摘要：在新的網(wǎng)絡生態(tài)環(huán)境中，高校頻繁發(fā)生信息安全事件，如何規(guī)范信息安全相關工作尤為重要。通過文獻研究和實際工作經(jīng)驗，試圖從安全政策體系、安全管理體系、安全技術體系、安全風險評估和安全培訓五個方面，設計高校信息安全體系保障體系框架，并從組織和機構管理、人事管理、信息系統(tǒng)管理、物理環(huán)境和資產(chǎn)、計算機房管理、介質管理等方面構建制度內容，通過有效性評估模型對制度進行檢驗，提出改進路徑，以此形成適用于高校的信息安全管理制度。

　　關鍵詞：信息安全；管理制度；有效性評估；高校

　　中圖分類號：TP393.0 文獻標識碼：J

　　1引言

　　信息技術是把雙刃劍，人們在享用技術快速發(fā)展所帶來的方便時，也感受到網(wǎng)絡生態(tài)環(huán)境越來越錯綜復雜。隨著網(wǎng)絡空間進入以網(wǎng)絡擴軍熱為代表的“后黑客時代”，有組織的網(wǎng)絡犯罪持續(xù)升高，信息系統(tǒng)頻繁遭受攻擊，教育行業(yè)首當其沖。據(jù)統(tǒng)計，自2014年1月至2018年5月，某反動黑客組織共攻擊我國網(wǎng)站537個，其中教育行業(yè)的網(wǎng)站有149個，占被攻擊網(wǎng)站總數(shù)的28%。

　　在內外交迫的網(wǎng)絡安全形勢下，國家頒布了《網(wǎng)絡安全法》將網(wǎng)絡安全上升到法律高度。高校作為培養(yǎng)天之驕子的重要場所，具有很強的社會影響力，因此高校的網(wǎng)絡安全是網(wǎng)絡信息安全的重要組成部分。而經(jīng)工作實踐發(fā)現(xiàn)，在高校多年的信息化發(fā)展中，絕大多數(shù)未能從頂層設計上做到信息化建設和安全建設“同步規(guī)劃、同步進行”，因此出現(xiàn)信息系統(tǒng)管理混亂，安全漏洞管理流程缺失，問責機制不規(guī)范，等級保護難以開展等問題，其根源在于從業(yè)人員對高校信息化工作中的安全內容無意識，也沒有有章可循的安全工作規(guī)范可供參考，因此開發(fā)有效的、成體系的信息安全管理制度尤為重要。

　　2高校信息安全制度體系設計

　　本研究以國家《網(wǎng)絡安全法》《關于加強信息安全保障工作的意見》（中辦〔2003〕27號文件）、《信息安全等級保護管理辦法》（公通字〔2007〕43號）等政策文件要求，結合高校信息安全工作的特點，按照監(jiān)督制約、規(guī)范化、持續(xù)改進等原則，試圖對高校信息安全制度體系進行設計

　　首先對高校信息安全總體目標進行設定，也就是說履行此制度期望達到的目標?？傮w目標為：依照高等院校相關信息系統(tǒng)的實際情況，結合國內外的安全標準和規(guī)范，充分利用成熟的信息安全理論成果，設計整體性好、可操作性強，并集合組織、管理和技術為一體的設計方案，滿足信息系統(tǒng)安全等級保護基本要求。

　　為實現(xiàn)總體目標，結合安全控制的五要素，形成覆蓋安全策略體系、安全管理體系、安全技術體系、安全風險評估、安全培訓的高校信息安全制度保障體系框架，如圖1所示。

　　具體來說，安全策略體系是指導高校在進行信息系統(tǒng)安全設計、建設和維護的基礎。所有相關人員應根據(jù)工作實際情況履行相關安全策略，制定并遵守相應的安全標準、流程和安全制度實施細則，做好相關工作。

　　安全管理體系是指落實安全管理機構和人員安全管理等方面的相關要求，指導高校安全職能的落實、崗位設置和相關人員的安全管理。

　　安全技術體系是指實現(xiàn)安全技術相關控制要求，實現(xiàn)物理、網(wǎng)絡、主機、應用和數(shù)據(jù)的所有安全控制項。通常采用安全產(chǎn)品加以實現(xiàn)，輔助安全服務以增強安全控制能力。

