数据化时代高校统一战略信息安全管理方法创新
2022-09-27赵宏伟王曦雯杜小刚
赵宏伟,王曦雯,杜小刚
(1.西安电子科技大学,陕西 西安 710071;2.西安外事学院,陕西 西安 710077)
1 数据化时代高校信息安全管理现状
在信息安全管理实践过程中,经历了典型的技术浪潮阶段、管理浪潮阶段、制度浪潮阶段。目前,由于多元全球化背景下的各国高校互联网技术发展不平衡,三个阶段之间存在交叉并存的现象。以我国为例,进入数据化时代后高校在统一战略信息安全管理方案下,需要将安全信息管理推向制度化管理方向,提高信息安全管理的组织能力与管理效果。从现状看,部分高校已经在安全管理方面实现了初级信息安全管理向中、高级的数据安全管理升级,围绕数据中心、虚拟数据中心建设,扩大了对安全隔离技术的应用、增强了安全设计方面的创新研发,逐渐走向了制度化的信息安全管理。但对于部分高校而言,虽然在“统一战线”思想牵引下,建立了统一战略信息安全管理方案,可是仍没有完成信息安全管理向数据安全管理的转型,所以尚处在技术、管理并存的信息安全管理状态。在这种不均衡的信息安全管理状况下,各大高校应顺应时代潮流,结合高校信息安全管理在新时期的实际需求,创新一些有效的方法完善信息安全管理体系,推动其向制度化方向升级。
2 高校统一战略信息安全管理方法创新需求
2.1 需要完善信息安全管理体系
战略导向下的高校信息安全管理体系建设中,包括了设备、人才、技术、资本等各类要素,为了达到各项要素的优化配置,需要借助制度化建设使信息安全管理标准化、安全管理认证流程化、安全管理组织高效化、安全管理实践持续化。同时,在统一战略信息安全管理限定条件下,高校通过实施数据化管理扩大了信息安全管理需求,并在基础平台建设方面,利用数据库建设思想,将资产库、合规库、组织库、漏洞库、数据存储、工作流引擎等进行了统一整合,利用模块化管理思想把内容庞杂的安全管理、安全监测、安全服务内容整合到了各个模块,进而利用数据交换总线技术将各模块与基础平台进行了关联,形成了包括“基础平台—数据交换总线—安全管理/监测/服务模块”内容的安全管理方案(见图1)。因此,在这种条件下需要进一步推进信息安全制度化建设,完善信息化管理体系。
图1 数据化时代高校统一战略信息安全管理框架示意
2.2 需要配置信息安全管理技术
方法是一种工具,既包括管理科学技术层面的方法,也有管理技术层面的方法。信息安全管理的制度化建设,属于管理技术层面的方法创新。但是,按照现代经济学(也称发展经济学)的生产要素配置理论看,在任何行业、任一领域的高质量发展阶段,为了提高管理效率、扩增管理效用,需要将技术要素配置作为主导要素,然后再配置匹配的资本要素、人才要素等。而且,信息安全管理技术兼具了管理技术特征、科学技术特征,无论从哪个层面看,均需要进行配置与创新应用。
具体而言,在信息化时代高校创建的统一战略信息安全管理方案中,主要依据信息安全管理的基本需求,通过防火墙、安全隔离技术、密钥管理、日常运维检修等实现信息安全管理。操作时既对信息安全管理技术进行独立应用,也借助其交互功能实施联合应用。进入数据化时代后,高校信息化建设进入到了更高一级的阶段,大范围内建设了数据库、建立了数据中心。而且,伴随着数据生成总量的增加,进一步加快了虚拟数据中心建设。在数据中心的信息安全管理方面,采用不同类型的安全隔离技术可以满足其管理需求。然而,在虚拟数据中心方面,却需要结合虚拟机、同一硬件设备载体,研发设计配套的信息安全管理方案。
2.3 需要提升信息安全管理队伍水平
目前各大高校于“互联网+”改革时期建设了信息安全管理队伍,满足了当时的高校信息网络建设要求。但是新时期高校“统一战线”平台与行政机构、企业、海内外优秀学者等组建的“统一战略”平台进行了关联,加上数据化时代的到来,对于信息安全管理的需求进一步增加。此时,受到管理队伍的人员结构、安全教育、专业素养以及配套用人机制不够完善等因素影响,信息安全管理队伍整体水平仍需进一步提升。例如,在信息安全管理方面的级别划分沿用行政级别划分方式,造成了专业人员与非专业人员的混杂,不仅拉低了队伍水平,而且存在非专业人士管理专业人士的情况,容易出现“瞎指挥”的情况。
3 高校统一战略信息安全管理方法创新措施
3.1 增强制度建设,健全信息安全管理体系
