時(shí)間:2023-10-18 10:15:26
序論:在您撰寫(xiě)高校信息安全運(yùn)維時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
1現(xiàn)狀與問(wèn)題
1.信息安全現(xiàn)狀
隨著信息化建設(shè)的推進(jìn),我校信息化建設(shè)初具規(guī)模,軟硬件設(shè)備配備完成,運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚,承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專(zhuān)業(yè)技術(shù)人員達(dá)20余人;針對(duì)重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段,保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行,具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范,按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對(duì)象的不同,確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位,初步建立了問(wèn)題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng),即網(wǎng)絡(luò)通信平臺(tái)、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。
網(wǎng)絡(luò)通信平臺(tái)是大學(xué)各大業(yè)務(wù)平臺(tái)的基礎(chǔ)核心,是整個(gè)校園網(wǎng)的基礎(chǔ),其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對(duì)用戶(hù)接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專(zhuān)網(wǎng)上,主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理,校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng),系統(tǒng)中存儲(chǔ)著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁(yè)網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對(duì)外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù),目前郵件系統(tǒng)注冊(cè)用1.2面臨的主要問(wèn)題
通過(guò)等級(jí)保護(hù)差距分析和風(fēng)險(xiǎn)評(píng)估,目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問(wèn)題如下:
(1)高校領(lǐng)域沒(méi)有總體安全標(biāo)準(zhǔn)指引,方向不明確,缺少主線。
(2)對(duì)國(guó)際國(guó)內(nèi)信息安全法律法規(guī)缺乏深刻意識(shí)和認(rèn)識(shí)。
(3)信息安全機(jī)構(gòu)不完善,缺乏總體安全方針與策略,職責(zé)不夠明確。
(4)教職員工和學(xué)生數(shù)量龐大,管理復(fù)雜,人員安全意識(shí)相對(duì)薄弱,日常安全問(wèn)題多。
()建設(shè)投資和投入有限,運(yùn)維和管理人員的信息安全專(zhuān)業(yè)能力有待提高。
(6)內(nèi)部管理相對(duì)松散,缺乏安全監(jiān)管及檢查機(jī)制,無(wú)法有效整體管控。
(7)缺乏信息安全總體規(guī)劃,難以全面提升管理
(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段,無(wú)法提高安全運(yùn)維能力。
2建設(shè)思路
2.1建設(shè)原則和工作路線
學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù),分級(jí)分域、強(qiáng)化控制,保障核心、提升管理,支撐應(yīng)用、規(guī)范運(yùn)維。
依據(jù)這一總體原則,我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),以安全體系為核心,通過(guò)對(duì)安全工作生命周期的理解從風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃著手,并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié),在建設(shè)過(guò)程中逐步完善安全體系,以安全體系運(yùn)行維護(hù)和管理的過(guò)程等全面滿(mǎn)足安全工作各個(gè)層面的安全需求,最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。
2.2體系框架
信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見(jiàn)稿),并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略,,理論,強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則,重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù),構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系,并通過(guò)安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐),形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見(jiàn)圖2),從而實(shí)現(xiàn)并覆蓋了等級(jí)保護(hù)基本要求中對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求,以滿(mǎn)足信息系統(tǒng)全方位的安全保護(hù)需求。
(1)安全策略:明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等,是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。
(2)安全組織:是信息安全體系框架中最重要的
各級(jí)組織間的工作職責(zé),覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。
(3)安全運(yùn)行:是信息安全體系框架中最重要的安全管理策略之一,是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過(guò)程和人員的操作執(zhí)行,該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。
(4)安全技術(shù):是從技術(shù)角度出發(fā),落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn),是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制,針對(duì)未授權(quán)的訪問(wèn)或誤用提供自動(dòng)保護(hù),發(fā)現(xiàn)違背安全策略的行為,并滿(mǎn)足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。
()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層,實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合,通過(guò)基于ITIL[9]的運(yùn)維管理方法,保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn),提升業(yè)務(wù)的可持續(xù)性,從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作
3.1安全滲透測(cè)試
2009年4月,學(xué)校對(duì)38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺(tái)主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測(cè)評(píng)。通過(guò)測(cè)評(píng),全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況,發(fā)現(xiàn)了20個(gè)高危漏洞,并針對(duì)高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn),根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)被測(cè)系統(tǒng)存在的安全隱患。滲透測(cè)試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測(cè)評(píng)、提升權(quán)限測(cè)評(píng)、獲取代碼、滲透測(cè)評(píng)報(bào)告。
3.2風(fēng)險(xiǎn)評(píng)估和安全加固
2009年5月,依據(jù)安全滲透測(cè)試結(jié)果,對(duì)大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測(cè)評(píng)。根據(jù)評(píng)估結(jié)果得出系統(tǒng)存在的安全問(wèn)題,并對(duì)嚴(yán)重的問(wèn)題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫(xiě)、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過(guò)風(fēng)險(xiǎn)評(píng)估最終得出了威脅的數(shù)量和等級(jí),表1、表2為威脅的數(shù)量和等級(jí)統(tǒng)計(jì)。2009年6月和9月,基于風(fēng)險(xiǎn)評(píng)估結(jié)果,對(duì)涉及到的網(wǎng)絡(luò)設(shè)備(4臺(tái))和主機(jī)設(shè)備(14臺(tái))進(jìn)行了安全加固工作。
3.3安全體系規(guī)劃
根據(jù)前期對(duì)全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評(píng)估和了解整理出符合大學(xué)實(shí)際的安全需求,并結(jié)合實(shí)際業(yè)務(wù)要求,對(duì)學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì),并通過(guò)未來(lái)3年的逐步安全建設(shè),滿(mǎn)足學(xué)校的信息安全目標(biāo)及國(guó)家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國(guó)際國(guó)內(nèi)規(guī)范及標(biāo)準(zhǔn),參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系),結(jié)合我校目前的實(shí)際情況,制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系,制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。
通過(guò)信息安全管理體系的建立,使學(xué)校的組織結(jié)構(gòu)布局更加合理,人員安全意識(shí)也明顯提高,從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行,提高了IT服務(wù)質(zhì)量。通過(guò)制度、流程、標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)了日常安全工作執(zhí)行能力,提高了信息安全保障水平。
4未來(lái)展望和下一步工作
4.1安全防護(hù)體系
根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求,可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域:第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門(mén)等劃分子網(wǎng)或子系統(tǒng)。
公鑰基礎(chǔ)設(shè)施包括:CA安全區(qū):主要承載CAServer、主從LDAP、數(shù)據(jù)庫(kù)、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊(cè)區(qū):主要承載各院所的RA注冊(cè)服務(wù)器,為各院所的師生管理提供數(shù)字證書(shū)注冊(cè)服務(wù)。
應(yīng)用安全支撐平臺(tái)為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略,使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上,封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù),并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問(wèn)授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。
4.2安全運(yùn)維體系
ITSM集中運(yùn)維管理解決方案面對(duì)學(xué)校日益復(fù)雜的IT環(huán)境,整合以往對(duì)各類(lèi)設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理,實(shí)現(xiàn)了對(duì)IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過(guò)融入ITIL等運(yùn)維管理理念,達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合,實(shí)現(xiàn)了IT服務(wù)支持過(guò)程的標(biāo)準(zhǔn)化、流程化、規(guī)范化,極大地提高了故障應(yīng)急處理能力,提升了信息部門(mén)的管理效率和服務(wù)水平。
根據(jù)終端安全的需求,系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺(tái),以實(shí)現(xiàn)由管理員根據(jù)管理制度來(lái)制定各種詳盡的安全管理策略,對(duì)網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩?hù)為中心集中策略管理;對(duì)終端用戶(hù)安全接入策略統(tǒng)一管理、終端用戶(hù)安全策略的強(qiáng)制實(shí)施、終端用戶(hù)安全狀態(tài)的集中審計(jì);對(duì)用戶(hù)事前身份和安全級(jí)別的認(rèn)證、事中安全狀態(tài)定期安全檢測(cè),內(nèi)容包括定期的安全風(fēng)險(xiǎn)評(píng)估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。
4.3安全審計(jì)體系
關(guān)鍵詞:高校信息化;IT運(yùn)維外包;風(fēng)險(xiǎn)管理
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1673-8454(2014)07-0014-03
一、高校信息化建設(shè)和IT運(yùn)維現(xiàn)狀
近年來(lái),隨著信息技術(shù)的飛速發(fā)展和日益普及,信息化浪潮給教育帶來(lái)了革命性影響,推動(dòng)著教育領(lǐng)域不斷創(chuàng)新發(fā)展。2010年,我國(guó)頒布的《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》提出推動(dòng)信息技術(shù)與高等教育深度融合,創(chuàng)新人才培養(yǎng)模式。高校信息化部門(mén)也在為學(xué)生和教師提供更高效率的各類(lèi)信息化服務(wù)平臺(tái)和安全穩(wěn)定的網(wǎng)絡(luò)接入環(huán)境而努力創(chuàng)新,深刻影響了傳統(tǒng)的教學(xué)科研和學(xué)校的綜合管理模式。同時(shí),國(guó)家對(duì)教育信息化的重視程度和投入在逐年增加,校園信息化建設(shè)也得到了高校的普遍重視和重點(diǎn)投入。
我國(guó)高校信息化建設(shè)經(jīng)歷了二十多年的歷史,在網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件建設(shè)方面同國(guó)外高校拉近了距離,很多學(xué)校都達(dá)到了同等甚至更高水平。雖然硬件條件上去了,但是很多高校信息化應(yīng)用水平仍不理想,在信息化服務(wù)能力和IT運(yùn)維管理上差異較大,普遍存在著重硬件輕軟件,重建設(shè)輕維護(hù),重建設(shè)輕服務(wù)等現(xiàn)象。部分實(shí)力雄厚的理工科學(xué)校和綜合性大學(xué)通過(guò)自身的力量可以完成基礎(chǔ)的信息化建設(shè)和IT運(yùn)維工作,但是對(duì)于大量的普通高等院校,由于受到技術(shù)、經(jīng)費(fèi)以及人員的限制,完全利用自身的力量來(lái)建設(shè)和運(yùn)維比較困難,無(wú)法滿(mǎn)足廣大師生的實(shí)際需求。
二、IT運(yùn)維外包的思路和安全風(fēng)險(xiǎn)
