高校信息化安全管理方案

高校信息化安全管理方案在高校信息化應(yīng)用日益深化的今日，信息和資源的整合日益親密，如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行，確保信息平安是亟待解決的關(guān)鍵問題。從調(diào)研顯示，目前我國(guó)高校網(wǎng)絡(luò)系統(tǒng)存在很多平安問題，如：非授權(quán)訪問、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等，產(chǎn)生這些平安問題的緣由在于：沒有建立完善的網(wǎng)絡(luò)系統(tǒng)平安體系;沒有建立相應(yīng)的平安組織、管理、技術(shù)機(jī)構(gòu);沒有建立完備的網(wǎng)絡(luò)系統(tǒng)平安措施。本文從高校信息系統(tǒng)的需求動(dòng)身，遵從風(fēng)險(xiǎn)管理的理念，在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上，借鑒國(guó)際最佳實(shí)踐閱歷，討論并實(shí)施高校信息化平安管理體系，為高校信息平安管理工作供應(yīng)借鑒和參考。規(guī)劃信息化平安管理體系分層次建立平安管理制度和手段信息化平安管理體系規(guī)劃是高校平安體系建立的第一步，目的是識(shí)別平安問題，明確平安管理的范圍和內(nèi)容，建立平安管理的組織管理機(jī)制，從管理和技術(shù)兩個(gè)角度，分層次規(guī)劃各環(huán)節(jié)的平安管理制度和技術(shù)防范手段，形成完整、可行的信息化平安管理體系。我們將高校信息化平安管理規(guī)劃過程歸納為以下8個(gè)步驟：1.建立平安管理組織：平安管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成，包括來自行政、IT、業(yè)務(wù)、平安、保衛(wèi)、風(fēng)險(xiǎn)和規(guī)劃部門的人員。2.識(shí)別愛護(hù)對(duì)象：識(shí)別學(xué)校目前的關(guān)注點(diǎn)、面臨的風(fēng)險(xiǎn)及威逼，分析它們存在的緣由，將分析結(jié)果納入平安管理體系的規(guī)劃中重點(diǎn)考慮。3.評(píng)估現(xiàn)有措施：了解學(xué)校目前的平安管理措施并評(píng)估它們的效力。4.考慮長(zhǎng)期需要：平安整體規(guī)劃應(yīng)考慮長(zhǎng)期的需要，具有肯定的前瞻性，如長(zhǎng)期的制度適應(yīng)性、設(shè)備老化、平安人員的進(jìn)展需要等。5.納入學(xué)校的建設(shè)規(guī)劃：了解學(xué)校新建項(xiàng)目，如辦公樓、教學(xué)樓、停車場(chǎng)等項(xiàng)目，是否會(huì)影響現(xiàn)有的物理平安規(guī)劃，如有影響，將平安規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤考慮。6.建立平安工作機(jī)制：形成文件化的制度體系和工作條例，明確各崗位的責(zé)任、應(yīng)供應(yīng)的服務(wù)和交付物，這些將有助于確保工作的落實(shí)和運(yùn)作效率。7.應(yīng)對(duì)新老技術(shù)的混合：新技術(shù)的規(guī)劃應(yīng)考慮對(duì)老技術(shù)的沖擊，新老技術(shù)的融合運(yùn)用將是一個(gè)挑戰(zhàn)。8.關(guān)鍵設(shè)施重點(diǎn)布局：關(guān)鍵設(shè)施指校內(nèi)中那些需要連續(xù)、牢靠運(yùn)行而又相互關(guān)聯(lián)的簡(jiǎn)單設(shè)施集合，這些設(shè)施的平安尤為重要，風(fēng)險(xiǎn)也最為突出。