美国高校信息安全管理状况分析与启示.pdfVIP

美国高校信息安全管理情况分析与启示 吴海燕 苗春雨 蒋东兴 wuhy@ （清华大学计算机与信息管理中心 100084） 摘要：信息安全是高校信息化可持续发展的重要保障，信息安全在经历了技术浪潮、管理浪 潮、制度浪潮三个发展阶段，以体系化的方式实现信息安全已经得到了业界的认可。本文调 研了美国部分知名高校的信息安全管理部门的名称、组织方式、管理内容以及技术措施，并 总结了我国高校信息安全管理者可以借鉴的几个特点。 关键词：美国高校 信息安全管理 The Analysis and Inspiration of Information Security Practice in U.S. Universities Wu Haiyan Miao Chunyu Jiang Dongxing （Computer Information Center , Tsinghua University, 100084 ） Abstract ：Information security is an important guarantee for sustainable development, information security has experienced in the technology wave, the management wave, and the institutional wave . Gain information security by means of architectural ways has been recognized by industry. In this paper, the name, organization, management, content and technical measures of some well-known U.S. universitys information security management department is introduced , as well as several special features which Chinas colleges and universities information security managers can learn are summarized . Key Words：U.S. Universities Information security Management 1 引言 随着高校信息化建设的不断深入，信息成为对高校组织业务至关重要的一种资产，信息 安全也受到了越来越大的关注，如何保障个人隐私和重要数据不被泄漏成为信息管理部门重 要的职责。高校由于其业务涉及面广、信息量大、环境复杂、人员变化快等问题，对信息安 全的保护提出了更高的要求。 信息安全工作的目的是保护信息免受各种威胁的损害，以确保业务连续性、业务风险最 小化，投资回报和组织利益最大化。信息安全的目标是保证信息的保密性 （confidentiality ）、 完整性 （integrity）和可用性 （availability ）；另外也可包括诸如真实性(authenticity)、可核查 性(accountability)、不可否认性(non-repudiation)和可靠性(reliability)等。 随着人们对信息安全的认识不断深入，信息安全实践也在不断的发展。Basie von solms 教授将信息安全的发展因三个标志性的飞跃划分为三个阶段。 第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全，例如访问控制、身 份鉴别和口令等。这时人们没有认识到管理的重要性，信息安全策略、信息安全意识等没有 被考虑，相应地，人们认为信息安全是技术人员的责任，而不需要全员参与。 第二阶段，管理浪潮。分布式计算和网络的发展使得高层管理人员开始关注安全问题， 关于信息安全的文件化规定迅速发展起来，信息安全方针、信息安全经历、信息安全架构等 都成了重要的方面。比较技术控制阶段，这个阶段使得高层管理人员参与到信息安全中来， 很多组织都设置了信息安全经理的职位。 第三阶段，制度浪潮。随着信息安全的发展，人们