信息技術(shù)日新月異,如何管理復(fù)雜的、高技術(shù)含量的IT基礎(chǔ)設(shè)施,應(yīng)對(duì)靈活多變的IT服務(wù)需求,為學(xué)校廣大師生提供良好的IT服務(wù)支持?如何降低運(yùn)維成本的同時(shí)提高管理水平和效率,并保證服務(wù)的質(zhì)量,提升師生對(duì)IT服務(wù)的滿(mǎn)意度?如何提高運(yùn)維的靈活性和響應(yīng)速度,迎接信息化帶來(lái)的各類(lèi)挑戰(zhàn),提高學(xué)校的核心競(jìng)爭(zhēng)力?這些問(wèn)題是所有高校所面臨的共同難題,困擾著各校的信息化管理部門(mén),而引入IT運(yùn)維外包服務(wù)正是一種經(jīng)實(shí)踐證明比較好的解決思路。通過(guò)將IT運(yùn)維服務(wù)外包,高??梢园迅嗑ν度氲浇虒W(xué)和科研中去。并且以較低成本提供專(zhuān)業(yè)化的IT服務(wù)。
目前大部分高校的信息化人員編制十分有限,并且對(duì)新進(jìn)人員的學(xué)歷要求很高,而從事一般的IT工作并不需要非常高的學(xué)歷。受待遇和未來(lái)發(fā)展因素影響,高校信息化部門(mén)很難長(zhǎng)期留住高水平的IT人才。通過(guò)外包服務(wù),由公司選派有相應(yīng)能力的人員長(zhǎng)期協(xié)助學(xué)校從事相應(yīng)工作,學(xué)校不用擔(dān)心其待遇及去留等問(wèn)題,保持了IT運(yùn)維工作人員的相對(duì)穩(wěn)定。
上海交通大學(xué)作為一所“綜合性、研究型、國(guó)際化”的全國(guó)重點(diǎn)大學(xué),校內(nèi)信息化部門(mén)以建設(shè)數(shù)字大學(xué)為目標(biāo),為校內(nèi)五萬(wàn)多師生員工提供各類(lèi)專(zhuān)業(yè)的IT服務(wù)。在近十幾年的信息化建設(shè)和日常網(wǎng)絡(luò)及應(yīng)用信息系統(tǒng)運(yùn)維過(guò)程中,大量使用了外包服務(wù),在人員、資金、制度上都進(jìn)行了相應(yīng)保障,通過(guò)全面的發(fā)現(xiàn)及確認(rèn)外包風(fēng)險(xiǎn),進(jìn)行分析、評(píng)估,對(duì)可能引發(fā)的安全風(fēng)險(xiǎn)進(jìn)行了一系列有益的深入探索和實(shí)踐,從而有效地控制風(fēng)險(xiǎn)。
三、學(xué)生團(tuán)隊(duì)參與用戶(hù)服務(wù)外包的風(fēng)險(xiǎn)控制
用戶(hù)服務(wù)管理是IT運(yùn)維的重要組成部分,上海交通大學(xué)從2000年開(kāi)始,在學(xué)生宿舍網(wǎng)的管理過(guò)程中,引入了學(xué)生團(tuán)隊(duì)來(lái)為學(xué)生宿舍區(qū)三萬(wàn)多用戶(hù)提供接入用戶(hù)網(wǎng)絡(luò)服務(wù)。學(xué)校有關(guān)部門(mén)提供指導(dǎo),建立一個(gè)以學(xué)生自我管理、自我服務(wù)為主體的學(xué)生網(wǎng)絡(luò)管理體系,發(fā)揮學(xué)生網(wǎng)管的作用,調(diào)動(dòng)其積極性來(lái)參與網(wǎng)絡(luò)維護(hù)工作,為學(xué)生打造一個(gè)良好的實(shí)踐與學(xué)習(xí)環(huán)境。學(xué)生網(wǎng)管從作為學(xué)生的實(shí)際需求出發(fā),幫助信息化部門(mén)提高了網(wǎng)絡(luò)故障的應(yīng)急響應(yīng)和處理能力, 做了許多有意義的日常用戶(hù)服務(wù)工作,但學(xué)生們畢竟缺少實(shí)踐經(jīng)驗(yàn),平時(shí)日常學(xué)習(xí)和科研活動(dòng)也占用了很多時(shí)間。兼職的網(wǎng)絡(luò)維護(hù)工作如何來(lái)提高用戶(hù)滿(mǎn)意度?服務(wù)質(zhì)量和服務(wù)能力如何控制?這都需要加強(qiáng)管理和組織學(xué)習(xí)培訓(xùn),通過(guò)完善的制度建設(shè)來(lái)降低運(yùn)維工作中的風(fēng)險(xiǎn)。
面對(duì)繁雜的學(xué)生寢室樓網(wǎng)絡(luò)維護(hù)工作,建立了一套完善的體系來(lái)解決學(xué)生們平時(shí)遇到的各種網(wǎng)絡(luò)問(wèn)題。從宿舍樓內(nèi)學(xué)生網(wǎng)管的工作,到學(xué)生網(wǎng)管部辦公室客服咨詢(xún)的解答,再到技術(shù)報(bào)修組的報(bào)修受理以及上門(mén)服務(wù),這其中的每一個(gè)環(huán)節(jié)都有嚴(yán)格而具體的要求來(lái)規(guī)范他們的服務(wù),確保服務(wù)質(zhì)量讓學(xué)生們滿(mǎn)意。當(dāng)然,維護(hù)龐大的校園網(wǎng)絡(luò)單靠人力是遠(yuǎn)遠(yuǎn)不夠的,因此學(xué)生網(wǎng)管自行開(kāi)發(fā)了一套綜合的內(nèi)部技術(shù)支持系統(tǒng)。有了它,學(xué)生網(wǎng)管員們不僅可以方便地辦理各種基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù),還可以實(shí)時(shí)查看各個(gè)終端用戶(hù)的網(wǎng)絡(luò)運(yùn)行狀態(tài),以及交換機(jī)端口信息等,及時(shí)發(fā)現(xiàn)問(wèn)題并針對(duì)性處理。
平時(shí)宿舍樓內(nèi)瑣碎的網(wǎng)絡(luò)問(wèn)題處理是由樓內(nèi)的學(xué)生網(wǎng)管來(lái)完成的,每一位網(wǎng)管員都被要求做到盡全力滿(mǎn)足用戶(hù)正常網(wǎng)絡(luò)接入需要,熱情耐心解答用戶(hù)的任何疑問(wèn),在技術(shù)層面上指導(dǎo)用戶(hù)完成一些基本操作。每位學(xué)生網(wǎng)管在閑暇之余都被要求多了解網(wǎng)絡(luò)技術(shù)知識(shí),參加內(nèi)部培訓(xùn),掌握常見(jiàn)問(wèn)題的處理方法,在技術(shù)上要讓用戶(hù)信得過(guò)。
技術(shù)報(bào)修組專(zhuān)門(mén)負(fù)責(zé)解決樓內(nèi)網(wǎng)管處理不了的問(wèn)題,由網(wǎng)管員中的技術(shù)骨干組成。他們接受過(guò)專(zhuān)門(mén)的技能培訓(xùn),配置專(zhuān)業(yè)的網(wǎng)絡(luò)維修工具,在辦公室值班人員所給予的遠(yuǎn)程配合下,幾乎可以解決大部分學(xué)生所碰到的網(wǎng)絡(luò)問(wèn)題,如果還不能解決則協(xié)調(diào)學(xué)校網(wǎng)絡(luò)運(yùn)維部門(mén)進(jìn)一步處理。同時(shí)也要求學(xué)生網(wǎng)管在解決問(wèn)題后把全過(guò)程書(shū)面化,為以后別人的工作處理提供經(jīng)驗(yàn)積累。在學(xué)生團(tuán)隊(duì)中的技術(shù)骨干由于長(zhǎng)期和學(xué)校信息化部門(mén)溝通,其能力會(huì)得到認(rèn)可,在畢業(yè)后也可以擇優(yōu)直接進(jìn)入高校的IT運(yùn)維隊(duì)伍,更快的進(jìn)入工作角色。
四、信息系統(tǒng)運(yùn)維外包的風(fēng)險(xiǎn)管理
高校大量的信息系統(tǒng)都來(lái)自于直接采購(gòu)或者由外包廠商定制化開(kāi)發(fā)完成,完全由自己主導(dǎo)開(kāi)發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來(lái)越少。常見(jiàn)的信息系統(tǒng)包括人事系統(tǒng)、科研系統(tǒng)、財(cái)務(wù)系統(tǒng)、學(xué)工系統(tǒng)、教務(wù)系統(tǒng)、檔案系統(tǒng)、校園一卡通系統(tǒng)、公共數(shù)據(jù)平臺(tái)等,不少高校還將校內(nèi)各院系部門(mén)網(wǎng)站交由外包公司設(shè)計(jì)制作和維護(hù)。在這些信息系統(tǒng)的實(shí)施完成之后,日常運(yùn)行過(guò)程中不可避免的會(huì)出現(xiàn)各種問(wèn)題,高校IT運(yùn)維部門(mén)可以解決部分維護(hù)工作,但是很多專(zhuān)業(yè)化程度較高的系統(tǒng)維護(hù)工作還是不可避免的要依賴(lài)外包協(xié)助完成。
雖然很多針對(duì)高校 IT 市場(chǎng)的外包服務(wù)商在信息系統(tǒng)外包過(guò)程中獲得了成功,并積累了豐富的高校行業(yè)經(jīng)驗(yàn),但也暴露出不少的安全風(fēng)險(xiǎn)。不同的外包公司之間技術(shù)實(shí)力和管理水平參差不齊,廠商技術(shù)支持人員穩(wěn)定性不高是普遍遇到的問(wèn)題,這就要求高校需慎重選擇合作方,簽訂全面詳細(xì)的合同進(jìn)一步加以約束,要求通過(guò)嚴(yán)格的崗位培訓(xùn)和業(yè)務(wù)培訓(xùn),提高外包技術(shù)人員的能力。關(guān)鍵項(xiàng)目實(shí)施和后期維護(hù)期間,要求外包公司核心技術(shù)人員常駐學(xué)校,保證項(xiàng)目按要求順利完工,并穩(wěn)定運(yùn)行。前期項(xiàng)目開(kāi)發(fā)和后期運(yùn)維中遇到的問(wèn)題,需要提交給研發(fā)解決的,要有順暢的正式渠道提交與反饋,限時(shí)解決或改進(jìn)。在每項(xiàng)子系統(tǒng)投入運(yùn)行前,完成對(duì)使用該系統(tǒng)的校內(nèi)用戶(hù)培訓(xùn)工作;建立完整的客戶(hù)培訓(xùn)體系,為高校提供相關(guān)的技術(shù)培訓(xùn)和業(yè)務(wù)培訓(xùn),并提供相應(yīng)的培訓(xùn)技術(shù)資料。
由于很多外包公司開(kāi)發(fā)的各類(lèi)信息系統(tǒng)廣泛應(yīng)用在多所高校,一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞,那么會(huì)迅速波及到其他高校,引發(fā)嚴(yán)重的安全事件。在教務(wù)系統(tǒng)、學(xué)工系統(tǒng)等方面,這類(lèi)安全事件屢見(jiàn)不鮮,給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護(hù)外包過(guò)程中,由于項(xiàng)目需要,服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類(lèi)師生個(gè)人信息、財(cái)務(wù)信息、科研信息等,這些敏感信息如果發(fā)生泄漏也會(huì)給高校帶來(lái)重大損失。
高校自身要建立完整且獨(dú)立的信息安全保障體系,在整個(gè)IT運(yùn)維過(guò)程中保護(hù)學(xué)校的重要信息資產(chǎn)。考慮到大部分高校都缺乏專(zhuān)業(yè)信息安全運(yùn)維人員,使用專(zhuān)業(yè)安全公司提供的安全服務(wù)也成為必然的選擇。同時(shí)利用高校自身的信息安全科研優(yōu)勢(shì)以及和國(guó)內(nèi)外安全研究機(jī)構(gòu)的密切聯(lián)系,及時(shí)獲取最新安全資訊,對(duì)外包引發(fā)的安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控,并快速響應(yīng)。
五、IT運(yùn)維監(jiān)控外包的風(fēng)險(xiǎn)
IT運(yùn)維監(jiān)控外包在很多高校廣泛使用,但也由此帶來(lái)了一系列安全風(fēng)險(xiǎn)。外包公司為了追求利潤(rùn)最大化,勢(shì)必考慮降低成本,這樣就給外派到學(xué)校工作的人員業(yè)務(wù)素質(zhì)和穩(wěn)定性帶來(lái)了巨大沖擊。頻繁變動(dòng)且能力不足的外包人員給高校IT運(yùn)維必然帶來(lái)了可預(yù)見(jiàn)的安全運(yùn)營(yíng)風(fēng)險(xiǎn),和高校的固有核心利益產(chǎn)生了沖突。對(duì)此高校要進(jìn)一步完善和外包公司的合同細(xì)節(jié),明確保障服務(wù)質(zhì)量和要求服務(wù)人員的相對(duì)穩(wěn)定性,并簽訂專(zhuān)門(mén)的SLA(Service Level Agreements)服務(wù)水平協(xié)議。同時(shí)高校自身也要不斷提升專(zhuān)業(yè)IT運(yùn)維能力,即便采用了外包,也要建立管理和技術(shù)并重的內(nèi)部團(tuán)隊(duì),自己的人員要具備系統(tǒng)的IT運(yùn)維管理能力,在程序設(shè)計(jì)開(kāi)發(fā)、應(yīng)用信息系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)和服務(wù)器管理、網(wǎng)絡(luò)管理和安全運(yùn)維方面都要培養(yǎng)自身的力量,不斷學(xué)習(xí)新技術(shù),培養(yǎng)創(chuàng)新能力,對(duì)外包人員進(jìn)行有效的監(jiān)督和管理,仔細(xì)傾聽(tīng)來(lái)自教師學(xué)生的第一線業(yè)務(wù)需求,不能被外包公司所左右,從而降低安全運(yùn)維風(fēng)險(xiǎn)。
六、IT運(yùn)維監(jiān)控平臺(tái)外包開(kāi)發(fā)的風(fēng)險(xiǎn)管理
IT運(yùn)維監(jiān)控平臺(tái)對(duì)任何一所高校網(wǎng)絡(luò)管理人員來(lái)說(shuō)都是必不可少的。我們沒(méi)有采取商業(yè)的管理監(jiān)控解決方案,主要是考慮到當(dāng)網(wǎng)絡(luò)和應(yīng)用發(fā)展到一定程度之后,其規(guī)模和復(fù)雜性決定了很難找到完全符合自身需求的方案。我們最終選擇了在開(kāi)源的Zabbix監(jiān)控系統(tǒng)基礎(chǔ)上,采取外包給專(zhuān)業(yè)軟件公司的模式進(jìn)行了大量的定制化開(kāi)發(fā)來(lái)滿(mǎn)足實(shí)際運(yùn)維需求。通過(guò)分布部署Agent采集點(diǎn)主動(dòng)獲取各類(lèi)監(jiān)控?cái)?shù)據(jù),涵蓋了學(xué)校數(shù)據(jù)中心使用的各類(lèi)操作系統(tǒng)和虛擬化環(huán)境,也可以支持各大廠商的網(wǎng)絡(luò)交換路由設(shè)備管理,滿(mǎn)足了大規(guī)模網(wǎng)絡(luò)和服務(wù)器監(jiān)控需求。但是這條外包之路也同時(shí)存在著種種風(fēng)險(xiǎn),合作方的選擇不當(dāng)可能會(huì)導(dǎo)致項(xiàng)目的無(wú)法順利推進(jìn);軟件流程設(shè)計(jì)管理不當(dāng)也會(huì)引發(fā)開(kāi)發(fā)周期變長(zhǎng),拖延系統(tǒng)的上線時(shí)間;大量不同設(shè)備的定制化開(kāi)發(fā)需要投入更多資源,項(xiàng)目的成本控制也會(huì)直接影響合作方的開(kāi)發(fā)人員投入力量;軟件平臺(tái)的漏洞會(huì)直接影響基礎(chǔ)IT運(yùn)維體系的整體安全性;開(kāi)發(fā)人員的流動(dòng)性也給整個(gè)外包開(kāi)發(fā)的質(zhì)量控制帶來(lái)了不確定因素;后期維護(hù)服務(wù)跟不上也會(huì)影響IT運(yùn)維工作的長(zhǎng)期可持續(xù)性。
關(guān)注到這些安全風(fēng)險(xiǎn),我們有針對(duì)性地采取了一系列措施。選擇開(kāi)源監(jiān)控軟件作為系統(tǒng)底層平臺(tái)已經(jīng)適度降低了開(kāi)發(fā)風(fēng)險(xiǎn),慎重的選擇具有資質(zhì)和經(jīng)驗(yàn)的合作方來(lái)保證項(xiàng)目質(zhì)量。全過(guò)程參與功能需求分析和流程設(shè)計(jì)來(lái)控制整個(gè)開(kāi)發(fā)周期的進(jìn)度,進(jìn)度過(guò)慢時(shí)要求合作方增加人力,進(jìn)度過(guò)快時(shí)要求合作方保障代碼質(zhì)量。和外包方要建立順暢的溝通渠道,通過(guò)周報(bào)、月報(bào)和定期溝通交流,掌握對(duì)方工作進(jìn)展,監(jiān)督管理實(shí)際開(kāi)發(fā)進(jìn)度是否和預(yù)期一致,投入是否充分,代碼質(zhì)量是否合格。通過(guò)要求規(guī)范全過(guò)程的技術(shù)開(kāi)發(fā)文檔,保證了即使發(fā)生開(kāi)發(fā)人員變更也可以快速完成新老交接。要求系統(tǒng)留有靈活的開(kāi)放接口以提供良好的伸縮性和可擴(kuò)展性,也可以在一定程度上規(guī)避兼容性風(fēng)險(xiǎn)。在開(kāi)發(fā)過(guò)程中和正式交付時(shí)都引入第三方專(zhuān)業(yè)安全人員進(jìn)行安全評(píng)估和滲透測(cè)試,確保IT運(yùn)維監(jiān)控系統(tǒng)自身的安全等級(jí)達(dá)到一定級(jí)別。通過(guò)詳細(xì)的開(kāi)發(fā)合同對(duì)項(xiàng)目周期和合作雙方人員力量投入和項(xiàng)目進(jìn)展時(shí)間節(jié)點(diǎn)進(jìn)行了嚴(yán)格的約定,并事先就開(kāi)發(fā)完成后的后期維護(hù)服務(wù)達(dá)成一致,保持長(zhǎng)久合作關(guān)系。
七、結(jié)束語(yǔ)
信息安全技術(shù)一直在發(fā)展,攻防對(duì)抗在持續(xù)升級(jí),各類(lèi)安全風(fēng)險(xiǎn)和挑戰(zhàn)始終存在,安全I(xiàn)T運(yùn)維必然是一個(gè)長(zhǎng)期動(dòng)態(tài)的過(guò)程。作為有特長(zhǎng)的信息網(wǎng)絡(luò)安全科研機(jī)構(gòu)和同時(shí)給數(shù)萬(wàn)師生提供IT專(zhuān)業(yè)服務(wù)的部門(mén),高校信息化團(tuán)隊(duì)可以把實(shí)際安全經(jīng)驗(yàn)和運(yùn)維外包風(fēng)險(xiǎn)管理工作相結(jié)合,加強(qiáng)配套安全監(jiān)管,從而走出一條具有自己特色的安全I(xiàn)T運(yùn)維外包之路。
參考文獻(xiàn):
[1]趙燦,杜,杜鵑.高校信息化建設(shè)項(xiàng)目外包采購(gòu)管理的探討[J].中國(guó)教育信息化(高教職教),2011(5).
[2]蔣東興,宓泳,郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議[J].中國(guó)教育信息化(高教職教),2009(8).
[3]何秀全.高校信息化中的IT外包及其風(fēng)險(xiǎn)管理研究[D].上海外國(guó)語(yǔ)大學(xué) 2012年碩士學(xué)位論文.
[4]王左利.探討學(xué)生網(wǎng)管模式[J].中國(guó)教育網(wǎng)絡(luò),2009(3).
