序論:在您撰寫高校信息安全運維時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導(dǎo)您走向新的創(chuàng)作高度�。
第1篇
1現(xiàn)狀與問題
1.信息安全現(xiàn)狀
隨著信息化建設(shè)的推進,我校信息化建設(shè)初具規(guī)模��,軟硬件設(shè)備配備完成���,運行保障的基礎(chǔ)技術(shù)手段基本具備��。網(wǎng)絡(luò)中心技術(shù)力量雄厚����,承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達20余人;針對重要應(yīng)用系統(tǒng)采用了防火墻����、IPS/IDS����、防病毒等常規(guī)安全防護手段,保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運行���,具備了基本的安全防護能力|6];日常運行管理規(guī)范���,按照信息基礎(chǔ)設(shè)施運行操作流程和管理對象的不同�����,確定了網(wǎng)絡(luò)系統(tǒng)運行保障管理的角色和崗位��,初步建立了問題處理的應(yīng)急響應(yīng)機制���。由網(wǎng)絡(luò)中心進行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng),即網(wǎng)絡(luò)通信平臺�、認(rèn)證計費系統(tǒng)、校園一卡通��、電子校務(wù)系統(tǒng)����、網(wǎng)站群、郵件系統(tǒng)��。
網(wǎng)絡(luò)通信平臺是大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心��,是整個校園網(wǎng)的基礎(chǔ)�����,其他應(yīng)用系統(tǒng)都運行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計費的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上,主要實現(xiàn)學(xué)生校園卡消費管理����,校園卡與大學(xué)網(wǎng)絡(luò)有3個物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng),系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)�����、學(xué)生考試信息�、財務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù),目前郵件系統(tǒng)注冊用1.2面臨的主要問題
通過等級保護差距分析和風(fēng)險評估��,目前大學(xué)所面臨的信息安全風(fēng)險和主要問題如下:
(1)高校領(lǐng)域沒有總體安全標(biāo)準(zhǔn)指引�����,方向不明確����,缺少主線���。
(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認(rèn)識�����。
(3)信息安全機構(gòu)不完善����,缺乏總體安全方針與策略,職責(zé)不夠明確���。
(4)教職員工和學(xué)生數(shù)量龐大���,管理復(fù)雜,人員安全意識相對薄弱���,日常安全問題多���。
()建設(shè)投資和投入有限,運維和管理人員的信息安全專業(yè)能力有待提高�����。
(6)內(nèi)部管理相對松散��,缺乏安全監(jiān)管及檢查機制���,無法有效整體管控���。
(7)缺乏信息安全總體規(guī)劃��,難以全面提升管理
(8)缺乏監(jiān)控���、預(yù)警、響應(yīng)��、恢復(fù)的集中運行管理手段�����,無法提高安全運維能力��。
2建設(shè)思路
2.1建設(shè)原則和工作路線
學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃�、適度防護,分級分域���、強化控制��,保障核心���、提升管理,支撐應(yīng)用�、規(guī)范運維。
依據(jù)這一總體原則�,我們的信息安全體系建設(shè)工作以風(fēng)險評估為起點,以安全體系為核心����,通過對安全工作生命周期的理解從風(fēng)險評估、安全體系規(guī)劃著手��,并以解決方案和策略設(shè)計落實安全體系的各個環(huán)節(jié)�����,在建設(shè)過程中逐步完善安全體系��,以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求���,最終達到全面��、持續(xù)���、突出重點的安全保障。
2.2體系框架
信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GBT22239-2008�、《信息系統(tǒng)等級保護安全建設(shè)技術(shù)方案設(shè)計要求》(征求意見稿)�����,并吸納了IATF模型[7]中“深度防護戰(zhàn)略�,�,理論,強調(diào)安全策略����、安全技術(shù)、安全組織和安全運行4個核心原則�,重點關(guān)注計算環(huán)境、區(qū)域邊界�、通信網(wǎng)絡(luò)等多個層次的安全防護,構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系�,并通過安全運維服務(wù)和itsm[8]集中運維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實踐),形成了集風(fēng)險評估�����、安全加固��、安全巡檢���、統(tǒng)一監(jiān)控�����、提前預(yù)警�、應(yīng)急響應(yīng)��、系統(tǒng)恢復(fù)���、安全審計和違規(guī)取證于一體的安全運維體系架構(gòu)(見圖2)����,從而實現(xiàn)并覆蓋了等級保護基本要求中對網(wǎng)絡(luò)安全�、主機安全、應(yīng)用安全��、數(shù)據(jù)安全和管理安全的防護要求�,以滿足信息系統(tǒng)全方位的安全保護需求。
(1)安全策略:明確信息安全工作目的���、信息安全建設(shè)目標(biāo)����、信息安全管理目標(biāo)等,是信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略��。
(2)安全組織:是信息安全體系框架中最重要的
各級組織間的工作職責(zé)�,覆蓋安全管理制度、安全管理機構(gòu)和人員安全管理3個部分���。
(3)安全運行:是信息安全體系框架中最重要的安全管理策略之一�����,是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范��。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行��,該部分以國家等級保護制度為依據(jù)��,覆蓋系統(tǒng)建設(shè)管理����、系統(tǒng)運維管理2個部分�����。
(4)安全技術(shù):是從技術(shù)角度出發(fā)���,落實學(xué)校組織機構(gòu)的總體安全策略及管理的具體技術(shù)措施的實現(xiàn)��,是對各個防護對象進行有效地技術(shù)措施保護���。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制����,針對未授權(quán)的訪問或誤用提供自動保護�����,發(fā)現(xiàn)違背安全策略的行為���,并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)���、計算環(huán)境��、區(qū)域邊界和提供整體安全支撐的安全支撐平臺����。該部分以國家等級保護制度為依據(jù)�����,覆蓋物理層、網(wǎng)絡(luò)層�、主機層、應(yīng)用層和數(shù)據(jù)層5個部分��。
()安全運維:安全運維服務(wù)體系架構(gòu)共分兩層�,實現(xiàn)人員、技術(shù)�����、流程三者的完美整合����,通過基于ITIL[9]的運維管理方法,保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運轉(zhuǎn)���,提升業(yè)務(wù)的可持續(xù)性�����,從而也體現(xiàn)了安全運3重點建設(shè)工作
3.1安全滲透測試
2009年4月�,學(xué)校對38個網(wǎng)站��、2個關(guān)鍵系統(tǒng)和6臺主機系統(tǒng)進行遠程滲透測評。通過測評��,全面����、完整地了解了當(dāng)前系統(tǒng)的安全狀況,發(fā)現(xiàn)了20個高危漏洞��,并針對高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險�����,根據(jù)測評結(jié)果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患���。滲透測試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析�����、脆弱性分析和滲透入侵測評�����、提升權(quán)限測評�、獲取代碼����、滲透測評報告����。
3.2風(fēng)險評估和安全加固
2009年5月,依據(jù)安全滲透測試結(jié)果��,對大學(xué)的六大信息系統(tǒng)進行了安全測評�����。根據(jù)評估結(jié)果得出系統(tǒng)存在的安全問題����,并對嚴(yán)重的問題提出相應(yīng)的風(fēng)險控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研�����、方案編寫����、現(xiàn)場檢測、資產(chǎn)分析���、威脅分析�����、脆弱性分析和風(fēng)險分析���。通過風(fēng)險評估最終得出了威脅的數(shù)量和等級�,表1����、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月���,基于風(fēng)險評估結(jié)果�����,對涉及到的網(wǎng)絡(luò)設(shè)備(4臺)和主機設(shè)備(14臺)進行了安全加固工作。
3.3安全體系規(guī)劃
根據(jù)前期對全校的網(wǎng)絡(luò)��、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學(xué)實際的安全需求���,并結(jié)合實際業(yè)務(wù)要求��,對學(xué)校整體信息系統(tǒng)的安全工作進行規(guī)劃和設(shè)計��,并通過未來3年的逐步安全建設(shè)��,滿足學(xué)校的信息安全目標(biāo)及國家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國際國內(nèi)規(guī)范及標(biāo)準(zhǔn)��,參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系)���,結(jié)合我校目前的實際情況�,制定了一套完整����、科學(xué)、實際的信息安全管理體系��,制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求�����。
通過信息安全管理體系的建立�����,使學(xué)校的組織結(jié)構(gòu)布局更加合理�����,人員安全意識也明顯提高,從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運行�����,提高了IT服務(wù)質(zhì)量���。通過制度��、流程��、標(biāo)準(zhǔn)及規(guī)范���,加強了日常安全工作執(zhí)行能力,提高了信息安全保障水平���。
4未來展望和下一步工作
4.1安全防護體系
根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點的網(wǎng)絡(luò)結(jié)構(gòu)��、具體的應(yīng)用以及安全等級的需求,可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個層次的安全域:第一層次安全域包括整個學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布�、部門等劃分子網(wǎng)或子系統(tǒng)。
公鑰基礎(chǔ)設(shè)施包括:CA安全區(qū):主要承載CAServer�、主從LDAP�、數(shù)據(jù)庫���、加密機��、OCSP等;KMC管理區(qū):主要承載KMCServer���、加密機等;RA注冊區(qū):主要承載各院所的RA注冊服務(wù)器,為各院所的師生管理提供數(shù)字證書注冊服務(wù)�����。
應(yīng)用安全支撐平臺為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)�、安全支撐服務(wù)以及安全管理策略,使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應(yīng)用框架上�����,封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)���、基礎(chǔ)安全服務(wù)�、管理服務(wù)���,并平滑支持業(yè)務(wù)系統(tǒng)的擴展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證���、統(tǒng)一訪問授權(quán)�、統(tǒng)一審計管理、數(shù)據(jù)安全引擎���、單點登錄等功能�����。
4.2安全運維體系
ITSM集中運維管理解決方案面對學(xué)校日益復(fù)雜的IT環(huán)境����,整合以往對各類設(shè)備��、服務(wù)器�、終端和業(yè)務(wù)系統(tǒng)等的分割管理,實現(xiàn)了對IT系統(tǒng)的集中���、統(tǒng)一�����、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念���,達到了技術(shù)、功能�、服務(wù)三方面的完全整合,實現(xiàn)了IT服務(wù)支持過程的標(biāo)準(zhǔn)化���、流程化��、規(guī)范化����,極大地提高了故障應(yīng)急處理能力����,提升了信息部門的管理效率和服務(wù)水平。
根據(jù)終端安全的需求��,系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺�,以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略,對網(wǎng)內(nèi)所有終端計算機上的軟硬件資源����、以及計算機上的操作行為進行有效管理���。實現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強制實施�、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認(rèn)證、事中安全狀態(tài)定期安全檢測����,內(nèi)容包括定期的安全風(fēng)險評估、安全加固�、安全應(yīng)急響應(yīng)和安全巡檢。
4.3安全審計體系
第2篇
關(guān)鍵詞:高校信息化����;IT運維外包;風(fēng)險管理
中圖分類號:TP393 文獻標(biāo)志碼:A 文章編號:1673-8454(2014)07-0014-03
一�����、高校信息化建設(shè)和IT運維現(xiàn)狀
近年來��,隨著信息技術(shù)的飛速發(fā)展和日益普及�,信息化浪潮給教育帶來了革命性影響,推動著教育領(lǐng)域不斷創(chuàng)新發(fā)展����。2010年�����,我國頒布的《國家中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》提出推動信息技術(shù)與高等教育深度融合�����,創(chuàng)新人才培養(yǎng)模式。高校信息化部門也在為學(xué)生和教師提供更高效率的各類信息化服務(wù)平臺和安全穩(wěn)定的網(wǎng)絡(luò)接入環(huán)境而努力創(chuàng)新�����,深刻影響了傳統(tǒng)的教學(xué)科研和學(xué)校的綜合管理模式����。同時,國家對教育信息化的重視程度和投入在逐年增加����,校園信息化建設(shè)也得到了高校的普遍重視和重點投入。
