基礎設施包括:CA安全區:主要承載CAServer���、主從LDAP�、數據庫���、加密機、OCSP等;KMC管理區:主要承載KMCServer�、加密機等;RA注冊區:主要承載各院所的RA注冊服務器�����,為各院所的師生管理提供數字證書注冊服務。
應用安全支撐平臺為各信息系統提供應用支撐服務����、安全支撐服務以及安全管理策略���,使得信息系統建立在一個穩定和高效的應用框架上,封裝復雜的業務支撐服務�、基礎安全服務�、管理服務��,并平滑支持業務系統的擴展���。主要包括:統一身份管理����、統一身份認證����、統一訪問授權、統一審計管理����、數據安全引擎、單點登錄等功能���。
4.2安全運維體系
ITSM集中運維管理解決方案面對學校日益復雜的IT環境����,整合以往對各類設備�、服務器、終端和業務系統等的分割管理,實現了對IT系統的集中、統一�����、全面的監控與管理;系統通過融入ITIL等運維管理理念�����,達到了技術���、功能���、服務三方面的完全整合,實現了IT服務支持過程的標準化、流程化�����、規范化,極大地提高了故障應急處理能力���,提升了信息部門的管理效率和服務水平�。
根據終端安全的需求,系統應建設一套完整的技術平臺���,以實現由管理員根據管理制度來制定各種詳盡的安全管理策略�,對網內所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理���。實現將以網絡為中心的分散管理變為以用戶為中心集中策略管理;對終端用戶安全接入策略統一管理���、終端用戶安全策略的強制實施��、終端用戶安全狀態的集中審計;對用戶事前身份和安全級別的認證���、事中安全狀態定期安全檢測���,內容包括定期的安全風險評估�����、安全加固、安全應急響應和安全巡檢。
4.3安全審計體系
第2篇
關鍵詞:高校信息化;IT運維外包�;風險管理
中圖分類號:TP393 文獻標志碼:A 文章編號:1673-8454(2014)07-0014-03
一�、高校信息化建設和IT運維現狀
近年來,隨著信息技術的飛速發展和日益普及���,信息化浪潮給教育帶來了革命性影響����,推動著教育領域不斷創新發展�����。2010年,我國頒布的《國家中長期教育改革和發展規劃綱要(2010-2020年)》提出推動信息技術與高等教育深度融合�����,創新人才培養模式�。高校信息化部門也在為學生和教師提供更高效率的各類信息化服務平臺和安全穩定的網絡接入環境而努力創新��,深刻影響了傳統的教學科研和學校的綜合管理模式�����。同時,國家對教育信息化的重視程度和投入在逐年增加,校園信息化建設也得到了高校的普遍重視和重點投入��。
我國高校信息化建設經歷了二十多年的歷史,在網絡基礎設施硬件建設方面同國外高校拉近了距離��,很多學校都達到了同等甚至更高水平���。雖然硬件條件上去了����,但是很多高校信息化應用水平仍不理想,在信息化服務能力和IT運維管理上差異較大,普遍存在著重硬件輕軟件�,重建設輕維護�����,重建設輕服務等現象����。部分實力雄厚的理工科學校和綜合性大學通過自身的力量可以完成基礎的信息化建設和IT運維工作,但是對于大量的普通高等院校�����,由于受到技術、經費以及人員的限制�����,完全利用自身的力量來建設和運維比較困難,無法滿足廣大師生的實際需求���。
二���、IT運維外包的思路和安全風險
信息技術日新月異���,如何管理復雜的、高技術含量的IT基礎設施,應對靈活多變的IT服務需求����,為學校廣大師生提供良好的IT服務支持����?如何降低運維成本的同時提高管理水平和效率�����,并保證服務的質量,提升師生對IT服務的滿意度?如何提高運維的靈活性和響應速度,迎接信息化帶來的各類挑戰���,提高學校的核心競爭力��?這些問題是所有高校所面臨的共同難題,困擾著各校的信息化管理部門�,而引入IT運維外包服務正是一種經實踐證明比較好的解決思路。通過將IT運維服務外包,高??梢园迅嗑ν度氲浇虒W和科研中去����。并且以較低成本提供專業化的IT服務。
目前大部分高校的信息化人員編制十分有限����,并且對新進人員的學歷要求很高�����,而從事一般的IT工作并不需要非常高的學歷。受待遇和未來發展因素影響�,高校信息化部門很難長期留住高水平的IT人才。通過外包服務,由公司選派有相應能力的人員長期協助學校從事相應工作,學校不用擔心其待遇及去留等問題�����,保持了IT運維工作人員的相對穩定。
上海交通大學作為一所“綜合性�����、研究型、國際化”的全國重點大學��,校內信息化部門以建設數字大學為目標,為校內五萬多師生員工提供各類專業的IT服務。在近十幾年的信息化建設和日常網絡及應用信息系統運維過程中�����,大量使用了外包服務�,在人員�����、資金��、制度上都進行了相應保障,通過全面的發現及確認外包風險,進行分析���、評估��,對可能引發的安全風險進行了一系列有益的深入探索和實踐���,從而有效地控制風險�。
三、學生團隊參與用戶服務外包的風險控制
用戶服務管理是IT運維的重要組成部分�����,上海交通大學從2000年開始,在學生宿舍網的管理過程中���,引入了學生團隊來為學生宿舍區三萬多用戶提供接入用戶網絡服務。學校有關部門提供指導�,建立一個以學生自我管理��、自我服務為主體的學生網絡管理體系���,發揮學生網管的作用��,調動其積極性來參與網絡維護工作,為學生打造一個良好的實踐與學習環境����。學生網管從作為學生的實際需求出發����,幫助信息化部門提高了網絡故障的應急響應和處理能力, 做了許多有意義的日常用戶服務工作,但學生們畢竟缺少實踐經驗�,平時日常學習和科研活動也占用了很多時間���。兼職的網絡維護工作如何來提高用戶滿意度?服務質量和服務能力如何控制?這都需要加強管理和組織學習培訓��,通過完善的制度建設來降低運維工作中的風險����。
面對繁雜的學生寢室樓網絡維護工作��,建立了一套完善的體系來解決學生們平時遇到的各種網絡問題�。從宿舍樓內學生網管的工作�����,到學生網管部辦公室客服咨詢的解答,再到技術報修組的報修受理以及上門服務,這其中的每一個環節都有嚴格而具體的要求來規范他們的服務���,確保服務質量讓學生們滿意。當然����,維護龐大的校園網絡單靠人力是遠遠不夠的�,因此學生網管自行開發了一套綜合的內部技術支持系統���。有了它���,學生網管員們不僅可以方便地辦理各種基礎網絡業務,還可以實時查看各個終端用戶的網絡運行狀態�,以及交換機端口信息等,及時發現問題并針對性處理��。
平時宿舍樓內瑣碎的網絡問題處理是由樓內的學生網管來完成的��,每一位網管員都被要求做到盡全力滿足用戶正常網絡接入需要,熱情耐心解答用戶的任何疑問�,在技術層面上指導用戶完成一些基本操作。每位學生網管在閑暇之余都被要求多了解網絡技術知識����,參加內部培訓,掌握常見問題的處理方法�����,在技術上要讓用戶信得過�。
技術報修組專門負責解決樓內網管處理不了的問題�,由網管員中的技術骨干組成。他們接受過專門的技能培訓,配置專業的網絡維修工具��,在辦公室值班人員所給予的遠程配合下���,幾乎可以解決大部分學生所碰到的網絡問題,如果還不能解決則協調學校網絡運維部門進一步處理。同時也要求學生網管在解決問題后把全過程書面化��,為以后別人的工作處理提供經驗積累����。在學生團隊中的技術骨干由于長期和學校信息化部門溝通,其能力會得到認可����,在畢業后也可以擇優直接進入高校的IT運維隊伍��,更快的進入工作角色。
四、信息系統運維外包的風險管理
高校大量的信息系統都來自于直接采購或者由外包廠商定制化開發完成����,完全由自己主導開發的大規模系統已經越來越少��。常見的信息系統包括人事系統�����、科研系統��、財務系統�、學工系統����、教務系統�、檔案系統、校園一卡通系統��、公共數據平臺等��,不少高校還將校內各院系部門網站交由外包公司設計制作和維護���。在這些信息系統的實施完成之后�����,日常運行過程中不可避免的會出現各種問題��,高校IT運維部門可以解決部分維護工作��,但是很多專業化程度較高的系統維護工作還是不可避免的要依賴外包協助完成�����。
雖然很多針對高校 IT 市場的外包服務商在信息系統外包過程中獲得了成功,并積累了豐富的高校行業經驗����,但也暴露出不少的安全風險��。不同的外包公司之間技術實力和管理水平參差不齊�����,廠商技術支持人員穩定性不高是普遍遇到的問題,這就要求高校需慎重選擇合作方�,簽訂全面詳細的合同進一步加以約束,要求通過嚴格的崗位培訓和業務培訓,提高外包技術人員的能力�����。關鍵項目實施和后期維護期間,要求外包公司核心技術人員常駐學校�,保證項目按要求順利完工��,并穩定運行。前期項目開發和后期運維中遇到的問題��,需要提交給研發解決的,要有順暢的正式渠道提交與反饋��,限時解決或改進�����。在每項子系統投入運行前��,完成對使用該系統的校內用戶培訓工作;建立完整的客戶培訓體系���,為高校提供相關的技術培訓和業務培訓����,并提供相應的培訓技術資料。