　　安全風險評估是指信息系統(tǒng)網(wǎng)絡、主機操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務系統(tǒng)的綜合風險評估，全面、準確地了解其安全整體狀況，并通過加強安全風險防護為信息系統(tǒng)提供安全保障。

　　安全培訓是指切實發(fā)揮信息安全建設的成果對業(yè)務安全運營的推動作用，提升高校信息化工作人員在安全方面的技術水平和管理意識。通過組織相應的安全培訓，全面提高每個技術崗位的安全意識和能力。

　　3高校信息安全制度內容建設

　　高校信息安全制度框架為基礎，結合等級保護的相關要求，細化和完善高校信息安全工作內容，為組織和制度管理、人員管理、信息系統(tǒng)管理、物理環(huán)境和資產(chǎn)、計算機機房管理、介質管理等方面做出進一步規(guī)定。

　　首先，必須定義組織和制度管理，高校需要從領導層面成立信息安全領導小組。通過組織和實施國家信息安全相關政策、法規(guī)和標準要求，審查和制定學校信息安全的發(fā)展戰(zhàn)略、規(guī)劃、政策和管理制度，制定《信息安全組織和職責管理規(guī)定》；規(guī)范信息安全管理制度制定、出版、審查和修訂的管理要求，并符合國家法律、政策和規(guī)范的要求，確保信息安全管理制度的不斷完善，制定《信息安全管理制度管理條例》。

　　其次，對內外部人員進行規(guī)范化管理。注意高校信息化內部人員在錄用前、工作時期、調離崗各階段的安全管理。確保對信息化內部人員的背景、身份、專業(yè)資格和職能權限的安全性檢查，要求信息安全人員簽署保密協(xié)議，制定《內部人事安全管理規(guī)定》。加強對外來人員的安全管理，防范外部人員帶來的安全隱患，嚴格規(guī)范外來人員在參與高校信息系統(tǒng)相關活動必須遵守的行為準則，制定《外部人員信息安全管理規(guī)定》；同時，高校定期組織開展員工信息安全教育或培訓，以提高所有員工的信息安全意識，并確保在必要時貫徹落實信息安全目標和策略。

　　在信息系統(tǒng)的規(guī)范化管理方面，確保信息化建設項目的立項、設計、實施、驗收等方面與信息安全管理控制機制的整合。實現(xiàn)項目工程管理流程和內容安全控制，制定《信息系統(tǒng)建設安全管理辦法》；加強信息系統(tǒng)運維中的變更管理，確保信息系統(tǒng)變更的可驗證性和可追溯性，合理控制信息系統(tǒng)變更產(chǎn)生的信息安全風險。根據(jù)日常信息系統(tǒng)的運行有關管理規(guī)定，制定《信息系統(tǒng)變更管理條例》；規(guī)范系統(tǒng)使用，有效控制系統(tǒng)賬號權限，及時更新系統(tǒng)補丁，保護重要系統(tǒng)文件，制定《信息系統(tǒng)安全管理規(guī)定》；規(guī)范設備管理員對信息系統(tǒng)的訪問及操作，降低密碼強度不夠和設置不完善等帶來的安全隱患和風險，加強高校各業(yè)務信息系統(tǒng)的口令管理規(guī)范，制定《密碼管理條例》；定期備份應用系統(tǒng)、數(shù)據(jù)庫的文件，定期進行數(shù)據(jù)恢復演練，根據(jù)情況調整備份時間，制定《信息備份與恢復管理制度》。

　　在物理環(huán)境和資產(chǎn)方面，應加強對信息系統(tǒng)的物理環(huán)境和設施的標準化管理，以確保物理環(huán)境、設施設備和進出訪問控制安全，制定《機房環(huán)境安全管理條例》和《辦公環(huán)境信息安全管理條例》；管理各類移動存儲介質的所有使用行為，如磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質等，必須要有介質的使用授權說明，保證介質使用的安全，制定《介質安全管理規(guī)定》；加強高校所有信息資產(chǎn)的運行維護管理，定期檢查系統(tǒng)的工作環(huán)境、安全運行、策略，記錄信息系統(tǒng)運行的日志和狀態(tài)，同時定期統(tǒng)計信息資產(chǎn)數(shù)目，制定《信息安全運行維護安全管理辦法》；加強信息資產(chǎn)的安全管理，建立信息資產(chǎn)的統(tǒng)一分類、責任、授權和配置管理，明確高校硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的信息安全管理，并制定《信息資產(chǎn)安全管理辦法》和《設備安全管理條例》。