關(guān)鍵詞:高校信息安全風(fēng)險(xiǎn)保障策略進(jìn)行研究
現(xiàn)如今,以手機(jī)、電腦為主的用戶(hù)終端在高校校園內(nèi)早已普及了,并且也融入了學(xué)校師生的日常生活。在這樣的大背景之下,加強(qiáng)高校信息安全風(fēng)險(xiǎn)的保障策略則顯得尤為必要和迫切。尤其是近幾年,在互聯(lián)網(wǎng)帶寬大幅提升、大數(shù)據(jù)建設(shè)步伐逐漸加快的形勢(shì)影響下,高校也開(kāi)始從“數(shù)字化校園”逐步轉(zhuǎn)向?yàn)榱恕爸腔坌@”的建設(shè)與發(fā)展模式,以致于傳統(tǒng)落后的高校信息安全工作開(kāi)展受到了強(qiáng)烈的沖擊。由此可見(jiàn),做好高校信息安全風(fēng)險(xiǎn)保障工作,實(shí)際也是為了促使高校教育事業(yè)得到更好的發(fā)展。
一、高校信息安全的基本內(nèi)容
1.1高校信息安全的基本概念
所謂“高校信息安全”,主要是指保證信息自身、信息處理以及信息利用的安全,進(jìn)而有效確保院校信息的完整性、機(jī)密性、可用性?!蓖ǔ?,高校信息安全內(nèi)容主要包括三個(gè)方面:院校網(wǎng)絡(luò)設(shè)備的安全;系統(tǒng)運(yùn)行的安全,比如:信息系統(tǒng)不被損壞;流通數(shù)據(jù)安全,例如,院校網(wǎng)絡(luò)內(nèi)流通的數(shù)據(jù)不被盜用等。在信息時(shí)代環(huán)境的影響之下,影響各大高校信息安全的因素也開(kāi)始變得越來(lái)越多,常見(jiàn)就有:黑客、病毒等非法侵入系統(tǒng),曾一度使得院校公共信息、重要的科研資料信息等被竊取和泄露。鑒于此,做好保障高校信息安全工作就顯得十分重要,而只有深入分析高校信息安全存在的實(shí)際風(fēng)險(xiǎn),才能采取更加具有針對(duì)性的保障策略。
1.2高校信息安全背景
目前,我國(guó)高校信息安全工作開(kāi)展還依舊處于參差不齊的水平狀態(tài)下,尤其是:經(jīng)費(fèi)來(lái)源、重視程度、人員素質(zhì)等內(nèi)容,更是對(duì)實(shí)現(xiàn)高校信息的安全造成了巨大的制約。對(duì)于那些發(fā)展較好的高校而言,它們的信息安全保障工作也是做的相當(dāng)?shù)轿?,甚至是超過(guò)了211、985等公辦高校。然而對(duì)于發(fā)展相關(guān)落后的民辦高校來(lái)說(shuō),其信息安全風(fēng)險(xiǎn)依舊存在,而且數(shù)據(jù)信息孤島的現(xiàn)象也比比皆是,這實(shí)際上也反映出了高校信息安全工作開(kāi)展的迫切性,與此同時(shí),也意味著高校信息安全風(fēng)險(xiǎn)保障工作開(kāi)展還要經(jīng)歷很長(zhǎng)的歷程。
二、目前高校所存在的信息安全風(fēng)險(xiǎn)
2.1缺乏集中統(tǒng)一的規(guī)劃
高校信息安全風(fēng)險(xiǎn)的種類(lèi)有很多,其中校園網(wǎng)建設(shè)與發(fā)展就是其中一個(gè)重要的組成部分,比較明顯的缺陷則在于缺乏集中統(tǒng)一的規(guī)劃、缺乏完整科學(xué)論證體系、缺乏合適的運(yùn)維管理模式,以及存在“數(shù)據(jù)信息孤島”等現(xiàn)象。由于校園網(wǎng)建設(shè)投入大,建設(shè)周期較長(zhǎng),利益產(chǎn)出比也不明顯,因此使得一些民辦高校在有限投入資金的前提下,會(huì)優(yōu)先考慮教學(xué)條件、實(shí)習(xí)實(shí)訓(xùn)基地、學(xué)生住宿等方面的支出,這樣就可以將校園網(wǎng)建設(shè)放在“能使用就盡量不投入”的發(fā)展思路之中,同時(shí)也促使學(xué)校校園網(wǎng)建設(shè)變成了簡(jiǎn)單的設(shè)備和平臺(tái)采購(gòu),進(jìn)而在一定程度上減少了民辦高校校園網(wǎng)建設(shè)的成本。但是,這樣的辦學(xué)理念卻間接地加大了高校所面臨的信息安全風(fēng)險(xiǎn)。
2.2缺乏完整的科學(xué)論證體系
高校在信息安全管理上之所以會(huì)存在科學(xué)論證體系不完善的問(wèn)題,實(shí)際上也是因?yàn)樵盒R约跋嚓P(guān)負(fù)責(zé)人對(duì)于信息安全重視性程度不夠,進(jìn)而缺少必要的防護(hù)措施。主要表現(xiàn)為三點(diǎn):一是作為院校信息安全的工作管理人員,他們難以體會(huì)到信息安全對(duì)高校所產(chǎn)生的重要影響,因此使得他們工作中的安全意識(shí)普遍不強(qiáng)。與此同時(shí),相關(guān)信息安全工作人員由于不主動(dòng)接受相應(yīng)的信息安全培訓(xùn)教育,從而導(dǎo)致他們防病毒以及防黑客的意識(shí)都不強(qiáng),一旦遇到外界的惡意攻擊,必將給高校帶來(lái)重大的損失。二是作為使用院校網(wǎng)絡(luò)信息的相關(guān)人員,他們?cè)谑褂眠^(guò)程中也是極度缺乏信息安全的保護(hù)意識(shí)。尤其是一些高校學(xué)生,在日常生活和學(xué)習(xí)中,網(wǎng)絡(luò)的使用早已變得愈加頻繁,但是他們卻潛意識(shí)認(rèn)為保障信息安全只是學(xué)校的事,完全與自己無(wú)關(guān)。正是由于他們?nèi)狈@種信息安全的意識(shí),進(jìn)而導(dǎo)致其在使用信息的過(guò)程中,很可能無(wú)意泄露重要的校內(nèi)信息,并使黑客、病毒等軟件有機(jī)可趁。三是對(duì)信息安全風(fēng)險(xiǎn)漏洞修復(fù),檢查不及時(shí)。比如:由于技術(shù)人員的疏忽,或者是軟件使用的時(shí)間太久,從而導(dǎo)致一些防護(hù)信息安全的軟件出現(xiàn)了各類(lèi)的缺陷,加上相關(guān)的信息安全管理人員沒(méi)有及時(shí)對(duì)這些問(wèn)題軟件進(jìn)行下載和重新安裝,最終也就導(dǎo)致安全風(fēng)險(xiǎn)保障工作難以做到位。
2.3缺乏專(zhuān)業(yè)的信息安全保障技術(shù)人員
高校雖然很重視信息安全保障工作的開(kāi)展,但是對(duì)于那些民辦高校而言,由于其性質(zhì)決定了它在辦學(xué)過(guò)程中會(huì)過(guò)于追求經(jīng)濟(jì)利益,因此,相關(guān)負(fù)責(zé)人也會(huì)把更多的注意力集中于專(zhuān)業(yè)設(shè)置和學(xué)生專(zhuān)業(yè)學(xué)習(xí)等方面,自然也就忽視了高校信息安全工作的開(kāi)展。以校園網(wǎng)建設(shè)、運(yùn)維管理為例,則間接導(dǎo)致相關(guān)管理人員的缺乏,并且他們還不具備有較強(qiáng)的專(zhuān)業(yè)能力,長(zhǎng)此以往,則使得高校校園網(wǎng)的建設(shè)與發(fā)展難以形成一個(gè)科學(xué)的體系,這也將直接阻礙高校校園網(wǎng)的建設(shè)與發(fā)展。比如:一些民辦高校的辦學(xué)條件等資源同公辦院校相比都存在巨大的差距,除了沒(méi)有人事編制、管理機(jī)構(gòu)以外,還極度缺乏相關(guān)的信息安全保障技術(shù)人員。很多民辦高校為了節(jié)約人員成本,甚至還由其他的教育行政人員兼任技術(shù)人員,正因?yàn)槿绱?,才使得校園網(wǎng)的建設(shè)、運(yùn)維管理人員的數(shù)量等方面與公辦院校存在巨大的差異。與此同時(shí),部分技術(shù)人員由于薪資待遇等問(wèn)題,從而使得他們難以認(rèn)清楚自身所肩負(fù)的職責(zé)和使命,當(dāng)某些信息安全風(fēng)險(xiǎn)急需要被解決的時(shí)候,他們常常不知所措;而沒(méi)有風(fēng)險(xiǎn)存在的時(shí)候,也不主動(dòng)對(duì)信息安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行排查。而其實(shí)這都體現(xiàn)出了高校負(fù)責(zé)人對(duì)于信息安全問(wèn)題的不重視。
2.4缺乏嚴(yán)格的制度管理
我國(guó)很多高校在關(guān)于信息化建設(shè)、運(yùn)維管理、方案論證、設(shè)備采購(gòu)、后期服務(wù)等方面的制度,幾乎是一片空白或者是有章不循,這不僅容易導(dǎo)致信息安全風(fēng)險(xiǎn)的出現(xiàn),還使得整個(gè)信息安全保障工作難以落到實(shí)處。其實(shí),這也反映出高校各部門(mén),各院系在信息安全保障上各自為戰(zhàn),從而也才使得類(lèi)似校園網(wǎng)建設(shè)與發(fā)展等信息化工作的進(jìn)度緩慢。其實(shí),這都?xì)w根于高校信息安全管理制度還不夠完善,同時(shí)高校負(fù)責(zé)人對(duì)信息管理部門(mén)的監(jiān)管也比較松懈,雖然在教育部門(mén)的要求下建有總體規(guī)章制度,但整體而言,還是缺乏明確的管理機(jī)制,最終導(dǎo)致監(jiān)管機(jī)構(gòu)形同虛設(shè),相關(guān)人員更是無(wú)法真正履行應(yīng)負(fù)的職責(zé)。除此之外,高校在應(yīng)對(duì)突發(fā)校園信息安全問(wèn)題的時(shí)候,也缺乏明顯的應(yīng)急處置機(jī)制,往往也是因?yàn)閱?wèn)題沒(méi)有得到及時(shí)的處理和解決,而給高校其余教學(xué)工作的開(kāi)展造成了重要的影響??偠灾?,盡管各高校目前的信息化建設(shè)非常迅速,但是絕大多數(shù)院校在信息安全的監(jiān)管上還依舊存在較為嚴(yán)重的漏洞。
三、關(guān)于高校信息安全風(fēng)險(xiǎn)的有效保障策略
3.1加強(qiáng)對(duì)高校信息安全風(fēng)險(xiǎn)保障的重視程度
高校管理者對(duì)信息安全風(fēng)險(xiǎn)的認(rèn)知度和重視度是決定高校信息化建設(shè)發(fā)展成敗的關(guān)鍵。因此,必須要從多方面做好相應(yīng)的信息安全風(fēng)險(xiǎn)保障工作。首先是高校信息安全保障工作開(kāi)展必須上升到管理層,而且還要由學(xué)校領(lǐng)導(dǎo)參與其中,并對(duì)相關(guān)建設(shè)和發(fā)展問(wèn)題進(jìn)行協(xié)調(diào)把關(guān),從而才能為方案論證、項(xiàng)目實(shí)施、資金、人員、部門(mén)協(xié)調(diào)提供有力的組織保障。同時(shí),利用上層管理者的公關(guān)能力加強(qiáng)與公辦院校、專(zhuān)業(yè)IT公司、運(yùn)營(yíng)商的合作也顯得尤為必要,因?yàn)橹挥屑哟笮畔①Y源的整合和共享,再借助大數(shù)據(jù)等相關(guān)資源,才能為后期預(yù)防信息安全風(fēng)險(xiǎn)獲得更多的資金保障。其次是不斷強(qiáng)化師生對(duì)于信息安全風(fēng)險(xiǎn)保障工作開(kāi)展的認(rèn)識(shí)。例如:院??梢圆欢ㄆ诮M織學(xué)校負(fù)責(zé)信息安全管理的工作人員同師生們一起學(xué)習(xí)網(wǎng)絡(luò)安全管理制度,主要內(nèi)容可以包括:計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法;信息審核、登記制度等國(guó)內(nèi)外信息安全法律法規(guī)的培訓(xùn)教育。借此機(jī)會(huì),也可以向廣大師生普及信息安全知識(shí),進(jìn)而提升他們的信息安全保密意識(shí),并共同努力營(yíng)造出維護(hù)院校信息安全的良好氛圍。除此之外,在師生中開(kāi)展信息安全技術(shù)教育培訓(xùn)工作也十分必要,比如:舉辦計(jì)算機(jī)技能培訓(xùn);開(kāi)展網(wǎng)絡(luò)維護(hù)技能培訓(xùn)活動(dòng)等??傊?,通過(guò)這樣的形式,師生們則能有效掌握網(wǎng)絡(luò)防御技能,并且也能提升防范信息安全風(fēng)險(xiǎn)的能力。
3.2加強(qiáng)信息安全風(fēng)險(xiǎn)保障工作的發(fā)展研究
隨著我國(guó)《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》的頒布,作為高校負(fù)責(zé)人,更應(yīng)根據(jù)學(xué)校自身發(fā)展特色,積極研究本校的信息安全風(fēng)險(xiǎn)保障工作的開(kāi)展,為了取得良好的效果,除了轉(zhuǎn)變現(xiàn)有管理體制,還要積極建立適合自身發(fā)展的規(guī)章制度,并在一定程度上加強(qiáng)信息化、校園網(wǎng)建設(shè)在內(nèi)的基礎(chǔ)設(shè)施建設(shè)、應(yīng)用環(huán)境建設(shè)、網(wǎng)絡(luò)安全保障等等。比如:完善校園網(wǎng)絡(luò)信息安全管理中心。即根據(jù)“預(yù)防為主,防患未然”和技術(shù)防范相結(jié)合的準(zhǔn)則,對(duì)院校的信息安全管理采取“三級(jí)聯(lián)動(dòng)”的管理機(jī)制。所謂“三級(jí)聯(lián)動(dòng)”,主要是分為三個(gè)步驟,第一層則是由學(xué)校領(lǐng)導(dǎo)進(jìn)行決策和監(jiān)管;第二層則是由學(xué)校中層干部實(shí)施管理;而第三層則由學(xué)校一線操作工作人員負(fù)責(zé)具體執(zhí)行。因此也就意味著,高校建立的“三級(jí)聯(lián)動(dòng)”信息安全管理機(jī)制后,則可以專(zhuān)門(mén)成立管理學(xué)校信息安全的信息管理中心,有條件的高校還可以配備一定數(shù)量的專(zhuān)業(yè)技術(shù)人員,這樣就能促使信息安全風(fēng)險(xiǎn)保障工作得到層層落實(shí)。總之,通過(guò)這樣的方式,才能彰顯出制度改革對(duì)于學(xué)校自身發(fā)展的重要性,進(jìn)而更能調(diào)動(dòng)各部門(mén)積極參與信息化建設(shè),并共同推進(jìn)信息化、校園網(wǎng)的持續(xù)發(fā)展。
3.3加強(qiáng)信息安全風(fēng)險(xiǎn)保障技術(shù)人才隊(duì)伍建設(shè)
由于高校信息安全風(fēng)險(xiǎn)保障工作開(kāi)展是一個(gè)長(zhǎng)期的、持續(xù)性的過(guò)程,因此要注重人才培養(yǎng)、引進(jìn)建設(shè)。根據(jù)相關(guān)數(shù)據(jù)分析結(jié)果可知,我國(guó)信息安全方面的人才缺口極大,特別是業(yè)務(wù)技術(shù)精湛,專(zhuān)業(yè)性強(qiáng)的技術(shù)人員更是極度欠缺。因此,高校應(yīng)根據(jù)其政策靈活的特色,建立人才培養(yǎng)和引進(jìn)的長(zhǎng)效建設(shè)機(jī)制,同時(shí)還要加大培養(yǎng)學(xué)校內(nèi)部業(yè)務(wù)和管理的骨干,這樣才能從根本上提高信息安全風(fēng)險(xiǎn)保障技術(shù)人才隊(duì)伍的建設(shè)。除此之外,高校還可以在“以情動(dòng)人、以信待人、以德服人、以誠(chéng)感人”方面下工夫,因?yàn)檫@樣可以用濃厚的文化氛圍感染人、用良好的工作環(huán)境吸引人、用適當(dāng)?shù)拇隽糇∪?,由此可?jiàn),穩(wěn)定人才隊(duì)伍,并逐步建立一支專(zhuān)業(yè)結(jié)構(gòu)合理、整體素質(zhì)基本適應(yīng)學(xué)校信息安全風(fēng)險(xiǎn)保障工作的人才隊(duì)伍,才能促使高校信息化建設(shè)工作的發(fā)展。
