ISOIEC 17799在校园网信息安全管理中应用.docVIP

ISOIEC 17799在校园网信息安全管理中应用 　　1　前言 　　 　　随着互联网的迅速普及和国内各高校网络建设的不断发展，很多高校都建立了自己的校园网并联入Internet，校园网已经成为高校信息化的重要部分。但是由于各种人为或非人为因素的影响，安全问题对校园网正常使用的影响越来越大。据统计，在2007-2008年内，某高校共发生网络中断20余次，网页上出现非法、反动言论10余次；因网络原因导致校园网内电子邮件不能使用近70小时；校务系统因停电、设备等问题不能使用近5次；主机房由于电力、通风等原因导致无法提供网络服务3―5次，其中计算机病毒影响最为严重，影响时间也较长。这些并不是校园网中的特例，绝大多数的校园网都没有对信息安全引起足够的重视，甚至无视于一些非常明显的风险，即便采取了措施，大多也都是一种缓慢、被动、只强调技术的安全措施，并没有根据校园网的特点、业务和需求去制定适合自身的信息安全管理策略。为了防止各种安全问题影响到校园网的运行，可考虑通过贯彻运行ISO／IEC 17799信息安全标准的方法，从而保证校园网信息的保密性、完整性、可用性和合法性。 　　2　ISO／IEC 17799信息安全标准简介 　　BS7799标准是由英国标准协会制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，标准包括两个部分：BS7799-1：1999《信息安全管理实施细则》和BS7799-2：1999《信息安全管理体系规范》。BS7799-1标准已转换为ISO国际标准，即ISO／IEC 17799：2005信息安全管理实施指南。ISO／IEC 17799是一个非常详尽、文件化且易操作的信息安全管理标准，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，适用于各大、中、小型组织，包括十一项安全类别，涉及技术和管理两个方面，在这十一项安全类别中，ISO／IEC17799又细分了39个管理目标、133项控制措施和若干个控制要点，涵盖了当前信息安全应该考虑的各个主要因素。 　　ISO／IEC 17799自发布以来，得到了许多国家和组织的认可与支持，世界上越来越多的国家引用该标准制定国标，越来越多的信息安全公司以该标准为指导为客户提供信息安全咨询服务，还有许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司等都采用此标准来对自己的信息安全进行系统的管理，而校园网在此标准的指导下，也同样有效的控制了安全问题，收到了良好的效果。 　　 　　3　校园网信息安全管理需求 　　 　　3.1校园网常见的安全风险 　　校园网的用户群体庞大密集，并且校园网的网络环境非常开放。所以存在很多的安全风险，其中比较常见的安全风险有： 　　3.1.1物理环境安全风险 　　电源故障造成信息处理设备断电导致数据丢失。 　　信息处理设备被盗、被毁造成数据丢失。 　　内外部人员非法访问信息处理设备造成信息泄露。 　　3.1.2校园内部安全风险 　　人为操作失误造成数据信息丢失或系统崩溃。 　　内部人员恶意破坏主机或盗取网络数据。 　　校园网用户借助高校BBS以及FTP散布反动言论。 　　3.1.3网络信息安全风险 　　计算机病毒导致系统崩溃及数据丢失。 　　外网用户通过公网线路截获或篡改学生信息数据。 　　未经授权人员进入校园网络系统进行非法操作。 　　3.2校园网主要的安全需求 　　对于校园网来说，信息和其他商业资产一样有价值，针对以上各种常见的安全风险，相关人员可以通过技术和管理相结合的手段，进一步保证信息数据的完整性、教务系统的保密性、公共网络的可用性以及网络信息的合法性，从而使得校园网络能够高效、稳定的运行。 　　3.2.1信息数据的完整性 　　信息数据的完整性是指数据在存储和传输过程中没有被未授权的人修改，插入、删除等，确保了信息及信息处理方法正确而完整。高校学生信息系统、成绩数据库等都是学校统一管理的，一旦被破坏学校责任重大，所以应严格禁止未授权的修改和删除，保证信息数据的完整性。 　　3.2.2教务系统的保密性 　　保密性是指信息在存储和传输过程中没有被未授权的人浏览或使用。高校教务系统中的有些资料和数据是保密的，如重要考试的考卷、考试录取名单等等，信息一旦泄露，不但会影响教学，可能还会引起法律纠纷，所以教务系统的保密性应引起足够的重视。 　　3.2.3公共网络的可用性 　　可用性是指授权用户在需要时能够访问信息并使用相关的信息资产。在校园网中，学生选课、访问个人信息，教务系统安排课程、发布成绩都是通过网络完成的，如果网络的可用性遭到破坏，势必会影响到正常教学，因此网络的可用性是校园网的主要需求之一。 　　3.2.4网络信息的合法性 　　网络信息的合法性是指用户传输和发