　　在應急響應方面，有必要加強對信息安全事件的監(jiān)控和管理規(guī)范，建立應急事件的及時報告、多方協(xié)調、快速處理機制。制定重要信息系統(tǒng)應急響應預案，定期開展演練，確保信息系統(tǒng)持續(xù)穩(wěn)定運行，制定《應急管理條例》和《應急響應分類專項預案》。

　　對于第三方服務商和安全產(chǎn)品采購，應明確第三方安全服務商的管理，及時、有效和可控地對外部方所提供的服務質量、服務交付和安全狀況進行管理，規(guī)范第三方服務管理相關流程及安全要求，制定《第三方安全服務提供商管理辦法》；對于在安全產(chǎn)品，應明確信息安全產(chǎn)品的選購和使用，明確信息安全產(chǎn)品的管理工作，對信息安全產(chǎn)品采購和使用環(huán)節(jié)實施適當?shù)谋Ｗo管理，制定《信息安全產(chǎn)品采購及使用管理制度》，制度內容如表1所示。

　　4信息安全制度的有效性評估

　　制度的有效性評估是檢視制度體系的完備性、規(guī)范性和適用性是否滿足社會關系調整需求的重要方法和手段。為評估上述高校信息安全管理制度的有效性，根據(jù)有效性評估指標體系進行研究。

　　首先，根據(jù)全生命周期理論，評估指標可劃分為三個方向：體系設計、制度建設、制度實施。其中，制度的框架體系設計是從制度體系設計期的系統(tǒng)化、集約化和一體化三個維度衡量其設計水平和能力，為制度建設和制度實施指引方向。制度建設是從制度建設期的合規(guī)性、協(xié)調性和操作性三個維度權衡其建設質量，為后續(xù)的制度實施提供有效保障。制度實施是從規(guī)章制度實施期的宣貫力、執(zhí)行力和影響力三個維度衡量規(guī)章制度在實施過程的規(guī)范性以及實施結果對管理和效益的影響程度，有效性評估維度如表2所示。

　　根據(jù)有效性評估模型的三個方向、九項指標，研究者設計調查問卷對上述信息安全制度進行有效性評估。問卷調查采用分層抽樣的方法，向高校信息安全工作人員、高校師生、高校管理層、教育部門工作人員發(fā)放問卷89份，收回有效問卷82份。通過對問卷調查結果進行分析，制度體系設計和制度建設方面基本有效，而在制度實施方面失效較高，結合問卷調查分析結果，提出了提升制度有效性的路徑。

　?。?）持續(xù)改進性：網(wǎng)絡具有的的無限延伸性、匿名性、攻擊導向性等特點會使網(wǎng)絡安全威脅層出不窮，高校信息安全制度需能夠對新風險進行持續(xù)的說明和修改，以能夠全方位、多層次的實現(xiàn)制度的規(guī)范效果。

　?。?）加強制度宣傳和貫徹：可以利用信息化輔助工具開展制度的宣傳和貫徹，例如制作掌上制度移動端，提供主動推送制度和查詢制度的功能，鼓勵高校師生積極學習和執(zhí)行。

　　5結束語

　　目前高校信息安全管理制度的有效性建設仍處于探索階段，還需要在實際工作中不斷完善。本文旨在通過制度體系設計和內容建設兩方面提供適用于高校的信息安全管理制度框架，制度的有效性評估對高校信息安全管理體系建設有一定的參考價值。

　　參考文獻

　　[1]王春娟，鄔秀玲.電力企業(yè)制度創(chuàng)新的有效性評估[J].中國電力企業(yè)管理，2017(28).

　　[2]何治樂.《網(wǎng)絡安全法》有效性評估及提升路徑[J].中國信息安全，2018(7).

　　[3]劉明月.新形勢下高校信息安全的管理策略研究[J].山東工業(yè)技術，2018(5).

　　[4]劉瑞禮，張長森，梁博.大型企業(yè)網(wǎng)絡安全探索與研究[J].網(wǎng)絡空間安全，2015.

　　[5]叢曉穎，計算機網(wǎng)絡信息系統(tǒng)安全問題的分析與對策[J].網(wǎng)絡空間安全，2016.

　?。ㄖ醒胴斀?jīng)大學網(wǎng)絡信息中心，北京100081）

　　劉明月

關注讀覽天下微信， 100萬篇深度好文， 等你來看……