我國高校信息化建設(shè)經(jīng)歷了二十多年的歷史��,在網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件建設(shè)方面同國外高校拉近了距離��,很多學(xué)校都達到了同等甚至更高水平�。雖然硬件條件上去了��,但是很多高校信息化應(yīng)用水平仍不理想����,在信息化服務(wù)能力和IT運維管理上差異較大��,普遍存在著重硬件輕軟件�����,重建設(shè)輕維護����,重建設(shè)輕服務(wù)等現(xiàn)象。部分實力雄厚的理工科學(xué)校和綜合性大學(xué)通過自身的力量可以完成基礎(chǔ)的信息化建設(shè)和IT運維工作�����,但是對于大量的普通高等院校�,由于受到技術(shù)、經(jīng)費以及人員的限制�,完全利用自身的力量來建設(shè)和運維比較困難,無法滿足廣大師生的實際需求�����。
二、IT運維外包的思路和安全風(fēng)險
信息技術(shù)日新月異�,如何管理復(fù)雜的、高技術(shù)含量的IT基礎(chǔ)設(shè)施�,應(yīng)對靈活多變的IT服務(wù)需求,為學(xué)校廣大師生提供良好的IT服務(wù)支持���?如何降低運維成本的同時提高管理水平和效率�,并保證服務(wù)的質(zhì)量�,提升師生對IT服務(wù)的滿意度�?如何提高運維的靈活性和響應(yīng)速度,迎接信息化帶來的各類挑戰(zhàn)����,提高學(xué)校的核心競爭力?這些問題是所有高校所面臨的共同難題��,困擾著各校的信息化管理部門��,而引入IT運維外包服務(wù)正是一種經(jīng)實踐證明比較好的解決思路�����。通過將IT運維服務(wù)外包���,高??梢园迅嗑ν度氲浇虒W(xué)和科研中去。并且以較低成本提供專業(yè)化的IT服務(wù)����。
目前大部分高校的信息化人員編制十分有限,并且對新進人員的學(xué)歷要求很高�,而從事一般的IT工作并不需要非常高的學(xué)歷。受待遇和未來發(fā)展因素影響�����,高校信息化部門很難長期留住高水平的IT人才���。通過外包服務(wù)�,由公司選派有相應(yīng)能力的人員長期協(xié)助學(xué)校從事相應(yīng)工作���,學(xué)校不用擔(dān)心其待遇及去留等問題�,保持了IT運維工作人員的相對穩(wěn)定��。
上海交通大學(xué)作為一所“綜合性�、研究型、國際化”的全國重點大學(xué),校內(nèi)信息化部門以建設(shè)數(shù)字大學(xué)為目標(biāo)�,為校內(nèi)五萬多師生員工提供各類專業(yè)的IT服務(wù)。在近十幾年的信息化建設(shè)和日常網(wǎng)絡(luò)及應(yīng)用信息系統(tǒng)運維過程中�����,大量使用了外包服務(wù)��,在人員�����、資金�����、制度上都進行了相應(yīng)保障�,通過全面的發(fā)現(xiàn)及確認(rèn)外包風(fēng)險�����,進行分析��、評估�����,對可能引發(fā)的安全風(fēng)險進行了一系列有益的深入探索和實踐,從而有效地控制風(fēng)險�����。
三�����、學(xué)生團隊參與用戶服務(wù)外包的風(fēng)險控制
用戶服務(wù)管理是IT運維的重要組成部分����,上海交通大學(xué)從2000年開始,在學(xué)生宿舍網(wǎng)的管理過程中����,引入了學(xué)生團隊來為學(xué)生宿舍區(qū)三萬多用戶提供接入用戶網(wǎng)絡(luò)服務(wù)。學(xué)校有關(guān)部門提供指導(dǎo)���,建立一個以學(xué)生自我管理��、自我服務(wù)為主體的學(xué)生網(wǎng)絡(luò)管理體系���,發(fā)揮學(xué)生網(wǎng)管的作用,調(diào)動其積極性來參與網(wǎng)絡(luò)維護工作,為學(xué)生打造一個良好的實踐與學(xué)習(xí)環(huán)境�。學(xué)生網(wǎng)管從作為學(xué)生的實際需求出發(fā),幫助信息化部門提高了網(wǎng)絡(luò)故障的應(yīng)急響應(yīng)和處理能力, 做了許多有意義的日常用戶服務(wù)工作��,但學(xué)生們畢竟缺少實踐經(jīng)驗�,平時日常學(xué)習(xí)和科研活動也占用了很多時間。兼職的網(wǎng)絡(luò)維護工作如何來提高用戶滿意度���?服務(wù)質(zhì)量和服務(wù)能力如何控制����?這都需要加強管理和組織學(xué)習(xí)培訓(xùn)�,通過完善的制度建設(shè)來降低運維工作中的風(fēng)險。
面對繁雜的學(xué)生寢室樓網(wǎng)絡(luò)維護工作�,建立了一套完善的體系來解決學(xué)生們平時遇到的各種網(wǎng)絡(luò)問題。從宿舍樓內(nèi)學(xué)生網(wǎng)管的工作����,到學(xué)生網(wǎng)管部辦公室客服咨詢的解答���,再到技術(shù)報修組的報修受理以及上門服務(wù)��,這其中的每一個環(huán)節(jié)都有嚴(yán)格而具體的要求來規(guī)范他們的服務(wù)����,確保服務(wù)質(zhì)量讓學(xué)生們滿意。當(dāng)然���,維護龐大的校園網(wǎng)絡(luò)單靠人力是遠遠不夠的����,因此學(xué)生網(wǎng)管自行開發(fā)了一套綜合的內(nèi)部技術(shù)支持系統(tǒng)�����。有了它��,學(xué)生網(wǎng)管員們不僅可以方便地辦理各種基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)����,還可以實時查看各個終端用戶的網(wǎng)絡(luò)運行狀態(tài),以及交換機端口信息等�����,及時發(fā)現(xiàn)問題并針對性處理�。
平時宿舍樓內(nèi)瑣碎的網(wǎng)絡(luò)問題處理是由樓內(nèi)的學(xué)生網(wǎng)管來完成的,每一位網(wǎng)管員都被要求做到盡全力滿足用戶正常網(wǎng)絡(luò)接入需要���,熱情耐心解答用戶的任何疑問�����,在技術(shù)層面上指導(dǎo)用戶完成一些基本操作���。每位學(xué)生網(wǎng)管在閑暇之余都被要求多了解網(wǎng)絡(luò)技術(shù)知識�,參加內(nèi)部培訓(xùn)�,掌握常見問題的處理方法,在技術(shù)上要讓用戶信得過�。
技術(shù)報修組專門負責(zé)解決樓內(nèi)網(wǎng)管處理不了的問題,由網(wǎng)管員中的技術(shù)骨干組成���。他們接受過專門的技能培訓(xùn)��,配置專業(yè)的網(wǎng)絡(luò)維修工具�����,在辦公室值班人員所給予的遠程配合下���,幾乎可以解決大部分學(xué)生所碰到的網(wǎng)絡(luò)問題�����,如果還不能解決則協(xié)調(diào)學(xué)校網(wǎng)絡(luò)運維部門進一步處理。同時也要求學(xué)生網(wǎng)管在解決問題后把全過程書面化���,為以后別人的工作處理提供經(jīng)驗積累���。在學(xué)生團隊中的技術(shù)骨干由于長期和學(xué)校信息化部門溝通,其能力會得到認(rèn)可�����,在畢業(yè)后也可以擇優(yōu)直接進入高校的IT運維隊伍�,更快的進入工作角色。
四��、信息系統(tǒng)運維外包的風(fēng)險管理
高校大量的信息系統(tǒng)都來自于直接采購或者由外包廠商定制化開發(fā)完成�,完全由自己主導(dǎo)開發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來越少。常見的信息系統(tǒng)包括人事系統(tǒng)����、科研系統(tǒng)、財務(wù)系統(tǒng)��、學(xué)工系統(tǒng)�、教務(wù)系統(tǒng)���、檔案系統(tǒng)、校園一卡通系統(tǒng)�����、公共數(shù)據(jù)平臺等��,不少高校還將校內(nèi)各院系部門網(wǎng)站交由外包公司設(shè)計制作和維護�����。在這些信息系統(tǒng)的實施完成之后�����,日常運行過程中不可避免的會出現(xiàn)各種問題����,高校IT運維部門可以解決部分維護工作,但是很多專業(yè)化程度較高的系統(tǒng)維護工作還是不可避免的要依賴外包協(xié)助完成����。
雖然很多針對高校 IT 市場的外包服務(wù)商在信息系統(tǒng)外包過程中獲得了成功,并積累了豐富的高校行業(yè)經(jīng)驗�����,但也暴露出不少的安全風(fēng)險��。不同的外包公司之間技術(shù)實力和管理水平參差不齊�,廠商技術(shù)支持人員穩(wěn)定性不高是普遍遇到的問題,這就要求高校需慎重選擇合作方����,簽訂全面詳細的合同進一步加以約束,要求通過嚴(yán)格的崗位培訓(xùn)和業(yè)務(wù)培訓(xùn)��,提高外包技術(shù)人員的能力�����。關(guān)鍵項目實施和后期維護期間��,要求外包公司核心技術(shù)人員常駐學(xué)校���,保證項目按要求順利完工�,并穩(wěn)定運行��。前期項目開發(fā)和后期運維中遇到的問題��,需要提交給研發(fā)解決的,要有順暢的正式渠道提交與反饋�����,限時解決或改進�。在每項子系統(tǒng)投入運行前,完成對使用該系統(tǒng)的校內(nèi)用戶培訓(xùn)工作�;建立完整的客戶培訓(xùn)體系,為高校提供相關(guān)的技術(shù)培訓(xùn)和業(yè)務(wù)培訓(xùn)�,并提供相應(yīng)的培訓(xùn)技術(shù)資料。
由于很多外包公司開發(fā)的各類信息系統(tǒng)廣泛應(yīng)用在多所高校�,一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞,那么會迅速波及到其他高校����,引發(fā)嚴(yán)重的安全事件。在教務(wù)系統(tǒng)��、學(xué)工系統(tǒng)等方面�����,這類安全事件屢見不鮮�,給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護外包過程中,由于項目需要���,服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類師生個人信息��、財務(wù)信息�、科研信息等��,這些敏感信息如果發(fā)生泄漏也會給高校帶來重大損失��。
高校自身要建立完整且獨立的信息安全保障體系�,在整個IT運維過程中保護學(xué)校的重要信息資產(chǎn)��?�?紤]到大部分高校都缺乏專業(yè)信息安全運維人員��,使用專業(yè)安全公司提供的安全服務(wù)也成為必然的選擇�����。同時利用高校自身的信息安全科研優(yōu)勢以及和國內(nèi)外安全研究機構(gòu)的密切聯(lián)系���,及時獲取最新安全資訊�,對外包引發(fā)的安全風(fēng)險實時監(jiān)控,并快速響應(yīng)�。
五、IT運維監(jiān)控外包的風(fēng)險
IT運維監(jiān)控外包在很多高校廣泛使用�,但也由此帶來了一系列安全風(fēng)險。外包公司為了追求利潤最大化�,勢必考慮降低成本,這樣就給外派到學(xué)校工作的人員業(yè)務(wù)素質(zhì)和穩(wěn)定性帶來了巨大沖擊���。頻繁變動且能力不足的外包人員給高校IT運維必然帶來了可預(yù)見的安全運營風(fēng)險�����,和高校的固有核心利益產(chǎn)生了沖突���。對此高校要進一步完善和外包公司的合同細節(jié),明確保障服務(wù)質(zhì)量和要求服務(wù)人員的相對穩(wěn)定性�����,并簽訂專門的SLA(Service Level Agreements)服務(wù)水平協(xié)議����。同時高校自身也要不斷提升專業(yè)IT運維能力,即便采用了外包����,也要建立管理和技術(shù)并重的內(nèi)部團隊��,自己的人員要具備系統(tǒng)的IT運維管理能力���,在程序設(shè)計開發(fā)、應(yīng)用信息系統(tǒng)維護��、數(shù)據(jù)庫和服務(wù)器管理���、網(wǎng)絡(luò)管理和安全運維方面都要培養(yǎng)自身的力量����,不斷學(xué)習(xí)新技術(shù)�,培養(yǎng)創(chuàng)新能力�����,對外包人員進行有效的監(jiān)督和管理��,仔細傾聽來自教師學(xué)生的第一線業(yè)務(wù)需求�����,不能被外包公司所左右,從而降低安全運維風(fēng)險�。
六、IT運維監(jiān)控平臺外包開發(fā)的風(fēng)險管理
IT運維監(jiān)控平臺對任何一所高校網(wǎng)絡(luò)管理人員來說都是必不可少的�。我們沒有采取商業(yè)的管理監(jiān)控解決方案,主要是考慮到當(dāng)網(wǎng)絡(luò)和應(yīng)用發(fā)展到一定程度之后�����,其規(guī)模和復(fù)雜性決定了很難找到完全符合自身需求的方案���。我們最終選擇了在開源的Zabbix監(jiān)控系統(tǒng)基礎(chǔ)上���,采取外包給專業(yè)軟件公司的模式進行了大量的定制化開發(fā)來滿足實際運維需求。通過分布部署Agent采集點主動獲取各類監(jiān)控數(shù)據(jù)����,涵蓋了學(xué)校數(shù)據(jù)中心使用的各類操作系統(tǒng)和虛擬化環(huán)境,也可以支持各大廠商的網(wǎng)絡(luò)交換路由設(shè)備管理���,滿足了大規(guī)模網(wǎng)絡(luò)和服務(wù)器監(jiān)控需求���。但是這條外包之路也同時存在著種種風(fēng)險,合作方的選擇不當(dāng)可能會導(dǎo)致項目的無法順利推進���;軟件流程設(shè)計管理不當(dāng)也會引發(fā)開發(fā)周期變長��,拖延系統(tǒng)的上線時間��;大量不同設(shè)備的定制化開發(fā)需要投入更多資源��,項目的成本控制也會直接影響合作方的開發(fā)人員投入力量�;軟件平臺的漏洞會直接影響基礎(chǔ)IT運維體系的整體安全性;開發(fā)人員的流動性也給整個外包開發(fā)的質(zhì)量控制帶來了不確定因素���;后期維護服務(wù)跟不上也會影響IT運維工作的長期可持續(xù)性����。
關(guān)注到這些安全風(fēng)險�,我們有針對性地采取了一系列措施����。選擇開源監(jiān)控軟件作為系統(tǒng)底層平臺已經(jīng)適度降低了開發(fā)風(fēng)險,慎重的選擇具有資質(zhì)和經(jīng)驗的合作方來保證項目質(zhì)量�。全過程參與功能需求分析和流程設(shè)計來控制整個開發(fā)周期的進度,進度過慢時要求合作方增加人力����,進度過快時要求合作方保障代碼質(zhì)量��。和外包方要建立順暢的溝通渠道���,通過周報、月報和定期溝通交流�����,掌握對方工作進展��,監(jiān)督管理實際開發(fā)進度是否和預(yù)期一致���,投入是否充分��,代碼質(zhì)量是否合格�。通過要求規(guī)范全過程的技術(shù)開發(fā)文檔�����,保證了即使發(fā)生開發(fā)人員變更也可以快速完成新老交接����。要求系統(tǒng)留有靈活的開放接口以提供良好的伸縮性和可擴展性,也可以在一定程度上規(guī)避兼容性風(fēng)險���。在開發(fā)過程中和正式交付時都引入第三方專業(yè)安全人員進行安全評估和滲透測試��,確保IT運維監(jiān)控系統(tǒng)自身的安全等級達到一定級別��。通過詳細的開發(fā)合同對項目周期和合作雙方人員力量投入和項目進展時間節(jié)點進行了嚴(yán)格的約定���,并事先就開發(fā)完成后的后期維護服務(wù)達成一致����,保持長久合作關(guān)系���。
七���、結(jié)束語
信息安全技術(shù)一直在發(fā)展,攻防對抗在持續(xù)升級�,各類安全風(fēng)險和挑戰(zhàn)始終存在,安全IT運維必然是一個長期動態(tài)的過程��。作為有特長的信息網(wǎng)絡(luò)安全科研機構(gòu)和同時給數(shù)萬師生提供IT專業(yè)服務(wù)的部門�,高校信息化團隊可以把實際安全經(jīng)驗和運維外包風(fēng)險管理工作相結(jié)合���,加強配套安全監(jiān)管����,從而走出一條具有自己特色的安全IT運維外包之路。
參考文獻:
[1]趙燦,杜,杜鵑.高校信息化建設(shè)項目外包采購管理的探討[J].中國教育信息化(高教職教),2011(5).