由于很多外包公司開發的各類信息系統廣泛應用在多所高校����,一旦某所高校的系統被發現有嚴重的安全漏洞�����,那么會迅速波及到其他高校����,引發嚴重的安全事件����。在教務系統、學工系統等方面�,這類安全事件屢見不鮮��,給很多學校都造成了較大損失�。在信息系統維護外包過程中,由于項目需要��,服務商的技術人員可以輕易地獲取學校的各類師生個人信息��、財務信息、科研信息等��,這些敏感信息如果發生泄漏也會給高校帶來重大損失�。
高校自身要建立完整且獨立的信息安全保障體系����,在整個IT運維過程中保護學校的重要信息資產?��?紤]到大部分高校都缺乏專業信息安全運維人員�����,使用專業安全公司提供的安全服務也成為必然的選擇�����。同時利用高校自身的信息安全科研優勢以及和國內外安全研究機構的密切聯系,及時獲取最新安全資訊�����,對外包引發的安全風險實時監控,并快速響應��。
五、IT運維監控外包的風險
IT運維監控外包在很多高校廣泛使用���,但也由此帶來了一系列安全風險。外包公司為了追求利潤最大化�,勢必考慮降低成本�,這樣就給外派到學校工作的人員業務素質和穩定性帶來了巨大沖擊����。頻繁變動且能力不足的外包人員給高校IT運維必然帶來了可預見的安全運營風險,和高校的固有核心利益產生了沖突��。對此高校要進一步完善和外包公司的合同細節,明確保障服務質量和要求服務人員的相對穩定性,并簽訂專門的SLA(Service Level Agreements)服務水平協議����。同時高校自身也要不斷提升專業IT運維能力���,即便采用了外包�����,也要建立管理和技術并重的內部團隊�����,自己的人員要具備系統的IT運維管理能力���,在程序設計開發��、應用信息系統維護�����、數據庫和服務器管理�����、網絡管理和安全運維方面都要培養自身的力量��,不斷學習新技術���,培養創新能力�,對外包人員進行有效的監督和管理����,仔細傾聽來自教師學生的第一線業務需求��,不能被外包公司所左右�����,從而降低安全運維風險。
六��、IT運維監控平臺外包開發的風險管理
IT運維監控平臺對任何一所高校網絡管理人員來說都是必不可少的。我們沒有采取商業的管理監控解決方案����,主要是考慮到當網絡和應用發展到一定程度之后�����,其規模和復雜性決定了很難找到完全符合自身需求的方案。我們最終選擇了在開源的Zabbix監控系統基礎上����,采取外包給專業軟件公司的模式進行了大量的定制化開發來滿足實際運維需求。通過分布部署Agent采集點主動獲取各類監控數據,涵蓋了學校數據中心使用的各類操作系統和虛擬化環境���,也可以支持各大廠商的網絡交換路由設備管理�,滿足了大規模網絡和服務器監控需求。但是這條外包之路也同時存在著種種風險���,合作方的選擇不當可能會導致項目的無法順利推進;軟件流程設計管理不當也會引發開發周期變長,拖延系統的上線時間��;大量不同設備的定制化開發需要投入更多資源����,項目的成本控制也會直接影響合作方的開發人員投入力量����;軟件平臺的漏洞會直接影響基礎IT運維體系的整體安全性;開發人員的流動性也給整個外包開發的質量控制帶來了不確定因素�;后期維護服務跟不上也會影響IT運維工作的長期可持續性�。
關注到這些安全風險�,我們有針對性地采取了一系列措施����。選擇開源監控軟件作為系統底層平臺已經適度降低了開發風險����,慎重的選擇具有資質和經驗的合作方來保證項目質量。全過程參與功能需求分析和流程設計來控制整個開發周期的進度,進度過慢時要求合作方增加人力����,進度過快時要求合作方保障代碼質量��。和外包方要建立順暢的溝通渠道��,通過周報、月報和定期溝通交流�����,掌握對方工作進展,監督管理實際開發進度是否和預期一致���,投入是否充分�����,代碼質量是否合格��。通過要求規范全過程的技術開發文檔,保證了即使發生開發人員變更也可以快速完成新老交接����。要求系統留有靈活的開放接口以提供良好的伸縮性和可擴展性�����,也可以在一定程度上規避兼容性風險。在開發過程中和正式交付時都引入第三方專業安全人員進行安全評估和滲透測試�,確保IT運維監控系統自身的安全等級達到一定級別�。通過詳細的開發合同對項目周期和合作雙方人員力量投入和項目進展時間節點進行了嚴格的約定����,并事先就開發完成后的后期維護服務達成一致,保持長久合作關系。
七、結束語
信息安全技術一直在發展��,攻防對抗在持續升級����,各類安全風險和挑戰始終存在��,安全IT運維必然是一個長期動態的過程����。作為有特長的信息網絡安全科研機構和同時給數萬師生提供IT專業服務的部門�����,高校信息化團隊可以把實際安全經驗和運維外包風險管理工作相結合��,加強配套安全監管,從而走出一條具有自己特色的安全IT運維外包之路。
參考文獻:
[1]趙燦,杜,杜鵑.高校信息化建設項目外包采購管理的探討[J].中國教育信息化(高教職教),2011(5).
[2]蔣東興,宓泳,郭清順.高校信息化發展現狀與政策建議[J].中國教育信息化(高教職教),2009(8).
[3]何秀全.高校信息化中的IT外包及其風險管理研究[D].上海外國語大學 2012年碩士學位論文.
[4]王左利.探討學生網管模式[J].中國教育網絡,2009(3).
第3篇
關鍵詞:高校信息安全風險保障策略進行研究
現如今�����,以手機、電腦為主的用戶終端在高校校園內早已普及了�����,并且也融入了學校師生的日常生活。在這樣的大背景之下��,加強高校信息安全風險的保障策略則顯得尤為必要和迫切��。尤其是近幾年���,在互聯網帶寬大幅提升、大數據建設步伐逐漸加快的形勢影響下,高校也開始從“數字化校園”逐步轉向為了“智慧校園”的建設與發展模式�����,以致于傳統落后的高校信息安全工作開展受到了強烈的沖擊�。由此可見,做好高校信息安全風險保障工作����,實際也是為了促使高校教育事業得到更好的發展���。
一����、高校信息安全的基本內容
1.1高校信息安全的基本概念
所謂“高校信息安全”�����,主要是指保證信息自身����、信息處理以及信息利用的安全���,進而有效確保院校信息的完整性、機密性、可用性���?�!蓖ǔ?���,高校信息安全內容主要包括三個方面:院校網絡設備的安全;系統運行的安全���,比如:信息系統不被損壞����;流通數據安全�����,例如�,院校網絡內流通的數據不被盜用等。在信息時代環境的影響之下,影響各大高校信息安全的因素也開始變得越來越多,常見就有:黑客�����、病毒等非法侵入系統����,曾一度使得院校公共信息、重要的科研資料信息等被竊取和泄露。鑒于此,做好保障高校信息安全工作就顯得十分重要����,而只有深入分析高校信息安全存在的實際風險,才能采取更加具有針對性的保障策略�����。
1.2高校信息安全背景
目前,我國高校信息安全工作開展還依舊處于參差不齊的水平狀態下,尤其是:經費來源��、重視程度��、人員素質等內容�����,更是對實現高校信息的安全造成了巨大的制約。對于那些發展較好的高校而言��,它們的信息安全保障工作也是做的相當到位����,甚至是超過了211�����、985等公辦高校����。然而對于發展相關落后的民辦高校來說,其信息安全風險依舊存在�,而且數據信息孤島的現象也比比皆是��,這實際上也反映出了高校信息安全工作開展的迫切性��,與此同時�����,也意味著高校信息安全風險保障工作開展還要經歷很長的歷程���。
二、目前高校所存在的信息安全風險
2.1缺乏集中統一的規劃
高校信息安全風險的種類有很多�,其中校園網建設與發展就是其中一個重要的組成部分�����,比較明顯的缺陷則在于缺乏集中統一的規劃����、缺乏完整科學論證體系���、缺乏合適的運維管理模式,以及存在“數據信息孤島”等現象���。由于校園網建設投入大����,建設周期較長���,利益產出比也不明顯���,因此使得一些民辦高校在有限投入資金的前提下,會優先考慮教學條件�、實習實訓基地�����、學生住宿等方面的支出�����,這樣就可以將校園網建設放在“能使用就盡量不投入”的發展思路之中,同時也促使學校校園網建設變成了簡單的設備和平臺采購���,進而在一定程度上減少了民辦高校校園網建設的成本����。但是�,這樣的辦學理念卻間接地加大了高校所面臨的信息安全風險�����。
2.2缺乏完整的科學論證體系