3.4加大各項(xiàng)資源設(shè)備的支持力度
一直以來(lái),資金問(wèn)題都是困擾高校信息一個(gè)“瓶頸”,尤其是對(duì)于一些民辦高校而言,它們的辦學(xué)經(jīng)費(fèi)很少能得到政府的補(bǔ)貼,以致于資金獲取方式還是以自籌為主。為了促使信息安全風(fēng)險(xiǎn)保障工作的順利開(kāi)展,作為高校負(fù)責(zé)人,就應(yīng)該在信息化和校園網(wǎng)建設(shè)等過(guò)程中嚴(yán)格評(píng)估和控制資金投入的效果,在條件允許的情況下,還可以通過(guò)校企合作的形式獲得相關(guān)企業(yè)的資金支持。除此之外,建立健全完善的高校網(wǎng)絡(luò)病毒防御體系也十分必要。比如:裝載正規(guī)出版且得到了權(quán)威認(rèn)證的殺毒軟件,這樣就可以和放心的將其運(yùn)用到校園網(wǎng)內(nèi)的網(wǎng)絡(luò)信息管理中心網(wǎng)頁(yè),不僅能夠方便廣大師生免費(fèi)下載安裝,還能夠通過(guò)殺毒軟件的定期更新,及時(shí)幫助師生掃描殺毒和修復(fù)可能存在的安全漏洞。為了使得網(wǎng)絡(luò)病毒防御體系的建設(shè)真正落到實(shí)處,為此還可以開(kāi)設(shè)留言專(zhuān)欄,而這就能及時(shí)收集到學(xué)生和教職工所反映的問(wèn)題,進(jìn)而確保院校內(nèi)電腦的安全運(yùn)轉(zhuǎn)。當(dāng)然,周密制訂防火墻防范對(duì)策也是相當(dāng)?shù)闹匾?。例如,?yán)格把關(guān)好操做系統(tǒng)的端口配置,并堅(jiān)持該開(kāi)放的開(kāi)放,不許開(kāi)放的則堅(jiān)決關(guān)閉的原則。至于那些需對(duì)外開(kāi)放的網(wǎng)絡(luò)服務(wù),則應(yīng)當(dāng)將需要開(kāi)放的服務(wù)器端口開(kāi)放,不需要的端口就堅(jiān)決關(guān)閉??傊?,只有各項(xiàng)資源設(shè)備變得完善,才能夠?yàn)楦咝P畔踩L(fēng)險(xiǎn)保障工作的開(kāi)展提供支持和保障。
四、結(jié)語(yǔ)
隨著社會(huì)的發(fā)展和進(jìn)步,高校也早已進(jìn)入到了網(wǎng)絡(luò)環(huán)境下的“數(shù)字化”時(shí)代,在這樣的環(huán)境影響下,以校園網(wǎng)為代表的信息化工程建設(shè)與發(fā)展也成為必然,相應(yīng)的也給高校帶來(lái)了信息安全風(fēng)險(xiǎn)。所以,如何才能確保高校信息安全保障工作落到實(shí)處,并促進(jìn)民辦高校教學(xué)事業(yè)的發(fā)展,成為了一個(gè)需要深入思考的問(wèn)題。本文對(duì)此淺析,也是希望能為高校提供更多的借鑒意義和價(jià)值,進(jìn)而有效推動(dòng)高校信息化建設(shè)工作的發(fā)展。
參考文獻(xiàn):
[1]吳旭東,柳炳祥校園網(wǎng)網(wǎng)絡(luò)規(guī)劃的設(shè)計(jì)與實(shí)現(xiàn)[J]電腦開(kāi)發(fā)與應(yīng)用2011.02
[2]韓寧淺議高校校園網(wǎng)建設(shè)與管理[J]科技創(chuàng)業(yè)月刊2011.09
[3]汪瑩,朱齊媛關(guān)于高校校園網(wǎng)信息安全的現(xiàn)狀與對(duì)策[J]重慶工學(xué)院學(xué)報(bào)(自然科學(xué)版)2008.06
[4]姜少軍,盧金海高校信息安全保障體系分析[J]青島遠(yuǎn)洋船員學(xué)院學(xué)報(bào)2005.09
關(guān)鍵詞:信息安全;IT治理;智慧校園;等級(jí)保護(hù);信息服
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1673-8454(2017)01-0040-05
一、引言
隨著網(wǎng)絡(luò)和信息技術(shù)不斷應(yīng)用到社會(huì)生活的各個(gè)方面,信息服務(wù)成為支撐高校教學(xué)、科研、管理、服務(wù)等職能開(kāi)展的基礎(chǔ)手段。隨著高校信息化建設(shè)從數(shù)字校園建設(shè)向智慧校園建設(shè)過(guò)渡,高校信息服務(wù)也從以網(wǎng)站為主向網(wǎng)站與移動(dòng)應(yīng)用相結(jié)合轉(zhuǎn)變,規(guī)劃、建設(shè)和運(yùn)行維護(hù)的高校IT環(huán)境也更加繁雜;在“互聯(lián)網(wǎng)+”背景下高校信息化建設(shè)從“自主”建設(shè)為主向“開(kāi)放與自主”相結(jié)合轉(zhuǎn)變[1],提升高校IT環(huán)境管控水平的需求也更加迫切;而網(wǎng)絡(luò)信息安全領(lǐng)域面臨的嚴(yán)峻形勢(shì),國(guó)家推進(jìn)信息系統(tǒng)等級(jí)保護(hù)建設(shè),也對(duì)高校IT環(huán)境管控能力提出更高要求。如何在信息安全管控要求下,不斷提高高校信息服務(wù)的管理水平已成為信息化建設(shè)的關(guān)注點(diǎn)之一。
本文在總結(jié)智慧校園建設(shè)下IT治理思想的基礎(chǔ)上,梳理和分析智慧校園建設(shè)下信息服務(wù)安全管控需求,提出面向信息安全管控的高校IT治理支持平臺(tái)的建設(shè)理念,采用支持移動(dòng)多終端訪問(wèn)的開(kāi)發(fā)技術(shù)和組件化信息系統(tǒng)集成技術(shù),分析、設(shè)計(jì)和實(shí)現(xiàn)面向高校信息安全等級(jí)保護(hù)工作開(kāi)展的IT治理支持平臺(tái)的實(shí)際應(yīng)用系統(tǒng),最后結(jié)合平臺(tái)實(shí)現(xiàn)和運(yùn)行狀況及IT治理發(fā)展前景,提出平臺(tái)下階段完善和拓展方向。
二、智慧校園建設(shè)下IT治理思想
隨著校園網(wǎng)絡(luò)建設(shè)和信息應(yīng)用建設(shè)逐步推進(jìn),高校信息化建設(shè)已經(jīng)從最初以校園網(wǎng)絡(luò)和數(shù)據(jù)中心等硬件為主的建設(shè)階段,過(guò)渡到以數(shù)字化校園等軟件為主的建設(shè)階段;2015年我國(guó)政府工作報(bào)告中從國(guó)家層面提出“互聯(lián)網(wǎng)+”概念以來(lái),高校信息化建設(shè)領(lǐng)域也從傳統(tǒng)的以“構(gòu)建虛擬校園”為特征的數(shù)字校園建設(shè)向以“移動(dòng)互聯(lián)、智能感知與物聯(lián)網(wǎng)、大數(shù)據(jù)分析與決策支持”為特征的智慧校園建設(shè)過(guò)渡[2]。圖1所示是目前主流的關(guān)于智慧校園系統(tǒng)層次邏輯的描述。
在“互聯(lián)網(wǎng)+”背景下,智慧校園建設(shè)模式也逐步擺脫數(shù)字校園建設(shè)階段以學(xué)?!白灾鳌苯ㄔO(shè)模式為主的狀況,從自身發(fā)展的實(shí)際需要出發(fā),以提升學(xué)校IT資源利用效率為主要目的,采取“開(kāi)放與自主”相結(jié)合的建設(shè)模式,通過(guò)“開(kāi)放”充分利用信息行業(yè)各類(lèi)服務(wù)和調(diào)動(dòng)校內(nèi)外各方建設(shè)熱情,通過(guò)“自主”牢牢掌握關(guān)系學(xué)校核心利益和師生各類(lèi)需求的數(shù)據(jù)、流程和安全管控,營(yíng)造關(guān)注學(xué)校核心職能和師生實(shí)際需求的“合作開(kāi)放、利益共享”的信息化建設(shè)生態(tài)圈[1]。圖2所示是“開(kāi)放與自主”相結(jié)合高校信息化建設(shè)模式的邏輯結(jié)構(gòu)。
智慧校園建設(shè)過(guò)程中,隨著服務(wù)外包的采用和社會(huì)服務(wù)的集成,如何高效管理學(xué)校相關(guān)的各類(lèi)IT資源成為制約數(shù)字校園建設(shè)向智慧校園建設(shè)的一個(gè)重要因素,很多高校在數(shù)字校園階段也沒(méi)有很好解決IT資源管控問(wèn)題,造成IT資源浪費(fèi)、數(shù)據(jù)準(zhǔn)確度差、項(xiàng)目實(shí)施風(fēng)險(xiǎn)高等問(wèn)題。通過(guò)IT治理(IT Government)將IT戰(zhàn)略和高校發(fā)展戰(zhàn)略有機(jī)結(jié)合,將學(xué)校信息技術(shù)資源轉(zhuǎn)換成優(yōu)勢(shì)資源,對(duì)信息化相關(guān)的決策、激勵(lì)、控制緊密協(xié)調(diào),整合學(xué)校相關(guān)IT資源應(yīng)用的全過(guò)程,整體提升學(xué)校IT政策、組織、服務(wù)與資源的管控水平,成為保障智慧校園建設(shè)順利開(kāi)展的有力舉措[3]。
IT治理的思想來(lái)源于Brown在20世紀(jì)90年代中期提出的信息系統(tǒng)治理(IS Governance)的概念[4]。IT治理是描述組織是否采用有效機(jī)制,使得IT應(yīng)用能夠完成組織賦予的使命并平衡信息化過(guò)程中的風(fēng)險(xiǎn),確保組織戰(zhàn)略目標(biāo)實(shí)現(xiàn)的過(guò)程,解決“做什么決策?誰(shuí)來(lái)決策?怎么來(lái)決策?如何監(jiān)督和評(píng)價(jià)決策?”[5]。IT治理的使命包括:保持IT與組織目標(biāo)一致,推動(dòng)組織業(yè)務(wù)發(fā)展,促使收益最大化,合理利用IT資源,適當(dāng)管控與IT相關(guān)風(fēng)險(xiǎn)[6]。
信息化建設(shè)程度高的美國(guó)研究型高校很早就接納和推行IT治理思想,多采用聯(lián)邦式的IT治理模式,對(duì)學(xué)校信息化建設(shè)相關(guān)的決策、激勵(lì)和控制形成有效機(jī)制,在設(shè)置專(zhuān)職的首席信息官(CIO,Chief Information Officer)的基礎(chǔ)上,建設(shè)服務(wù)全校的信息技術(shù)服務(wù)(ITS,Information Technology Service)部門(mén)支持高校研究和教育、跨地域和跨機(jī)構(gòu)的合作和協(xié)作、服務(wù)學(xué)習(xí)者和推動(dòng)IT技術(shù)傳播[7]。我國(guó)高校信息化領(lǐng)域在2010年前后逐步關(guān)注IT治理思想[8],之前對(duì)于在高校設(shè)置專(zhuān)職CIO的呼聲也一直持續(xù)到現(xiàn)在,但是真正的對(duì)學(xué)校整體信息化治理水平提升的影響十分有限。也因此在高校信息化建設(shè)過(guò)程中以管理推動(dòng)的信息化建設(shè)模式只有少數(shù)信息化領(lǐng)先高校才得以實(shí)施,而部分高校通過(guò)技術(shù)推動(dòng)的信息化建設(shè)模式逐步向管理推動(dòng)靠攏[1];而隨著“互聯(lián)網(wǎng)+”背景下各類(lèi)社交化應(yīng)用不斷滲入高校職能的各個(gè)方面,真正實(shí)現(xiàn)以師生實(shí)際需求來(lái)推動(dòng)的信息化建設(shè)模式也有了實(shí)際案例。
信息化組織體系與決策機(jī)制、信息化發(fā)展與項(xiàng)目規(guī)劃、項(xiàng)目實(shí)施與過(guò)程控制等三大核心要素是推動(dòng)高校信息化建設(shè)的三大核心要素[9],也是智慧校園建設(shè)下IT治理主要關(guān)注的三個(gè)方面,在政策制度、組織架構(gòu)建設(shè)的基礎(chǔ)上,對(duì)于高校IT資源情況感知、監(jiān)測(cè)與管理,對(duì)于高校IT項(xiàng)目全生命周期管控等都是需要相關(guān)的支持平臺(tái)來(lái)完成。
三、智慧校園建設(shè)下信息服務(wù)安全管控需求
高校信息化建設(shè)作為高校教學(xué)、科研、管理和服務(wù)等職能的網(wǎng)絡(luò)和信息技術(shù)基礎(chǔ),智慧校園建設(shè)過(guò)程中以用戶(hù)為中心的個(gè)性化信息服務(wù)是重要組成部分。為支撐智慧校園服務(wù)發(fā)揮作用,服務(wù)層、數(shù)據(jù)層、環(huán)境層和通訊層涉及多個(gè)建設(shè)方和運(yùn)維方,實(shí)際運(yùn)行中的包括電子郵件、外網(wǎng)訪問(wèn)等網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)站群、門(mén)戶(hù)系統(tǒng)、身份認(rèn)證、業(yè)務(wù)系統(tǒng)、移動(dòng)應(yīng)用后端支撐系統(tǒng)等各類(lèi)信息化應(yīng)用系統(tǒng),交換機(jī)、路由器、服務(wù)器、存儲(chǔ)、負(fù)載均衡等各類(lèi)IT硬件設(shè)備,統(tǒng)一的系統(tǒng)運(yùn)維管理是智慧校園建設(shè)順利開(kāi)展的基本保障。
隨著網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施成為國(guó)家和社會(huì)發(fā)展新的重要戰(zhàn)略資源,以及我國(guó)在IT相關(guān)領(lǐng)域缺少核心技術(shù)支撐的現(xiàn)狀,促使在網(wǎng)絡(luò)信息安全領(lǐng)域要投入更多管理措施。雖然之前對(duì)于網(wǎng)絡(luò)信息安全保障都當(dāng)作是信息化建設(shè)架構(gòu)中的重要組成部分,但是實(shí)際建設(shè)和運(yùn)維過(guò)程中卻關(guān)注很少,或者常為功能實(shí)現(xiàn)而犧牲安全水平,缺乏統(tǒng)一的安全政策制定與執(zhí)行、安全事件無(wú)法及時(shí)發(fā)現(xiàn)定位和應(yīng)急處置;在實(shí)際的信息系統(tǒng)等級(jí)保護(hù)工作推進(jìn)過(guò)程中,也暴露出信息系統(tǒng)管理水平低、定級(jí)備案整改落實(shí)不力、等級(jí)測(cè)評(píng)脫離提高安全管控能力實(shí)際等問(wèn)題。隨著國(guó)家通過(guò)推進(jìn)信息系統(tǒng)等級(jí)保護(hù)建設(shè)以提高國(guó)家整體信息安全水平的工作不斷推進(jìn),對(duì)高校IT環(huán)境管控能力提出更高要求。以安全管理制度、應(yīng)急響應(yīng)制度等軟環(huán)境和以防火墻、VPN、堡壘機(jī)、IDS/IPS、應(yīng)用防火墻等各類(lèi)安全設(shè)備硬環(huán)境組成的統(tǒng)一的信息安全管控也成為智慧校園建設(shè)順利開(kāi)展的基本保障。因此,基于等級(jí)保護(hù)要求,智慧校園建設(shè)中對(duì)信息服務(wù)安全管控提出如下需求:
1)信息服務(wù)安全管控應(yīng)該以全面掌握各類(lèi)IT資源基本情況、配置變動(dòng)、狀態(tài)監(jiān)控等為基礎(chǔ)實(shí)施。