首先,应该从信息安全管理的基本演进历程,突出数据化时代高校统一战略信息安全管理中进行制度建设的必要性。然后参照国际、国家的信息安全标准,运用全要素分析方法梳理“实践中漏掉了哪些安全管理要素”,采用查缺补漏的办法进行完善。同时,在安全认证方面,应该先从组织结构上,划分出应用层的普通用户、运营层的系统管理员、管理层的工作小组、决策层的领导小组,进而保障整个信息安全认证的级别(见图2)。另外,在各级别中,应该按照现行的信息安全体系规则、安全操作策略与规范化要求、安全风险管理、信息分级保护、安全事件响应等,保障整个组织结构发挥应有的作用。除此之外,网络攻击与网络病毒具有一定的突发性,为了预防此类风险,应该增加信息安全应急响应组,这样有利于在风险发生的第一时间做出有效响应。
图2 高校统一战略信息安全管理组织结构示意
其次,需要在制度化建设方面,明确其中的体系化建设思路,利用制度化建设完善当前的信息安全管理体系。具体而言,应创建制度牵引、五项基本机制(评价、监督、激励、权责、协同机制)并行运作的基本模式,确保整个体系的有效运行。并在此基础上,借助人力资源管理部门解决“组织内部用户是组织的最大敌人”的问题,具体可以通过高校的信息安全文化建设加以实现,包括信息安全教育、信息安全管理、信息安全监察等。尤其应该在全校范围内利用当前普遍应用的学习机制,开展相关专题的讲座、培训等工作,同时下发关于数据分级标准、信息资源安全操作手册。
第三,考虑到高校统一战略信息安全管理方案的模块化发展,应该在此基础上,增设一项动态管理条例,并将其具体到程序化操作方式上,有效落实高校信息安全方针。例如,借助“线上+线下”混合管理模式,实施关于信息安全管理现场数据采集,与数据中心数据监测、数据分析、生成数据分析报告、应用数据分析报告的基本流程等。尤其在安全意外报告方面,应该设置简易化的流程,按照上报、核查、处理的“三步走”办法,提升程序化操作效率。如此,也能够为高校“统一战线”平台与其他组织的“统一战线”平台之间开展协同管理奠定必要条件。
3.2 创新管理技术,扩增信息安全管理效用
首先,建议按照现代经济学中的生产要素配置理论,依据我国高校统一战略信息安全管理工作的开展现状,合理的划分出初期建设阶段、中期发展阶段、高质量发展阶段,然后,按照初期场地要素主导配置、中期资本要素主导配置、高质量时期技术要素主导配置的基本思路,增强对信息安全管理技术的创新,进而利用该方面的技术创新与技术要素配置主导,优化各项资源配置率,进而达到扩增信息安全管理效用的目标。需要说明的是,信息安全管理发展的三阶段,与这里所说的高校信息安全管理发展三阶段,是不同角度下的阶段划分。前一种划分主要依据信息安全的发展,后一种划分侧重于要素配置理论。
其次,针对数据中心的信息安全管理,应该按照当前普遍使用的运用控制对策,通过增设认证服务器、策略服务器、数据库服务器的办法,结合“加密文档打开操作—操作用信息和加密目标文件唯一标识—操作用户身份确认—用户操作文件权限策略—加密文档解密受控打开”五项基本管理技术,保障整个用户端与PC端的信息安全操作(见图3)。或者利用当前普遍应用的安全隔离技术,将内网与外网进行隔离方式下的数据连接。至于虚拟数据中心的信息安全管理,建议根据大数据技术、云计算技术的具体应用情况研发设计配套的安全设计方案。
图3 信息安全管理对策—运用控制
3.3 培育专业人才,优化信息安全管理队伍
首先,通过制度化建设可以改变现阶段的信息安全管理队伍的组织结构、组织方式,而且有利于将外部响应系统与内部的安全管理系统结合起来,发挥出不同岗位上的人力资源优势。因此建议按照基本的“外部响应系统—信息安全管理系统—内部控制系统”中的各项职能需求合理的配置各项人才。例如,在外部响应系统中,重点放在外部协同上,此时应该按照自身系统维护管理、用户管理、知识管理、安全知识库管理等,合理安排各项人员。再如,在信息安全管理系统方面,应该按照内部控制系统中的安全评估中心、网管中心、事件流量控制中心等,划分出若干管理职能,合理配置各项人才。
其次,近年来经过对“统一战线”思想的有效运用,不仅国内“统一战线”平台在各类组织机构中获得了有效的建设,同时在海内外优秀学者方面也组建了“统一战线”平台。因此,高校应该进一步结合“统一战线”思想,从意识形态层面对高校信息安全管理人员的安全意识进行深化,结合网络化的信息安全保护宣传,使高校信息安全管理人员将这种安全管理认知传播到海内外优秀学者中,进而借助高校人力资源优势,为全面实施信息安全管理做出有力支持等。
4 结束语
总之,综合上述模式构建一套融合了可复制、可拓展、可持续发展特征的信息安全管理基础架构十分必要。通过以上初步分析可以看出,目前高校网络安全管理需求较多,因此有必要利用战略思维,创建战略导向型的信息安全管理体系,通过安全技术创新扩增信息安全管理效用。尤其是高校统一战略信息安全管理中离不开管理主体的创新与发明,以及专业化实践。所以,应该配套利用高校优势较大的人力资源管理办法,建设综合素质全面的新型信息及安全管理队伍。