马鸿健，李义勇，车路，刘瑾

（山东农业大学，山东 泰安 271018）

0 引 言

高校信息化建设为在校师生的学习、工作、生活提供了便利，同时，有越来越多的信息系统对互联网开放。网站种类繁多，网络应用需求复杂，网络安全形势日益严峻，给高校信息系统的安全管理提出了更高的要求。从整体上看，高校的网络安全基础设施和安全策略配置比较到位，信息化建设和安全管理制度相对健全，但在信息系统的运维、管理上仍存在问题，主要表现在重建设轻管理、重业务应用轻安全防范，管理缺少规范、方式落后、信息滞后等。如何加强信息系统的安全管理，实现对信息系统管理过程的有效监督，是高校信息化管理部门的工作重点。

1 高校信息系统安全管理的重要性

高校信息系统的管理采用线上与线下相结合的方式，二级部门在建设信息系统和网站时需要向信息化部门提交申请登记材料。传统的纸质登记存在信息填写不规范、审核审批流程烦琐、统计查询困难等问题，并且通常只在申请资源时提交登记材料，后期由于存在教学科研项目结题、团队人员以及系统管理员变更等情况，在信息系统升级、改造、迁移、停用过程中未能及时上报更新，信息系统和网站可能长期处于无人看管状态，带来严重的安全隐患，不利于备案信息的维护和管理工作的开展。

根据《中华人民共和国网络安全法》《网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等文件的相关要求，高校需要提高网络安全防护水平和管理能力。高校在加强网络安全防护与管理方面采取的措施主要包括落实网络安全主体责任、加强信息化资产管理、开展等级保护自查和集中测评、提升相关人员网络安全素养等，其中理清信息资产、明确管理对象是构建网络安全管理体系的基础，也是做好网络安全保障和应急响应等工作的前提。

2 信息系统和网站管理应用设计

信息系统管理应用和网站管理应用基于智慧校园平台设计实现，目的是面向信息系统和网站的申请、审核、建设、运行、停用等环节规范流程，采集必要的软件、硬件信息，实现虚拟服务器资源和信息发布类应用的在线申请、审核、变更。同时结合年审备案机制，督促管理员及时更新备案信息，并基于备案信息生成校内信息资产统计查询数据，方便系统管理员维护，辅助部门领导决策，实现校内信息资产统一的过程管理和安全管理。信息系统管理应用功能模块如图1所示，依托智慧校园平台向用户组授权开放，用户通过统一身份认证登录平台进行信息系统的申请、上报、变更和年审。

图1 信息系统管理应用功能模块图

2.1 网站管理应用设计

网站管理用于各部门网站的在线申请、变更、年审。网站申请主要流程为：用户在线填写网站申请，提交部门领导审批，提交宣传部门审核，提交信息化管理部门审核开通。网站申请页面如图2所示，网站申请主要采集网站管理员信息和网站信息，网站管理员信息由智慧校园平台获取，网站信息主要包括网站名称、域名、网站主要服务内容等。网站变更包括网站信息变更、管理员变更和关闭功能，管理员变更需要变更后的管理员审核通过，再提交系统管理员审核，管理员变更后，信息资产的责任人和归属部门也相应变更。

图2 网站申请页面

2.2 信息系统管理应用设计

信息系统管理用于各业务部门虚拟服务器的在线申请、上报、变更和信息系统年审。虚拟服务器申请的主要流程为：用户阅读并确认申请协议，在线填写虚拟服务器申请登记信息，提交虚拟服务器管理员预审，提交用户所在部门领导审批，提交虚拟服务器管理员审核、授权、开通。虚拟服务器申请登记信息包括：信息系统信息（业务名称、单位名称、单位负责人等）、系统管理员信息（姓名、工号、联系电话等）、服务器配置信息（服务器位置、服务器类型、操作系统版本、域名、IP地址、应用服务对象、用户数、业务用途、有效期、开放端口等）、应用软件信息（数据库名称及版本、中间件名称及版本、开发框架名称及版本等）、运维单位信息（公司名称、技术负责人姓名、联系电话等）。虚拟服务器变更包括虚拟服务器信息变更、管理员变更和关闭功能。信息系统关闭时，用户需要选择要关闭的信息系统，提交系统管理员审核后关闭并回收虚拟服务器资源。

2.3 信息资产查询统计

信息资产查询统计包括网站和虚拟服务器的信息资产查询统计，网站系统管理员可以查看全校网站，虚拟服务器系统管理员可以查看全校虚拟服务器，以便更好地进行信息系统安全管理。部门领导同步智慧校园平台中的岗位设置和组织机构获取的权限，点击部门查询统计页面可查看、统计本部门的所有信息资产。各部门的虚拟服务器管理员、网站管理员可分别查看本人申请的所有信息资产的详情。查询统计内容包括网站及信息系统名称、管理员、单位负责人、信息系统状态、IP地址、域名以及开放访问权限的端口等。