[2]蔣東興,宓泳,郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議[J].中國教育信息化(高教職教),2009(8).
[3]何秀全.高校信息化中的IT外包及其風(fēng)險管理研究[D].上海外國語大學(xué) 2012年碩士學(xué)位論文.
[4]王左利.探討學(xué)生網(wǎng)管模式[J].中國教育網(wǎng)絡(luò),2009(3).
第3篇
關(guān)鍵詞:高校信息安全風(fēng)險保障策略進行研究
現(xiàn)如今����,以手機、電腦為主的用戶終端在高校校園內(nèi)早已普及了���,并且也融入了學(xué)校師生的日常生活�。在這樣的大背景之下���,加強高校信息安全風(fēng)險的保障策略則顯得尤為必要和迫切�����。尤其是近幾年���,在互聯(lián)網(wǎng)帶寬大幅提升、大數(shù)據(jù)建設(shè)步伐逐漸加快的形勢影響下����,高校也開始從“數(shù)字化校園”逐步轉(zhuǎn)向為了“智慧校園”的建設(shè)與發(fā)展模式,以致于傳統(tǒng)落后的高校信息安全工作開展受到了強烈的沖擊���。由此可見���,做好高校信息安全風(fēng)險保障工作�,實際也是為了促使高校教育事業(yè)得到更好的發(fā)展���。
一�、高校信息安全的基本內(nèi)容
1.1高校信息安全的基本概念
所謂“高校信息安全”����,主要是指保證信息自身、信息處理以及信息利用的安全�����,進而有效確保院校信息的完整性��、機密性��、可用性����。”通常�,高校信息安全內(nèi)容主要包括三個方面:院校網(wǎng)絡(luò)設(shè)備的安全;系統(tǒng)運行的安全,比如:信息系統(tǒng)不被損壞�;流通數(shù)據(jù)安全,例如���,院校網(wǎng)絡(luò)內(nèi)流通的數(shù)據(jù)不被盜用等���。在信息時代環(huán)境的影響之下,影響各大高校信息安全的因素也開始變得越來越多�,常見就有:黑客、病毒等非法侵入系統(tǒng)�����,曾一度使得院校公共信息�、重要的科研資料信息等被竊取和泄露。鑒于此����,做好保障高校信息安全工作就顯得十分重要,而只有深入分析高校信息安全存在的實際風(fēng)險��,才能采取更加具有針對性的保障策略����。
1.2高校信息安全背景
目前�����,我國高校信息安全工作開展還依舊處于參差不齊的水平狀態(tài)下���,尤其是:經(jīng)費來源、重視程度��、人員素質(zhì)等內(nèi)容����,更是對實現(xiàn)高校信息的安全造成了巨大的制約。對于那些發(fā)展較好的高校而言�,它們的信息安全保障工作也是做的相當(dāng)?shù)轿唬踔潦浅^了211��、985等公辦高校���。然而對于發(fā)展相關(guān)落后的民辦高校來說���,其信息安全風(fēng)險依舊存在,而且數(shù)據(jù)信息孤島的現(xiàn)象也比比皆是�,這實際上也反映出了高校信息安全工作開展的迫切性���,與此同時,也意味著高校信息安全風(fēng)險保障工作開展還要經(jīng)歷很長的歷程�。
二��、目前高校所存在的信息安全風(fēng)險
2.1缺乏集中統(tǒng)一的規(guī)劃
高校信息安全風(fēng)險的種類有很多��,其中校園網(wǎng)建設(shè)與發(fā)展就是其中一個重要的組成部分�����,比較明顯的缺陷則在于缺乏集中統(tǒng)一的規(guī)劃���、缺乏完整科學(xué)論證體系���、缺乏合適的運維管理模式,以及存在“數(shù)據(jù)信息孤島”等現(xiàn)象��。由于校園網(wǎng)建設(shè)投入大�,建設(shè)周期較長,利益產(chǎn)出比也不明顯��,因此使得一些民辦高校在有限投入資金的前提下����,會優(yōu)先考慮教學(xué)條件��、實習(xí)實訓(xùn)基地��、學(xué)生住宿等方面的支出�,這樣就可以將校園網(wǎng)建設(shè)放在“能使用就盡量不投入”的發(fā)展思路之中���,同時也促使學(xué)校校園網(wǎng)建設(shè)變成了簡單的設(shè)備和平臺采購�,進而在一定程度上減少了民辦高校校園網(wǎng)建設(shè)的成本��。但是���,這樣的辦學(xué)理念卻間接地加大了高校所面臨的信息安全風(fēng)險���。
2.2缺乏完整的科學(xué)論證體系
高校在信息安全管理上之所以會存在科學(xué)論證體系不完善的問題,實際上也是因為院校以及相關(guān)負責(zé)人對于信息安全重視性程度不夠��,進而缺少必要的防護措施�����。主要表現(xiàn)為三點:一是作為院校信息安全的工作管理人員����,他們難以體會到信息安全對高校所產(chǎn)生的重要影響�,因此使得他們工作中的安全意識普遍不強��。與此同時�,相關(guān)信息安全工作人員由于不主動接受相應(yīng)的信息安全培訓(xùn)教育,從而導(dǎo)致他們防病毒以及防黑客的意識都不強�,一旦遇到外界的惡意攻擊,必將給高校帶來重大的損失�����。二是作為使用院校網(wǎng)絡(luò)信息的相關(guān)人員����,他們在使用過程中也是極度缺乏信息安全的保護意識�����。尤其是一些高校學(xué)生�,在日常生活和學(xué)習(xí)中,網(wǎng)絡(luò)的使用早已變得愈加頻繁���,但是他們卻潛意識認(rèn)為保障信息安全只是學(xué)校的事�����,完全與自己無關(guān)�����。正是由于他們?nèi)狈@種信息安全的意識�,進而導(dǎo)致其在使用信息的過程中,很可能無意泄露重要的校內(nèi)信息�,并使黑客、病毒等軟件有機可趁����。三是對信息安全風(fēng)險漏洞修復(fù),檢查不及時����。比如:由于技術(shù)人員的疏忽,或者是軟件使用的時間太久���,從而導(dǎo)致一些防護信息安全的軟件出現(xiàn)了各類的缺陷���,加上相關(guān)的信息安全管理人員沒有及時對這些問題軟件進行下載和重新安裝,最終也就導(dǎo)致安全風(fēng)險保障工作難以做到位��。
2.3缺乏專業(yè)的信息安全保障技術(shù)人員
高校雖然很重視信息安全保障工作的開展,但是對于那些民辦高校而言�����,由于其性質(zhì)決定了它在辦學(xué)過程中會過于追求經(jīng)濟利益����,因此,相關(guān)負責(zé)人也會把更多的注意力集中于專業(yè)設(shè)置和學(xué)生專業(yè)學(xué)習(xí)等方面���,自然也就忽視了高校信息安全工作的開展����。以校園網(wǎng)建設(shè)�����、運維管理為例�����,則間接導(dǎo)致相關(guān)管理人員的缺乏�,并且他們還不具備有較強的專業(yè)能力�,長此以往�����,則使得高校校園網(wǎng)的建設(shè)與發(fā)展難以形成一個科學(xué)的體系��,這也將直接阻礙高校校園網(wǎng)的建設(shè)與發(fā)展��。比如:一些民辦高校的辦學(xué)條件等資源同公辦院校相比都存在巨大的差距�����,除了沒有人事編制���、管理機構(gòu)以外,還極度缺乏相關(guān)的信息安全保障技術(shù)人員���。很多民辦高校為了節(jié)約人員成本���,甚至還由其他的教育行政人員兼任技術(shù)人員,正因為如此���,才使得校園網(wǎng)的建設(shè)����、運維管理人員的數(shù)量等方面與公辦院校存在巨大的差異。與此同時�,部分技術(shù)人員由于薪資待遇等問題,從而使得他們難以認(rèn)清楚自身所肩負的職責(zé)和使命�,當(dāng)某些信息安全風(fēng)險急需要被解決的時候,他們常常不知所措�����;而沒有風(fēng)險存在的時候���,也不主動對信息安全風(fēng)險問題進行排查��。而其實這都體現(xiàn)出了高校負責(zé)人對于信息安全問題的不重視���。
2.4缺乏嚴(yán)格的制度管理
我國很多高校在關(guān)于信息化建設(shè)、運維管理��、方案論證����、設(shè)備采購���、后期服務(wù)等方面的制度�����,幾乎是一片空白或者是有章不循����,這不僅容易導(dǎo)致信息安全風(fēng)險的出現(xiàn)���,還使得整個信息安全保障工作難以落到實處����。其實,這也反映出高校各部門�,各院系在信息安全保障上各自為戰(zhàn),從而也才使得類似校園網(wǎng)建設(shè)與發(fā)展等信息化工作的進度緩慢���。其實�,這都歸根于高校信息安全管理制度還不夠完善����,同時高校負責(zé)人對信息管理部門的監(jiān)管也比較松懈,雖然在教育部門的要求下建有總體規(guī)章制度�,但整體而言,還是缺乏明確的管理機制,最終導(dǎo)致監(jiān)管機構(gòu)形同虛設(shè)��,相關(guān)人員更是無法真正履行應(yīng)負的職責(zé)���。除此之外����,高校在應(yīng)對突發(fā)校園信息安全問題的時候�,也缺乏明顯的應(yīng)急處置機制,往往也是因為問題沒有得到及時的處理和解決�,而給高校其余教學(xué)工作的開展造成了重要的影響?���?偠灾M管各高校目前的信息化建設(shè)非常迅速�����,但是絕大多數(shù)院校在信息安全的監(jiān)管上還依舊存在較為嚴(yán)重的漏洞�。
三、關(guān)于高校信息安全風(fēng)險的有效保障策略
3.1加強對高校信息安全風(fēng)險保障的重視程度
高校管理者對信息安全風(fēng)險的認(rèn)知度和重視度是決定高校信息化建設(shè)發(fā)展成敗的關(guān)鍵���。因此,必須要從多方面做好相應(yīng)的信息安全風(fēng)險保障工作。首先是高校信息安全保障工作開展必須上升到管理層�����,而且還要由學(xué)校領(lǐng)導(dǎo)參與其中�,并對相關(guān)建設(shè)和發(fā)展問題進行協(xié)調(diào)把關(guān),從而才能為方案論證���、項目實施���、資金、人員��、部門協(xié)調(diào)提供有力的組織保障�。同時,利用上層管理者的公關(guān)能力加強與公辦院校����、專業(yè)IT公司、運營商的合作也顯得尤為必要����,因為只有加大信息資源的整合和共享,再借助大數(shù)據(jù)等相關(guān)資源�����,才能為后期預(yù)防信息安全風(fēng)險獲得更多的資金保障。其次是不斷強化師生對于信息安全風(fēng)險保障工作開展的認(rèn)識��。例如:院?�?梢圆欢ㄆ诮M織學(xué)校負責(zé)信息安全管理的工作人員同師生們一起學(xué)習(xí)網(wǎng)絡(luò)安全管理制度����,主要內(nèi)容可以包括:計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法;信息審核�����、登記制度等國內(nèi)外信息安全法律法規(guī)的培訓(xùn)教育�����。借此機會����,也可以向廣大師生普及信息安全知識,進而提升他們的信息安全保密意識�,并共同努力營造出維護院校信息安全的良好氛圍。除此之外�����,在師生中開展信息安全技術(shù)教育培訓(xùn)工作也十分必要����,比如:舉辦計算機技能培訓(xùn);開展網(wǎng)絡(luò)維護技能培訓(xùn)活動等?�?傊?,通過這樣的形式,師生們則能有效掌握網(wǎng)絡(luò)防御技能����,并且也能提升防范信息安全風(fēng)險的能力。
3.2加強信息安全風(fēng)險保障工作的發(fā)展研究
隨著我國《國家中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》的頒布�,作為高校負責(zé)人,更應(yīng)根據(jù)學(xué)校自身發(fā)展特色��,積極研究本校的信息安全風(fēng)險保障工作的開展���,為了取得良好的效果����,除了轉(zhuǎn)變現(xiàn)有管理體制���,還要積極建立適合自身發(fā)展的規(guī)章制度�,并在一定程度上加強信息化、校園網(wǎng)建設(shè)在內(nèi)的基礎(chǔ)設(shè)施建設(shè)��、應(yīng)用環(huán)境建設(shè)���、網(wǎng)絡(luò)安全保障等等��。比如:完善校園網(wǎng)絡(luò)信息安全管理中心����。即根據(jù)“預(yù)防為主�,防患未然”和技術(shù)防范相結(jié)合的準(zhǔn)則,對院校的信息安全管理采取“三級聯(lián)動”的管理機制�����。所謂“三級聯(lián)動”��,主要是分為三個步驟��,第一層則是由學(xué)校領(lǐng)導(dǎo)進行決策和監(jiān)管����;第二層則是由學(xué)校中層干部實施管理�����;而第三層則由學(xué)校一線操作工作人員負責(zé)具體執(zhí)行��。因此也就意味著,高校建立的“三級聯(lián)動”信息安全管理機制后�,則可以專門成立管理學(xué)校信息安全的信息管理中心,有條件的高校還可以配備一定數(shù)量的專業(yè)技術(shù)人員����,這樣就能促使信息安全風(fēng)險保障工作得到層層落實?����?傊?�,通過這樣的方式�����,才能彰顯出制度改革對于學(xué)校自身發(fā)展的重要性�,進而更能調(diào)動各部門積極參與信息化建設(shè),并共同推進信息化����、校園網(wǎng)的持續(xù)發(fā)展��。
3.3加強信息安全風(fēng)險保障技術(shù)人才隊伍建設(shè)
由于高校信息安全風(fēng)險保障工作開展是一個長期的��、持續(xù)性的過程���,因此要注重人才培養(yǎng)、引進建設(shè)��。根據(jù)相關(guān)數(shù)據(jù)分析結(jié)果可知����,我國信息安全方面的人才缺口極大,特別是業(yè)務(wù)技術(shù)精湛�����,專業(yè)性強的技術(shù)人員更是極度欠缺����。因此,高校應(yīng)根據(jù)其政策靈活的特色�,建立人才培養(yǎng)和引進的長效建設(shè)機制,同時還要加大培養(yǎng)學(xué)校內(nèi)部業(yè)務(wù)和管理的骨干,這樣才能從根本上提高信息安全風(fēng)險保障技術(shù)人才隊伍的建設(shè)�。除此之外,高校還可以在“以情動人���、以信待人��、以德服人�、以誠感人”方面下工夫�����,因為這樣可以用濃厚的文化氛圍感染人���、用良好的工作環(huán)境吸引人、用適當(dāng)?shù)拇隽糇∪?���,由此可見,穩(wěn)定人才隊伍���,并逐步建立一支專業(yè)結(jié)構(gòu)合理��、整體素質(zhì)基本適應(yīng)學(xué)校信息安全風(fēng)險保障工作的人才隊伍����,才能促使高校信息化建設(shè)工作的發(fā)展。
