高校信息安全體系的研究與實現(xiàn)

1、    高校信息安全體系的研究與實現(xiàn)    摘要：信息安全隱患已經(jīng)成為高校信息化建設過程中無法回避的問題，其嚴重威脅著高校信息化的推廣和使用。本文通過實施等級保護推動了信息安全服務機制的建立和完善；采取了系統(tǒng)、規(guī)范和科學的管理和技術方案，從而保障高校各業(yè)務系統(tǒng)高效、安全運轉，為構建高校信息安全體系提供了參考。關鍵詞：高校信息化，等級保護，安全體系一、引言信息化建設對高校的教育發(fā)展具有革命性影響，已經(jīng)成為促進高校教育改革創(chuàng)新和提高教育質量的推動力，是高校教育發(fā)展的創(chuàng)新前沿。高校在信息化的建設和應用過程中，因所處環(huán)境的復雜性和多變性，使其所面臨的安全挑戰(zhàn)多種

2、多樣。使用單一的安全防護系統(tǒng)或簡單堆砌各種安全產(chǎn)品并不能保證高校信息化建設的順利開展，因此，高校需要一套完整嚴密的安全體系來保障信息化建設。本文以北京某高校信息安全體系的建設過程為例進行研究，形成一套行之有效的高校信息安全體系的設計與實施方法。二、高校信息安全體系的分析與設計針對信息化的6個要素，即開發(fā)利用信息資源、建設國家信息網(wǎng)絡、推進信息技術應用、發(fā)展信息技術和產(chǎn)業(yè)、培育信息化人才以及制定和完善信息化政策，根據(jù)信息安全等級保護管理辦法的要求，可以將高校信息安全體系的構建過程分成5個步驟。(見圖1)1.高校信息安全等級保護分析根據(jù)國家制定的信息安全管理規(guī)范和技術標準，對高?；A信息網(wǎng)絡和信息

3、系統(tǒng)按其重要程度及實際安全需求，實施分級保護并提供系統(tǒng)性、針對性、可行性的指導，保障信息系統(tǒng)安全正常運行，提高信息安全綜合防護能力，維護國家安全、社會穩(wěn)定和公共利益。依照計算機信息系統(tǒng)安全保護等級劃分準則和信息系統(tǒng)安全等級保護基本要求等技術標準可以將信息安全等級由低到高分為五級自主保護級、指導保護級、監(jiān)督保護級、強制保護級和專控保護級。同時從目前等級保護的狀況分析得出，我國高校信息安全等級主要集中在一、二和三級，而四到五級存在極少，不具有普適性。2.依據(jù)保護級別制定安全策略安全策略的構建可以分為三個階段，包括策略的制訂、策略的評估和策略的執(zhí)行。通過管理和技術等手段，降低信息安全威脅，減少信息安

4、全事故，將信息安全事故的影響與損失降到最小。安全策略應具有指導性、非技術性、可行性、可擴展性和目的性等特征。安全策略需要經(jīng)過反復迭代和循環(huán)運行等過程來實現(xiàn)。3.依據(jù)安全策略制定管理規(guī)范安全策略直接體現(xiàn)在管理制度上，如何將安全策略準確完整地轉化為管理制度顯得尤為重要。管理制度體系通常分為三級，最高級是針對各方面、各環(huán)節(jié)信息安全管理工作所制定的管理制度規(guī)范；第二級是為了規(guī)范人員行為與操作制定的各類操作手冊或作業(yè)指導書；第三級是在工作中使用的各類格式化記錄表格。4.依據(jù)管理體系制定相應的安全技術應該選用適當?shù)陌踩夹g和產(chǎn)品，保護信息系統(tǒng)穩(wěn)定運行。其中主要包括防護(防火墻、加密軟件等)、檢測(漏洞掃描