高校在信息安全管理上之所以會存在科學論證體系不完善的問題��,實際上也是因為院校以及相關負責人對于信息安全重視性程度不夠��,進而缺少必要的防護措施����。主要表現為三點:一是作為院校信息安全的工作管理人員���,他們難以體會到信息安全對高校所產生的重要影響��,因此使得他們工作中的安全意識普遍不強���。與此同時����,相關信息安全工作人員由于不主動接受相應的信息安全培訓教育����,從而導致他們防病毒以及防黑客的意識都不強�,一旦遇到外界的惡意攻擊�,必將給高校帶來重大的損失。二是作為使用院校網絡信息的相關人員,他們在使用過程中也是極度缺乏信息安全的保護意識�����。尤其是一些高校學生,在日常生活和學習中����,網絡的使用早已變得愈加頻繁�,但是他們卻潛意識認為保障信息安全只是學校的事��,完全與自己無關����。正是由于他們缺乏這種信息安全的意識����,進而導致其在使用信息的過程中�,很可能無意泄露重要的校內信息���,并使黑客���、病毒等軟件有機可趁。三是對信息安全風險漏洞修復�,檢查不及時��。比如:由于技術人員的疏忽,或者是軟件使用的時間太久,從而導致一些防護信息安全的軟件出現了各類的缺陷,加上相關的信息安全管理人員沒有及時對這些問題軟件進行下載和重新安裝��,最終也就導致安全風險保障工作難以做到位�����。
2.3缺乏專業的信息安全保障技術人員
高校雖然很重視信息安全保障工作的開展����,但是對于那些民辦高校而言,由于其性質決定了它在辦學過程中會過于追求經濟利益�����,因此�,相關負責人也會把更多的注意力集中于專業設置和學生專業學習等方面���,自然也就忽視了高校信息安全工作的開展。以校園網建設����、運維管理為例,則間接導致相關管理人員的缺乏��,并且他們還不具備有較強的專業能力,長此以往�,則使得高校校園網的建設與發展難以形成一個科學的體系���,這也將直接阻礙高校校園網的建設與發展�。比如:一些民辦高校的辦學條件等資源同公辦院校相比都存在巨大的差距,除了沒有人事編制��、管理機構以外���,還極度缺乏相關的信息安全保障技術人員�����。很多民辦高校為了節約人員成本���,甚至還由其他的教育行政人員兼任技術人員�����,正因為如此��,才使得校園網的建設���、運維管理人員的數量等方面與公辦院校存在巨大的差異。與此同時���,部分技術人員由于薪資待遇等問題,從而使得他們難以認清楚自身所肩負的職責和使命��,當某些信息安全風險急需要被解決的時候�����,他們常常不知所措���;而沒有風險存在的時候��,也不主動對信息安全風險問題進行排查����。而其實這都體現出了高校負責人對于信息安全問題的不重視��。
2.4缺乏嚴格的制度管理
我國很多高校在關于信息化建設����、運維管理�����、方案論證����、設備采購���、后期服務等方面的制度����,幾乎是一片空白或者是有章不循,這不僅容易導致信息安全風險的出現,還使得整個信息安全保障工作難以落到實處。其實�,這也反映出高校各部門,各院系在信息安全保障上各自為戰�,從而也才使得類似校園網建設與發展等信息化工作的進度緩慢���。其實����,這都歸根于高校信息安全管理制度還不夠完善,同時高校負責人對信息管理部門的監管也比較松懈�,雖然在教育部門的要求下建有總體規章制度,但整體而言���,還是缺乏明確的管理機制�����,最終導致監管機構形同虛設�����,相關人員更是無法真正履行應負的職責���。除此之外�,高校在應對突發校園信息安全問題的時候���,也缺乏明顯的應急處置機制,往往也是因為問題沒有得到及時的處理和解決���,而給高校其余教學工作的開展造成了重要的影響���。總而言之,盡管各高校目前的信息化建設非常迅速�����,但是絕大多數院校在信息安全的監管上還依舊存在較為嚴重的漏洞。
三����、關于高校信息安全風險的有效保障策略
3.1加強對高校信息安全風險保障的重視程度
高校管理者對信息安全風險的認知度和重視度是決定高校信息化建設發展成敗的關鍵。因此��,必須要從多方面做好相應的信息安全風險保障工作����。首先是高校信息安全保障工作開展必須上升到管理層,而且還要由學校領導參與其中��,并對相關建設和發展問題進行協調把關�,從而才能為方案論證、項目實施��、資金、人員、部門協調提供有力的組織保障����。同時,利用上層管理者的公關能力加強與公辦院校、專業IT公司���、運營商的合作也顯得尤為必要����,因為只有加大信息資源的整合和共享���,再借助大數據等相關資源����,才能為后期預防信息安全風險獲得更多的資金保障�。其次是不斷強化師生對于信息安全風險保障工作開展的認識����。例如:院校可以不定期組織學校負責信息安全管理的工作人員同師生們一起學習網絡安全管理制度,主要內容可以包括:計算機信息網絡國際互聯網安全保護管理辦法��;信息審核、登記制度等國內外信息安全法律法規的培訓教育�。借此機會���,也可以向廣大師生普及信息安全知識����,進而提升他們的信息安全保密意識���,并共同努力營造出維護院校信息安全的良好氛圍�����。除此之外�����,在師生中開展信息安全技術教育培訓工作也十分必要�����,比如:舉辦計算機技能培訓;開展網絡維護技能培訓活動等����?��?傊?��,通過這樣的形式�����,師生們則能有效掌握網絡防御技能���,并且也能提升防范信息安全風險的能力。
3.2加強信息安全風險保障工作的發展研究
隨著我國《國家中長期教育改革和發展規劃綱要(2010-2020年)》的頒布���,作為高校負責人,更應根據學校自身發展特色�����,積極研究本校的信息安全風險保障工作的開展,為了取得良好的效果���,除了轉變現有管理體制����,還要積極建立適合自身發展的規章制度�,并在一定程度上加強信息化�、校園網建設在內的基礎設施建設�����、應用環境建設、網絡安全保障等等。比如:完善校園網絡信息安全管理中心����。即根據“預防為主,防患未然”和技術防范相結合的準則,對院校的信息安全管理采取“三級聯動”的管理機制。所謂“三級聯動”�����,主要是分為三個步驟�,第一層則是由學校領導進行決策和監管�����;第二層則是由學校中層干部實施管理���;而第三層則由學校一線操作工作人員負責具體執行�����。因此也就意味著����,高校建立的“三級聯動”信息安全管理機制后���,則可以專門成立管理學校信息安全的信息管理中心,有條件的高校還可以配備一定數量的專業技術人員���,這樣就能促使信息安全風險保障工作得到層層落實��?�?傊?����,通過這樣的方式,才能彰顯出制度改革對于學校自身發展的重要性��,進而更能調動各部門積極參與信息化建設���,并共同推進信息化��、校園網的持續發展。
3.3加強信息安全風險保障技術人才隊伍建設
由于高校信息安全風險保障工作開展是一個長期的�����、持續性的過程,因此要注重人才培養�、引進建設。根據相關數據分析結果可知�,我國信息安全方面的人才缺口極大�����,特別是業務技術精湛��,專業性強的技術人員更是極度欠缺�����。因此��,高校應根據其政策靈活的特色�����,建立人才培養和引進的長效建設機制���,同時還要加大培養學校內部業務和管理的骨干,這樣才能從根本上提高信息安全風險保障技術人才隊伍的建設��。除此之外���,高校還可以在“以情動人、以信待人、以德服人�、以誠感人”方面下工夫����,因為這樣可以用濃厚的文化氛圍感染人、用良好的工作環境吸引人、用適當的待遇留住人�,由此可見��,穩定人才隊伍,并逐步建立一支專業結構合理�、整體素質基本適應學校信息安全風險保障工作的人才隊伍��,才能促使高校信息化建設工作的發展。
3.4加大各項資源設備的支持力度
一直以來,資金問題都是困擾高校信息一個“瓶頸”���,尤其是對于一些民辦高校而言��,它們的辦學經費很少能得到政府的補貼��,以致于資金獲取方式還是以自籌為主��。為了促使信息安全風險保障工作的順利開展,作為高校負責人��,就應該在信息化和校園網建設等過程中嚴格評估和控制資金投入的效果����,在條件允許的情況下����,還可以通過校企合作的形式獲得相關企業的資金支持�����。除此之外��,建立健全完善的高校網絡病毒防御體系也十分必要�����。比如:裝載正規出版且得到了權威認證的殺毒軟件���,這樣就可以和放心的將其運用到校園網內的網絡信息管理中心網頁,不僅能夠方便廣大師生免費下載安裝���,還能夠通過殺毒軟件的定期更新�,及時幫助師生掃描殺毒和修復可能存在的安全漏洞����。為了使得網絡病毒防御體系的建設真正落到實處���,為此還可以開設留言專欄��,而這就能及時收集到學生和教職工所反映的問題,進而確保院校內電腦的安全運轉�����。當然�����,周密制訂防火墻防范對策也是相當的重要。例如����,嚴格把關好操做系統的端口配置,并堅持該開放的開放�����,不許開放的則堅決關閉的原則����。至于那些需對外開放的網絡服務����,則應當將需要開放的服務器端口開放�,不需要的端口就堅決關閉�。總之�����,只有各項資源設備變得完善,才能夠為高校信息安全風險保障工作的開展提供支持和保障��。
四���、結語