3.4加大各項資源設(shè)備的支持力度
一直以來�,資金問題都是困擾高校信息一個“瓶頸”,尤其是對于一些民辦高校而言���,它們的辦學(xué)經(jīng)費很少能得到政府的補貼��,以致于資金獲取方式還是以自籌為主�����。為了促使信息安全風(fēng)險保障工作的順利開展��,作為高校負責(zé)人��,就應(yīng)該在信息化和校園網(wǎng)建設(shè)等過程中嚴(yán)格評估和控制資金投入的效果����,在條件允許的情況下���,還可以通過校企合作的形式獲得相關(guān)企業(yè)的資金支持��。除此之外�����,建立健全完善的高校網(wǎng)絡(luò)病毒防御體系也十分必要�。比如:裝載正規(guī)出版且得到了權(quán)威認(rèn)證的殺毒軟件,這樣就可以和放心的將其運用到校園網(wǎng)內(nèi)的網(wǎng)絡(luò)信息管理中心網(wǎng)頁�,不僅能夠方便廣大師生免費下載安裝,還能夠通過殺毒軟件的定期更新�����,及時幫助師生掃描殺毒和修復(fù)可能存在的安全漏洞����。為了使得網(wǎng)絡(luò)病毒防御體系的建設(shè)真正落到實處,為此還可以開設(shè)留言專欄���,而這就能及時收集到學(xué)生和教職工所反映的問題,進而確保院校內(nèi)電腦的安全運轉(zhuǎn)�����。當(dāng)然��,周密制訂防火墻防范對策也是相當(dāng)?shù)闹匾?��。例如�,?yán)格把關(guān)好操做系統(tǒng)的端口配置,并堅持該開放的開放�,不許開放的則堅決關(guān)閉的原則。至于那些需對外開放的網(wǎng)絡(luò)服務(wù)�,則應(yīng)當(dāng)將需要開放的服務(wù)器端口開放,不需要的端口就堅決關(guān)閉�����?���?傊挥懈黜椯Y源設(shè)備變得完善���,才能夠為高校信息安全風(fēng)險保障工作的開展提供支持和保障���。
四、結(jié)語
隨著社會的發(fā)展和進步�,高校也早已進入到了網(wǎng)絡(luò)環(huán)境下的“數(shù)字化”時代,在這樣的環(huán)境影響下���,以校園網(wǎng)為代表的信息化工程建設(shè)與發(fā)展也成為必然��,相應(yīng)的也給高校帶來了信息安全風(fēng)險����。所以,如何才能確保高校信息安全保障工作落到實處���,并促進民辦高校教學(xué)事業(yè)的發(fā)展��,成為了一個需要深入思考的問題���。本文對此淺析,也是希望能為高校提供更多的借鑒意義和價值����,進而有效推動高校信息化建設(shè)工作的發(fā)展。
參考文獻:
[1]吳旭東���,柳炳祥校園網(wǎng)網(wǎng)絡(luò)規(guī)劃的設(shè)計與實現(xiàn)[J]電腦開發(fā)與應(yīng)用2011.02
[2]韓寧淺議高校校園網(wǎng)建設(shè)與管理[J]科技創(chuàng)業(yè)月刊2011.09
[3]汪瑩,朱齊媛關(guān)于高校校園網(wǎng)信息安全的現(xiàn)狀與對策[J]重慶工學(xué)院學(xué)報(自然科學(xué)版)2008.06
[4]姜少軍,盧金海高校信息安全保障體系分析[J]青島遠洋船員學(xué)院學(xué)報2005.09
第4篇
關(guān)鍵詞:信息安全��;IT治理����;智慧校園�;等級保護�����;信息服
中圖分類號:TP393 文獻標(biāo)志碼:A 文章編號:1673-8454(2017)01-0040-05
一����、引言
隨著網(wǎng)絡(luò)和信息技術(shù)不斷應(yīng)用到社會生活的各個方面,信息服務(wù)成為支撐高校教學(xué)�、科研、管理�、服務(wù)等職能開展的基礎(chǔ)手段。隨著高校信息化建設(shè)從數(shù)字校園建設(shè)向智慧校園建設(shè)過渡����,高校信息服務(wù)也從以網(wǎng)站為主向網(wǎng)站與移動應(yīng)用相結(jié)合轉(zhuǎn)變,規(guī)劃���、建設(shè)和運行維護的高校IT環(huán)境也更加繁雜�����;在“互聯(lián)網(wǎng)+”背景下高校信息化建設(shè)從“自主”建設(shè)為主向“開放與自主”相結(jié)合轉(zhuǎn)變[1]�,提升高校IT環(huán)境管控水平的需求也更加迫切�;而網(wǎng)絡(luò)信息安全領(lǐng)域面臨的嚴(yán)峻形勢����,國家推進信息系統(tǒng)等級保護建設(shè)����,也對高校IT環(huán)境管控能力提出更高要求。如何在信息安全管控要求下�����,不斷提高高校信息服務(wù)的管理水平已成為信息化建設(shè)的關(guān)注點之一�����。
本文在總結(jié)智慧校園建設(shè)下IT治理思想的基礎(chǔ)上�����,梳理和分析智慧校園建設(shè)下信息服務(wù)安全管控需求�����,提出面向信息安全管控的高校IT治理支持平臺的建設(shè)理念�,采用支持移動多終端訪問的開發(fā)技術(shù)和組件化信息系統(tǒng)集成技術(shù)��,分析、設(shè)計和實現(xiàn)面向高校信息安全等級保護工作開展的IT治理支持平臺的實際應(yīng)用系統(tǒng)�,最后結(jié)合平臺實現(xiàn)和運行狀況及IT治理發(fā)展前景,提出平臺下階段完善和拓展方向�。
二、智慧校園建設(shè)下IT治理思想
隨著校園網(wǎng)絡(luò)建設(shè)和信息應(yīng)用建設(shè)逐步推進�,高校信息化建設(shè)已經(jīng)從最初以校園網(wǎng)絡(luò)和數(shù)據(jù)中心等硬件為主的建設(shè)階段,過渡到以數(shù)字化校園等軟件為主的建設(shè)階段��;2015年我國政府工作報告中從國家層面提出“互聯(lián)網(wǎng)+”概念以來�����,高校信息化建設(shè)領(lǐng)域也從傳統(tǒng)的以“構(gòu)建虛擬校園”為特征的數(shù)字校園建設(shè)向以“移動互聯(lián)���、智能感知與物聯(lián)網(wǎng)�、大數(shù)據(jù)分析與決策支持”為特征的智慧校園建設(shè)過渡[2]�。圖1所示是目前主流的關(guān)于智慧校園系統(tǒng)層次邏輯的描述。
在“互聯(lián)網(wǎng)+”背景下���,智慧校園建設(shè)模式也逐步擺脫數(shù)字校園建設(shè)階段以學(xué)?����!白灾鳌苯ㄔO(shè)模式為主的狀況���,從自身發(fā)展的實際需要出發(fā)����,以提升學(xué)校IT資源利用效率為主要目的����,采取“開放與自主”相結(jié)合的建設(shè)模式,通過“開放”充分利用信息行業(yè)各類服務(wù)和調(diào)動校內(nèi)外各方建設(shè)熱情����,通過“自主”牢牢掌握關(guān)系學(xué)校核心利益和師生各類需求的數(shù)據(jù)、流程和安全管控�,營造關(guān)注學(xué)校核心職能和師生實際需求的“合作開放、利益共享”的信息化建設(shè)生態(tài)圈[1]����。圖2所示是“開放與自主”相結(jié)合高校信息化建設(shè)模式的邏輯結(jié)構(gòu)。
智慧校園建設(shè)過程中��,隨著服務(wù)外包的采用和社會服務(wù)的集成�����,如何高效管理學(xué)校相關(guān)的各類IT資源成為制約數(shù)字校園建設(shè)向智慧校園建設(shè)的一個重要因素,很多高校在數(shù)字校園階段也沒有很好解決IT資源管控問題���,造成IT資源浪費、數(shù)據(jù)準(zhǔn)確度差�、項目實施風(fēng)險高等問題。通過IT治理(IT Government)將IT戰(zhàn)略和高校發(fā)展戰(zhàn)略有機結(jié)合�,將學(xué)校信息技術(shù)資源轉(zhuǎn)換成優(yōu)勢資源,對信息化相關(guān)的決策�����、激勵��、控制緊密協(xié)調(diào)��,整合學(xué)校相關(guān)IT資源應(yīng)用的全過程�����,整體提升學(xué)校IT政策����、組織、服務(wù)與資源的管控水平�����,成為保障智慧校園建設(shè)順利開展的有力舉措[3]。
IT治理的思想來源于Brown在20世紀(jì)90年代中期提出的信息系統(tǒng)治理(IS Governance)的概念[4]����。IT治理是描述組織是否采用有效機制,使得IT應(yīng)用能夠完成組織賦予的使命并平衡信息化過程中的風(fēng)險���,確保組織戰(zhàn)略目標(biāo)實現(xiàn)的過程����,解決“做什么決策�?誰來決策?怎么來決策�?如何監(jiān)督和評價決策?”[5]���。IT治理的使命包括:保持IT與組織目標(biāo)一致�,推動組織業(yè)務(wù)發(fā)展���,促使收益最大化���,合理利用IT資源���,適當(dāng)管控與IT相關(guān)風(fēng)險[6]。
信息化建設(shè)程度高的美國研究型高校很早就接納和推行IT治理思想��,多采用聯(lián)邦式的IT治理模式����,對學(xué)校信息化建設(shè)相關(guān)的決策���、激勵和控制形成有效機制�,在設(shè)置專職的首席信息官(CIO��,Chief Information Officer)的基礎(chǔ)上���,建設(shè)服務(wù)全校的信息技術(shù)服務(wù)(ITS����,Information Technology Service)部門支持高校研究和教育�����、跨地域和跨機構(gòu)的合作和協(xié)作����、服務(wù)學(xué)習(xí)者和推動IT技術(shù)傳播[7]�。我國高校信息化領(lǐng)域在2010年前后逐步關(guān)注IT治理思想[8]��,之前對于在高校設(shè)置專職CIO的呼聲也一直持續(xù)到現(xiàn)在��,但是真正的對學(xué)校整體信息化治理水平提升的影響十分有限���。也因此在高校信息化建設(shè)過程中以管理推動的信息化建設(shè)模式只有少數(shù)信息化領(lǐng)先高校才得以實施��,而部分高校通過技術(shù)推動的信息化建設(shè)模式逐步向管理推動靠攏[1]�����;而隨著“互聯(lián)網(wǎng)+”背景下各類社交化應(yīng)用不斷滲入高校職能的各個方面�����,真正實現(xiàn)以師生實際需求來推動的信息化建設(shè)模式也有了實際案例��。
信息化組織體系與決策機制���、信息化發(fā)展與項目規(guī)劃、項目實施與過程控制等三大核心要素是推動高校信息化建設(shè)的三大核心要素[9]�,也是智慧校園建設(shè)下IT治理主要關(guān)注的三個方面���,在政策制度、組織架構(gòu)建設(shè)的基礎(chǔ)上�����,對于高校IT資源情況感知���、監(jiān)測與管理�,對于高校IT項目全生命周期管控等都是需要相關(guān)的支持平臺來完成���。
三、智慧校園建設(shè)下信息服務(wù)安全管控需求
高校信息化建設(shè)作為高校教學(xué)�����、科研���、管理和服務(wù)等職能的網(wǎng)絡(luò)和信息技術(shù)基礎(chǔ)����,智慧校園建設(shè)過程中以用戶為中心的個性化信息服務(wù)是重要組成部分��。為支撐智慧校園服務(wù)發(fā)揮作用,服務(wù)層�、數(shù)據(jù)層、環(huán)境層和通訊層涉及多個建設(shè)方和運維方���,實際運行中的包括電子郵件��、外網(wǎng)訪問等網(wǎng)絡(luò)基礎(chǔ)服務(wù)��、網(wǎng)站群����、門戶系統(tǒng)�����、身份認(rèn)證���、業(yè)務(wù)系統(tǒng)�����、移動應(yīng)用后端支撐系統(tǒng)等各類信息化應(yīng)用系統(tǒng)����,交換機、路由器����、服務(wù)器、存儲��、負載均衡等各類IT硬件設(shè)備���,統(tǒng)一的系統(tǒng)運維管理是智慧校園建設(shè)順利開展的基本保障����。
隨著網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施成為國家和社會發(fā)展新的重要戰(zhàn)略資源����,以及我國在IT相關(guān)領(lǐng)域缺少核心技術(shù)支撐的現(xiàn)狀�����,促使在網(wǎng)絡(luò)信息安全領(lǐng)域要投入更多管理措施�。雖然之前對于網(wǎng)絡(luò)信息安全保障都當(dāng)作是信息化建設(shè)架構(gòu)中的重要組成部分,但是實際建設(shè)和運維過程中卻關(guān)注很少��,或者常為功能實現(xiàn)而犧牲安全水平���,缺乏統(tǒng)一的安全政策制定與執(zhí)行����、安全事件無法及時發(fā)現(xiàn)定位和應(yīng)急處置;在實際的信息系統(tǒng)等級保護工作推進過程中���,也暴露出信息系統(tǒng)管理水平低���、定級備案整改落實不力、等級測評脫離提高安全管控能力實際等問題�。隨著國家通過推進信息系統(tǒng)等級保護建設(shè)以提高國家整體信息安全水平的工作不斷推進,對高校IT環(huán)境管控能力提出更高要求����。以安全管理制度、應(yīng)急響應(yīng)制度等軟環(huán)境和以防火墻�����、VPN����、堡壘機、IDS/IPS�����、應(yīng)用防火墻等各類安全設(shè)備硬環(huán)境組成的統(tǒng)一的信息安全管控也成為智慧校園建設(shè)順利開展的基本保障。因此�,基于等級保護要求,智慧校園建設(shè)中對信息服務(wù)安全管控提出如下需求:
