高校信息安全体系的研究与实现

1、    高校信息安全体系的研究与实现    摘要：信息安全隐患已经成为高校信息化建设过程中无法回避的问题，其严重威胁着高校信息化的推广和使用。本文通过实施等级保护推动了信息安全服务机制的建立和完善；采取了系统、规范和科学的管理和技术方案，从而保障高校各业务系统高效、安全运转，为构建高校信息安全体系提供了参考。关键词：高校信息化，等级保护，安全体系一、引言信息化建设对高校的教育发展具有革命性影响，已经成为促进高校教育改革创新和提高教育质量的推动力，是高校教育发展的创新前沿。高校在信息化的建设和应用过程中，因所处环境的复杂性和多变性，使其所面临的安全挑战多种

2、多样。使用单一的安全防护系统或简单堆砌各种安全产品并不能保证高校信息化建设的顺利开展，因此，高校需要一套完整严密的安全体系来保障信息化建设。本文以北京某高校信息安全体系的建设过程为例进行研究，形成一套行之有效的高校信息安全体系的设计与实施方法。二、高校信息安全体系的分析与设计针对信息化的6个要素，即开发利用信息资源、建设国家信息网络、推进信息技术应用、发展信息技术和产业、培育信息化人才以及制定和完善信息化政策，根据信息安全等级保护管理办法的要求，可以将高校信息安全体系的构建过程分成5个步骤。(见图1)1.高校信息安全等级保护分析根据国家制定的信息安全管理规范和技术标准，对高校基础信息网络和信息

3、系统按其重要程度及实际安全需求，实施分级保护并提供系统性、针对性、可行性的指导，保障信息系统安全正常运行，提高信息安全综合防护能力，维护国家安全、社会稳定和公共利益。依照计算机信息系统安全保护等级划分准则和信息系统安全等级保护基本要求等技术标准可以将信息安全等级由低到高分为五级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。同时从目前等级保护的状况分析得出，我国高校信息安全等级主要集中在一、二和三级，而四到五级存在极少，不具有普适性。2.依据保护级别制定安全策略安全策略的构建可以分为三个阶段，包括策略的制订、策略的评估和策略的执行。通过管理和技术等手段，降低信息安全威胁，减少信息安

4、全事故，将信息安全事故的影响与损失降到最小。安全策略应具有指导性、非技术性、可行性、可扩展性和目的性等特征。安全策略需要经过反复迭代和循环运行等过程来实现。3.依据安全策略制定管理规范安全策略直接体现在管理制度上，如何将安全策略准确完整地转化为管理制度显得尤为重要。管理制度体系通常分为三级，最高级是针对各方面、各环节信息安全管理工作所制定的管理制度规范；第二级是为了规范人员行为与操作制定的各类操作手册或作业指导书；第三级是在工作中使用的各类格式化记录表格。4.依据管理体系制定相应的安全技术应该选用适当的安全技术和产品，保护信息系统稳定运行。其中主要包括防护(防火墙、加密软件等)、检测(漏洞扫描

5、工具、入侵检测等)、响应(自动报警工具)和恢复(备份、重做日志等)。5.信息安全的最终落脚点是培训和推广这一阶段可以分为两个方面。第一是专业性较强的培训，主要针对系统管理人员，使其具备完善的知识体系，掌握大量的相关技术和丰富的运维经验。第二是对广大用户的培训和推广，提高其安全意识和防护能力。图1 高校信息安全体系状态图三、信息安全体系在高校中的应用1.高校信息安全体系之系统定级根据相关规定，按照一个信息系统所管理和控制的相关资源(含信息资源和其它资源)的重要性，可以定性地对该信息系统应具有的总体安全保护要求进行评估，并确定等级。(1)自主保护级适用于一般的信息系统，其保密性、完整性和可用性受到

6、破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。(2)指导保护级适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其保密性、完整性和可用性受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。(3)监督保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其保密性、完整性和可用性受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。(4)强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其保密性、完整性和可用性受到破坏后，会对国家安全、社会

7、秩序、经济建设和公共利益造成严重损害。(5)专控保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其保密性、完整性和可用性受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。2.高校信息安全体系之策略分析目前，高校普遍都拥有涵盖教学、科研和办公等各个方面的信息系统，既有公共数据中心这样集成其他业务信息系统的核心平台，也有同师生日常生活和学习紧密相关的计费平台、教务平台以及媒体资源平台，更有适用范围遍及全国的招生和就业系统。因此，如何构建安全策略对高校信息化的安全稳定运行有着至关重要的影响。策略是整个信息安全体系要实现的目标，既承上也启下