隨著社會的發展和進步�,高校也早已進入到了網絡環境下的“數字化”時代��,在這樣的環境影響下����,以校園網為代表的信息化工程建設與發展也成為必然�,相應的也給高校帶來了信息安全風險。所以�����,如何才能確保高校信息安全保障工作落到實處����,并促進民辦高校教學事業的發展��,成為了一個需要深入思考的問題��。本文對此淺析����,也是希望能為高校提供更多的借鑒意義和價值��,進而有效推動高校信息化建設工作的發展�。
參考文獻:
[1]吳旭東,柳炳祥校園網網絡規劃的設計與實現[J]電腦開發與應用2011.02
[2]韓寧淺議高校校園網建設與管理[J]科技創業月刊2011.09
[3]汪瑩�,朱齊媛關于高校校園網信息安全的現狀與對策[J]重慶工學院學報(自然科學版)2008.06
[4]姜少軍,盧金海高校信息安全保障體系分析[J]青島遠洋船員學院學報2005.09
第4篇
關鍵詞:信息安全�;IT治理�;智慧校園��;等級保護����;信息服
中圖分類號:TP393 文獻標志碼:A 文章編號:1673-8454(2017)01-0040-05
一��、引言
隨著網絡和信息技術不斷應用到社會生活的各個方面����,信息服務成為支撐高校教學、科研��、管理�、服務等職能開展的基礎手段。隨著高校信息化建設從數字校園建設向智慧校園建設過渡�����,高校信息服務也從以網站為主向網站與移動應用相結合轉變,規劃�����、建設和運行維護的高校IT環境也更加繁雜;在“互聯網+”背景下高校信息化建設從“自主”建設為主向“開放與自主”相結合轉變[1]�,提升高校IT環境管控水平的需求也更加迫切;而網絡信息安全領域面臨的嚴峻形勢,國家推進信息系統等級保護建設,也對高校IT環境管控能力提出更高要求。如何在信息安全管控要求下�,不斷提高高校信息服務的管理水平已成為信息化建設的關注點之一�。
本文在總結智慧校園建設下IT治理思想的基礎上����,梳理和分析智慧校園建設下信息服務安全管控需求�,提出面向信息安全管控的高校IT治理支持平臺的建設理念��,采用支持移動多終端訪問的開發技術和組件化信息系統集成技術���,分析�����、設計和實現面向高校信息安全等級保護工作開展的IT治理支持平臺的實際應用系統,最后結合平臺實現和運行狀況及IT治理發展前景,提出平臺下階段完善和拓展方向。
二、智慧校園建設下IT治理思想
隨著校園網絡建設和信息應用建設逐步推進�,高校信息化建設已經從最初以校園網絡和數據中心等硬件為主的建設階段,過渡到以數字化校園等軟件為主的建設階段;2015年我國政府工作報告中從國家層面提出“互聯網+”概念以來����,高校信息化建設領域也從傳統的以“構建虛擬校園”為特征的數字校園建設向以“移動互聯����、智能感知與物聯網�、大數據分析與決策支持”為特征的智慧校園建設過渡[2]���。圖1所示是目前主流的關于智慧校園系統層次邏輯的描述����。
在“互聯網+”背景下��,智慧校園建設模式也逐步擺脫數字校園建設階段以學?���!白灾鳌苯ㄔO模式為主的狀況,從自身發展的實際需要出發����,以提升學校IT資源利用效率為主要目的�,采取“開放與自主”相結合的建設模式���,通過“開放”充分利用信息行業各類服務和調動校內外各方建設熱情����,通過“自主”牢牢掌握關系學校核心利益和師生各類需求的數據����、流程和安全管控����,營造關注學校核心職能和師生實際需求的“合作開放�����、利益共享”的信息化建設生態圈[1]。圖2所示是“開放與自主”相結合高校信息化建設模式的邏輯結構�。
智慧校園建設過程中,隨著服務外包的采用和社會服務的集成,如何高效管理學校相關的各類IT資源成為制約數字校園建設向智慧校園建設的一個重要因素�,很多高校在數字校園階段也沒有很好解決IT資源管控問題�,造成IT資源浪費�����、數據準確度差、項目實施風險高等問題�����。通過IT治理(IT Government)將IT戰略和高校發展戰略有機結合,將學校信息技術資源轉換成優勢資源�����,對信息化相關的決策、激勵、控制緊密協調,整合學校相關IT資源應用的全過程����,整體提升學校IT政策���、組織���、服務與資源的管控水平,成為保障智慧校園建設順利開展的有力舉措[3]��。
IT治理的思想來源于Brown在20世紀90年代中期提出的信息系統治理(IS Governance)的概念[4]。IT治理是描述組織是否采用有效機制,使得IT應用能夠完成組織賦予的使命并平衡信息化過程中的風險�����,確保組織戰略目標實現的過程���,解決“做什么決策?誰來決策�?怎么來決策�?如何監督和評價決策?”[5]��。IT治理的使命包括:保持IT與組織目標一致��,推動組織業務發展�,促使收益最大化,合理利用IT資源,適當管控與IT相關風險[6]���。
信息化建設程度高的美國研究型高校很早就接納和推行IT治理思想��,多采用聯邦式的IT治理模式��,對學校信息化建設相關的決策��、激勵和控制形成有效機制��,在設置專職的首席信息官(CIO���,Chief Information Officer)的基礎上����,建設服務全校的信息技術服務(ITS�����,Information Technology Service)部門支持高校研究和教育��、跨地域和跨機構的合作和協作�、服務學習者和推動IT技術傳播[7]�。我國高校信息化領域在2010年前后逐步關注IT治理思想[8]�����,之前對于在高校設置專職CIO的呼聲也一直持續到現在�����,但是真正的對學校整體信息化治理水平提升的影響十分有限����。也因此在高校信息化建設過程中以管理推動的信息化建設模式只有少數信息化領先高校才得以實施��,而部分高校通過技術推動的信息化建設模式逐步向管理推動靠攏[1]��;而隨著“互聯網+”背景下各類社交化應用不斷滲入高校職能的各個方面����,真正實現以師生實際需求來推動的信息化建設模式也有了實際案例���。
信息化組織體系與決策機制、信息化發展與項目規劃���、項目實施與過程控制等三大核心要素是推動高校信息化建設的三大核心要素[9]��,也是智慧校園建設下IT治理主要關注的三個方面��,在政策制度���、組織架構建設的基礎上�,對于高校IT資源情況感知��、監測與管理,對于高校IT項目全生命周期管控等都是需要相關的支持平臺來完成����。
三�����、智慧校園建設下信息服務安全管控需求
高校信息化建設作為高校教學、科研���、管理和服務等職能的網絡和信息技術基礎��,智慧校園建設過程中以用戶為中心的個性化信息服務是重要組成部分。為支撐智慧校園服務發揮作用�����,服務層、數據層、環境層和通訊層涉及多個建設方和運維方,實際運行中的包括電子郵件、外網訪問等網絡基礎服務�����、網站群、門戶系統����、身份認證�、業務系統�、移動應用后端支撐系統等各類信息化應用系統���,交換機����、路由器、服務器���、存儲�����、負載均衡等各類IT硬件設備�����,統一的系統運維管理是智慧校園建設順利開展的基本保障�����。
隨著網絡和信息基礎設施成為國家和社會發展新的重要戰略資源�,以及我國在IT相關領域缺少核心技術支撐的現狀���,促使在網絡信息安全領域要投入更多管理措施。雖然之前對于網絡信息安全保障都當作是信息化建設架構中的重要組成部分�����,但是實際建設和運維過程中卻關注很少���,或者常為功能實現而犧牲安全水平,缺乏統一的安全政策制定與執行���、安全事件無法及時發現定位和應急處置�����;在實際的信息系統等級保護工作推進過程中,也暴露出信息系統管理水平低��、定級備案整改落實不力、等級測評脫離提高安全管控能力實際等問題����。隨著國家通過推進信息系統等級保護建設以提高國家整體信息安全水平的工作不斷推進,對高校IT環境管控能力提出更高要求�。以安全管理制度�����、應急響應制度等軟環境和以防火墻����、VPN���、堡壘機���、IDS/IPS、應用防火墻等各類安全設備硬環境組成的統一的信息安全管控也成為智慧校園建設順利開展的基本保障���。因此�,基于等級保護要求����,智慧校園建設中對信息服務安全管控提出如下需求:
1)信息服務安全管控應該以全面掌握各類IT資源基本情況�����、配置變動��、狀態監控等為基礎實施�����。
2)信息服務安全管控應該貫穿智慧校園建設的規劃��、設計、實施����、運維等各個階段�����,并在組織���、戰略���、架構���、基礎設施�、業務需求����、投資等各方面充分被考慮���,實現安全管控的全過程參與。
3)信息服務安全管控應該充分考慮國家信息系統等級保護要求�����,對信息系統的定級���、備案、測評���、整改等提供全生命周期管理。
4)圖形化、集中化的對信息服務安全管控態勢相關的各個支撐環節進行展示和分析����,在充分獲取各類安全日志����、威脅情報的基礎上,分析和定期實現安全評估報告和態勢分析,并對發現的不足方面及時完善和加強監控�����。