1)信息服務(wù)安全管控應(yīng)該以全面掌握各類IT資源基本情況����、配置變動、狀態(tài)監(jiān)控等為基礎(chǔ)實施�����。
2)信息服務(wù)安全管控應(yīng)該貫穿智慧校園建設(shè)的規(guī)劃���、設(shè)計�����、實施�����、運維等各個階段,并在組織����、戰(zhàn)略��、架構(gòu)�����、基礎(chǔ)設(shè)施���、業(yè)務(wù)需求、投資等各方面充分被考慮���,實現(xiàn)安全管控的全過程參與����。
3)信息服務(wù)安全管控應(yīng)該充分考慮國家信息系統(tǒng)等級保護要求��,對信息系統(tǒng)的定級���、備案����、測評、整改等提供全生命周期管理���。
4)圖形化�、集中化的對信息服務(wù)安全管控態(tài)勢相關(guān)的各個支撐環(huán)節(jié)進行展示和分析����,在充分獲取各類安全日志、威脅情報的基礎(chǔ)上�,分析和定期實現(xiàn)安全評估報告和態(tài)勢分析,并對發(fā)現(xiàn)的不足方面及時完善和加強監(jiān)控��。
5)信息服務(wù)的狀態(tài)監(jiān)控����、安全信息的獲取與分析等都要充分實現(xiàn)自動化、智能化管理��,減少人工操作工作量份額���,以實現(xiàn)全天候狀態(tài)監(jiān)控和安全響應(yīng)的要求��,并通過各類事件分析與告知機制實現(xiàn)信息及時交互與分享���,提高整體安全防控水平����。
在對高校整體IT資源環(huán)境進行管控的基礎(chǔ)上�����,智慧校園中信息服務(wù)安全管控將在組織和制度建設(shè)的基礎(chǔ)上��,通過集中實時獲取����、維護���、管理�、分析信息服務(wù)相關(guān)的各類信息���,將各類智慧校園建設(shè)利益關(guān)聯(lián)方整合在統(tǒng)一的IT治理支持平臺上����,實現(xiàn)決策���、激勵和控制相關(guān)信息的充分共享����,不斷推動高校信息化決策實施和項目實現(xiàn),支撐高校新形勢下的人才培養(yǎng)和教學(xué)科研的戰(zhàn)略轉(zhuǎn)型�����。
四���、面向信息安全管控的高校IT治理支持平臺的實現(xiàn)與應(yīng)用
高校IT治理支持平臺是根據(jù)實際采納的IT治理框架���,實現(xiàn)全過程的信息服務(wù)支撐。目前國內(nèi)外主流IT治理框架包括ITIL(IT Infrastructure Library���,信息技術(shù)基礎(chǔ)架構(gòu)庫)框架��、COBIT(Control Objectives for Information and Related Technologic���,信息通用審計標(biāo)準(zhǔn))框架、PRINCE2(Project in Controlled Environment2�����,受控環(huán)境下的項目管理)框架等[10]�,各有側(cè)重點和優(yōu)勢領(lǐng)域�����,其中ITIL重點關(guān)注IT過程管理��,對整個IT治理流程和信息進行完整的實現(xiàn)和管控,特別強調(diào)對組織的IT服務(wù)支持和IT項目交付��,很契合支撐高校各自特色發(fā)展目標(biāo)的信息化建設(shè)的治理需求����。
ITIL是由英國政府商務(wù)辦公室(The Office of Government Commerce,OGC)為解決“IT服務(wù)質(zhì)量差”的問題提出和逐步完善的一套被廣泛承認(rèn)的用于IT服務(wù)管理的實踐準(zhǔn)則���。ITIL以流程為導(dǎo)向��、以用戶為中心�,通過整合IT服務(wù)與組織業(yè)務(wù)��,提高組織的IT服務(wù)提供�����、運營和管理的能力�����,詳細指明了IT管理流程應(yīng)當(dāng)如何構(gòu)建和落實,操作性和指導(dǎo)性優(yōu)良[11]�����。
ITIL主體框架包括服務(wù)管理�����、業(yè)務(wù)管理����、基礎(chǔ)設(shè)施管理、應(yīng)用管理�����、IT服務(wù)管理實施規(guī)劃��、安全管理等模塊����,以服務(wù)管理模塊為核心,面向IT基礎(chǔ)設(shè)施管理提供支持�,面向業(yè)務(wù)管理提供服務(wù)�����。其中����,IT服務(wù)支持關(guān)注基礎(chǔ)設(shè)施的日常服務(wù)支持���,確保IT服務(wù)的穩(wěn)定性與適應(yīng)性,通常包括一個服務(wù)機構(gòu)(服務(wù)臺)和五個管理流程(配置管理�、事件管理、問題管理���、變更管理和管理)����;IT服務(wù)提供承擔(dān)為業(yè)務(wù)用戶提供高質(zhì)量��、低成本的IT服務(wù)��,與IT服務(wù)能力評估有直接關(guān)聯(lián)��,與組織階段規(guī)劃和持續(xù)評估相關(guān)���,通常包括服務(wù)級別管理��、可用性管理��、能力管理���、IT服務(wù)可持續(xù)管理和IT服務(wù)財務(wù)管理�����。
面向信息安全管控的高校IT治理支持平臺�����,就是在基本的ITIL IT治理主體框架和流程基礎(chǔ)上�,結(jié)合高校信息化建設(shè)特點和智慧校園建設(shè)要求���,對業(yè)務(wù)和基礎(chǔ)設(shè)施的描述和監(jiān)測進行數(shù)據(jù)化�����,并進一步明確和細化安全管理��,在服務(wù)臺中增加安全服務(wù)職能��,根據(jù)信息系統(tǒng)等級保護具體要求增加專門的安全管理流程����,與事件管理、問題管理等流程形成完整的支持信息安全管控的治理結(jié)構(gòu)����,具體主要流程結(jié)構(gòu)參見圖6。
1.業(yè)務(wù)和基礎(chǔ)設(shè)施描述與監(jiān)測數(shù)據(jù)化
智慧校園建設(shè)中�����,業(yè)務(wù)和基礎(chǔ)設(shè)施的描述都要與具體的建設(shè)和運維相關(guān)��,并在業(yè)務(wù)與基礎(chǔ)設(shè)施間建立起有效的可監(jiān)測的關(guān)聯(lián)�����。
業(yè)務(wù)可以看作是面向具體用戶方的服務(wù)�,而基礎(chǔ)設(shè)施也是提供自己能力的服務(wù)����。通過將業(yè)務(wù)和基礎(chǔ)設(shè)施都看成是基礎(chǔ)服務(wù),來對其進行描述與監(jiān)測��,并實現(xiàn)集中的監(jiān)測與展示。
1)服務(wù)相關(guān)的具體組成部分的邏輯定義�����,從具體相關(guān)用戶角度進行���,建立對象�����、內(nèi)容項��、數(shù)據(jù)項�����、元數(shù)據(jù)的層次結(jié)構(gòu)供IT治理支持平臺建模和對象監(jiān)測使用���;
2)服障喙氐撓沒描述,根據(jù)用戶類型和服務(wù)功能對用戶角色進行分析和歸納�,智慧校園建設(shè)相關(guān)的用戶角色通常包括普通用戶(注冊用戶、校友�����、教師、學(xué)生等)����、管理人員、系統(tǒng)管理人員��、運維人員���、外包人員等�;
3)服務(wù)根據(jù)相關(guān)對象組成的流程進行組織�����,如���,某臺交換設(shè)備和教務(wù)課表查詢功能、成績查詢功能�����、校園網(wǎng)網(wǎng)費查詢功能都成為一個可識別的服務(wù)[12]����。
2.安全管理細化與服務(wù)臺增加安全服務(wù)職能
智慧校園建設(shè)中�,安全管理是基本的保障機制����,不僅僅是安全環(huán)境監(jiān)測、安全設(shè)備管理���、安全漏洞發(fā)現(xiàn)�����、安全事件處置�,還包括等級保護合規(guī)�����、數(shù)據(jù)安全管理����、安全態(tài)勢感知等功能,在IT治理后臺知識庫中也要專門為安全建立專門結(jié)構(gòu)�����,并與第三方安全服務(wù)廠商緊密服務(wù)獲取漏洞信息和安全態(tài)勢。在IT治理框架中服務(wù)臺也需要有針對性的增加具體的安全服務(wù)職能�,該服務(wù)即是面向業(yè)務(wù)部門提供安全建議,也是面向信息部門提供安全預(yù)警�,并接受安全管控職能部門的來訪和反饋。
3.根據(jù)信息系統(tǒng)等級保護要求增加安全管理流程
信息系統(tǒng)等級保護建設(shè)已經(jīng)是智慧校園建設(shè)中不能回避的IT治理內(nèi)容���,也是推進高校IT治理水平的一個抓手和動力�。安全管理流程需要在原有的配置管理�����、變更管理�����、管理等信息服務(wù)系統(tǒng)信息管理流程的基礎(chǔ)上�,根據(jù)國家信息安全等級保護相關(guān)管理辦法和標(biāo)準(zhǔn)指南,實現(xiàn)對信息系統(tǒng)等級保護相關(guān)動作的全過程管理���,實現(xiàn)對信息系統(tǒng)的立項���、定級���、備案���、上線�、測評���、整改���、變更、撤銷等的管理���,集中管理和呈現(xiàn)組織信息系統(tǒng)數(shù)據(jù)��,并提供對等級保護指定動作的主動告知和預(yù)先準(zhǔn)備��,提高整體安全管理合規(guī)程序的執(zhí)行效率和自動化水平����,并提供第三方測評機構(gòu)���、人員�����、活動的信息支持和可控共享�。
面向信息安全管控的IT治理支持平臺的建設(shè)理念是來源于校園信息服務(wù)日常運維和安全管控的實際經(jīng)驗,主要是為學(xué)校IT治理體系和工作推進提供基礎(chǔ)數(shù)據(jù)和信息服務(wù)�,并面向信息系統(tǒng)等級保護工作開展提供面向信息安全管控的專項提升功能,促進IT治理能力和信息安全管控能力的不斷提升����。該平臺的IT服務(wù)支持側(cè)的系統(tǒng)架構(gòu)圖參見圖7所示。
東北大學(xué)擁有高專業(yè)素養(yǎng)和技術(shù)水平的網(wǎng)絡(luò)和信息技術(shù)實施與運維團隊��,長期自動自發(fā)的通過網(wǎng)絡(luò)和信息技術(shù)推動學(xué)校數(shù)字校園乃至智慧校園建設(shè)�,分階段分層次的實現(xiàn)學(xué)校各類用戶的信息服務(wù)水平[13],形成可持續(xù)發(fā)展的信息化建設(shè)氛圍��,推動信息化建設(shè)管理部門組建和頂層設(shè)計推動��。
現(xiàn)階段����,東北大學(xué)在信息系統(tǒng)等級保護工作推進下,實現(xiàn)對校內(nèi)相關(guān)的IT資源的全面調(diào)研����、排查和系統(tǒng)管理,并通過在原有的面向用戶的智慧校園信息服務(wù)集中監(jiān)測平臺的基礎(chǔ)上���,結(jié)合ITIL IT治理思想設(shè)計和實現(xiàn)了面向信息安全管控的IT治理支持平臺����。該平臺采取數(shù)據(jù)層面的統(tǒng)一邏輯化和抽象化�����,通過插件化設(shè)計為系統(tǒng)提供預(yù)先定義的各類對象模板���、流程模板等��,系統(tǒng)訪問界面采用基于Boostrap框架的響應(yīng)式界面技術(shù)設(shè)計和實現(xiàn)��,基本實現(xiàn)在桌面電腦操作系統(tǒng)�、移動手機����、平板電腦等終端上提供相對統(tǒng)一的用戶體驗,數(shù)據(jù)交換參考REST(Representational State Transfer���,表述性狀態(tài)傳遞)實現(xiàn)�。通過該平臺的建設(shè)和應(yīng)用�,學(xué)校整體IT資源情況得到集中統(tǒng)一的獲取��、維護�����、監(jiān)測和統(tǒng)計分析����,為學(xué)校推進IT治理思想提供了前期的信息技術(shù)手段���,同時也滿足現(xiàn)階段信息系統(tǒng)等級保護對信息系統(tǒng)的基本信息�、定級備案�、整改測評等相關(guān)信息的集中管理,對及時發(fā)現(xiàn)與處置漏洞和安全事件提供了基礎(chǔ)數(shù)據(jù)支撐���,明顯提升學(xué)校信息安全管控水平���。
五、總結(jié)與展望
面向信息安全管控的高校IT治理平臺是在總結(jié)智慧校園建設(shè)下IT治理思想基礎(chǔ)上����,結(jié)合等級保護管理要求,在ITIL IT治理框架基礎(chǔ)上,提出和設(shè)計的IT治理建設(shè)信息支持手段�,為高校智慧校園建設(shè)提供高水平的合規(guī)的信息安全管控能力,對于提升安全管控與信息服務(wù)全生命周期管理建立良好的信息共享和交互�����。
該平臺主要完善信息安全管控方面功能����,是對現(xiàn)有IT治理支持平臺的有益補充�����,特別是對于提ITIL中服務(wù)臺功能完善是對高校實現(xiàn)信息安全整體管控的有益推動�����;接下來��,可以進一步吸取其他主流IT治理架構(gòu)優(yōu)點����,結(jié)合高校智慧校園建設(shè)的社會化、服務(wù)化����、用戶體驗中心為主等特點進一步完善IT治理支持平臺�,如通過可視化的地理信息系統(tǒng)技術(shù)實現(xiàn)對IT資源的實時監(jiān)控與展示���,還可以集成校內(nèi)部門IT能力績效評估等功能促進高校智慧校園建設(shè)不斷向深層次推進�。
參考文獻:
[1]王宇�,吳煒鑫,王興偉.“互聯(lián)網(wǎng)+”下高校信息化建設(shè)模式的探索與研究[C].第四屆中國互聯(lián)網(wǎng)學(xué)術(shù)年會(ICoC 2015)論文集��,2015:235-241.