5、工具、入侵檢測等)、響應(自動報警工具)和恢復(備份、重做日志等)。5.信息安全的最終落腳點是培訓和推廣這一階段可以分為兩個方面。第一是專業(yè)性較強的培訓，主要針對系統(tǒng)管理人員，使其具備完善的知識體系，掌握大量的相關技術和豐富的運維經(jīng)驗。第二是對廣大用戶的培訓和推廣，提高其安全意識和防護能力。圖1 高校信息安全體系狀態(tài)圖三、信息安全體系在高校中的應用1.高校信息安全體系之系統(tǒng)定級根據(jù)相關規(guī)定，按照一個信息系統(tǒng)所管理和控制的相關資源(含信息資源和其它資源)的重要性，可以定性地對該信息系統(tǒng)應具有的總體安全保護要求進行評估，并確定等級。(1)自主保護級適用于一般的信息系統(tǒng)，其保密性、完整性和可用性受到

6、破壞后，會對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益。(2)指導保護級適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害。(3)監(jiān)督保護級適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成較大損害。(4)強制保護級適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對國家安全、社會

7、秩序、經(jīng)濟建設和公共利益造成嚴重損害。(5)專控保護級適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別嚴重損害。2.高校信息安全體系之策略分析目前，高校普遍都擁有涵蓋教學、科研和辦公等各個方面的信息系統(tǒng)，既有公共數(shù)據(jù)中心這樣集成其他業(yè)務信息系統(tǒng)的核心平臺，也有同師生日常生活和學習緊密相關的計費平臺、教務平臺以及媒體資源平臺，更有適用范圍遍及全國的招生和就業(yè)系統(tǒng)。因此，如何構建安全策略對高校信息化的安全穩(wěn)定運行有著至關重要的影響。策略是整個信息安全體系要實現(xiàn)的目標，既承上也啟下

8、。承上是指根據(jù)等級保護的結果制定相應的安全級別，啟下是指根據(jù)學校的實際情況和未來的發(fā)展戰(zhàn)略進行規(guī)劃，自頂向下、通盤考慮，運用動態(tài)循環(huán)的方法來完成這個過程：(1)基于物理環(huán)境的安全策略物理安全為信息系統(tǒng)的安全運行和信息的安全保護提供計算機，網(wǎng)絡硬件設備、設施，介質及其環(huán)境等方面的安全支持。其主要目的是保護信息系統(tǒng)、網(wǎng)絡及服務器等硬件實體和通信鏈路免受自然災害和人為破壞。規(guī)劃了機房物理環(huán)境的選擇和必須具備的防護條件，以及設備選型、運行、測試和維護等各個階段的安全策略。(2)基于網(wǎng)絡的安全策略在網(wǎng)絡硬件及其環(huán)境安全的基礎上，提供安全的網(wǎng)絡軟件、安全的網(wǎng)絡協(xié)議，為信息系統(tǒng)在網(wǎng)絡環(huán)境的安全運行方面提供支

9、持。一方面，確保網(wǎng)絡系統(tǒng)的安全運行，提供有效的網(wǎng)絡服務，另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。其主要目的是保證學校網(wǎng)絡的正常運行，防止對網(wǎng)絡的非法訪問和未授權用戶非法使用網(wǎng)絡。規(guī)劃了網(wǎng)絡運行日志、加密軟件和用戶身份認證等相關安全策略。(3)基于系統(tǒng)的安全策略在計算機硬件及其環(huán)境安全的基礎上，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行以及對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)所存儲、傳輸和處理數(shù)據(jù)的安全保護。其主要目的是確定設備從選型到運行維護全生命周期的安全管理事項。規(guī)劃了運行日志、訪問控制、備份恢復、漏洞掃描和負載均衡等安全策略。(4)基于應用的安