5)信息服務的狀態監控、安全信息的獲取與分析等都要充分實現自動化���、智能化管理����,減少人工操作工作量份額��,以實現全天候狀態監控和安全響應的要求���,并通過各類事件分析與告知機制實現信息及時交互與分享�,提高整體安全防控水平��。
在對高校整體IT資源環境進行管控的基礎上��,智慧校園中信息服務安全管控將在組織和制度建設的基礎上����,通過集中實時獲取�����、維護、管理�����、分析信息服務相關的各類信息����,將各類智慧校園建設利益關聯方整合在統一的IT治理支持平臺上,實現決策、激勵和控制相關信息的充分共享,不斷推動高校信息化決策實施和項目實現�����,支撐高校新形勢下的人才培養和教學科研的戰略轉型��。
四、面向信息安全管控的高校IT治理支持平臺的實現與應用
高校IT治理支持平臺是根據實際采納的IT治理框架�,實現全過程的信息服務支撐。目前國內外主流IT治理框架包括ITIL(IT Infrastructure Library���,信息技術基礎架構庫)框架�����、COBIT(Control Objectives for Information and Related Technologic�,信息通用審計標準)框架�、PRINCE2(Project in Controlled Environment2�����,受控環境下的項目管理)框架等[10]�����,各有側重點和優勢領域�,其中ITIL重點關注IT過程管理����,對整個IT治理流程和信息進行完整的實現和管控�����,特別強調對組織的IT服務支持和IT項目交付,很契合支撐高校各自特色發展目標的信息化建設的治理需求����。
ITIL是由英國政府商務辦公室(The Office of Government Commerce,OGC)為解決“IT服務質量差”的問題提出和逐步完善的一套被廣泛承認的用于IT服務管理的實踐準則。ITIL以流程為導向��、以用戶為中心����,通過整合IT服務與組織業務,提高組織的IT服務提供、運營和管理的能力,詳細指明了IT管理流程應當如何構建和落實���,操作性和指導性優良[11]��。
ITIL主體框架包括服務管理、業務管理�、基礎設施管理���、應用管理�、IT服務管理實施規劃���、安全管理等模塊,以服務管理模塊為核心�,面向IT基礎設施管理提供支持,面向業務管理提供服務�。其中��,IT服務支持關注基礎設施的日常服務支持�,確保IT服務的穩定性與適應性��,通常包括一個服務機構(服務臺)和五個管理流程(配置管理�、事件管理�、問題管理��、變更管理和管理);IT服務提供承擔為業務用戶提供高質量��、低成本的IT服務�,與IT服務能力評估有直接關聯�����,與組織階段規劃和持續評估相關�����,通常包括服務級別管理�、可用性管理、能力管理����、IT服務可持續管理和IT服務財務管理�����。
面向信息安全管控的高校IT治理支持平臺,就是在基本的ITIL IT治理主體框架和流程基礎上�,結合高校信息化建設特點和智慧校園建設要求�,對業務和基礎設施的描述和監測進行數據化���,并進一步明確和細化安全管理�,在服務臺中增加安全服務職能���,根據信息系統等級保護具體要求增加專門的安全管理流程,與事件管理��、問題管理等流程形成完整的支持信息安全管控的治理結構,具體主要流程結構參見圖6��。
1.業務和基礎設施描述與監測數據化
智慧校園建設中��,業務和基礎設施的描述都要與具體的建設和運維相關,并在業務與基礎設施間建立起有效的可監測的關聯�。
業務可以看作是面向具體用戶方的服務����,而基礎設施也是提供自己能力的服務��。通過將業務和基礎設施都看成是基礎服務���,來對其進行描述與監測�����,并實現集中的監測與展示���。
1)服務相關的具體組成部分的邏輯定義����,從具體相關用戶角度進行��,建立對象����、內容項、數據項�、元數據的層次結構供IT治理支持平臺建模和對象監測使用�����;
2)服障喙氐撓沒描述��,根據用戶類型和服務功能對用戶角色進行分析和歸納,智慧校園建設相關的用戶角色通常包括普通用戶(注冊用戶��、校友、教師��、學生等)���、管理人員、系統管理人員����、運維人員���、外包人員等;
3)服務根據相關對象組成的流程進行組織�,如���,某臺交換設備和教務課表查詢功能���、成績查詢功能��、校園網網費查詢功能都成為一個可識別的服務[12]�。
2.安全管理細化與服務臺增加安全服務職能
智慧校園建設中,安全管理是基本的保障機制��,不僅僅是安全環境監測��、安全設備管理、安全漏洞發現���、安全事件處置���,還包括等級保護合規�、數據安全管理、安全態勢感知等功能�����,在IT治理后臺知識庫中也要專門為安全建立專門結構�,并與第三方安全服務廠商緊密服務獲取漏洞信息和安全態勢��。在IT治理框架中服務臺也需要有針對性的增加具體的安全服務職能��,該服務即是面向業務部門提供安全建議�����,也是面向信息部門提供安全預警��,并接受安全管控職能部門的來訪和反饋�。
3.根據信息系統等級保護要求增加安全管理流程
信息系統等級保護建設已經是智慧校園建設中不能回避的IT治理內容,也是推進高校IT治理水平的一個抓手和動力。安全管理流程需要在原有的配置管理��、變更管理�、管理等信息服務系統信息管理流程的基礎上��,根據國家信息安全等級保護相關管理辦法和標準指南����,實現對信息系統等級保護相關動作的全過程管理,實現對信息系統的立項、定級�、備案��、上線、測評、整改�、變更�、撤銷等的管理�����,集中管理和呈現組織信息系統數據����,并提供對等級保護指定動作的主動告知和預先準備�,提高整體安全管理合規程序的執行效率和自動化水平�����,并提供第三方測評機構���、人員����、活動的信息支持和可控共享�。
面向信息安全管控的IT治理支持平臺的建設理念是來源于校園信息服務日常運維和安全管控的實際經驗�,主要是為學校IT治理體系和工作推進提供基礎數據和信息服務,并面向信息系統等級保護工作開展提供面向信息安全管控的專項提升功能,促進IT治理能力和信息安全管控能力的不斷提升�����。該平臺的IT服務支持側的系統架構圖參見圖7所示��。
東北大學擁有高專業素養和技術水平的網絡和信息技術實施與運維團隊���,長期自動自發的通過網絡和信息技術推動學校數字校園乃至智慧校園建設,分階段分層次的實現學校各類用戶的信息服務水平[13],形成可持續發展的信息化建設氛圍���,推動信息化建設管理部門組建和頂層設計推動。
現階段,東北大學在信息系統等級保護工作推進下���,實現對校內相關的IT資源的全面調研���、排查和系統管理��,并通過在原有的面向用戶的智慧校園信息服務集中監測平臺的基礎上��,結合ITIL IT治理思想設計和實現了面向信息安全管控的IT治理支持平臺�����。該平臺采取數據層面的統一邏輯化和抽象化���,通過插件化設計為系統提供預先定義的各類對象模板、流程模板等����,系統訪問界面采用基于Boostrap框架的響應式界面技術設計和實現�,基本實現在桌面電腦操作系統�、移動手機�����、平板電腦等終端上提供相對統一的用戶體驗�,數據交換參考REST(Representational State Transfer��,表述性狀態傳遞)實現。通過該平臺的建設和應用,學校整體IT資源情況得到集中統一的獲取�����、維護���、監測和統計分析,為學校推進IT治理思想提供了前期的信息技術手段,同時也滿足現階段信息系統等級保護對信息系統的基本信息�����、定級備案�、整改測評等相關信息的集中管理��,對及時發現與處置漏洞和安全事件提供了基礎數據支撐�����,明顯提升學校信息安全管控水平���。
五、總結與展望
面向信息安全管控的高校IT治理平臺是在總結智慧校園建設下IT治理思想基礎上�,結合等級保護管理要求�����,在ITIL IT治理框架基礎上,提出和設計的IT治理建設信息支持手段���,為高校智慧校園建設提供高水平的合規的信息安全管控能力���,對于提升安全管控與信息服務全生命周期管理建立良好的信息共享和交互。
該平臺主要完善信息安全管控方面功能��,是對現有IT治理支持平臺的有益補充���,特別是對于提ITIL中服務臺功能完善是對高校實現信息安全整體管控的有益推動����;接下來���,可以進一步吸取其他主流IT治理架構優點����,結合高校智慧校園建設的社會化、服務化����、用戶體驗中心為主等特點進一步完善IT治理支持平臺���,如通過可視化的地理信息系統技術實現對IT資源的實時監控與展示,還可以集成校內部門IT能力績效評估等功能促進高校智慧校園建設不斷向深層次推進。
參考文獻:
[1]王宇,吳煒鑫,王興偉.“互聯網+”下高校信息化建設模式的探索與研究[C].第四屆中國互聯網學術年會(ICoC 2015)論文集,2015:235-241.