[2]蔣東興����,付小龍,袁芳���,吳海燕�����,劉啟新.大數(shù)據(jù)背景下的高校智慧校園建設(shè)探討[J].華東師范大學(xué)學(xué)報(自然科學(xué)版)�,2015(S1):119-125+131.
[3]劉曉文����,胡克瑾.美國高校IT治理的現(xiàn)狀與啟示[J].中國教育信息化,2008(13):20-22.
[4]Carol V. Brown. Examining the Emergence of Hybrid IS Governance Solutions: Evidence From a Single Case Study[J]. Information Systems Research, March 1997��, 8(1):69-94.
[5]丁天翔.IT治理與我國高校信息化建設(shè)[J].中國工程科學(xué)����,2011,13(1):109-112.
[6]彼得.維爾�,珍妮.W.羅斯.楊波,譯.IT治理:一流績效企業(yè)的IT治理之道[M].北京:商務(wù)印書館�, 2005.
[7]杜藎朱悅月,付小龍�,蔣東興.美國研究型高校IT治理結(jié)構(gòu)研究[J].中國教育信息化���,2012(1):9-11.
[8]李林�,王賀松.校園IT治理框架研究[J].中國教育信息化��,2010(9):4-6.
[9]趙亞萍���,賈春燕�����,程艷旗����,魯東明.美國高校信息化推進機制分析及其啟示[J].中國教育信息化,2011(1):20-23.
[10]孟秀轉(zhuǎn)���,于秀艷�����,郝曉玲�,孫強�����,等.IT治理:標(biāo)準(zhǔn)���、框架與案例分析[M].北京:清華大學(xué)出版社����,2012.
[11]李萍���,郭玉嬌.高校IT資源管理服務(wù)平臺探究[J].實驗技術(shù)與管理�,2011����,28(6):138-141.
第5篇
安全運維管理專業(yè)人才的匱乏�。首先是安全運維管理人員數(shù)量上的相對不足�����。雖然近年來很多高校已經(jīng)設(shè)立了信息安全專業(yè)����,但依然無法滿足市面上對信息安全專業(yè)人才的大量需求;其次����,各自的專業(yè)技術(shù)水平參差不齊。試想一個不十分“專業(yè)”的安全運維人員在數(shù)千條的海量告警信息中如何對漏報與誤報做出迅速而準(zhǔn)確的判斷?又怎樣令復(fù)雜的信息安全保障制度落到實處?以往信息安全專人專職被過分強調(diào)�����,大部分行業(yè)用戶只配備少量技術(shù)人員負責(zé)相關(guān)工作�����,很難有效實現(xiàn)先進管理�。
信息安全風(fēng)險管理與事件監(jiān)控缺少信息化手段�����。近年來,大量的安全標(biāo)準(zhǔn)的實施和推廣意味著更多的技術(shù)細節(jié)工作需要落實�;網(wǎng)絡(luò)規(guī)模不斷壯大,IT系統(tǒng)由不同品牌的產(chǎn)品和越來越多的子系統(tǒng)組成����,多個管理員分散管理,各自為政���;關(guān)鍵行業(yè)24小時運行的系統(tǒng)缺少24小時有效的持續(xù)監(jiān)控……以上種種皆令信息安全運維管理面臨著前所未有的巨大挑戰(zhàn)�,技術(shù)和人之間的缺口越來越大�。
必須要“面對”的內(nèi)部隱患。目前很多安全威脅的最終來源并不是來自黑客或是我們通常意義上的外部入侵者�,而是源于企業(yè)內(nèi)部形形的違規(guī)操作,這些內(nèi)部隱患問題的出現(xiàn)也令信息安全管理面臨很大挑戰(zhàn)�。在大部分IT系統(tǒng)中,交叉管理�����、一臺服務(wù)器多人擁有權(quán)限使用同一個賬號登陸管理的現(xiàn)象非常普遍�����。未經(jīng)測試和公告進行配置更改,往往給系統(tǒng)埋下不穩(wěn)定因素�����。而由于系統(tǒng)的復(fù)雜性和管理人員無暇顧及往往大部分配置變更沒有有效記錄�����,這些變更顯然也不能依靠變更人員主動自覺的上報來實現(xiàn)�。傳統(tǒng)的運維管理產(chǎn)品缺少監(jiān)控手段,僅依靠人為的自覺錄入顯然已經(jīng)不符合實際運維環(huán)境��。利用工具化的手段技術(shù)巡檢IT系統(tǒng)尋找各項配置變更的實施情況��,并快速進行內(nèi)部通告就顯得尤為重要���。
信息安全的多頭管理局面����?���?v觀世界�,中國的信息安全立法和執(zhí)法的力度不亞于任何發(fā)達國家���。眾多管理機構(gòu)對于信息安全不約而同的重視令中國的信息安全呈現(xiàn)多頭管理局面。安全要求眾多�����,程序紛繁復(fù)雜�,如何構(gòu)建一個開放式的平臺實現(xiàn)多種合規(guī)性的整合,并能根據(jù)新的要求進行靈活調(diào)整也是安全運維管理面臨的現(xiàn)實挑戰(zhàn)之一����。
第6篇
關(guān)鍵詞關(guān)鍵詞:高校網(wǎng)站;網(wǎng)站集群�;網(wǎng)站運維;三方聯(lián)動機制�����;CMS
DOIDOI:10.11907/rjdk.161430
中圖分類號:TP319
文獻標(biāo)識碼:A 文章編號:1672-7800(2016)008-0150-03
0 引言
隨著高校網(wǎng)站建設(shè)規(guī)模及數(shù)量的不斷發(fā)展�����,網(wǎng)站信息內(nèi)容和服務(wù)功能正逐步豐富與完善�,已成為向校內(nèi)外用戶提供教學(xué)、科研���、管理��、招生就業(yè)等方面公共信息與服務(wù)的平臺����,是展示高校形象、與外界聯(lián)系的重要窗口�����,是高校信息化建設(shè)的重要組成部分�����。
高校網(wǎng)站群通常由學(xué)校的門戶網(wǎng)站及多個子網(wǎng)站組成�����,如何對網(wǎng)站進行科學(xué)建設(shè)與運維管理具有重要意義�。
1 高校網(wǎng)站建設(shè)與運維管理存在的問題
1.1 缺乏統(tǒng)一規(guī)劃,重復(fù)投資建設(shè)
許多高校存在各部門單獨進行網(wǎng)站規(guī)劃�����、設(shè)計和管理�����,各網(wǎng)站分布在相對獨立的服務(wù)器上�����,網(wǎng)站之間信息缺乏有效共享�,難以實現(xiàn)更高層次的信息處理和數(shù)據(jù)挖掘利用等問題[1]。由于網(wǎng)站建設(shè)初期未進行合理細致的規(guī)劃����,當(dāng)網(wǎng)站后期需要擴充功能或改版升級時���,往往需要重新建設(shè)網(wǎng)站����,造成人力和財力等資源的嚴(yán)重浪費�。
1.2 網(wǎng)站開發(fā)人員水平參差不齊����、流動性大
高校網(wǎng)站開發(fā)人員有專業(yè)教師、教輔人員�����、在校學(xué)生及專業(yè)技術(shù)服務(wù)公司。各網(wǎng)站開發(fā)團隊規(guī)模不同�����、開發(fā)水平不一����、網(wǎng)站設(shè)計風(fēng)格各異,實現(xiàn)網(wǎng)站安全的技術(shù)手段也不盡相同���,提供的管理維護方式及力度也有差距��。例如���,有的網(wǎng)站由在校學(xué)生進行建設(shè)和管理,學(xué)生離校參加工作后���,可能不再參與網(wǎng)站的管理S護工作�,導(dǎo)致網(wǎng)站后期維護困難�。
1.3 網(wǎng)站內(nèi)容建設(shè)重視不足
高校網(wǎng)站建設(shè)重開發(fā)輕內(nèi)容現(xiàn)象較為普遍,許多部門對網(wǎng)站的信息內(nèi)容建設(shè)不甚重視�����,網(wǎng)站信息不能引起用戶的興趣。有的網(wǎng)站內(nèi)容更新不及時����,沒有發(fā)揮好網(wǎng)站傳遞信息的作用��。
1.4 信息安全意識薄弱�����,存在安全風(fēng)險
不少網(wǎng)站管理人員信息安全意識不強���,無法有效控制網(wǎng)站安全風(fēng)險���。當(dāng)發(fā)生網(wǎng)頁被篡改等攻擊事件時,無法及時恢復(fù)網(wǎng)站����,導(dǎo)致用戶無法正常訪問。有些被篡改后的網(wǎng)頁上顯示不良信息�����,造成負面影響。
2 建立“三方聯(lián)動”機制�����,推進高校網(wǎng)站建設(shè)工作
為確保高校網(wǎng)站建設(shè)運維工作高效有序開展����,本文探索推行由校內(nèi)網(wǎng)絡(luò)信息管理部門、網(wǎng)站建設(shè)部門�����、網(wǎng)站開發(fā)部門共同構(gòu)成的“三方聯(lián)動”機制[2]���,如圖1所示�。
在三方聯(lián)動機制中�����,網(wǎng)絡(luò)信息管理部門負責(zé)領(lǐng)導(dǎo)和組織網(wǎng)站建設(shè)�,以及網(wǎng)絡(luò)信息安全的相關(guān)工作,包括制定網(wǎng)站建設(shè)與管理的相關(guān)制度�,對網(wǎng)站建設(shè)申請進行審批,并對的網(wǎng)站信息內(nèi)容進行監(jiān)督管理�。網(wǎng)站建設(shè)部門按照制定的相關(guān)制度�����,負責(zé)擬定本部門網(wǎng)站建設(shè)需求與網(wǎng)站內(nèi)容更新等工作�����。網(wǎng)站開發(fā)部門在網(wǎng)絡(luò)信息管理部門的要求和指導(dǎo)下,負責(zé)對網(wǎng)站建設(shè)和運維管理提供技術(shù)服務(wù)支持�,利用信息技術(shù)和網(wǎng)絡(luò)資源優(yōu)勢做好網(wǎng)站建設(shè)的各項工作,確保完成網(wǎng)站建設(shè)目標(biāo)����。
隨著高校網(wǎng)站建設(shè)目標(biāo)的不斷提高,網(wǎng)站服務(wù)形式和功能也會發(fā)生轉(zhuǎn)變�����,網(wǎng)站建設(shè)部門會根據(jù)業(yè)務(wù)發(fā)展需要����,提出網(wǎng)站建設(shè)新的要求,這反過來會影響或提高校園網(wǎng)站整體建設(shè)要求��。網(wǎng)絡(luò)信息管理部門應(yīng)根據(jù)實際情況進行相應(yīng)調(diào)整�,網(wǎng)站開發(fā)部門在技術(shù)上����、可利用資源上提供必要的支持�。在三方聯(lián)動機制下,通過明確三方各自的職責(zé)�����,實現(xiàn)三方職能互補���、溝通互動��,促進三方協(xié)同工作高效開展�����,使網(wǎng)站建設(shè)工作更有成效���。
高校網(wǎng)站建設(shè)流程分為申請、開發(fā)和3個階段�����,如圖2所示��。
首先,由網(wǎng)站建設(shè)部門提出申請����,提交相關(guān)申請表格。申請內(nèi)容包括網(wǎng)站名稱�、申請部門、網(wǎng)站制作需求等信息����;其次,申請表需經(jīng)網(wǎng)絡(luò)信息管理部門審批�,批準(zhǔn)后由網(wǎng)絡(luò)信息管理部門備案����,再由網(wǎng)站開發(fā)部門根據(jù)需求提供網(wǎng)站建設(shè)方案,經(jīng)與網(wǎng)站建設(shè)部門確認(rèn)后開展網(wǎng)站資料搜集�����、分類整理和審查工作��;網(wǎng)站開發(fā)完成后還需進行相關(guān)測試���,通過測試并經(jīng)過審核后才可上線�����。
3 網(wǎng)站開發(fā)團隊建設(shè)
網(wǎng)站開發(fā)工作需要專業(yè)的知識���、技術(shù)與經(jīng)驗�,通過組建專業(yè)化���、高素質(zhì)的高校網(wǎng)站開發(fā)團隊�����,以高效率完成網(wǎng)站建設(shè)任務(wù)�����。
3.1 組建專業(yè)高效的開發(fā)團隊
結(jié)合三方聯(lián)動機制的思路���,由網(wǎng)絡(luò)信息管理部門與網(wǎng)站開發(fā)部門根據(jù)學(xué)校網(wǎng)站總體建設(shè)任務(wù),確定開發(fā)團隊的規(guī)模����,選拔任務(wù)所需知識結(jié)構(gòu)和專業(yè)技能的人員加入團隊。同時,還要充分考慮團隊成員各方面的差異和需求����,制訂有針對性的激勵措施,充分調(diào)動團隊成員的積極性�、主動性和創(chuàng)造性。增強團隊凝聚力��,營造良好的協(xié)作氛圍����,使團隊成員能夠在權(quán)責(zé)范圍內(nèi)充分發(fā)揮應(yīng)有的作用。