8、。承上是指根据等级保护的结果制定相应的安全级别，启下是指根据学校的实际情况和未来的发展战略进行规划，自顶向下、通盘考虑，运用动态循环的方法来完成这个过程：(1)基于物理环境的安全策略物理安全为信息系统的安全运行和信息的安全保护提供计算机，网络硬件设备、设施，介质及其环境等方面的安全支持。其主要目的是保护信息系统、网络及服务器等硬件实体和通信链路免受自然灾害和人为破坏。规划了机房物理环境的选择和必须具备的防护条件，以及设备选型、运行、测试和维护等各个阶段的安全策略。(2)基于网络的安全策略在网络硬件及其环境安全的基础上，提供安全的网络软件、安全的网络协议，为信息系统在网络环境的安全运行方面提供支

9、持。一方面，确保网络系统的安全运行，提供有效的网络服务，另一方面，确保在网上传输数据的保密性、完整性和可用性等。其主要目的是保证学校网络的正常运行，防止对网络的非法访问和未授权用户非法使用网络。规划了网络运行日志、加密软件和用户身份认证等相关安全策略。(3)基于系统的安全策略在计算机硬件及其环境安全的基础上，提供安全的操作系统和安全的数据库管理系统，实现操作系统和数据库管理系统的安全运行以及对操作系统和数据库管理系统所存储、传输和处理数据的安全保护。其主要目的是确定设备从选型到运行维护全生命周期的安全管理事项。规划了运行日志、访问控制、备份恢复、漏洞扫描和负载均衡等安全策略。(4)基于应用的安

10、全策略在物理安全、系统安全和网络安全等安全环境的支持下，实现业务应用的安全目标。在对数据信息进行存储、传输和处理时，需要有相应的安全措施，这些安全措施可以在应用软件系统层实现，也可以在支持其安全运行的物理安全、网络安全、操作系统安全和数据库管理系统安全中实现。规划了数据的保存、备份、移动和使用等的相关安全策略。(5)基于紧急情况的安全策略其主要目的是在发生重大或紧急情况时，所要采取的安全措施。规划了发生大范围网络攻击和重大节日的网络安保等相关安全策略。3.高校信息安全体系之管理规范管理规范是对组成信息安全体系的物理安全、系统安全、网络安全和应用安全的管理，是保证这些安全达到其确定目标在管理方面

11、所采取的措施的总称。管理规范包括信息安全系统工程的管理和信息安全系统运行的管理。信息安全系统工程的管理是指为使所开发的信息安全系统达到确定的安全目标，对整个开发过程所实施的管理。信息安全系统运行的管理是指为确保信息安全系统达到设计的安全目标，对其运行过程所实施的管理。主要包括5个方面，有物理环境管理规范、网络管理规范、系统管理规范、应用管理规范和应急管理规范。4.高校信息安全体系之安全技术可以将安全技术细化为四个部分，分别是防护阶段、检测阶段、响应阶段和恢复阶段。(1)在防护阶段主要应用的安全产品和技术有硬件防火墙、统一身份认证、虚拟专用网和ca数字认证技术。(2)在检测阶段主要应用的安全产品

12、和技术有入侵监测系统、安全扫描软件、网页防篡改系统和日志审计系统等。(3)在响应阶段主要应用的安全产品和技术有短信实时报警系统和与系统集成商签订7×24小时服务协议。(4)在恢复阶段主要应用的安全产品和技术有异地灾备系统和重做日志机制，对访问流量较大的主机采用负载均衡的方式，对重要的应用服务则采用双机热备甚至多级集群的技术手段。5.高校信息安全体系之培训推广根据用户角色的不同，将培训推广工作分成以下两个部分：(1)普通用户培训和推广采取多种形式开展经常性的安全培训活动，以提高全体师生安全意识和自我保护能力。每学期举办信息安全讲座；每学年针对新教工和新同学开展信息安全培训；每学年召集各

13、单位信息员开年会；不定期地对各单位信息员进行技术培训。开通信息安全热线，组织技术骨干定期对各部门进行安全巡检。(2)技术人员专业培训通过定期举办校内专业技术培训班，对技术人员进行短期集中的培训，使其快速掌握专业知识，或者让其利用业余时间参加继续教育，获得专业知识。四、结束语随着高校信息化建设进程的逐步深入，校园信息平台已经成为广大师生日常生活中必不可少的一部分，如何在保障信息化应用的同时提高信息的安全性，成为信息化建设部门最为关注的问题。本文通过建立信息安全体系全方位地保护了校园信息系统的安全，做到了将信息安全威胁降到最低的设计要求。参考文献：1gb/t22240-2008.信息安全技术信息系统安全等级保护定级指南s.2傅川，陈云.高校信息系统安全体系研究