2)信息服務(wù)安全管控應(yīng)該貫穿智慧校園建設(shè)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維等各個(gè)階段,并在組織、戰(zhàn)略、架構(gòu)、基礎(chǔ)設(shè)施、業(yè)務(wù)需求、投資等各方面充分被考慮,實(shí)現(xiàn)安全管控的全過(guò)程參與。
3)信息服務(wù)安全管控應(yīng)該充分考慮國(guó)家信息系統(tǒng)等級(jí)保護(hù)要求,對(duì)信息系統(tǒng)的定級(jí)、備案、測(cè)評(píng)、整改等提供全生命周期管理。
4)圖形化、集中化的對(duì)信息服務(wù)安全管控態(tài)勢(shì)相關(guān)的各個(gè)支撐環(huán)節(jié)進(jìn)行展示和分析,在充分獲取各類(lèi)安全日志、威脅情報(bào)的基礎(chǔ)上,分析和定期實(shí)現(xiàn)安全評(píng)估報(bào)告和態(tài)勢(shì)分析,并對(duì)發(fā)現(xiàn)的不足方面及時(shí)完善和加強(qiáng)監(jiān)控。
5)信息服務(wù)的狀態(tài)監(jiān)控、安全信息的獲取與分析等都要充分實(shí)現(xiàn)自動(dòng)化、智能化管理,減少人工操作工作量份額,以實(shí)現(xiàn)全天候狀態(tài)監(jiān)控和安全響應(yīng)的要求,并通過(guò)各類(lèi)事件分析與告知機(jī)制實(shí)現(xiàn)信息及時(shí)交互與分享,提高整體安全防控水平。
在對(duì)高校整體IT資源環(huán)境進(jìn)行管控的基礎(chǔ)上,智慧校園中信息服務(wù)安全管控將在組織和制度建設(shè)的基礎(chǔ)上,通過(guò)集中實(shí)時(shí)獲取、維護(hù)、管理、分析信息服務(wù)相關(guān)的各類(lèi)信息,將各類(lèi)智慧校園建設(shè)利益關(guān)聯(lián)方整合在統(tǒng)一的IT治理支持平臺(tái)上,實(shí)現(xiàn)決策、激勵(lì)和控制相關(guān)信息的充分共享,不斷推動(dòng)高校信息化決策實(shí)施和項(xiàng)目實(shí)現(xiàn),支撐高校新形勢(shì)下的人才培養(yǎng)和教學(xué)科研的戰(zhàn)略轉(zhuǎn)型。
四、面向信息安全管控的高校IT治理支持平臺(tái)的實(shí)現(xiàn)與應(yīng)用
高校IT治理支持平臺(tái)是根據(jù)實(shí)際采納的IT治理框架,實(shí)現(xiàn)全過(guò)程的信息服務(wù)支撐。目前國(guó)內(nèi)外主流IT治理框架包括ITIL(IT Infrastructure Library,信息技術(shù)基礎(chǔ)架構(gòu)庫(kù))框架、COBIT(Control Objectives for Information and Related Technologic,信息通用審計(jì)標(biāo)準(zhǔn))框架、PRINCE2(Project in Controlled Environment2,受控環(huán)境下的項(xiàng)目管理)框架等[10],各有側(cè)重點(diǎn)和優(yōu)勢(shì)領(lǐng)域,其中ITIL重點(diǎn)關(guān)注IT過(guò)程管理,對(duì)整個(gè)IT治理流程和信息進(jìn)行完整的實(shí)現(xiàn)和管控,特別強(qiáng)調(diào)對(duì)組織的IT服務(wù)支持和IT項(xiàng)目交付,很契合支撐高校各自特色發(fā)展目標(biāo)的信息化建設(shè)的治理需求。
ITIL是由英國(guó)政府商務(wù)辦公室(The Office of Government Commerce,OGC)為解決“IT服務(wù)質(zhì)量差”的問(wèn)題提出和逐步完善的一套被廣泛承認(rèn)的用于IT服務(wù)管理的實(shí)踐準(zhǔn)則。ITIL以流程為導(dǎo)向、以用戶(hù)為中心,通過(guò)整合IT服務(wù)與組織業(yè)務(wù),提高組織的IT服務(wù)提供、運(yùn)營(yíng)和管理的能力,詳細(xì)指明了IT管理流程應(yīng)當(dāng)如何構(gòu)建和落實(shí),操作性和指導(dǎo)性?xún)?yōu)良[11]。
ITIL主體框架包括服務(wù)管理、業(yè)務(wù)管理、基礎(chǔ)設(shè)施管理、應(yīng)用管理、IT服務(wù)管理實(shí)施規(guī)劃、安全管理等模塊,以服務(wù)管理模塊為核心,面向IT基礎(chǔ)設(shè)施管理提供支持,面向業(yè)務(wù)管理提供服務(wù)。其中,IT服務(wù)支持關(guān)注基礎(chǔ)設(shè)施的日常服務(wù)支持,確保IT服務(wù)的穩(wěn)定性與適應(yīng)性,通常包括一個(gè)服務(wù)機(jī)構(gòu)(服務(wù)臺(tái))和五個(gè)管理流程(配置管理、事件管理、問(wèn)題管理、變更管理和管理);IT服務(wù)提供承擔(dān)為業(yè)務(wù)用戶(hù)提供高質(zhì)量、低成本的IT服務(wù),與IT服務(wù)能力評(píng)估有直接關(guān)聯(lián),與組織階段規(guī)劃和持續(xù)評(píng)估相關(guān),通常包括服務(wù)級(jí)別管理、可用性管理、能力管理、IT服務(wù)可持續(xù)管理和IT服務(wù)財(cái)務(wù)管理。
面向信息安全管控的高校IT治理支持平臺(tái),就是在基本的ITIL IT治理主體框架和流程基礎(chǔ)上,結(jié)合高校信息化建設(shè)特點(diǎn)和智慧校園建設(shè)要求,對(duì)業(yè)務(wù)和基礎(chǔ)設(shè)施的描述和監(jiān)測(cè)進(jìn)行數(shù)據(jù)化,并進(jìn)一步明確和細(xì)化安全管理,在服務(wù)臺(tái)中增加安全服務(wù)職能,根據(jù)信息系統(tǒng)等級(jí)保護(hù)具體要求增加專(zhuān)門(mén)的安全管理流程,與事件管理、問(wèn)題管理等流程形成完整的支持信息安全管控的治理結(jié)構(gòu),具體主要流程結(jié)構(gòu)參見(jiàn)圖6。
1.業(yè)務(wù)和基礎(chǔ)設(shè)施描述與監(jiān)測(cè)數(shù)據(jù)化
智慧校園建設(shè)中,業(yè)務(wù)和基礎(chǔ)設(shè)施的描述都要與具體的建設(shè)和運(yùn)維相關(guān),并在業(yè)務(wù)與基礎(chǔ)設(shè)施間建立起有效的可監(jiān)測(cè)的關(guān)聯(lián)。
業(yè)務(wù)可以看作是面向具體用戶(hù)方的服務(wù),而基礎(chǔ)設(shè)施也是提供自己能力的服務(wù)。通過(guò)將業(yè)務(wù)和基礎(chǔ)設(shè)施都看成是基礎(chǔ)服務(wù),來(lái)對(duì)其進(jìn)行描述與監(jiān)測(cè),并實(shí)現(xiàn)集中的監(jiān)測(cè)與展示。
1)服務(wù)相關(guān)的具體組成部分的邏輯定義,從具體相關(guān)用戶(hù)角度進(jìn)行,建立對(duì)象、內(nèi)容項(xiàng)、數(shù)據(jù)項(xiàng)、元數(shù)據(jù)的層次結(jié)構(gòu)供IT治理支持平臺(tái)建模和對(duì)象監(jiān)測(cè)使用;
2)服障喙氐撓沒(méi)描述,根據(jù)用戶(hù)類(lèi)型和服務(wù)功能對(duì)用戶(hù)角色進(jìn)行分析和歸納,智慧校園建設(shè)相關(guān)的用戶(hù)角色通常包括普通用戶(hù)(注冊(cè)用戶(hù)、校友、教師、學(xué)生等)、管理人員、系統(tǒng)管理人員、運(yùn)維人員、外包人員等;
3)服務(wù)根據(jù)相關(guān)對(duì)象組成的流程進(jìn)行組織,如,某臺(tái)交換設(shè)備和教務(wù)課表查詢(xún)功能、成績(jī)查詢(xún)功能、校園網(wǎng)網(wǎng)費(fèi)查詢(xún)功能都成為一個(gè)可識(shí)別的服務(wù)[12]。
2.安全管理細(xì)化與服務(wù)臺(tái)增加安全服務(wù)職能
智慧校園建設(shè)中,安全管理是基本的保障機(jī)制,不僅僅是安全環(huán)境監(jiān)測(cè)、安全設(shè)備管理、安全漏洞發(fā)現(xiàn)、安全事件處置,還包括等級(jí)保護(hù)合規(guī)、數(shù)據(jù)安全管理、安全態(tài)勢(shì)感知等功能,在IT治理后臺(tái)知識(shí)庫(kù)中也要專(zhuān)門(mén)為安全建立專(zhuān)門(mén)結(jié)構(gòu),并與第三方安全服務(wù)廠商緊密服務(wù)獲取漏洞信息和安全態(tài)勢(shì)。在IT治理框架中服務(wù)臺(tái)也需要有針對(duì)性的增加具體的安全服務(wù)職能,該服務(wù)即是面向業(yè)務(wù)部門(mén)提供安全建議,也是面向信息部門(mén)提供安全預(yù)警,并接受安全管控職能部門(mén)的來(lái)訪和反饋。
3.根據(jù)信息系統(tǒng)等級(jí)保護(hù)要求增加安全管理流程
信息系統(tǒng)等級(jí)保護(hù)建設(shè)已經(jīng)是智慧校園建設(shè)中不能回避的IT治理內(nèi)容,也是推進(jìn)高校IT治理水平的一個(gè)抓手和動(dòng)力。安全管理流程需要在原有的配置管理、變更管理、管理等信息服務(wù)系統(tǒng)信息管理流程的基礎(chǔ)上,根據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)管理辦法和標(biāo)準(zhǔn)指南,實(shí)現(xiàn)對(duì)信息系統(tǒng)等級(jí)保護(hù)相關(guān)動(dòng)作的全過(guò)程管理,實(shí)現(xiàn)對(duì)信息系統(tǒng)的立項(xiàng)、定級(jí)、備案、上線、測(cè)評(píng)、整改、變更、撤銷(xiāo)等的管理,集中管理和呈現(xiàn)組織信息系統(tǒng)數(shù)據(jù),并提供對(duì)等級(jí)保護(hù)指定動(dòng)作的主動(dòng)告知和預(yù)先準(zhǔn)備,提高整體安全管理合規(guī)程序的執(zhí)行效率和自動(dòng)化水平,并提供第三方測(cè)評(píng)機(jī)構(gòu)、人員、活動(dòng)的信息支持和可控共享。
面向信息安全管控的IT治理支持平臺(tái)的建設(shè)理念是來(lái)源于校園信息服務(wù)日常運(yùn)維和安全管控的實(shí)際經(jīng)驗(yàn),主要是為學(xué)校IT治理體系和工作推進(jìn)提供基礎(chǔ)數(shù)據(jù)和信息服務(wù),并面向信息系統(tǒng)等級(jí)保護(hù)工作開(kāi)展提供面向信息安全管控的專(zhuān)項(xiàng)提升功能,促進(jìn)IT治理能力和信息安全管控能力的不斷提升。該平臺(tái)的IT服務(wù)支持側(cè)的系統(tǒng)架構(gòu)圖參見(jiàn)圖7所示。
東北大學(xué)擁有高專(zhuān)業(yè)素養(yǎng)和技術(shù)水平的網(wǎng)絡(luò)和信息技術(shù)實(shí)施與運(yùn)維團(tuán)隊(duì),長(zhǎng)期自動(dòng)自發(fā)的通過(guò)網(wǎng)絡(luò)和信息技術(shù)推動(dòng)學(xué)校數(shù)字校園乃至智慧校園建設(shè),分階段分層次的實(shí)現(xiàn)學(xué)校各類(lèi)用戶(hù)的信息服務(wù)水平[13],形成可持續(xù)發(fā)展的信息化建設(shè)氛圍,推動(dòng)信息化建設(shè)管理部門(mén)組建和頂層設(shè)計(jì)推動(dòng)。
現(xiàn)階段,東北大學(xué)在信息系統(tǒng)等級(jí)保護(hù)工作推進(jìn)下,實(shí)現(xiàn)對(duì)校內(nèi)相關(guān)的IT資源的全面調(diào)研、排查和系統(tǒng)管理,并通過(guò)在原有的面向用戶(hù)的智慧校園信息服務(wù)集中監(jiān)測(cè)平臺(tái)的基礎(chǔ)上,結(jié)合ITIL IT治理思想設(shè)計(jì)和實(shí)現(xiàn)了面向信息安全管控的IT治理支持平臺(tái)。該平臺(tái)采取數(shù)據(jù)層面的統(tǒng)一邏輯化和抽象化,通過(guò)插件化設(shè)計(jì)為系統(tǒng)提供預(yù)先定義的各類(lèi)對(duì)象模板、流程模板等,系統(tǒng)訪問(wèn)界面采用基于Boostrap框架的響應(yīng)式界面技術(shù)設(shè)計(jì)和實(shí)現(xiàn),基本實(shí)現(xiàn)在桌面電腦操作系統(tǒng)、移動(dòng)手機(jī)、平板電腦等終端上提供相對(duì)統(tǒng)一的用戶(hù)體驗(yàn),數(shù)據(jù)交換參考REST(Representational State Transfer,表述性狀態(tài)傳遞)實(shí)現(xiàn)。通過(guò)該平臺(tái)的建設(shè)和應(yīng)用,學(xué)校整體IT資源情況得到集中統(tǒng)一的獲取、維護(hù)、監(jiān)測(cè)和統(tǒng)計(jì)分析,為學(xué)校推進(jìn)IT治理思想提供了前期的信息技術(shù)手段,同時(shí)也滿(mǎn)足現(xiàn)階段信息系統(tǒng)等級(jí)保護(hù)對(duì)信息系統(tǒng)的基本信息、定級(jí)備案、整改測(cè)評(píng)等相關(guān)信息的集中管理,對(duì)及時(shí)發(fā)現(xiàn)與處置漏洞和安全事件提供了基礎(chǔ)數(shù)據(jù)支撐,明顯提升學(xué)校信息安全管控水平。
五、總結(jié)與展望
面向信息安全管控的高校IT治理平臺(tái)是在總結(jié)智慧校園建設(shè)下IT治理思想基礎(chǔ)上,結(jié)合等級(jí)保護(hù)管理要求,在ITIL IT治理框架基礎(chǔ)上,提出和設(shè)計(jì)的IT治理建設(shè)信息支持手段,為高校智慧校園建設(shè)提供高水平的合規(guī)的信息安全管控能力,對(duì)于提升安全管控與信息服務(wù)全生命周期管理建立良好的信息共享和交互。
該平臺(tái)主要完善信息安全管控方面功能,是對(duì)現(xiàn)有IT治理支持平臺(tái)的有益補(bǔ)充,特別是對(duì)于提ITIL中服務(wù)臺(tái)功能完善是對(duì)高校實(shí)現(xiàn)信息安全整體管控的有益推動(dòng);接下來(lái),可以進(jìn)一步吸取其他主流IT治理架構(gòu)優(yōu)點(diǎn),結(jié)合高校智慧校園建設(shè)的社會(huì)化、服務(wù)化、用戶(hù)體驗(yàn)中心為主等特點(diǎn)進(jìn)一步完善IT治理支持平臺(tái),如通過(guò)可視化的地理信息系統(tǒng)技術(shù)實(shí)現(xiàn)對(duì)IT資源的實(shí)時(shí)監(jiān)控與展示,還可以集成校內(nèi)部門(mén)IT能力績(jī)效評(píng)估等功能促進(jìn)高校智慧校園建設(shè)不斷向深層次推進(jìn)。
參考文獻(xiàn):
[1]王宇,吳煒鑫,王興偉.“互聯(lián)網(wǎng)+”下高校信息化建設(shè)模式的探索與研究[C].第四屆中國(guó)互聯(lián)網(wǎng)學(xué)術(shù)年會(huì)(ICoC 2015)論文集,2015:235-241.