3.2 以任務(wù)為導(dǎo)向進行網(wǎng)站建設(shè)
以任務(wù)為導(dǎo)向的網(wǎng)站開發(fā)團隊[3]主要工作職責(zé)是完成網(wǎng)站建設(shè)����。開發(fā)團隊必須清楚認(rèn)識網(wǎng)站建設(shè)的目標(biāo),通過制定合理的網(wǎng)站開發(fā)流程和相關(guān)的工作規(guī)范��,齊心協(xié)力進行網(wǎng)站開發(fā)工作�����,確保建設(shè)任務(wù)按時保質(zhì)完成�����。開發(fā)團隊還要增強學(xué)習(xí)意識��,通過不斷總結(jié)網(wǎng)站建設(shè)工作經(jīng)驗�����,改進工作方法和技術(shù)手段���,逐步提升團隊的技術(shù)實力和職業(yè)素養(yǎng)��。
3.3 引導(dǎo)網(wǎng)站用戶參與建設(shè)
高校網(wǎng)站的設(shè)計和開發(fā)應(yīng)優(yōu)先滿足用戶的需求和期望�����,可以邀請并引導(dǎo)師生及用戶參與到網(wǎng)站的設(shè)計和決策過程中來����,將用戶的需求和意見融入到設(shè)計方案中�����,確保網(wǎng)站建設(shè)效果����,創(chuàng)新網(wǎng)站設(shè)計,改善用戶體驗。
4 基于CMS的高校網(wǎng)站集群建設(shè)方案
通過采用統(tǒng)一框架下基于內(nèi)容管理系統(tǒng)(content management system��,CMS)的網(wǎng)站集群建設(shè)解決方案��,實現(xiàn)統(tǒng)一建設(shè)��、信息共享�、提高效率、豐富內(nèi)容�����、安全可靠的高校網(wǎng)站建設(shè)設(shè)計思路��,以解決高校各網(wǎng)站相互獨立建設(shè)和管理而產(chǎn)生的諸多問題��,提高網(wǎng)站建設(shè)與管理水平�����。
CMS在B/S架構(gòu)下的網(wǎng)站集群結(jié)構(gòu)及主要功能如圖3所示����。
基礎(chǔ)設(shè)施層:由支持該系統(tǒng)運行的硬件��、系統(tǒng)軟件和計算機網(wǎng)絡(luò)組成。
信息資源層:包括系統(tǒng)用戶和組織結(jié)構(gòu)信息��,網(wǎng)站內(nèi)容信息���,圖片����、視頻等多媒體文件資源及數(shù)據(jù)庫管理系統(tǒng)�����,為系統(tǒng)中各站點提供信息資源和系統(tǒng)數(shù)據(jù)�����,同時通過對用戶管理和權(quán)限控制���,保證信息資源安全���。
系統(tǒng)管理層:主要包括對系統(tǒng)用戶和角色的管理、權(quán)限管理�、統(tǒng)計分析、日志管理�����、數(shù)據(jù)備份與恢復(fù)等功能。
系統(tǒng)應(yīng)用層:系統(tǒng)進行網(wǎng)站集群建設(shè)應(yīng)用的核心��。系統(tǒng)為網(wǎng)站建設(shè)和管理人員提供可視化操作界面����,能夠方便地進行操作。主要包括創(chuàng)建網(wǎng)站�、設(shè)置網(wǎng)站欄目、創(chuàng)建網(wǎng)頁模板�����、信息等操作�。
系統(tǒng)表現(xiàn)層:將各類信息資源以豐富的多媒體形式展現(xiàn)給用戶瀏覽。
用戶訪問層:用戶訪問層目標(biāo)用戶包括教師��、學(xué)生��、科研人員����、社會公眾等人群,這些用戶通過Internet可以直接訪問校園各網(wǎng)站�����,瀏覽和查詢網(wǎng)站相關(guān)信息�。
4.1 統(tǒng)一規(guī)劃建設(shè),資源整合共享
基于CMS的網(wǎng)站集群建設(shè)解決方案是在統(tǒng)一框架下實現(xiàn)對多個網(wǎng)站軟硬件資源的共享�����。在統(tǒng)一的系統(tǒng)平臺���,采用統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和規(guī)范���,對各網(wǎng)站進行統(tǒng)一規(guī)劃建設(shè)和管理,實現(xiàn)對多個網(wǎng)站的集群管理和數(shù)據(jù)的集中存儲��,使各網(wǎng)站的信息資源共享����,從而消除信息孤島現(xiàn)象。校內(nèi)網(wǎng)站可以使用CMS來建設(shè)和維護��,不需要單獨購買服務(wù)器����,大大減少了軟硬件資金的投入��,避免重復(fù)投資和資源浪費�。同時��,便于統(tǒng)一維護和更新軟硬件資源�����,使運維管理成本大幅度降低�。
4.2 提高網(wǎng)站建設(shè)效率,降低技術(shù)要求
在CMS中采用模板與內(nèi)容分離技術(shù)��。模板定義了網(wǎng)站前端頁面的展示樣式����,使用這種技術(shù)可以在不影響網(wǎng)站內(nèi)容和業(yè)務(wù)邏輯的情況下,方便地切換更新網(wǎng)站頁面的風(fēng)格�����。系統(tǒng)提供多套網(wǎng)站模板���,各部門可選擇使用����,從而簡化網(wǎng)站開發(fā)流程,縮短建設(shè)時間����。模板可由網(wǎng)站開發(fā)團隊統(tǒng)一設(shè)計和制作并存儲在系統(tǒng)中�。系統(tǒng)應(yīng)支持搭建移動門戶功能,實現(xiàn)對網(wǎng)站一次內(nèi)容采編就能在PC�、手機、平板電腦等終端設(shè)備上同步����。相對于獨立進行網(wǎng)站開發(fā)而言,CMS的應(yīng)用降低了網(wǎng)站建設(shè)難度��,提高了網(wǎng)站建設(shè)效率���,降低了建站人員的技術(shù)要求�。
4.3 提高內(nèi)容建設(shè)水平��,提升用戶滿意度
在CMS的系統(tǒng)管理中����,網(wǎng)絡(luò)信息管理部門能夠?qū)Ω骶W(wǎng)站內(nèi)容的更新情況進行監(jiān)管,對網(wǎng)站信息滯后的部門�,采取相應(yīng)的管理措施��,督促其及時更新網(wǎng)站內(nèi)容�����。網(wǎng)站管理人員可使用系統(tǒng)功能來掌握網(wǎng)站訪問量�、訪客信息等情況����,對訪客用戶行為進行分析,挖掘統(tǒng)計數(shù)據(jù)��,利用統(tǒng)計分析結(jié)果輔助決策����。此外,網(wǎng)站建設(shè)部門通過網(wǎng)站收集用戶的反饋意見�����,根據(jù)用戶關(guān)注或感興趣的內(nèi)容完善網(wǎng)站的欄目和服務(wù)����,有利于增強網(wǎng)站信息內(nèi)容的針對性和時效性,提高網(wǎng)站信息內(nèi)容建設(shè)水平,充分發(fā)揮網(wǎng)站宣傳與服務(wù)功能���,達到提升網(wǎng)站用戶滿意度的目的����。
4.4 建立嚴(yán)格審核機制����,構(gòu)建安全體系
CMS所創(chuàng)建的網(wǎng)站都有相對獨立的管理維護權(quán)限����,各網(wǎng)站管理人員可以方便地創(chuàng)建網(wǎng)站欄目,編輯和欄目內(nèi)容���。為確保網(wǎng)站的信息內(nèi)容符合相關(guān)政策要求���,必須建立嚴(yán)格的網(wǎng)站內(nèi)容審核機制。在CMS中����,主要通過“采編審發(fā)”流程對網(wǎng)站信息內(nèi)容進行管理[4]。根據(jù)實際情況��,在系統(tǒng)中定制相應(yīng)的審批流程,并授予系統(tǒng)相關(guān)用戶對網(wǎng)站信息內(nèi)容的查閱���、編輯����、審核�����、等操作權(quán)限���。明確工作人員責(zé)職��,提高網(wǎng)站信息內(nèi)容的準(zhǔn)確性和安全性�����。配合安全管理制度����,通過系統(tǒng)提供的數(shù)據(jù)加密���、身份認(rèn)證�、日志管理、數(shù)據(jù)庫管理等功能�,構(gòu)建可靠的系統(tǒng)安全體系,確保系統(tǒng)穩(wěn)定運行和網(wǎng)站信息內(nèi)容安全�。另外,系統(tǒng)應(yīng)支持與外部業(yè)務(wù)應(yīng)用系統(tǒng)的集成整合���,提供必要的數(shù)據(jù)處理服務(wù)�����,使數(shù)據(jù)能夠安全地進行交換與共享����。
5 分級管理思路
在網(wǎng)站開發(fā)之初�,就應(yīng)制定相應(yīng)的運維方案��,從技術(shù)和管理上提出具體要求���。本文所討論的運維管理主要是針對網(wǎng)站上線運行后的工作���。在高校網(wǎng)絡(luò)信息安全管理制度、網(wǎng)站安全事件應(yīng)急處理預(yù)案等相關(guān)管理制度����、規(guī)定的指導(dǎo)下�����,網(wǎng)站運維可采用分級管理方式進行���,具體如下:
①由網(wǎng)絡(luò)信息管理部門負責(zé)完善制度建設(shè),建立網(wǎng)絡(luò)信息內(nèi)容審核機制�,做好信息內(nèi)容的監(jiān)督管理。使用規(guī)章制度來指導(dǎo)網(wǎng)絡(luò)安全管理工作����,提升網(wǎng)站安全事件應(yīng)急響應(yīng)能力;②網(wǎng)站建設(shè)部門負責(zé)網(wǎng)站信息內(nèi)容的更新維護工作���,提出完善網(wǎng)站功能需求的建議���;③網(wǎng)站開發(fā)部門按照相關(guān)要求和規(guī)定,增強網(wǎng)站安全管理技術(shù)手段�����,做好網(wǎng)站各項安全保障措施�����。
CMS的安全穩(wěn)定運行直接關(guān)系到網(wǎng)站的正常運行。CMS的系統(tǒng)管理員負責(zé)日常運行維護和安全管理工作��,具體工作包括:
(1)通過CMS統(tǒng)一分配管理權(quán)限����,將網(wǎng)站管理相應(yīng)的權(quán)限賦給特定的用戶或角色,使其能進行網(wǎng)站相應(yīng)的操作���,如系統(tǒng)管理員在系統(tǒng)中將相關(guān)網(wǎng)站管理功能授予二級學(xué)院的網(wǎng)站管理員�,網(wǎng)站管理員對該網(wǎng)站進行欄目管理和熱莞新等操作�,從而實現(xiàn)在對網(wǎng)站管理員進行有效管理的前提下,完成各網(wǎng)站的分級運維工作���。系統(tǒng)權(quán)限管理如圖4所示�。
(2)制定合理的系統(tǒng)數(shù)據(jù)備份與恢復(fù)策略�,以便對系統(tǒng)數(shù)據(jù)和網(wǎng)站信息資源等重要數(shù)據(jù)進行備份和快速恢復(fù)�,確保系統(tǒng)數(shù)據(jù)庫的安全可靠運行。
(3)利用CMS的日志管理功能��,及時查找運行網(wǎng)站發(fā)生故障的原因�����,使故障盡可能在最短時間內(nèi)解決。
(4)通過分析與評估CMS運行所使用資源的情況��,及時進行擴容改造以滿足系統(tǒng)運行需求�����,保證系統(tǒng)的穩(wěn)定性及安全性�����。
(5)定期對系統(tǒng)服務(wù)器進行漏洞檢測�,查殺病毒等升級維護工作。
(6)采用Web防火墻或第三方網(wǎng)頁防篡改系統(tǒng)等網(wǎng)絡(luò)安全保護措施[5]���,對網(wǎng)站進行實時高效監(jiān)測與防護����,多方位加強網(wǎng)站群的安全保障�,以確保網(wǎng)站安全正常運行。
(7)網(wǎng)絡(luò)信息管理部門與網(wǎng)站開發(fā)部門以宣傳和培訓(xùn)
的形式�,加強各部門網(wǎng)站管理員的信息安全意識。
6 結(jié)語
在高校網(wǎng)站不斷完善與發(fā)展過程中�,要始終堅持高校網(wǎng)站建設(shè)與管理并重�,重視制度與技術(shù)相結(jié)合�。以網(wǎng)站為載體,開發(fā)和利用好高校的教育信息資源����,促進高校教育信息化建設(shè)發(fā)展,為進一步提高和完善高校信息化建設(shè)目標(biāo)打下堅實的基礎(chǔ)���。
參考文獻:
[1]屈建萍���,劉曉群,呂國.高校網(wǎng)站集群建設(shè)管理研究[J].河北建筑工程學(xué)院學(xué)報���,2008���,26(4):89-91.