2.4 年审管理设计

年审管理包括网站和信息系统的年审，需要系统管理员设置年审批次和年审开启时间。网站年审需要信息发布类应用的租户填写网站年审备案信息，信息系统年审备案需要信息系统的用户填写虚拟服务器备案登记信息，用户可以直接选择信息系统或网站点击年审申请，在原有申请信息的基础上进行编辑、修改及确认提交，以便及时更新备案信息。系统管理员可以对未按时备案的网站进行访问限制和关闭，后期可根据年度、年审批次查看信息系统的年审备案信息和变更记录，实现信息系统和网站的过程管理。

3 信息系统和网站管理应用测试

山东农业大学依托智慧校园平台搭建了信息系统和网站管理应用，通过梳理规范信息系统的申请、审核、变更、备案等流程，实现了对全校信息系统和网站的申请、上报、变更、开放访问、年审等管理，经过测试可对信息系统和网站的申请时间、域名、IP地址、端口的开放变更进行统计查询，网站查询统计测试页面如图3所示。信息系统和网站的管理，为后续的漏洞扫描和安全管理提供了基础，结合信息化资产准确数据，信息化部门能够制定网络安全防护策略，并根据数据情况随时进行动态调整，实现网络安全防护与现实资产状况的精确匹配，即便是信息系统遇到突发安全事件时，也能够第一时间联系到用户进行整改处置，保证了信息系统的安全和稳定运行。

图3 网站查询统计测试页面

4 高校信息系统安全管理实践研究

4.1 建立网络安全管理制度

信息系统的安全管理要建立健全的网络安全管理制度，包括网络安全工作责任制、校园网站管理办法、网络安全事件应急预案等，从管理制度上明确网络安全主体责任，并签订网络安全责任书。各部门主要负责人为网站建设与管理第一责任人，同时指定管理员负责建设和维护本部门的信息系统和网站，信息系统和网站实行年审备案制度，坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，信息系统部门主要负责人和管理员要承担网络安全主体责任。

4.2 强化网络安全技术防护

按照国家网络安全政策和标准规范要求，建立网络安全防护体系，通过制定精细化网络安全防护策略来增强风险防范能力。部署边界防火墙、WAF、IPS等防护设备，配置服务器区安全防护策略，实现访问控制，阻断非法请求，检测和防范攻击、入侵行为。部署堡垒机、VPN系统，实现信息系统和网站的安全访问管理和运维审计。部署大数据分析平台，集中采集网络、服务器和安全设备的日志，主动预测预警。借助漏洞扫描设备和安全测试服务，在信息系统上线前进行安全检测，定期组织对信息系统进行系统漏洞和WEB应用漏洞扫描，督促存在漏洞的信息系统及时整改，对于存在高风险漏洞而又未进行整改的信息系统限制访问，保障信息系统服务的安全性、可用性。

4.3 开展等级保护工作

落实等级保护工作，参照网络安全等级保护2.0标准对现有信息系统进行等级保护定级、备案、建设、整改、等级测评、监督检查。对网络安全与信息化建设进行同步规划，将网络安全等级保护要求落实到新建信息系统的需求说明中，在系统上线前完成相关安全测评工作，明确网络安全保障重点，统一规划组织开展网络安全等级保护集中测评工作，在信息系统使用过程中持续开展等级保护测评和整改工作，将等级保护工作贯穿于信息化系统的整个生命周期。

4.4 提高安全管理意识

强化信息管理部门网络安全管理人员的专业管理技能，加强各部门信息系统管理员的安全技能培训，提高信息系统管理员的网络安全责任意识、网络安全技术水平以及对信息系统的管理运维能力。通过网络安全宣传周等活动，面向师生开展网络安全宣传教育和培训（培训内容包括防范个人信息泄露、恶意邮件链接，加强信息系统的密码安全管理等），普及网络安全知识，提升全校师生的网络安全素养和管理水平，打好网络安全主动仗。

5 结 论

高校信息系统安全管理是系统安全、可靠运行的保障，根据国家网络安全相关要求结合学校实际管理流程，基于智慧校园平台实现信息系统管理和网站管理，各部门可按照流程完成信息系统的线上申请、上报、审核、更新、备案，在积极落实网络安全工作与责任的同时，提高了年审的工作效率和备案信息数据的准确性，方便了信息系统资产的查询、统计、管理，保障高校信息系统的安全稳定运行。