[2]蔣東興,付小龍,袁芳,吳海燕,劉啟新.大數(shù)據(jù)背景下的高校智慧校園建設(shè)探討[J].華東師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2015(S1):119-125+131.
[3]劉曉文,胡克瑾.美國(guó)高校IT治理的現(xiàn)狀與啟示[J].中國(guó)教育信息化,2008(13):20-22.
[4]Carol V. Brown. Examining the Emergence of Hybrid IS Governance Solutions: Evidence From a Single Case Study[J]. Information Systems Research, March 1997, 8(1):69-94.
[5]丁天翔.IT治理與我國(guó)高校信息化建設(shè)[J].中國(guó)工程科學(xué),2011,13(1):109-112.
[6]彼得.維爾,珍妮.W.羅斯.楊波,譯.IT治理:一流績(jī)效企業(yè)的IT治理之道[M].北京:商務(wù)印書(shū)館, 2005.
[7]杜藎朱悅月,付小龍,蔣東興.美國(guó)研究型高校IT治理結(jié)構(gòu)研究[J].中國(guó)教育信息化,2012(1):9-11.
[8]李林,王賀松.校園IT治理框架研究[J].中國(guó)教育信息化,2010(9):4-6.
[9]趙亞萍,賈春燕,程艷旗,魯東明.美國(guó)高校信息化推進(jìn)機(jī)制分析及其啟示[J].中國(guó)教育信息化,2011(1):20-23.
[10]孟秀轉(zhuǎn),于秀艷,郝曉玲,孫強(qiáng),等.IT治理:標(biāo)準(zhǔn)、框架與案例分析[M].北京:清華大學(xué)出版社,2012.
[11]李萍,郭玉嬌.高校IT資源管理服務(wù)平臺(tái)探究[J].實(shí)驗(yàn)技術(shù)與管理,2011,28(6):138-141.
安全運(yùn)維管理專(zhuān)業(yè)人才的匱乏。首先是安全運(yùn)維管理人員數(shù)量上的相對(duì)不足。雖然近年來(lái)很多高校已經(jīng)設(shè)立了信息安全專(zhuān)業(yè),但依然無(wú)法滿(mǎn)足市面上對(duì)信息安全專(zhuān)業(yè)人才的大量需求;其次,各自的專(zhuān)業(yè)技術(shù)水平參差不齊。試想一個(gè)不十分“專(zhuān)業(yè)”的安全運(yùn)維人員在數(shù)千條的海量告警信息中如何對(duì)漏報(bào)與誤報(bào)做出迅速而準(zhǔn)確的判斷?又怎樣令復(fù)雜的信息安全保障制度落到實(shí)處?以往信息安全專(zhuān)人專(zhuān)職被過(guò)分強(qiáng)調(diào),大部分行業(yè)用戶(hù)只配備少量技術(shù)人員負(fù)責(zé)相關(guān)工作,很難有效實(shí)現(xiàn)先進(jìn)管理。
信息安全風(fēng)險(xiǎn)管理與事件監(jiān)控缺少信息化手段。近年來(lái),大量的安全標(biāo)準(zhǔn)的實(shí)施和推廣意味著更多的技術(shù)細(xì)節(jié)工作需要落實(shí);網(wǎng)絡(luò)規(guī)模不斷壯大,IT系統(tǒng)由不同品牌的產(chǎn)品和越來(lái)越多的子系統(tǒng)組成,多個(gè)管理員分散管理,各自為政;關(guān)鍵行業(yè)24小時(shí)運(yùn)行的系統(tǒng)缺少24小時(shí)有效的持續(xù)監(jiān)控……以上種種皆令信息安全運(yùn)維管理面臨著前所未有的巨大挑戰(zhàn),技術(shù)和人之間的缺口越來(lái)越大。
必須要“面對(duì)”的內(nèi)部隱患。目前很多安全威脅的最終來(lái)源并不是來(lái)自黑客或是我們通常意義上的外部入侵者,而是源于企業(yè)內(nèi)部形形的違規(guī)操作,這些內(nèi)部隱患問(wèn)題的出現(xiàn)也令信息安全管理面臨很大挑戰(zhàn)。在大部分IT系統(tǒng)中,交叉管理、一臺(tái)服務(wù)器多人擁有權(quán)限使用同一個(gè)賬號(hào)登陸管理的現(xiàn)象非常普遍。未經(jīng)測(cè)試和公告進(jìn)行配置更改,往往給系統(tǒng)埋下不穩(wěn)定因素。而由于系統(tǒng)的復(fù)雜性和管理人員無(wú)暇顧及往往大部分配置變更沒(méi)有有效記錄,這些變更顯然也不能依靠變更人員主動(dòng)自覺(jué)的上報(bào)來(lái)實(shí)現(xiàn)。傳統(tǒng)的運(yùn)維管理產(chǎn)品缺少監(jiān)控手段,僅依靠人為的自覺(jué)錄入顯然已經(jīng)不符合實(shí)際運(yùn)維環(huán)境。利用工具化的手段技術(shù)巡檢IT系統(tǒng)尋找各項(xiàng)配置變更的實(shí)施情況,并快速進(jìn)行內(nèi)部通告就顯得尤為重要。
信息安全的多頭管理局面??v觀世界,中國(guó)的信息安全立法和執(zhí)法的力度不亞于任何發(fā)達(dá)國(guó)家。眾多管理機(jī)構(gòu)對(duì)于信息安全不約而同的重視令中國(guó)的信息安全呈現(xiàn)多頭管理局面。安全要求眾多,程序紛繁復(fù)雜,如何構(gòu)建一個(gè)開(kāi)放式的平臺(tái)實(shí)現(xiàn)多種合規(guī)性的整合,并能根據(jù)新的要求進(jìn)行靈活調(diào)整也是安全運(yùn)維管理面臨的現(xiàn)實(shí)挑戰(zhàn)之一。
關(guān)鍵詞關(guān)鍵詞:高校網(wǎng)站;網(wǎng)站集群;網(wǎng)站運(yùn)維;三方聯(lián)動(dòng)機(jī)制;CMS
DOIDOI:10.11907/rjdk.161430
中圖分類(lèi)號(hào):TP319
文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-7800(2016)008-0150-03
0 引言
隨著高校網(wǎng)站建設(shè)規(guī)模及數(shù)量的不斷發(fā)展,網(wǎng)站信息內(nèi)容和服務(wù)功能正逐步豐富與完善,已成為向校內(nèi)外用戶(hù)提供教學(xué)、科研、管理、招生就業(yè)等方面公共信息與服務(wù)的平臺(tái),是展示高校形象、與外界聯(lián)系的重要窗口,是高校信息化建設(shè)的重要組成部分。
高校網(wǎng)站群通常由學(xué)校的門(mén)戶(hù)網(wǎng)站及多個(gè)子網(wǎng)站組成,如何對(duì)網(wǎng)站進(jìn)行科學(xué)建設(shè)與運(yùn)維管理具有重要意義。
1 高校網(wǎng)站建設(shè)與運(yùn)維管理存在的問(wèn)題
1.1 缺乏統(tǒng)一規(guī)劃,重復(fù)投資建設(shè)
許多高校存在各部門(mén)單獨(dú)進(jìn)行網(wǎng)站規(guī)劃、設(shè)計(jì)和管理,各網(wǎng)站分布在相對(duì)獨(dú)立的服務(wù)器上,網(wǎng)站之間信息缺乏有效共享,難以實(shí)現(xiàn)更高層次的信息處理和數(shù)據(jù)挖掘利用等問(wèn)題[1]。由于網(wǎng)站建設(shè)初期未進(jìn)行合理細(xì)致的規(guī)劃,當(dāng)網(wǎng)站后期需要擴(kuò)充功能或改版升級(jí)時(shí),往往需要重新建設(shè)網(wǎng)站,造成人力和財(cái)力等資源的嚴(yán)重浪費(fèi)。
1.2 網(wǎng)站開(kāi)發(fā)人員水平參差不齊、流動(dòng)性大
高校網(wǎng)站開(kāi)發(fā)人員有專(zhuān)業(yè)教師、教輔人員、在校學(xué)生及專(zhuān)業(yè)技術(shù)服務(wù)公司。各網(wǎng)站開(kāi)發(fā)團(tuán)隊(duì)規(guī)模不同、開(kāi)發(fā)水平不一、網(wǎng)站設(shè)計(jì)風(fēng)格各異,實(shí)現(xiàn)網(wǎng)站安全的技術(shù)手段也不盡相同,提供的管理維護(hù)方式及力度也有差距。例如,有的網(wǎng)站由在校學(xué)生進(jìn)行建設(shè)和管理,學(xué)生離校參加工作后,可能不再參與網(wǎng)站的管理S護(hù)工作,導(dǎo)致網(wǎng)站后期維護(hù)困難。
1.3 網(wǎng)站內(nèi)容建設(shè)重視不足
高校網(wǎng)站建設(shè)重開(kāi)發(fā)輕內(nèi)容現(xiàn)象較為普遍,許多部門(mén)對(duì)網(wǎng)站的信息內(nèi)容建設(shè)不甚重視,網(wǎng)站信息不能引起用戶(hù)的興趣。有的網(wǎng)站內(nèi)容更新不及時(shí),沒(méi)有發(fā)揮好網(wǎng)站傳遞信息的作用。
1.4 信息安全意識(shí)薄弱,存在安全風(fēng)險(xiǎn)
不少網(wǎng)站管理人員信息安全意識(shí)不強(qiáng),無(wú)法有效控制網(wǎng)站安全風(fēng)險(xiǎn)。當(dāng)發(fā)生網(wǎng)頁(yè)被篡改等攻擊事件時(shí),無(wú)法及時(shí)恢復(fù)網(wǎng)站,導(dǎo)致用戶(hù)無(wú)法正常訪問(wèn)。有些被篡改后的網(wǎng)頁(yè)上顯示不良信息,造成負(fù)面影響。
2 建立“三方聯(lián)動(dòng)”機(jī)制,推進(jìn)高校網(wǎng)站建設(shè)工作
為確保高校網(wǎng)站建設(shè)運(yùn)維工作高效有序開(kāi)展,本文探索推行由校內(nèi)網(wǎng)絡(luò)信息管理部門(mén)、網(wǎng)站建設(shè)部門(mén)、網(wǎng)站開(kāi)發(fā)部門(mén)共同構(gòu)成的“三方聯(lián)動(dòng)”機(jī)制[2],如圖1所示。
在三方聯(lián)動(dòng)機(jī)制中,網(wǎng)絡(luò)信息管理部門(mén)負(fù)責(zé)領(lǐng)導(dǎo)和組織網(wǎng)站建設(shè),以及網(wǎng)絡(luò)信息安全的相關(guān)工作,包括制定網(wǎng)站建設(shè)與管理的相關(guān)制度,對(duì)網(wǎng)站建設(shè)申請(qǐng)進(jìn)行審批,并對(duì)的網(wǎng)站信息內(nèi)容進(jìn)行監(jiān)督管理。網(wǎng)站建設(shè)部門(mén)按照制定的相關(guān)制度,負(fù)責(zé)擬定本部門(mén)網(wǎng)站建設(shè)需求與網(wǎng)站內(nèi)容更新等工作。網(wǎng)站開(kāi)發(fā)部門(mén)在網(wǎng)絡(luò)信息管理部門(mén)的要求和指導(dǎo)下,負(fù)責(zé)對(duì)網(wǎng)站建設(shè)和運(yùn)維管理提供技術(shù)服務(wù)支持,利用信息技術(shù)和網(wǎng)絡(luò)資源優(yōu)勢(shì)做好網(wǎng)站建設(shè)的各項(xiàng)工作,確保完成網(wǎng)站建設(shè)目標(biāo)。
隨著高校網(wǎng)站建設(shè)目標(biāo)的不斷提高,網(wǎng)站服務(wù)形式和功能也會(huì)發(fā)生轉(zhuǎn)變,網(wǎng)站建設(shè)部門(mén)會(huì)根據(jù)業(yè)務(wù)發(fā)展需要,提出網(wǎng)站建設(shè)新的要求,這反過(guò)來(lái)會(huì)影響或提高校園網(wǎng)站整體建設(shè)要求。網(wǎng)絡(luò)信息管理部門(mén)應(yīng)根據(jù)實(shí)際情況進(jìn)行相應(yīng)調(diào)整,網(wǎng)站開(kāi)發(fā)部門(mén)在技術(shù)上、可利用資源上提供必要的支持。在三方聯(lián)動(dòng)機(jī)制下,通過(guò)明確三方各自的職責(zé),實(shí)現(xiàn)三方職能互補(bǔ)、溝通互動(dòng),促進(jìn)三方協(xié)同工作高效開(kāi)展,使網(wǎng)站建設(shè)工作更有成效。
高校網(wǎng)站建設(shè)流程分為申請(qǐng)、開(kāi)發(fā)和3個(gè)階段,如圖2所示。
首先,由網(wǎng)站建設(shè)部門(mén)提出申請(qǐng),提交相關(guān)申請(qǐng)表格。申請(qǐng)內(nèi)容包括網(wǎng)站名稱(chēng)、申請(qǐng)部門(mén)、網(wǎng)站制作需求等信息;其次,申請(qǐng)表需經(jīng)網(wǎng)絡(luò)信息管理部門(mén)審批,批準(zhǔn)后由網(wǎng)絡(luò)信息管理部門(mén)備案,再由網(wǎng)站開(kāi)發(fā)部門(mén)根據(jù)需求提供網(wǎng)站建設(shè)方案,經(jīng)與網(wǎng)站建設(shè)部門(mén)確認(rèn)后開(kāi)展網(wǎng)站資料搜集、分類(lèi)整理和審查工作;網(wǎng)站開(kāi)發(fā)完成后還需進(jìn)行相關(guān)測(cè)試,通過(guò)測(cè)試并經(jīng)過(guò)審核后才可上線。
3 網(wǎng)站開(kāi)發(fā)團(tuán)隊(duì)建設(shè)
網(wǎng)站開(kāi)發(fā)工作需要專(zhuān)業(yè)的知識(shí)、技術(shù)與經(jīng)驗(yàn),通過(guò)組建專(zhuān)業(yè)化、高素質(zhì)的高校網(wǎng)站開(kāi)發(fā)團(tuán)隊(duì),以高效率完成網(wǎng)站建設(shè)任務(wù)。
3.1 組建專(zhuān)業(yè)高效的開(kāi)發(fā)團(tuán)隊(duì)
結(jié)合三方聯(lián)動(dòng)機(jī)制的思路,由網(wǎng)絡(luò)信息管理部門(mén)與網(wǎng)站開(kāi)發(fā)部門(mén)根據(jù)學(xué)校網(wǎng)站總體建設(shè)任務(wù),確定開(kāi)發(fā)團(tuán)隊(duì)的規(guī)模,選拔任務(wù)所需知識(shí)結(jié)構(gòu)和專(zhuān)業(yè)技能的人員加入團(tuán)隊(duì)。同時(shí),還要充分考慮團(tuán)隊(duì)成員各方面的差異和需求,制訂有針對(duì)性的激勵(lì)措施,充分調(diào)動(dòng)團(tuán)隊(duì)成員的積極性、主動(dòng)性和創(chuàng)造性。增強(qiáng)團(tuán)隊(duì)凝聚力,營(yíng)造良好的協(xié)作氛圍,使團(tuán)隊(duì)成員能夠在權(quán)責(zé)范圍內(nèi)充分發(fā)揮應(yīng)有的作用。
