成都大学信息网络中心 刘新跃 杨晓兰 杜小丹 杨 文

近年来，高校校园信息化建设发展迅速，信息化建设和管理水平得到显著提升，基于校园网的信息资源和应用系统建设逐渐丰富和完善，应用系统和基础平台建设也成效明显，为在校师生提供了诸多便捷的服务。但是，当我们享受校园信息化建设的成果之时，对信息化建设的需求越来越多，对信息化建设的安全需求也越来越高，这使得我们需要对自身的信息化建设工作进行重新思考。信息化建设的基础是安全，所有的信息化建设都需要从网络安全以及信息安全出发。

一、高校网络及信息安全问题分析

（一）信息技术体系需要进一步完善

虽然大部分高校出口部署了防火墙、上网行为管理系统，但难以满足当前复杂的安全形势。高校可对现有安全体系的升级建设，从单纯被动防御层次向“持续检测、快速响应”迈进，打造一站式的“预测、防御、检测、响应、加固”五位一体服务，真正做到“安全防御可见效、安全态势可感知、安全威胁可预警、异常行为可监控、安全价值可呈现”的安全建设效果。

（二）信息安全管理制度亟待梳理完善

由于管理模式、环境要求等方面的不同，引用的制度还不能完全满足等保、ISO27001 等成熟体系的要求。并且各项制度也还未达到合适的推行力度，仍存在部分人员对制度不知情的情况。同时，各部门往往还拥有自己的内部制度，在执行时可能与制度造成优先级或内容上的实质性冲突。因此，需要对制度进行全面梳理，建立文件化的管理体系，力争日常工作中遵循唯一的标准，使制度的执行和考核能落实下去。

（三）信息安全管理工作尚未落实到基层

现有的信息安全管理组织主要是网络安全与信息化领导小组和信息化部门，但是没有明确指定开展信息安全各项具体工作的执行层面的人员（即学院各个部门的信息安全员），同时也未按照国际成熟标准和业界惯例把三类互相制衡、互相配合的人员职能（即信息安全技术、信息安全管理、信息安全审计）落实到相关部门人员，导致高校领导虽然高度重视信息安全工作，但是具体工作却难以深入开展下去。

（四）流程尚未实现规范化

从国内外信息安全最佳实践的角度来看，所依据的制度流程也是少量信息技术部的IT 类管理制度，操作记录层面居多，缺少提炼为可优化、可重复的管理制度，也尚未提升到目前业界推崇的“流程建设”的高度。服务质量仍主要依赖于技术人员和管理人员的自身经验，缺少具有继承性的操作规范，在为客户提供持续的、稳定的高质量服务方面存在相当大的风险。

（五）对第三方的管理仍需要加强

没有在第三方职责和合同中对信息安全责任进行进一步的明确界定，对此类人员的信息安全管理全部依赖接口人员的个人意识和能力，缺乏统一的管理标准。

（六）信息安全内外部审计检查机制尚未形成

大部分高校尚未建立信息安全内外部审计检查机制，信息安全审计审核工作也未开展。需要把内部审计检查与外部审计检查结合起来，建立内外部审计检查制度，落实相关组织建设和人员责任，参照国际成熟标准和业界最佳实践，定期组织内外部审计检查活动，确保信息安全建设覆盖各个领域。

二、高校网络及信息化安全管理之运营管理建议

完整的信息安全保障体系应该是安全管理和安全技术实施的结合，以真正达到信息安全保障目标。安全策略在整个安全管理体系的设计、实施、维护和改进过程中都起着重要的指导作用，是一切信息安全实践活动的方针和指南。人员、技术和操作三个要素，构成了整个安全管理体系的骨架。

（一）人员安全管理

在人员安全管理方面，高校在人员录用规模上已经有部分规则制度，但整体上还不够健全。在人员录用、调动、离岗、考核、培训教育和第三方人员安全等几个方面，需要进一步加强及优化。其中，内部人员的管理归纳形成人力资源安全管理的具体安全要求，外部人员的管理归纳形成第三方人员安全管理的具体安全要求。

（二）系统日常运维管理

按照等级保护要求，日常运维管理主要从环境管理、资产管理、网络安全管理、系统安全管理、防病毒管理、监控管理、密码管理、变更管理、备份与恢复管理九个方面进行考虑。

环境管理：所有的服务器和核心网络设备均按照要求放置在集中的机房中，网络中心机房环境的安全管理要求应按照《机房管理办法》中机房管理部分的相关规定执行。

资产管理：信息资产是构成网络和信息系统的基础，是系统各种服务功能实现的提供者和信息存储的承载者，制定《信息资产安全管理办法》，主要包括指定责任部门；把各类硬件、软件、数据、介质、文档均作为信息资产进行管理。

网络安全管理：网络作为信息系统的基础性设施，为各个业务系统和办公应用提供连通和数据传输，实现信息共享。制定《网络安全管理规定》，制度中应体现以下内容：指定责任部门；对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定；定义更新流程；定义漏洞管理方法；定义设备配置方法；定义外部连接审批流程；定义设备接入策略；定义非法上网管理方法。

系统安全管理：根据等级保护制度要求，每个业务系统作为安全保护的对象，应当对每个业务系统制定相应的安全运维流程和规范，制定《系统安全管理规定》，用于指导如何根据业务安全等级和安全需求来制定相应的运维流程和规范。

防病毒管理：根据等级保护制度要求，病毒（恶意代码）防范应有详细的管理、处理、病毒库更新等管理方法，制定《防病毒管理办法》。制度中应体现的内容包括指定责任部门；每年进行定期培训；由信息管理部负责对网络和主机进行恶意代码检测并保存检测记录；定义防恶意代码软件授权使用、恶意代码库升级、定期汇报等流程。

监控管理：为建立集中的安全监控管理制度，对监控内容、监控方式、监控记录集中保存、监控记录审计等进行规范，制定《信息资产运行维护安全管理办法》。

密码管理：针对服务器、网络设备中的账号、密码需要定期更改，同时需要规定密码复杂度，制定《口令管理办法》。制度中应体现的内容为：指定责任部门；总结在密码设备的采购、使用、维护、保修及报废的整个生命周期内的各项国家有关规定；严格执行上述规定。

变更管理：信息安全风险是“动态”的主要因素之一，就是网络和信息系统是会发生变化的，为了加强防范由于网络和系统变化对整体安全现状的影响，规避变更产生的风险，制定变更管理制度，其变更管理内容和要求按照《业务系统用户需求变更管理细则》和《信息系统变更管理规定》中的相关规定执行。

备份与恢复管理：制定并按照《备份与恢复管理规定》中的恢复流程和规范执行。制度中应体现的内容为：指定责任部门；识别需要定期备份的重要业务信息、系统数据及软件系统等；定义备份信息的备份方式、备份频度、存储介质和保存期等；根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法；建立备份和恢复流程，对备份过程进行记录，所有文件和记录应妥善保存；建立演练流程，每季度对恢复程序进行演练，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。

综上所述，高校网络及信息安全问题已经成为高校信息化发展道路中不可避免的现实问题，除了上述从高校网络及信息安全问题的运营管理提出的相关建议外，高校还可从技术上对网络和信息安全问题进行管理，从而保证高校网络能够稳定健康地为高校教学、管理及研究工作提供服务。