[2]蔣東興,付小龍��,袁芳��,吳海燕,劉啟新.大數據背景下的高校智慧校園建設探討[J].華東師范大學學報(自然科學版)�����,2015(S1):119-125+131.
[3]劉曉文�����,胡克瑾.美國高校IT治理的現狀與啟示[J].中國教育信息化,2008(13):20-22.
[4]Carol V. Brown. Examining the Emergence of Hybrid IS Governance Solutions: Evidence From a Single Case Study[J]. Information Systems Research, March 1997���, 8(1):69-94.
[5]丁天翔.IT治理與我國高校信息化建設[J].中國工程科學���,2011,13(1):109-112.
[6]彼得.維爾�����,珍妮.W.羅斯.楊波����,譯.IT治理:一流績效企業的IT治理之道[M].北京:商務印書館���, 2005.
[7]杜藎朱悅月�,付小龍����,蔣東興.美國研究型高校IT治理結構研究[J].中國教育信息化,2012(1):9-11.
[8]李林����,王賀松.校園IT治理框架研究[J].中國教育信息化,2010(9):4-6.
[9]趙亞萍,賈春燕����,程艷旗����,魯東明.美國高校信息化推進機制分析及其啟示[J].中國教育信息化��,2011(1):20-23.
[10]孟秀轉����,于秀艷,郝曉玲,孫強,等.IT治理:標準、框架與案例分析[M].北京:清華大學出版社,2012.
[11]李萍�,郭玉嬌.高校IT資源管理服務平臺探究[J].實驗技術與管理����,2011,28(6):138-141.
第5篇
安全運維管理專業人才的匱乏�。首先是安全運維管理人員數量上的相對不足�。雖然近年來很多高校已經設立了信息安全專業����,但依然無法滿足市面上對信息安全專業人才的大量需求;其次,各自的專業技術水平參差不齊����。試想一個不十分“專業”的安全運維人員在數千條的海量告警信息中如何對漏報與誤報做出迅速而準確的判斷?又怎樣令復雜的信息安全保障制度落到實處?以往信息安全專人專職被過分強調�,大部分行業用戶只配備少量技術人員負責相關工作���,很難有效實現先進管理�����。
信息安全風險管理與事件監控缺少信息化手段�����。近年來�,大量的安全標準的實施和推廣意味著更多的技術細節工作需要落實;網絡規模不斷壯大���,IT系統由不同品牌的產品和越來越多的子系統組成���,多個管理員分散管理�,各自為政��;關鍵行業24小時運行的系統缺少24小時有效的持續監控……以上種種皆令信息安全運維管理面臨著前所未有的巨大挑戰,技術和人之間的缺口越來越大�。
必須要“面對”的內部隱患。目前很多安全威脅的最終來源并不是來自黑客或是我們通常意義上的外部入侵者�,而是源于企業內部形形的違規操作��,這些內部隱患問題的出現也令信息安全管理面臨很大挑戰���。在大部分IT系統中,交叉管理�、一臺服務器多人擁有權限使用同一個賬號登陸管理的現象非常普遍。未經測試和公告進行配置更改���,往往給系統埋下不穩定因素。而由于系統的復雜性和管理人員無暇顧及往往大部分配置變更沒有有效記錄�����,這些變更顯然也不能依靠變更人員主動自覺的上報來實現���。傳統的運維管理產品缺少監控手段,僅依靠人為的自覺錄入顯然已經不符合實際運維環境��。利用工具化的手段技術巡檢IT系統尋找各項配置變更的實施情況����,并快速進行內部通告就顯得尤為重要�����。
信息安全的多頭管理局面?��?v觀世界�����,中國的信息安全立法和執法的力度不亞于任何發達國家。眾多管理機構對于信息安全不約而同的重視令中國的信息安全呈現多頭管理局面。安全要求眾多�����,程序紛繁復雜�����,如何構建一個開放式的平臺實現多種合規性的整合���,并能根據新的要求進行靈活調整也是安全運維管理面臨的現實挑戰之一��。
第6篇
關鍵詞關鍵詞:高校網站���;網站集群�����;網站運維�����;三方聯動機制;CMS
DOIDOI:10.11907/rjdk.161430
中圖分類號:TP319
文獻標識碼:A 文章編號:1672-7800(2016)008-0150-03
0 引言
隨著高校網站建設規模及數量的不斷發展,網站信息內容和服務功能正逐步豐富與完善�,已成為向校內外用戶提供教學���、科研、管理�、招生就業等方面公共信息與服務的平臺����,是展示高校形象��、與外界聯系的重要窗口��,是高校信息化建設的重要組成部分。
高校網站群通常由學校的門戶網站及多個子網站組成����,如何對網站進行科學建設與運維管理具有重要意義���。
1 高校網站建設與運維管理存在的問題
1.1 缺乏統一規劃�,重復投資建設
許多高校存在各部門單獨進行網站規劃�、設計和管理���,各網站分布在相對獨立的服務器上,網站之間信息缺乏有效共享�,難以實現更高層次的信息處理和數據挖掘利用等問題[1]��。由于網站建設初期未進行合理細致的規劃��,當網站后期需要擴充功能或改版升級時,往往需要重新建設網站����,造成人力和財力等資源的嚴重浪費�。
1.2 網站開發人員水平參差不齊�����、流動性大
高校網站開發人員有專業教師�、教輔人員��、在校學生及專業技術服務公司�。各網站開發團隊規模不同、開發水平不一�、網站設計風格各異�����,實現網站安全的技術手段也不盡相同����,提供的管理維護方式及力度也有差距。例如�����,有的網站由在校學生進行建設和管理���,學生離校參加工作后��,可能不再參與網站的管理S護工作,導致網站后期維護困難��。
1.3 網站內容建設重視不足
高校網站建設重開發輕內容現象較為普遍�����,許多部門對網站的信息內容建設不甚重視�,網站信息不能引起用戶的興趣。有的網站內容更新不及時�����,沒有發揮好網站傳遞信息的作用。
1.4 信息安全意識薄弱�,存在安全風險
不少網站管理人員信息安全意識不強���,無法有效控制網站安全風險。當發生網頁被篡改等攻擊事件時�����,無法及時恢復網站,導致用戶無法正常訪問��。有些被篡改后的網頁上顯示不良信息,造成負面影響����。
2 建立“三方聯動”機制,推進高校網站建設工作
為確保高校網站建設運維工作高效有序開展,本文探索推行由校內網絡信息管理部門��、網站建設部門、網站開發部門共同構成的“三方聯動”機制[2],如圖1所示。
在三方聯動機制中,網絡信息管理部門負責領導和組織網站建設����,以及網絡信息安全的相關工作�,包括制定網站建設與管理的相關制度���,對網站建設申請進行審批�����,并對的網站信息內容進行監督管理。網站建設部門按照制定的相關制度,負責擬定本部門網站建設需求與網站內容更新等工作�����。網站開發部門在網絡信息管理部門的要求和指導下����,負責對網站建設和運維管理提供技術服務支持�,利用信息技術和網絡資源優勢做好網站建設的各項工作�,確保完成網站建設目標�。
隨著高校網站建設目標的不斷提高���,網站服務形式和功能也會發生轉變,網站建設部門會根據業務發展需要,提出網站建設新的要求�����,這反過來會影響或提高校園網站整體建設要求�����。網絡信息管理部門應根據實際情況進行相應調整���,網站開發部門在技術上�、可利用資源上提供必要的支持���。在三方聯動機制下�����,通過明確三方各自的職責��,實現三方職能互補��、溝通互動����,促進三方協同工作高效開展���,使網站建設工作更有成效。
高校網站建設流程分為申請�����、開發和3個階段���,如圖2所示��。
首先,由網站建設部門提出申請��,提交相關申請表格��。申請內容包括網站名稱、申請部門、網站制作需求等信息���;其次���,申請表需經網絡信息管理部門審批�,批準后由網絡信息管理部門備案,再由網站開發部門根據需求提供網站建設方案��,經與網站建設部門確認后開展網站資料搜集���、分類整理和審查工作;網站開發完成后還需進行相關測試�,通過測試并經過審核后才可上線���。
3 網站開發團隊建設
網站開發工作需要專業的知識�����、技術與經驗��,通過組建專業化����、高素質的高校網站開發團隊�����,以高效率完成網站建設任務���。
