文中央司法警官学院信管系方彬人东莞市第十高级中学谢嵩岚

浅谈构建基于ISMS的学校信息安全管理体系

文中央司法警官学院信管系方彬人东莞市第十高级中学谢嵩岚

根据 《教育信息化十年发展规划 （2011-2020年）》提出的 “三通两平台”建设核心目标，目前教育信息化已经进入了一个高速发展时期，教育信息化日益被普及推广，对教育的改革和发展起到了重要推动作用。

一、学校信息化建设现状分析

现阶段各高校及中小学都基本普及了校园网络，其中大部分也已开始进行信息系统的建设，以校园一卡通系统、校园安全监控系统、科研管理数据库等为主。 还有一部分开始推行普及整个校园的身份认证系统，提供账号支持师生设备上网。学校的教学和管理工作对信息系统的依赖性也越来越强。

随着网络规模的不断扩大以及对信息系统建设的深入和完善，数据大量产生并持续快速增长，信息系统数据库的规模也在不断扩大，随着其承载的信息量的不断增加，这些信息的安全性也就凸显出来，系统保护和数据防灾就变得愈发重要。

二、威胁学校信息系统数据安全的因素

网络故障、病毒侵害、非法访问、软件设计缺陷、数据库破坏、拒绝服务攻击、系统物理故障、使用人员人为失误、信息泄密、自然灾害等，都可对系统数据可用性、完整性和保密性的进行破坏，从而对信息系统构成威胁，由此而造成的安全后果是难以估量的。

三、学校信息安全管理体系的构建

学校信息系统应用是多方面的，一旦投入使用，就会产生大量的数据，面对来自多方面的威胁，稍有不慎就会造成灾难性后果。所以，建立完善的信息安全管理体系，即 Information Security Management System(简称ISMS)，势在必行。

1.构建学校ISMS的方法和目的

针对信息安全在不同网络层次上 （物理层、网络层、数据链路层、应用层、用户终端层等）的需要，参照国际标准ISO/IEC27001信息安全管理体系 （ISMS），明确信息安全的方针和目标，建立完整的信息安全管理制度和流程，制定完善的安全策略，强化安全技术的应用，采取行之有效的安全防范措施，保证信息系统的安全稳定运行。

2.安全策略与防范措施

（1）强化安全技术

从安全技术实施上，进行全面的安全漏洞检测和分析，针对检测和分析的结果，完善安全策略，制定防范措施和完整的解决方案。

采用冗余技术 。学校信息网络是运行整个学校业务系统的基础，更是数据处理及转发中心，首先需要通过增加设备及链路的冗余来提高其可靠性，包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。

部署网络安全设备。在Internet出口处部署主动入侵防御设备（IPS）及流控设备，开启实时防御和安全过滤，优化网络带宽，构建可视、可控、高效的网络。通过防火墙与IPS的紧密配合，抵御来自校园网内外的各种恶意攻击和病毒传播，确保校园核心业务和核心资源的安全，真正实现校园网络与应用的安全保障。

加强用户终端管理。制定统一且便于管理的终端管理方案，强制准入制度，对特定区域、数据及设备设定访问权限，保证整个网络的安全性和可管理性。根据物理位置、功能区域、业务应用或者管理策略等划分VLAN，对需要接入网络的用户与设备进行实名认证，并保证用户帐号的唯一性。同时，部署上网行为管理设备，对校内终端用户的网上行为进行有效监管，降低因终端用户的违法网络行为带来的安全及法规风险。

强化数据安全。建立统一的数据存储中心，增加负载均衡设备及同步磁盘阵列，提高数据库服务器业务连续性及应用服务器负载能力，并针对整个信息系统进行统一定时的D2D2T备份，并结合重复数据删除等技术，提高数据备份效率和数据保留周期。

（2）完善安全管理制度

建立信息安全体系与实行保护措施，只是迈出了ISMS建设的第一步，更重要的是，通过规范信息安全体系建设，形成科学完善的安全保障制度及长效的保障机制，明确职责与管理责任，制定应急预案，加强安全培训，定期进行信息安全查验及应急演练，做到对安全隐患及时发现、及时消除，以持续有效的、全方位地保证校园信息网络的安全。

安全只是相对的，没有哪一种技术和产品能够完全解决安全问题。学校的信息安全保障，需要建立一整套网络安全防御体系，并采用多种技术手段全方位的防止来自网络内外的威胁。随着数据量急剧膨胀，学校要根据自身网络的实际情况确定安全管理等级和安全管理范围，系统的进行安全规划，制订相关操作使用规程、管理制度和应急措施等，建立适合自身的网络安全管理策略，并严格遵循这些策略，通过技术防治和管理防范相结合，才能最终达到保护学校信息安全的。

责任编辑 龙建刚