10、全策略在物理安全、系統(tǒng)安全和網(wǎng)絡安全等安全環(huán)境的支持下，實現(xiàn)業(yè)務應用的安全目標。在對數(shù)據(jù)信息進行存儲、傳輸和處理時，需要有相應的安全措施，這些安全措施可以在應用軟件系統(tǒng)層實現(xiàn)，也可以在支持其安全運行的物理安全、網(wǎng)絡安全、操作系統(tǒng)安全和數(shù)據(jù)庫管理系統(tǒng)安全中實現(xiàn)。規(guī)劃了數(shù)據(jù)的保存、備份、移動和使用等的相關安全策略。(5)基于緊急情況的安全策略其主要目的是在發(fā)生重大或緊急情況時，所要采取的安全措施。規(guī)劃了發(fā)生大范圍網(wǎng)絡攻擊和重大節(jié)日的網(wǎng)絡安保等相關安全策略。3.高校信息安全體系之管理規(guī)范管理規(guī)范是對組成信息安全體系的物理安全、系統(tǒng)安全、網(wǎng)絡安全和應用安全的管理，是保證這些安全達到其確定目標在管理方面

11、所采取的措施的總稱。管理規(guī)范包括信息安全系統(tǒng)工程的管理和信息安全系統(tǒng)運行的管理。信息安全系統(tǒng)工程的管理是指為使所開發(fā)的信息安全系統(tǒng)達到確定的安全目標，對整個開發(fā)過程所實施的管理。信息安全系統(tǒng)運行的管理是指為確保信息安全系統(tǒng)達到設計的安全目標，對其運行過程所實施的管理。主要包括5個方面，有物理環(huán)境管理規(guī)范、網(wǎng)絡管理規(guī)范、系統(tǒng)管理規(guī)范、應用管理規(guī)范和應急管理規(guī)范。4.高校信息安全體系之安全技術可以將安全技術細化為四個部分，分別是防護階段、檢測階段、響應階段和恢復階段。(1)在防護階段主要應用的安全產(chǎn)品和技術有硬件防火墻、統(tǒng)一身份認證、虛擬專用網(wǎng)和ca數(shù)字認證技術。(2)在檢測階段主要應用的安全產(chǎn)品

12、和技術有入侵監(jiān)測系統(tǒng)、安全掃描軟件、網(wǎng)頁防篡改系統(tǒng)和日志審計系統(tǒng)等。(3)在響應階段主要應用的安全產(chǎn)品和技術有短信實時報警系統(tǒng)和與系統(tǒng)集成商簽訂7×24小時服務協(xié)議。(4)在恢復階段主要應用的安全產(chǎn)品和技術有異地災備系統(tǒng)和重做日志機制，對訪問流量較大的主機采用負載均衡的方式，對重要的應用服務則采用雙機熱備甚至多級集群的技術手段。5.高校信息安全體系之培訓推廣根據(jù)用戶角色的不同，將培訓推廣工作分成以下兩個部分：(1)普通用戶培訓和推廣采取多種形式開展經(jīng)常性的安全培訓活動，以提高全體師生安全意識和自我保護能力。每學期舉辦信息安全講座；每學年針對新教工和新同學開展信息安全培訓；每學年召集各

13、單位信息員開年會；不定期地對各單位信息員進行技術培訓。開通信息安全熱線，組織技術骨干定期對各部門進行安全巡檢。(2)技術人員專業(yè)培訓通過定期舉辦校內專業(yè)技術培訓班，對技術人員進行短期集中的培訓，使其快速掌握專業(yè)知識，或者讓其利用業(yè)余時間參加繼續(xù)教育，獲得專業(yè)知識。四、結束語隨著高校信息化建設進程的逐步深入，校園信息平臺已經(jīng)成為廣大師生日常生活中必不可少的一部分，如何在保障信息化應用的同時提高信息的安全性，成為信息化建設部門最為關注的問題。本文通過建立信息安全體系全方位地保護了校園信息系統(tǒng)的安全，做到了將信息安全威脅降到最低的設計要求。參考文獻：1gb/t22240-2008.信息安全技術信息系統(tǒng)安全等級保護定級指南s.2傅川，陳云.高校信息系統(tǒng)安全體系研究