3.1 組建專業高效的開發團隊
結合三方聯動機制的思路����,由網絡信息管理部門與網站開發部門根據學校網站總體建設任務,確定開發團隊的規模�,選拔任務所需知識結構和專業技能的人員加入團隊。同時,還要充分考慮團隊成員各方面的差異和需求,制訂有針對性的激勵措施���,充分調動團隊成員的積極性、主動性和創造性�。增強團隊凝聚力,營造良好的協作氛圍��,使團隊成員能夠在權責范圍內充分發揮應有的作用。
3.2 以任務為導向進行網站建設
以任務為導向的網站開發團隊[3]主要工作職責是完成網站建設。開發團隊必須清楚認識網站建設的目標��,通過制定合理的網站開發流程和相關的工作規范����,齊心協力進行網站開發工作����,確保建設任務按時保質完成��。開發團隊還要增強學習意識,通過不斷總結網站建設工作經驗���,改進工作方法和技術手段�,逐步提升團隊的技術實力和職業素養。
3.3 引導網站用戶參與建設
高校網站的設計和開發應優先滿足用戶的需求和期望�����,可以邀請并引導師生及用戶參與到網站的設計和決策過程中來,將用戶的需求和意見融入到設計方案中,確保網站建設效果��,創新網站設計��,改善用戶體驗�����。
4 基于CMS的高校網站集群建設方案
通過采用統一框架下基于內容管理系統(content management system��,CMS)的網站集群建設解決方案�,實現統一建設�、信息共享��、提高效率���、豐富內容����、安全可靠的高校網站建設設計思路,以解決高校各網站相互獨立建設和管理而產生的諸多問題,提高網站建設與管理水平�。
CMS在B/S架構下的網站集群結構及主要功能如圖3所示。
基礎設施層:由支持該系統運行的硬件���、系統軟件和計算機網絡組成�����。
信息資源層:包括系統用戶和組織結構信息,網站內容信息�����,圖片、視頻等多媒體文件資源及數據庫管理系統����,為系統中各站點提供信息資源和系統數據,同時通過對用戶管理和權限控制,保證信息資源安全。
系統管理層:主要包括對系統用戶和角色的管理���、權限管理�、統計分析�����、日志管理�、數據備份與恢復等功能。
系統應用層:系統進行網站集群建設應用的核心�����。系統為網站建設和管理人員提供可視化操作界面��,能夠方便地進行操作����。主要包括創建網站�、設置網站欄目���、創建網頁模板�����、信息等操作。
系統表現層:將各類信息資源以豐富的多媒體形式展現給用戶瀏覽。
用戶訪問層:用戶訪問層目標用戶包括教師����、學生�����、科研人員�����、社會公眾等人群,這些用戶通過Internet可以直接訪問校園各網站��,瀏覽和查詢網站相關信息。
4.1 統一規劃建設����,資源整合共享
基于CMS的網站集群建設解決方案是在統一框架下實現對多個網站軟硬件資源的共享�。在統一的系統平臺�,采用統一的技術標準和規范,對各網站進行統一規劃建設和管理,實現對多個網站的集群管理和數據的集中存儲��,使各網站的信息資源共享,從而消除信息孤島現象��。校內網站可以使用CMS來建設和維護,不需要單獨購買服務器����,大大減少了軟硬件資金的投入����,避免重復投資和資源浪費���。同時����,便于統一維護和更新軟硬件資源,使運維管理成本大幅度降低��。
4.2 提高網站建設效率�,降低技術要求
在CMS中采用模板與內容分離技術���。模板定義了網站前端頁面的展示樣式,使用這種技術可以在不影響網站內容和業務邏輯的情況下�����,方便地切換更新網站頁面的風格。系統提供多套網站模板�����,各部門可選擇使用���,從而簡化網站開發流程,縮短建設時間���。模板可由網站開發團隊統一設計和制作并存儲在系統中��。系統應支持搭建移動門戶功能,實現對網站一次內容采編就能在PC����、手機��、平板電腦等終端設備上同步。相對于獨立進行網站開發而言��,CMS的應用降低了網站建設難度���,提高了網站建設效率��,降低了建站人員的技術要求�����。
4.3 提高內容建設水平�����,提升用戶滿意度
在CMS的系統管理中���,網絡信息管理部門能夠對各網站內容的更新情況進行監管�����,對網站信息滯后的部門����,采取相應的管理措施���,督促其及時更新網站內容��。網站管理人員可使用系統功能來掌握網站訪問量、訪客信息等情況,對訪客用戶行為進行分析�����,挖掘統計數據�,利用統計分析結果輔助決策�����。此外����,網站建設部門通過網站收集用戶的反饋意見����,根據用戶關注或感興趣的內容完善網站的欄目和服務�,有利于增強網站信息內容的針對性和時效性,提高網站信息內容建設水平�,充分發揮網站宣傳與服務功能,達到提升網站用戶滿意度的目的�����。
4.4 建立嚴格審核機制�,構建安全體系
CMS所創建的網站都有相對獨立的管理維護權限���,各網站管理人員可以方便地創建網站欄目�����,編輯和欄目內容�����。為確保網站的信息內容符合相關政策要求���,必須建立嚴格的網站內容審核機制�����。在CMS中,主要通過“采編審發”流程對網站信息內容進行管理[4]�����。根據實際情況,在系統中定制相應的審批流程����,并授予系統相關用戶對網站信息內容的查閱����、編輯��、審核、等操作權限�。明確工作人員責職,提高網站信息內容的準確性和安全性���。配合安全管理制度���,通過系統提供的數據加密�����、身份認證、日志管理���、數據庫管理等功能,構建可靠的系統安全體系�����,確保系統穩定運行和網站信息內容安全��。另外���,系統應支持與外部業務應用系統的集成整合,提供必要的數據處理服務����,使數據能夠安全地進行交換與共享。
5 分級管理思路
在網站開發之初��,就應制定相應的運維方案,從技術和管理上提出具體要求�����。本文所討論的運維管理主要是針對網站上線運行后的工作。在高校網絡信息安全管理制度�、網站安全事件應急處理預案等相關管理制度��、規定的指導下�,網站運維可采用分級管理方式進行���,具體如下:
①由網絡信息管理部門負責完善制度建設����,建立網絡信息內容審核機制����,做好信息內容的監督管理。使用規章制度來指導網絡安全管理工作����,提升網站安全事件應急響應能力;②網站建設部門負責網站信息內容的更新維護工作�����,提出完善網站功能需求的建議��;③網站開發部門按照相關要求和規定����,增強網站安全管理技術手段,做好網站各項安全保障措施���。
CMS的安全穩定運行直接關系到網站的正常運行���。CMS的系統管理員負責日常運行維護和安全管理工作��,具體工作包括:
(1)通過CMS統一分配管理權限���,將網站管理相應的權限賦給特定的用戶或角色,使其能進行網站相應的操作�,如系統管理員在系統中將相關網站管理功能授予二級學院的網站管理員�,網站管理員對該網站進行欄目管理和熱莞新等操作�,從而實現在對網站管理員進行有效管理的前提下��,完成各網站的分級運維工作����。系統權限管理如圖4所示����。
(2)制定合理的系統數據備份與恢復策略,以便對系統數據和網站信息資源等重要數據進行備份和快速恢復���,確保系統數據庫的安全可靠運行。
(3)利用CMS的日志管理功能�,及時查找運行網站發生故障的原因�,使故障盡可能在最短時間內解決���。
(4)通過分析與評估CMS運行所使用資源的情況,及時進行擴容改造以滿足系統運行需求�����,保證系統的穩定性及安全性。
(5)定期對系統服務器進行漏洞檢測�,查殺病毒等升級維護工作。
(6)采用Web防火墻或第三方網頁防篡改系統等網絡安全保護措施[5],對網站進行實時高效監測與防護��,多方位加強網站群的安全保障,以確保網站安全正常運行���。
(7)網絡信息管理部門與網站開發部門以宣傳和培訓
的形式��,加強各部門網站管理員的信息安全意識。
6 結語
在高校網站不斷完善與發展過程中����,要始終堅持高校網站建設與管理并重�,重視制度與技術相結合�����。以網站為載體,開發和利用好高校的教育信息資源,促進高校教育信息化建設發展���,為進一步提高和完善高校信息化建設目標打下堅實的基礎。
參考文獻:
[1]屈建萍���,劉曉群����,呂國.高校網站集群建設管理研究[J].河北建筑工程學院學報�����,2008,26(4):89-91.