[2]齊艷苓.政府、企業(yè)����、學(xué)校三方聯(lián)動的產(chǎn)學(xué)研合作機制研究[J].教育探索,2009(5):46-48.
[3]趙桂亮.軟件項目開發(fā)團隊的組建問題研究[D].北京:北京工業(yè)大學(xué)����,2006.
第7篇
近年來,隨著我國社會經(jīng)濟的不斷發(fā)展���,國家對教育事業(yè)的支持和投入不斷增加����,我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高��。信息化�、網(wǎng)絡(luò)與計算機技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強有力的支持手段,為教育模式的創(chuàng)新����、先進教育理念提供了可靠的實現(xiàn)方法。
高校信息化主要以數(shù)字化校園建設(shè)為主��,主要內(nèi)容包括校園信息管理系統(tǒng)��、數(shù)據(jù)中心����、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證���、校園一卡通���、網(wǎng)絡(luò)安全體系等���;大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案,確定數(shù)字化校園的體系結(jié)構(gòu)��,制定數(shù)字化校園的信息標(biāo)準(zhǔn)����,以及各系統(tǒng)之間的接口標(biāo)準(zhǔn),然后分階段實施�����。建立全校的網(wǎng)絡(luò)安全體系�,保證校園網(wǎng)絡(luò)的安全,保證關(guān)鍵數(shù)據(jù)���、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全���,實現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運行。
1教育信息化中的安全體系建設(shè)
在教育信息化建設(shè)過程中�����,信息安全體系是保障教育信息系統(tǒng)的信息完整����、系統(tǒng)可用和信息保密的重要支撐體系,對各級學(xué)校�、職業(yè)教育、教育主管機構(gòu)的正常工作起到了至關(guān)重要的保障作用�。各級教育主管部門對教育信息系統(tǒng)的安全體系建設(shè)給予了充分的重視,也是由于教育信息系統(tǒng)的復(fù)雜性���、多樣性����、異構(gòu)性和應(yīng)用環(huán)境的開放性����,給整個信息系統(tǒng)帶來了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例�,高校數(shù)字校園信息系統(tǒng)的建設(shè)是由高校業(yè)務(wù)需求驅(qū)動的,初始的建設(shè)大多沒有統(tǒng)一規(guī)劃����,有些系統(tǒng)是獨立的網(wǎng)絡(luò),有些系統(tǒng)又是共用一個網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性�����、安全需求和等級���、使用的對象��、面對的威脅和風(fēng)險各不相同����。當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個龐大復(fù)雜的系統(tǒng)�����,在支撐高校業(yè)務(wù)運營���、發(fā)展的同時����,信息系統(tǒng)面臨的信息安全威脅也在不斷增長���、被發(fā)現(xiàn)的脆弱性或弱點越來越多���、信息安全風(fēng)險日益突出�,成為高校面臨的重要的����、急需解決的問題之一。在進行數(shù)字化校園建設(shè)的過程中�,也曾發(fā)生不少信息安全事件��,如某高校數(shù)據(jù)中心一臺服務(wù)器被黑客入侵�,成為肉雞,被植入僵尸木馬程序���,受黑客控制瘋狂往外網(wǎng)發(fā)包�,導(dǎo)致學(xué)校網(wǎng)絡(luò)出口癱瘓���;某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬���、篡改,并且學(xué)校內(nèi)部也曾經(jīng)發(fā)現(xiàn)學(xué)生成績的數(shù)據(jù)庫��,有被惡意篡改的痕跡���。
2網(wǎng)絡(luò)安全威脅分析
(1)高校網(wǎng)站的安全威脅��,包括高校門戶網(wǎng)站��、高校招生網(wǎng)站��、二級各院系等網(wǎng)站��,由于高考�����、招生�����、學(xué)生就業(yè)等敏感時期����,聚集了大量的學(xué)生及家長訪問流量,也引起黑客的關(guān)注��,高校網(wǎng)站面臨的主要安全威脅有:網(wǎng)頁被掛馬�、被篡改,黑客通過SQL注入�、跨站腳本等攻擊方式�����,可以輕松的拿到高校網(wǎng)站的管理權(quán)限����,進而篡改網(wǎng)頁代碼���;部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站�,影響極其惡劣�。每年高考招生及高校重要節(jié)日期間�����,高校門戶網(wǎng)站極易被DDOS攻擊��,這種由互聯(lián)網(wǎng)上發(fā)起的大量同時訪問會話�,導(dǎo)致高校網(wǎng)站負載加劇,無法提供正常的訪問�。入侵者成功獲取WEB服務(wù)器的控制權(quán)限后,以該服務(wù)器為跳板��,對內(nèi)網(wǎng)進行探測掃描����,發(fā)起攻擊�����,對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響�。(2)隨著校園網(wǎng)信息化的逐步深入��,業(yè)務(wù)系統(tǒng)眾多�����,“一卡通”����、教學(xué)信息管理系統(tǒng)、電子圖書館��、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大高校采用�,而這些系統(tǒng)由于管理及防護不到位,面臨著較嚴(yán)重的安全威脅:業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護手段��,高校網(wǎng)絡(luò)規(guī)模擴張迅速�,網(wǎng)絡(luò)帶寬及處理能力都有很大的提升,但是管理和維護人員方面的投入明顯不足��,沒有條件管理和維護數(shù)萬臺計算機的安全,一旦受到黑客攻擊��,無法阻斷攻擊并發(fā)現(xiàn)攻擊源�����;部分高?�!耙豢ㄍā背渲迪到y(tǒng)與銀行互聯(lián)���,邊界缺乏必要的隔離和審計措施���,出現(xiàn)問題不方便定位,難以追查取證���;校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多��,管理及維護方式也不盡相同�����,無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策�����。同時,對于存在安全隱患的配置檢查����,也缺乏自動化的高效檢查工具和控制手段;業(yè)務(wù)系統(tǒng)權(quán)限控制不合理�,有安全隱患。
3需求分析
根據(jù)對高校校園網(wǎng)絡(luò)的威脅分析�����,得出在校園網(wǎng)絡(luò)安全體系建設(shè)中�,各個網(wǎng)絡(luò)區(qū)域和業(yè)務(wù)系統(tǒng)的安全需求如下:
(1)校園網(wǎng)絡(luò)出口應(yīng)對可能發(fā)生的拒絕服務(wù)攻擊進行有效識別、過濾�、清洗,保證網(wǎng)絡(luò)出口的暢通��,保證骨干鏈路的負載處于正常范圍之內(nèi)���。(2)網(wǎng)絡(luò)出口鏈路應(yīng)有相應(yīng)措施�,對來源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵��、病毒傳播等安全威脅進行實時識別與阻斷����。(3)DMZ區(qū)及內(nèi)網(wǎng)服務(wù)器區(qū)出口鏈路上����,應(yīng)對針對WEB應(yīng)用的7層攻擊���,如SQL注入���、XSS、HTTP GET FLOOD等威脅進行全面深入的防護��。(4)應(yīng)對流經(jīng)核心交換區(qū)域的所有流量進行深入的檢測����,以識別內(nèi)部各網(wǎng)絡(luò)區(qū)域之間發(fā)生的入侵事件和可疑行為。(5)應(yīng)對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為����,如公網(wǎng)訪問���、數(shù)據(jù)庫訪問等進行全面的記錄和審計�����,以滿足違規(guī)事件發(fā)生后的追查取證�。(6)應(yīng)在不同校區(qū)之間的鏈路接口進行訪問控制、病毒檢測��、入侵防護等安全控制措施�。
應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點進行漏洞風(fēng)險管理,實現(xiàn)漏洞預(yù)警���、漏洞加固和漏洞審計的全程風(fēng)險控制�。(7)應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點進行配置合規(guī)管理��,實現(xiàn)違規(guī)配置及時識別�、配置整改全面深入、配置風(fēng)險全程可控����。(8)應(yīng)對運維管理人員進行詳細嚴(yán)格的權(quán)限劃分,并通過技術(shù)手段控制運維行為權(quán)限��,對運維行為進行全程審計����,對違規(guī)運維操作進行實時告警。
4遵循等保要求
2009年11月,教育部為進一步加強教育系統(tǒng)信息安全工作�����,由辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》(教辦廳函[2009]80號)���,決定在教育系統(tǒng)全面開展信息安全等級保護工作�����;等級保護不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測���、評估以及定級,更重要的是�����,等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度����,是一項基礎(chǔ)性和制度性的工作。通過等級化方法和高校信息安全體系建設(shè)有效結(jié)合���,設(shè)計一套符合高校需求的信息安全保障體系,是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個非常有效的方法����。
5網(wǎng)絡(luò)安全建設(shè)方案
(1)在校園網(wǎng)出口處旁路部署抗拒絕服務(wù)攻擊系統(tǒng)(ADS)對拒絕服務(wù)攻擊流量進行清洗,并且旁路部署網(wǎng)絡(luò)流量分析系統(tǒng)(NTA)對網(wǎng)絡(luò)流量組成和DDOS攻擊成分進行分析和判斷�����。在正常環(huán)境下��,旁路部署的ADS不參與網(wǎng)絡(luò)出口流量的路由和交換����,邊界路由器通過NETFLOW等技術(shù)將流量信息發(fā)送給NTA,由NTA分析流量特征�,判斷是否遭受DDOS攻擊。當(dāng)發(fā)現(xiàn)遭受DDOS攻擊時����,NTA將激活A(yù)DS,由ADS向邊界路由器發(fā)送針對特定防護目標(biāo)IP的路由����,將所有去往被攻擊目標(biāo)IP的流量牽引至ADS設(shè)備。ADS系統(tǒng)進行惡意流量的識別和清洗��,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發(fā)送至目標(biāo)IP����。(2)在出口鏈路部署入侵防護系統(tǒng),對接入互聯(lián)網(wǎng)的訪問流量進行深入過濾��,有效抵御源自公網(wǎng)的入侵威脅����,消除安全風(fēng)險。(3)在DMZ區(qū)和內(nèi)網(wǎng)服務(wù)器出口處部署WEB應(yīng)用防火墻�,對服務(wù)器區(qū)的WEB服務(wù)器進行全方面的防護,對針對WEB站點的黑客攻擊�,惡意掃描、SQL注入�����、跨站腳本��、病毒木馬傳播���、暴力口令破解��、網(wǎng)頁篡改等攻擊手段進行深入防護���。保障網(wǎng)站��、電子教務(wù)系統(tǒng)、一卡通系統(tǒng)等應(yīng)用系統(tǒng)的正常工作�。(4)在核心交換區(qū)旁路部署安全審計系統(tǒng),通過將核心交換機上各端口的流量鏡像到安全審計系統(tǒng)的監(jiān)聽鏈路���,實現(xiàn)對流經(jīng)核心交換機的網(wǎng)絡(luò)數(shù)據(jù)進行全程的審計和過濾����。通過制定詳細的安全審計策略�,對違反審計策略的網(wǎng)絡(luò)行為進行實時告警。此外��,安全審計系統(tǒng)由部署在網(wǎng)絡(luò)運維區(qū)的安全中心進行統(tǒng)一監(jiān)控與策略下發(fā)�,并實時收集網(wǎng)絡(luò)時間日志和告警信息。(5)在核心交換區(qū)域的出口鏈路部署下一代防火墻�����,實現(xiàn)出口鏈路的流量檢測和安全過濾�����,保護內(nèi)部網(wǎng)絡(luò)安全。建議在核心交換區(qū)域與各個校區(qū)的網(wǎng)絡(luò)邊界處部署下一代防火墻���,通過下一代防火墻對應(yīng)用層攻擊�、病毒進行全面阻斷���,可實現(xiàn)基于源/目的IP地址�、協(xié)議/端口�、時間、用戶��、VLAN�����、VPN���、安全區(qū)的訪問控制�����,保證不同網(wǎng)絡(luò)區(qū)域之間的安全防護邊界完整��。同時���,通過安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對該設(shè)備進行全面的管理���。