3.2 以任務(wù)為導(dǎo)向進(jìn)行網(wǎng)站建設(shè)
以任務(wù)為導(dǎo)向的網(wǎng)站開(kāi)發(fā)團(tuán)隊(duì)[3]主要工作職責(zé)是完成網(wǎng)站建設(shè)。開(kāi)發(fā)團(tuán)隊(duì)必須清楚認(rèn)識(shí)網(wǎng)站建設(shè)的目標(biāo),通過(guò)制定合理的網(wǎng)站開(kāi)發(fā)流程和相關(guān)的工作規(guī)范,齊心協(xié)力進(jìn)行網(wǎng)站開(kāi)發(fā)工作,確保建設(shè)任務(wù)按時(shí)保質(zhì)完成。開(kāi)發(fā)團(tuán)隊(duì)還要增強(qiáng)學(xué)習(xí)意識(shí),通過(guò)不斷總結(jié)網(wǎng)站建設(shè)工作經(jīng)驗(yàn),改進(jìn)工作方法和技術(shù)手段,逐步提升團(tuán)隊(duì)的技術(shù)實(shí)力和職業(yè)素養(yǎng)。
3.3 引導(dǎo)網(wǎng)站用戶(hù)參與建設(shè)
高校網(wǎng)站的設(shè)計(jì)和開(kāi)發(fā)應(yīng)優(yōu)先滿(mǎn)足用戶(hù)的需求和期望,可以邀請(qǐng)并引導(dǎo)師生及用戶(hù)參與到網(wǎng)站的設(shè)計(jì)和決策過(guò)程中來(lái),將用戶(hù)的需求和意見(jiàn)融入到設(shè)計(jì)方案中,確保網(wǎng)站建設(shè)效果,創(chuàng)新網(wǎng)站設(shè)計(jì),改善用戶(hù)體驗(yàn)。
4 基于CMS的高校網(wǎng)站集群建設(shè)方案
通過(guò)采用統(tǒng)一框架下基于內(nèi)容管理系統(tǒng)(content management system,CMS)的網(wǎng)站集群建設(shè)解決方案,實(shí)現(xiàn)統(tǒng)一建設(shè)、信息共享、提高效率、豐富內(nèi)容、安全可靠的高校網(wǎng)站建設(shè)設(shè)計(jì)思路,以解決高校各網(wǎng)站相互獨(dú)立建設(shè)和管理而產(chǎn)生的諸多問(wèn)題,提高網(wǎng)站建設(shè)與管理水平。
CMS在B/S架構(gòu)下的網(wǎng)站集群結(jié)構(gòu)及主要功能如圖3所示。
基礎(chǔ)設(shè)施層:由支持該系統(tǒng)運(yùn)行的硬件、系統(tǒng)軟件和計(jì)算機(jī)網(wǎng)絡(luò)組成。
信息資源層:包括系統(tǒng)用戶(hù)和組織結(jié)構(gòu)信息,網(wǎng)站內(nèi)容信息,圖片、視頻等多媒體文件資源及數(shù)據(jù)庫(kù)管理系統(tǒng),為系統(tǒng)中各站點(diǎn)提供信息資源和系統(tǒng)數(shù)據(jù),同時(shí)通過(guò)對(duì)用戶(hù)管理和權(quán)限控制,保證信息資源安全。
系統(tǒng)管理層:主要包括對(duì)系統(tǒng)用戶(hù)和角色的管理、權(quán)限管理、統(tǒng)計(jì)分析、日志管理、數(shù)據(jù)備份與恢復(fù)等功能。
系統(tǒng)應(yīng)用層:系統(tǒng)進(jìn)行網(wǎng)站集群建設(shè)應(yīng)用的核心。系統(tǒng)為網(wǎng)站建設(shè)和管理人員提供可視化操作界面,能夠方便地進(jìn)行操作。主要包括創(chuàng)建網(wǎng)站、設(shè)置網(wǎng)站欄目、創(chuàng)建網(wǎng)頁(yè)模板、信息等操作。
系統(tǒng)表現(xiàn)層:將各類(lèi)信息資源以豐富的多媒體形式展現(xiàn)給用戶(hù)瀏覽。
用戶(hù)訪問(wèn)層:用戶(hù)訪問(wèn)層目標(biāo)用戶(hù)包括教師、學(xué)生、科研人員、社會(huì)公眾等人群,這些用戶(hù)通過(guò)Internet可以直接訪問(wèn)校園各網(wǎng)站,瀏覽和查詢(xún)網(wǎng)站相關(guān)信息。
4.1 統(tǒng)一規(guī)劃建設(shè),資源整合共享
基于CMS的網(wǎng)站集群建設(shè)解決方案是在統(tǒng)一框架下實(shí)現(xiàn)對(duì)多個(gè)網(wǎng)站軟硬件資源的共享。在統(tǒng)一的系統(tǒng)平臺(tái),采用統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和規(guī)范,對(duì)各網(wǎng)站進(jìn)行統(tǒng)一規(guī)劃建設(shè)和管理,實(shí)現(xiàn)對(duì)多個(gè)網(wǎng)站的集群管理和數(shù)據(jù)的集中存儲(chǔ),使各網(wǎng)站的信息資源共享,從而消除信息孤島現(xiàn)象。校內(nèi)網(wǎng)站可以使用CMS來(lái)建設(shè)和維護(hù),不需要單獨(dú)購(gòu)買(mǎi)服務(wù)器,大大減少了軟硬件資金的投入,避免重復(fù)投資和資源浪費(fèi)。同時(shí),便于統(tǒng)一維護(hù)和更新軟硬件資源,使運(yùn)維管理成本大幅度降低。
4.2 提高網(wǎng)站建設(shè)效率,降低技術(shù)要求
在CMS中采用模板與內(nèi)容分離技術(shù)。模板定義了網(wǎng)站前端頁(yè)面的展示樣式,使用這種技術(shù)可以在不影響網(wǎng)站內(nèi)容和業(yè)務(wù)邏輯的情況下,方便地切換更新網(wǎng)站頁(yè)面的風(fēng)格。系統(tǒng)提供多套網(wǎng)站模板,各部門(mén)可選擇使用,從而簡(jiǎn)化網(wǎng)站開(kāi)發(fā)流程,縮短建設(shè)時(shí)間。模板可由網(wǎng)站開(kāi)發(fā)團(tuán)隊(duì)統(tǒng)一設(shè)計(jì)和制作并存儲(chǔ)在系統(tǒng)中。系統(tǒng)應(yīng)支持搭建移動(dòng)門(mén)戶(hù)功能,實(shí)現(xiàn)對(duì)網(wǎng)站一次內(nèi)容采編就能在PC、手機(jī)、平板電腦等終端設(shè)備上同步。相對(duì)于獨(dú)立進(jìn)行網(wǎng)站開(kāi)發(fā)而言,CMS的應(yīng)用降低了網(wǎng)站建設(shè)難度,提高了網(wǎng)站建設(shè)效率,降低了建站人員的技術(shù)要求。
4.3 提高內(nèi)容建設(shè)水平,提升用戶(hù)滿(mǎn)意度
在CMS的系統(tǒng)管理中,網(wǎng)絡(luò)信息管理部門(mén)能夠?qū)Ω骶W(wǎng)站內(nèi)容的更新情況進(jìn)行監(jiān)管,對(duì)網(wǎng)站信息滯后的部門(mén),采取相應(yīng)的管理措施,督促其及時(shí)更新網(wǎng)站內(nèi)容。網(wǎng)站管理人員可使用系統(tǒng)功能來(lái)掌握網(wǎng)站訪問(wèn)量、訪客信息等情況,對(duì)訪客用戶(hù)行為進(jìn)行分析,挖掘統(tǒng)計(jì)數(shù)據(jù),利用統(tǒng)計(jì)分析結(jié)果輔助決策。此外,網(wǎng)站建設(shè)部門(mén)通過(guò)網(wǎng)站收集用戶(hù)的反饋意見(jiàn),根據(jù)用戶(hù)關(guān)注或感興趣的內(nèi)容完善網(wǎng)站的欄目和服務(wù),有利于增強(qiáng)網(wǎng)站信息內(nèi)容的針對(duì)性和時(shí)效性,提高網(wǎng)站信息內(nèi)容建設(shè)水平,充分發(fā)揮網(wǎng)站宣傳與服務(wù)功能,達(dá)到提升網(wǎng)站用戶(hù)滿(mǎn)意度的目的。
4.4 建立嚴(yán)格審核機(jī)制,構(gòu)建安全體系
CMS所創(chuàng)建的網(wǎng)站都有相對(duì)獨(dú)立的管理維護(hù)權(quán)限,各網(wǎng)站管理人員可以方便地創(chuàng)建網(wǎng)站欄目,編輯和欄目?jī)?nèi)容。為確保網(wǎng)站的信息內(nèi)容符合相關(guān)政策要求,必須建立嚴(yán)格的網(wǎng)站內(nèi)容審核機(jī)制。在CMS中,主要通過(guò)“采編審發(fā)”流程對(duì)網(wǎng)站信息內(nèi)容進(jìn)行管理[4]。根據(jù)實(shí)際情況,在系統(tǒng)中定制相應(yīng)的審批流程,并授予系統(tǒng)相關(guān)用戶(hù)對(duì)網(wǎng)站信息內(nèi)容的查閱、編輯、審核、等操作權(quán)限。明確工作人員責(zé)職,提高網(wǎng)站信息內(nèi)容的準(zhǔn)確性和安全性。配合安全管理制度,通過(guò)系統(tǒng)提供的數(shù)據(jù)加密、身份認(rèn)證、日志管理、數(shù)據(jù)庫(kù)管理等功能,構(gòu)建可靠的系統(tǒng)安全體系,確保系統(tǒng)穩(wěn)定運(yùn)行和網(wǎng)站信息內(nèi)容安全。另外,系統(tǒng)應(yīng)支持與外部業(yè)務(wù)應(yīng)用系統(tǒng)的集成整合,提供必要的數(shù)據(jù)處理服務(wù),使數(shù)據(jù)能夠安全地進(jìn)行交換與共享。
5 分級(jí)管理思路
在網(wǎng)站開(kāi)發(fā)之初,就應(yīng)制定相應(yīng)的運(yùn)維方案,從技術(shù)和管理上提出具體要求。本文所討論的運(yùn)維管理主要是針對(duì)網(wǎng)站上線運(yùn)行后的工作。在高校網(wǎng)絡(luò)信息安全管理制度、網(wǎng)站安全事件應(yīng)急處理預(yù)案等相關(guān)管理制度、規(guī)定的指導(dǎo)下,網(wǎng)站運(yùn)維可采用分級(jí)管理方式進(jìn)行,具體如下:
①由網(wǎng)絡(luò)信息管理部門(mén)負(fù)責(zé)完善制度建設(shè),建立網(wǎng)絡(luò)信息內(nèi)容審核機(jī)制,做好信息內(nèi)容的監(jiān)督管理。使用規(guī)章制度來(lái)指導(dǎo)網(wǎng)絡(luò)安全管理工作,提升網(wǎng)站安全事件應(yīng)急響應(yīng)能力;②網(wǎng)站建設(shè)部門(mén)負(fù)責(zé)網(wǎng)站信息內(nèi)容的更新維護(hù)工作,提出完善網(wǎng)站功能需求的建議;③網(wǎng)站開(kāi)發(fā)部門(mén)按照相關(guān)要求和規(guī)定,增強(qiáng)網(wǎng)站安全管理技術(shù)手段,做好網(wǎng)站各項(xiàng)安全保障措施。
CMS的安全穩(wěn)定運(yùn)行直接關(guān)系到網(wǎng)站的正常運(yùn)行。CMS的系統(tǒng)管理員負(fù)責(zé)日常運(yùn)行維護(hù)和安全管理工作,具體工作包括:
(1)通過(guò)CMS統(tǒng)一分配管理權(quán)限,將網(wǎng)站管理相應(yīng)的權(quán)限賦給特定的用戶(hù)或角色,使其能進(jìn)行網(wǎng)站相應(yīng)的操作,如系統(tǒng)管理員在系統(tǒng)中將相關(guān)網(wǎng)站管理功能授予二級(jí)學(xué)院的網(wǎng)站管理員,網(wǎng)站管理員對(duì)該網(wǎng)站進(jìn)行欄目管理和熱莞新等操作,從而實(shí)現(xiàn)在對(duì)網(wǎng)站管理員進(jìn)行有效管理的前提下,完成各網(wǎng)站的分級(jí)運(yùn)維工作。系統(tǒng)權(quán)限管理如圖4所示。
(2)制定合理的系統(tǒng)數(shù)據(jù)備份與恢復(fù)策略,以便對(duì)系統(tǒng)數(shù)據(jù)和網(wǎng)站信息資源等重要數(shù)據(jù)進(jìn)行備份和快速恢復(fù),確保系統(tǒng)數(shù)據(jù)庫(kù)的安全可靠運(yùn)行。
(3)利用CMS的日志管理功能,及時(shí)查找運(yùn)行網(wǎng)站發(fā)生故障的原因,使故障盡可能在最短時(shí)間內(nèi)解決。
(4)通過(guò)分析與評(píng)估CMS運(yùn)行所使用資源的情況,及時(shí)進(jìn)行擴(kuò)容改造以滿(mǎn)足系統(tǒng)運(yùn)行需求,保證系統(tǒng)的穩(wěn)定性及安全性。
(5)定期對(duì)系統(tǒng)服務(wù)器進(jìn)行漏洞檢測(cè),查殺病毒等升級(jí)維護(hù)工作。
(6)采用Web防火墻或第三方網(wǎng)頁(yè)防篡改系統(tǒng)等網(wǎng)絡(luò)安全保護(hù)措施[5],對(duì)網(wǎng)站進(jìn)行實(shí)時(shí)高效監(jiān)測(cè)與防護(hù),多方位加強(qiáng)網(wǎng)站群的安全保障,以確保網(wǎng)站安全正常運(yùn)行。
(7)網(wǎng)絡(luò)信息管理部門(mén)與網(wǎng)站開(kāi)發(fā)部門(mén)以宣傳和培訓(xùn)
的形式,加強(qiáng)各部門(mén)網(wǎng)站管理員的信息安全意識(shí)。
6 結(jié)語(yǔ)
在高校網(wǎng)站不斷完善與發(fā)展過(guò)程中,要始終堅(jiān)持高校網(wǎng)站建設(shè)與管理并重,重視制度與技術(shù)相結(jié)合。以網(wǎng)站為載體,開(kāi)發(fā)和利用好高校的教育信息資源,促進(jìn)高校教育信息化建設(shè)發(fā)展,為進(jìn)一步提高和完善高校信息化建設(shè)目標(biāo)打下堅(jiān)實(shí)的基礎(chǔ)。
參考文獻(xiàn):
[1]屈建萍,劉曉群,呂國(guó).高校網(wǎng)站集群建設(shè)管理研究[J].河北建筑工程學(xué)院學(xué)報(bào),2008,26(4):89-91.