體系框架的內(nèi)容上述的規(guī)劃步驟從組織、管理和技術(shù)三方面較全面地考慮高校信息化平安管理的詳細(xì)問題，有助于形成完整有效的信息化平安管理體系。圖1是高校信息化平安管理體系整體框架，其中包括平安組織體系、平安管理體系和平安技術(shù)體系。圖1高校信息化平安管理體系1.平安組織體系它是確保信息平安工作貫徹和落實(shí)的基石，基本框架應(yīng)包含決策、管理、運(yùn)營(yíng)和應(yīng)用4個(gè)層次。決策層負(fù)責(zé)信息化平安管理體系的規(guī)劃、管理制度的審定及重大事項(xiàng)的決策等;管理層負(fù)責(zé)信息化平安管理體系的實(shí)施、平安管理工作機(jī)制的討論制訂、平安管理制度的貫徹和執(zhí)行、日常平安管理的組織協(xié)調(diào)等;運(yùn)營(yíng)層詳細(xì)負(fù)責(zé)機(jī)房、網(wǎng)絡(luò)和服務(wù)器、數(shù)據(jù)庫(kù)、信息系統(tǒng)的平安管理和維護(hù);應(yīng)用層即一般用戶，職責(zé)包括嚴(yán)格根據(jù)系統(tǒng)操作手冊(cè)正確使用信息系統(tǒng)，不得進(jìn)行可能危害信息系統(tǒng)平安的操作，不得發(fā)布惡意信息等。2.平安管理體系它是整個(gè)平安管理體系有效運(yùn)作和持續(xù)改進(jìn)的保障，應(yīng)在實(shí)踐中逐步實(shí)現(xiàn)規(guī)章制度的文件化、工作機(jī)制的程序化和監(jiān)控手段的系統(tǒng)化，基本框架詳細(xì)包括平安制度的建立、建設(shè)與運(yùn)營(yíng)工作條例的建立、應(yīng)急響應(yīng)機(jī)制的建立、審計(jì)與評(píng)審機(jī)制的建立、平安教育與培訓(xùn)。3.平安技術(shù)體系該體系有力保障信息資源和應(yīng)用系統(tǒng)免受外部攻擊，基本框架由網(wǎng)絡(luò)層平安技術(shù)、系統(tǒng)層平安技術(shù)和應(yīng)用層平安技術(shù)構(gòu)成。網(wǎng)絡(luò)層平安技術(shù)包括防火墻、病毒防范、入侵檢測(cè)、VPN等;系統(tǒng)層平安技術(shù)包括數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)庫(kù)平安審計(jì)、應(yīng)用系統(tǒng)監(jiān)控、身份認(rèn)證等;應(yīng)用層平安技術(shù)包括權(quán)限管理、信息加密、桌面系統(tǒng)等。信息化平安管理體系整改上海財(cái)經(jīng)高校經(jīng)過多年的信息化建設(shè)，包括教學(xué)、同學(xué)、辦公自動(dòng)化、招生、人事、財(cái)務(wù)、公共數(shù)據(jù)平臺(tái)、校內(nèi)一卡通等一大批信息系統(tǒng)得到應(yīng)用。隨著應(yīng)用的深化，系統(tǒng)中積累大量的業(yè)務(wù)數(shù)據(jù)和工作成果，這些信息對(duì)學(xué)校目前的管理乃至今后的進(jìn)展都至關(guān)重要，因此，信息的平安問題也成為信息化工作的焦點(diǎn)。2009年起，在仔細(xì)分析學(xué)校信息平安管理和技術(shù)兩方面的問題和緣由的基礎(chǔ)上，學(xué)校從組織、管理、技術(shù)三方面入手進(jìn)行一系列的整改，截至目前，已形成較為完善的組織體系、管理體系和技術(shù)體系。完善信息平安管理的組織結(jié)構(gòu)2009年，學(xué)校對(duì)信息平安管理的組織結(jié)構(gòu)進(jìn)行重新梳理，形成包含決策、管理、維護(hù)和應(yīng)用4個(gè)層次在內(nèi)的較為完善的網(wǎng)絡(luò)信息系統(tǒng)平安管理組織機(jī)構(gòu)，工作職責(zé)更加明確