[2]齊艷苓.政府��、企業����、學校三方聯動的產學研合作機制研究[J].教育探索�,2009(5):46-48.
[3]趙桂亮.軟件項目開發團隊的組建問題研究[D].北京:北京工業大學,2006.
第7篇
近年來,隨著我國社會經濟的不斷發展�,國家對教育事業的支持和投入不斷增加�����,我國的高等教育從深度和廣度上都有了顯著的發展和提高�����。信息化���、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段,為教育模式的創新����、先進教育理念提供了可靠的實現方法。
高校信息化主要以數字化校園建設為主�����,主要內容包括校園信息管理系統��、數據中心、統一信息門戶����、統一身份認證��、校園一卡通、網絡安全體系等���;大學數字化校園建設通常先提出總體解決方案��,確定數字化校園的體系結構,制定數字化校園的信息標準�����,以及各系統之間的接口標準,然后分階段實施。建立全校的網絡安全體系�����,保證校園網絡的安全�,保證關鍵數據���、關鍵應用的安全以及關鍵業務部門的安全���,實現校園網絡及其應用系統的安全高效運行��。
1教育信息化中的安全體系建設
在教育信息化建設過程中,信息安全體系是保障教育信息系統的信息完整����、系統可用和信息保密的重要支撐體系�����,對各級學校、職業教育����、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視�,也是由于教育信息系統的復雜性���、多樣性、異構性和應用環境的開放性��,給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例�����,高校數字校園信息系統的建設是由高校業務需求驅動的,初始的建設大多沒有統一規劃��,有些系統是獨立的網絡,有些系統又是共用一個網絡����。而這些系統的業務特性、安全需求和等級�����、使用的對象����、面對的威脅和風險各不相同���。當前高校網絡系統是一個龐大復雜的系統�����,在支撐高校業務運營��、發展的同時,信息系統面臨的信息安全威脅也在不斷增長��、被發現的脆弱性或弱點越來越多����、信息安全風險日益突出,成為高校面臨的重要的���、急需解決的問題之一�。在進行數字化校園建設的過程中��,也曾發生不少信息安全事件,如某高校數據中心一臺服務器被黑客入侵�,成為肉雞��,被植入僵尸木馬程序,受黑客控制瘋狂往外網發包,導致學校網絡出口癱瘓��;某高校在高招中發現網站被掛馬�����、篡改,并且學校內部也曾經發現學生成績的數據庫�,有被惡意篡改的痕跡�����。
2網絡安全威脅分析
(1)高校網站的安全威脅�,包括高校門戶網站��、高校招生網站����、二級各院系等網站�����,由于高考���、招生、學生就業等敏感時期�,聚集了大量的學生及家長訪問流量,也引起黑客的關注�����,高校網站面臨的主要安全威脅有:網頁被掛馬、被篡改���,黑客通過SQL注入、跨站腳本等攻擊方式����,可以輕松的拿到高校網站的管理權限,進而篡改網頁代碼����;部分攻擊者將高校網站替換成黃色網站,影響極其惡劣����。每年高考招生及高校重要節日期間�����,高校門戶網站極易被DDOS攻擊����,這種由互聯網上發起的大量同時訪問會話���,導致高校網站負載加劇,無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后���,以該服務器為跳板�����,對內網進行探測掃描��,發起攻擊�,對內網核心數據造成影響��。(2)隨著校園網信息化的逐步深入�,業務系統眾多,“一卡通”�����、教學信息管理系統��、電子圖書館��、教育資源庫等信息化業務系統均普遍的被各大高校采用����,而這些系統由于管理及防護不到位,面臨著較嚴重的安全威脅:業務系統缺乏必要的入侵防護手段���,高校網絡規模擴張迅速�,網絡帶寬及處理能力都有很大的提升,但是管理和維護人員方面的投入明顯不足����,沒有條件管理和維護數萬臺計算機的安全,一旦受到黑客攻擊���,無法阻斷攻擊并發現攻擊源;部分高?���!耙豢ㄍā背渲迪到y與銀行互聯���,邊界缺乏必要的隔離和審計措施�����,出現問題不方便定位,難以追查取證����;校園網數據中心內的系統應用眾多�����、服務器眾多�,管理及維護方式也不盡相同��,無法做到所有的系統實施統一的漏洞管理政策。同時�����,對于存在安全隱患的配置檢查,也缺乏自動化的高效檢查工具和控制手段����;業務系統權限控制不合理,有安全隱患�。
3需求分析
根據對高校校園網絡的威脅分析,得出在校園網絡安全體系建設中��,各個網絡區域和業務系統的安全需求如下:
(1)校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別�����、過濾����、清洗�,保證網絡出口的暢通��,保證骨干鏈路的負載處于正常范圍之內。(2)網絡出口鏈路應有相應措施����,對來源于公網或內網的黑客入侵��、病毒傳播等安全威脅進行實時識別與阻斷�。(3)DMZ區及內網服務器區出口鏈路上,應對針對WEB應用的7層攻擊���,如SQL注入�����、XSS、HTTP GET FLOOD等威脅進行全面深入的防護���。(4)應對流經核心交換區域的所有流量進行深入的檢測��,以識別內部各網絡區域之間發生的入侵事件和可疑行為。(5)應對內網用戶的網絡行為,如公網訪問�、數據庫訪問等進行全面的記錄和審計����,以滿足違規事件發生后的追查取證���。(6)應在不同校區之間的鏈路接口進行訪問控制���、病毒檢測、入侵防護等安全控制措施����。
應對全網的網絡節點進行漏洞風險管理�����,實現漏洞預警�、漏洞加固和漏洞審計的全程風險控制�。(7)應對全網的網絡節點進行配置合規管理,實現違規配置及時識別�����、配置整改全面深入�、配置風險全程可控。(8)應對運維管理人員進行詳細嚴格的權限劃分����,并通過技術手段控制運維行為權限���,對運維行為進行全程審計,對違規運維操作進行實時告警�����。
4遵循等保要求
2009年11月,教育部為進一步加強教育系統信息安全工作��,由辦公廳印發《關于開展信息系統安全等級保護工作的通知》(教辦廳函[2009]80號)����,決定在教育系統全面開展信息安全等級保護工作;等級保護不僅是對信息安全產品或系統的檢測�、評估以及定級�,更重要的是,等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度���,是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合���,設計一套符合高校需求的信息安全保障體系�����,是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法����。
5網絡安全建設方案
(1)在校園網出口處旁路部署抗拒絕服務攻擊系統(ADS)對拒絕服務攻擊流量進行清洗��,并且旁路部署網絡流量分析系統(NTA)對網絡流量組成和DDOS攻擊成分進行分析和判斷�。在正常環境下����,旁路部署的ADS不參與網絡出口流量的路由和交換,邊界路由器通過NETFLOW等技術將流量信息發送給NTA����,由NTA分析流量特征����,判斷是否遭受DDOS攻擊�。當發現遭受DDOS攻擊時���,NTA將激活ADS,由ADS向邊界路由器發送針對特定防護目標IP的路由�,將所有去往被攻擊目標IP的流量牽引至ADS設備�。ADS系統進行惡意流量的識別和清洗��,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發送至目標IP�����。(2)在出口鏈路部署入侵防護系統,對接入互聯網的訪問流量進行深入過濾,有效抵御源自公網的入侵威脅�,消除安全風險。(3)在DMZ區和內網服務器出口處部署WEB應用防火墻����,對服務器區的WEB服務器進行全方面的防護��,對針對WEB站點的黑客攻擊,惡意掃描��、SQL注入��、跨站腳本����、病毒木馬傳播�、暴力口令破解、網頁篡改等攻擊手段進行深入防護��。保障網站����、電子教務系統、一卡通系統等應用系統的正常工作�。(4)在核心交換區旁路部署安全審計系統�����,通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路���,實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略�,對違反審計策略的網絡行為進行實時告警。此外���,安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發��,并實時收集網絡時間日志和告警信息。(5)在核心交換區域的出口鏈路部署下一代防火墻���,實現出口鏈路的流量檢測和安全過濾�,保護內部網絡安全�����。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻,通過下一代防火墻對應用層攻擊�����、病毒進行全面阻斷����,可實現基于源/目的IP地址��、協議/端口、時間�、用戶�、VLAN�、VPN、安全區的訪問控制���,保證不同網絡區域之間的安全防護邊界完整���。同時��,通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。