[2]齊艷苓.政府、企業(yè)、學(xué)校三方聯(lián)動(dòng)的產(chǎn)學(xué)研合作機(jī)制研究[J].教育探索,2009(5):46-48.
[3]趙桂亮.軟件項(xiàng)目開(kāi)發(fā)團(tuán)隊(duì)的組建問(wèn)題研究[D].北京:北京工業(yè)大學(xué),2006.
近年來(lái),隨著我國(guó)社會(huì)經(jīng)濟(jì)的不斷發(fā)展,國(guó)家對(duì)教育事業(yè)的支持和投入不斷增加,我國(guó)的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強(qiáng)有力的支持手段,為教育模式的創(chuàng)新、先進(jìn)教育理念提供了可靠的實(shí)現(xiàn)方法。
高校信息化主要以數(shù)字化校園建設(shè)為主,主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門(mén)戶(hù)、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等;大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案,確定數(shù)字化校園的體系結(jié)構(gòu),制定數(shù)字化校園的信息標(biāo)準(zhǔn),以及各系統(tǒng)之間的接口標(biāo)準(zhǔn),然后分階段實(shí)施。建立全校的網(wǎng)絡(luò)安全體系,保證校園網(wǎng)絡(luò)的安全,保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門(mén)的安全,實(shí)現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運(yùn)行。
1教育信息化中的安全體系建設(shè)
在教育信息化建設(shè)過(guò)程中,信息安全體系是保障教育信息系統(tǒng)的信息完整、系統(tǒng)可用和信息保密的重要支撐體系,對(duì)各級(jí)學(xué)校、職業(yè)教育、教育主管機(jī)構(gòu)的正常工作起到了至關(guān)重要的保障作用。各級(jí)教育主管部門(mén)對(duì)教育信息系統(tǒng)的安全體系建設(shè)給予了充分的重視,也是由于教育信息系統(tǒng)的復(fù)雜性、多樣性、異構(gòu)性和應(yīng)用環(huán)境的開(kāi)放性,給整個(gè)信息系統(tǒng)帶來(lái)了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例,高校數(shù)字校園信息系統(tǒng)的建設(shè)是由高校業(yè)務(wù)需求驅(qū)動(dòng)的,初始的建設(shè)大多沒(méi)有統(tǒng)一規(guī)劃,有些系統(tǒng)是獨(dú)立的網(wǎng)絡(luò),有些系統(tǒng)又是共用一個(gè)網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級(jí)、使用的對(duì)象、面對(duì)的威脅和風(fēng)險(xiǎn)各不相同。當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng),在支撐高校業(yè)務(wù)運(yùn)營(yíng)、發(fā)展的同時(shí),信息系統(tǒng)面臨的信息安全威脅也在不斷增長(zhǎng)、被發(fā)現(xiàn)的脆弱性或弱點(diǎn)越來(lái)越多、信息安全風(fēng)險(xiǎn)日益突出,成為高校面臨的重要的、急需解決的問(wèn)題之一。在進(jìn)行數(shù)字化校園建設(shè)的過(guò)程中,也曾發(fā)生不少信息安全事件,如某高校數(shù)據(jù)中心一臺(tái)服務(wù)器被黑客入侵,成為肉雞,被植入僵尸木馬程序,受黑客控制瘋狂往外網(wǎng)發(fā)包,導(dǎo)致學(xué)校網(wǎng)絡(luò)出口癱瘓;某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬、篡改,并且學(xué)校內(nèi)部也曾經(jīng)發(fā)現(xiàn)學(xué)生成績(jī)的數(shù)據(jù)庫(kù),有被惡意篡改的痕跡。
2網(wǎng)絡(luò)安全威脅分析
(1)高校網(wǎng)站的安全威脅,包括高校門(mén)戶(hù)網(wǎng)站、高校招生網(wǎng)站、二級(jí)各院系等網(wǎng)站,由于高考、招生、學(xué)生就業(yè)等敏感時(shí)期,聚集了大量的學(xué)生及家長(zhǎng)訪問(wèn)流量,也引起黑客的關(guān)注,高校網(wǎng)站面臨的主要安全威脅有:網(wǎng)頁(yè)被掛馬、被篡改,黑客通過(guò)SQL注入、跨站腳本等攻擊方式,可以輕松的拿到高校網(wǎng)站的管理權(quán)限,進(jìn)而篡改網(wǎng)頁(yè)代碼;部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站,影響極其惡劣。每年高考招生及高校重要節(jié)日期間,高校門(mén)戶(hù)網(wǎng)站極易被DDOS攻擊,這種由互聯(lián)網(wǎng)上發(fā)起的大量同時(shí)訪問(wèn)會(huì)話(huà),導(dǎo)致高校網(wǎng)站負(fù)載加劇,無(wú)法提供正常的訪問(wèn)。入侵者成功獲取WEB服務(wù)器的控制權(quán)限后,以該服務(wù)器為跳板,對(duì)內(nèi)網(wǎng)進(jìn)行探測(cè)掃描,發(fā)起攻擊,對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。(2)隨著校園網(wǎng)信息化的逐步深入,業(yè)務(wù)系統(tǒng)眾多,“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書(shū)館、教育資源庫(kù)等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大高校采用,而這些系統(tǒng)由于管理及防護(hù)不到位,面臨著較嚴(yán)重的安全威脅:業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護(hù)手段,高校網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速,網(wǎng)絡(luò)帶寬及處理能力都有很大的提升,但是管理和維護(hù)人員方面的投入明顯不足,沒(méi)有條件管理和維護(hù)數(shù)萬(wàn)臺(tái)計(jì)算機(jī)的安全,一旦受到黑客攻擊,無(wú)法阻斷攻擊并發(fā)現(xiàn)攻擊源;部分高校“一卡通”充值系統(tǒng)與銀行互聯(lián),邊界缺乏必要的隔離和審計(jì)措施,出現(xiàn)問(wèn)題不方便定位,難以追查取證;校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多,管理及維護(hù)方式也不盡相同,無(wú)法做到所有的系統(tǒng)實(shí)施統(tǒng)一的漏洞管理政策。同時(shí),對(duì)于存在安全隱患的配置檢查,也缺乏自動(dòng)化的高效檢查工具和控制手段;業(yè)務(wù)系統(tǒng)權(quán)限控制不合理,有安全隱患。
3需求分析
根據(jù)對(duì)高校校園網(wǎng)絡(luò)的威脅分析,得出在校園網(wǎng)絡(luò)安全體系建設(shè)中,各個(gè)網(wǎng)絡(luò)區(qū)域和業(yè)務(wù)系統(tǒng)的安全需求如下:
(1)校園網(wǎng)絡(luò)出口應(yīng)對(duì)可能發(fā)生的拒絕服務(wù)攻擊進(jìn)行有效識(shí)別、過(guò)濾、清洗,保證網(wǎng)絡(luò)出口的暢通,保證骨干鏈路的負(fù)載處于正常范圍之內(nèi)。(2)網(wǎng)絡(luò)出口鏈路應(yīng)有相應(yīng)措施,對(duì)來(lái)源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵、病毒傳播等安全威脅進(jìn)行實(shí)時(shí)識(shí)別與阻斷。(3)DMZ區(qū)及內(nèi)網(wǎng)服務(wù)器區(qū)出口鏈路上,應(yīng)對(duì)針對(duì)WEB應(yīng)用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進(jìn)行全面深入的防護(hù)。(4)應(yīng)對(duì)流經(jīng)核心交換區(qū)域的所有流量進(jìn)行深入的檢測(cè),以識(shí)別內(nèi)部各網(wǎng)絡(luò)區(qū)域之間發(fā)生的入侵事件和可疑行為。(5)應(yīng)對(duì)內(nèi)網(wǎng)用戶(hù)的網(wǎng)絡(luò)行為,如公網(wǎng)訪問(wèn)、數(shù)據(jù)庫(kù)訪問(wèn)等進(jìn)行全面的記錄和審計(jì),以滿(mǎn)足違規(guī)事件發(fā)生后的追查取證。(6)應(yīng)在不同校區(qū)之間的鏈路接口進(jìn)行訪問(wèn)控制、病毒檢測(cè)、入侵防護(hù)等安全控制措施。
應(yīng)對(duì)全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行漏洞風(fēng)險(xiǎn)管理,實(shí)現(xiàn)漏洞預(yù)警、漏洞加固和漏洞審計(jì)的全程風(fēng)險(xiǎn)控制。(7)應(yīng)對(duì)全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行配置合規(guī)管理,實(shí)現(xiàn)違規(guī)配置及時(shí)識(shí)別、配置整改全面深入、配置風(fēng)險(xiǎn)全程可控。(8)應(yīng)對(duì)運(yùn)維管理人員進(jìn)行詳細(xì)嚴(yán)格的權(quán)限劃分,并通過(guò)技術(shù)手段控制運(yùn)維行為權(quán)限,對(duì)運(yùn)維行為進(jìn)行全程審計(jì),對(duì)違規(guī)運(yùn)維操作進(jìn)行實(shí)時(shí)告警。
4遵循等保要求
2009年11月,教育部為進(jìn)一步加強(qiáng)教育系統(tǒng)信息安全工作,由辦公廳印發(fā)《關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》(教辦廳函[2009]80號(hào)),決定在教育系統(tǒng)全面開(kāi)展信息安全等級(jí)保護(hù)工作;等級(jí)保護(hù)不僅是對(duì)信息安全產(chǎn)品或系統(tǒng)的檢測(cè)、評(píng)估以及定級(jí),更重要的是,等級(jí)保護(hù)是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性的管理制度,是一項(xiàng)基礎(chǔ)性和制度性的工作。通過(guò)等級(jí)化方法和高校信息安全體系建設(shè)有效結(jié)合,設(shè)計(jì)一套符合高校需求的信息安全保障體系,是適合我國(guó)國(guó)情、系統(tǒng)化地解決高校信息安全問(wèn)題的一個(gè)非常有效的方法。
5網(wǎng)絡(luò)安全建設(shè)方案
(1)在校園網(wǎng)出口處旁路部署抗拒絕服務(wù)攻擊系統(tǒng)(ADS)對(duì)拒絕服務(wù)攻擊流量進(jìn)行清洗,并且旁路部署網(wǎng)絡(luò)流量分析系統(tǒng)(NTA)對(duì)網(wǎng)絡(luò)流量組成和DDOS攻擊成分進(jìn)行分析和判斷。在正常環(huán)境下,旁路部署的ADS不參與網(wǎng)絡(luò)出口流量的路由和交換,邊界路由器通過(guò)NETFLOW等技術(shù)將流量信息發(fā)送給NTA,由NTA分析流量特征,判斷是否遭受DDOS攻擊。當(dāng)發(fā)現(xiàn)遭受DDOS攻擊時(shí),NTA將激活A(yù)DS,由ADS向邊界路由器發(fā)送針對(duì)特定防護(hù)目標(biāo)IP的路由,將所有去往被攻擊目標(biāo)IP的流量牽引至ADS設(shè)備。ADS系統(tǒng)進(jìn)行惡意流量的識(shí)別和清洗,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發(fā)送至目標(biāo)IP。(2)在出口鏈路部署入侵防護(hù)系統(tǒng),對(duì)接入互聯(lián)網(wǎng)的訪問(wèn)流量進(jìn)行深入過(guò)濾,有效抵御源自公網(wǎng)的入侵威脅,消除安全風(fēng)險(xiǎn)。(3)在DMZ區(qū)和內(nèi)網(wǎng)服務(wù)器出口處部署WEB應(yīng)用防火墻,對(duì)服務(wù)器區(qū)的WEB服務(wù)器進(jìn)行全方面的防護(hù),對(duì)針對(duì)WEB站點(diǎn)的黑客攻擊,惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網(wǎng)頁(yè)篡改等攻擊手段進(jìn)行深入防護(hù)。保障網(wǎng)站、電子教務(wù)系統(tǒng)、一卡通系統(tǒng)等應(yīng)用系統(tǒng)的正常工作。(4)在核心交換區(qū)旁路部署安全審計(jì)系統(tǒng),通過(guò)將核心交換機(jī)上各端口的流量鏡像到安全審計(jì)系統(tǒng)的監(jiān)聽(tīng)鏈路,實(shí)現(xiàn)對(duì)流經(jīng)核心交換機(jī)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行全程的審計(jì)和過(guò)濾。通過(guò)制定詳細(xì)的安全審計(jì)策略,對(duì)違反審計(jì)策略的網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)告警。此外,安全審計(jì)系統(tǒng)由部署在網(wǎng)絡(luò)運(yùn)維區(qū)的安全中心進(jìn)行統(tǒng)一監(jiān)控與策略下發(fā),并實(shí)時(shí)收集網(wǎng)絡(luò)時(shí)間日志和告警信息。(5)在核心交換區(qū)域的出口鏈路部署下一代防火墻,實(shí)現(xiàn)出口鏈路的流量檢測(cè)和安全過(guò)濾,保護(hù)內(nèi)部網(wǎng)絡(luò)安全。建議在核心交換區(qū)域與各個(gè)校區(qū)的網(wǎng)絡(luò)邊界處部署下一代防火墻,通過(guò)下一代防火墻對(duì)應(yīng)用層攻擊、病毒進(jìn)行全面阻斷,可實(shí)現(xiàn)基于源/目的IP地址、協(xié)議/端口、時(shí)間、用戶(hù)、VLAN、VPN、安全區(qū)的訪問(wèn)控制,保證不同網(wǎng)絡(luò)區(qū)域之間的安全防護(hù)邊界完整。同時(shí),通過(guò)安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對(duì)該設(shè)備進(jìn)行全面的管理。