高校信息系统安全体系研究与实践[J].pdfVIP

中国，苛等敦育学会教育信息化分会第几次学术年会论文集 ·46· 高校信息系统安全体系研究与实践 傅川，陈云 (上海财经大学信息化办公室，上海，200433) 摘要：信息系统安全问题是一个需要从管理和技术两方面综合进行考虑的系统性问题，而管理规范是信息系统安全体 系的核心。本文针对高校信息系统安全管理的要求和特点，提出J，高校信息系统安全体系框架，重点阐述J，安全管理 规范的核心内容，结合上海财经大学的信息化建设探讨。，安全体系的具体实现， 关键词：信息系统：安全体系：安全管理规范 1引言 随着信息技术的迅猛发展和高校教育信息化进程的不断推进，高校的教学、科研和日常管理等工 作对信息系统及网络的依赖程度越来越高。信息系统为各院校工作带来高效和便利的同时，也面临着 来自校园网内部和外部的各种安全威胁和挑战。由于高校信息系统应用环境复杂性和用户数量多、类 型多样等特点，其面临的主要安全威胁和存在的问题与一般企业信息系统有较大的差异，主要表现在 以下几个方面： (1)面临双重威胁，主要来自内部 等教学行政单位及学生宿舍的计算机。因此，信息系统既容易受到自Internet的攻击，也面临校园 网内部的安全威胁。由于校内用户比较了解网络结构和应用模式，特别是学生的计算机应用能力不断 增强，因此高校信息系统所承受的来自内部的安全威胁将更大。 (2)计算机节点多，安全防范弱 随着计算机的普及和学校信息化应用拓展，接入校园网的节点日益增多，通常一所中等规模的高 校计算机节点数量都达到几千，甚至上万台。而这些节点大部分没有完善的安全防护措施，极其容易 受到病毒感染和网络攻击，造成校园网内病毒泛滥，信息丢失、系统瘫痪等严重后果。 (3)安全建设重硬轻软，制度不健全 统计表明，70％以上的信息安全问题是由管理不善造成的，而这些安全问题中的95％是可以通 过科学的信息安全管理制度来避免的。由于我国高校教育信息化起步较晚，比较重视在信息系统安全 硬件基础设施建设，而有关的安全管理制度目前还不够完善。 (4)安全意识薄弱，缺乏安全培训 高校信息系统用户的计算机应用能力较高，但往往忽视信息系统安全工作的重要性。因此，时常 出现用户口令选择不慎，用户将自己的帐号随意转借他人，随意从网上下载和安装软件等危及信息系 统安全的事件。因此，需要加强高校用户的安全培训工作，提高用户的安全意识和安全防护能力。 2信息系统安全体系框架与建设过程 2．1信息系统安全体系框架 信息系统安全体系框架主要是由安全管理体系、安全技术体系和安全组织体系三部分共同构成， 如图l所示。安全管理体系由法律法规、安全管理策略、安全管理规范、风险评估和安全审计、安全 培训五部分所组成。安全技术体系是信息系统安全的技术保障，包括网络层安全、系统层安全和应用 层安全，每一层分别采用相应技术和手段保证系统安全的实现。组织体系是信息系统安全的组织保障， 由领导机构、专家咨询机构、技术工作小组、管理员和普通用户组成。 中国高等教育学会救育信息化分会第九次学术年会皓立集 二二二j墅壅堕亟堑二二 懈辨辍非 月‰g血± i‰g宜全 l＆月H女± 安垒拄$#幕 夏五煎!亟叠亘 兰兰璺竺!苎 图1信息系统安全体系框* 22信息系统安全体系建设过程 信息系统安全体系的建设过程包括了制定安全策略、确定安全范围、评估安全风险、制定安全措 施、进行安全审计等内容．该体系的建设过程如图2所示，形成了信息系统安全体系循序渐进、不断 完普和提高的建设过程。主要包括以下步骤： 阻2悟思§统i全体％建立过程 (1)制定信息安全策略。信息安全策略是组织关于信息安全的文件和基本指导规则，由组织最高 管理层批准．在整个组织内发布，其目标是通过管理和技术手段。减少信息安全