2. 管理層:組建安全工作小組作為信息化安全工作的執(zhí)行機(jī)構(gòu),工作小組由信息化相關(guān)部門(mén)領(lǐng)導(dǎo)及專(zhuān)業(yè)技術(shù)人員和部分管理人員組成���。
3. 運(yùn)營(yíng)層:完善系統(tǒng)運(yùn)營(yíng)各崗位人員的工作職責(zé),包括機(jī)房管理員�����、網(wǎng)絡(luò)及服務(wù)器管理員��、數(shù)據(jù)庫(kù)管理員和信息系統(tǒng)管理員�����。
4. 應(yīng)用層:進(jìn)一步明確應(yīng)用層各院系�����、部門(mén)及用戶(hù)的安全責(zé)任���,與各院系����、部門(mén)簽訂安全責(zé)任書(shū),同時(shí)明確各院系��、部門(mén)信息員的日常信息安全工作職責(zé)���,使其成為信息安全工作的基礎(chǔ)支持隊(duì)伍����。
形成文件化的信息安全整體策略
早在2008年����,學(xué)校就著手組織制定《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全管理辦法》�����、《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)建設(shè)管理辦法》和《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)運(yùn)行維護(hù)管理辦法》�����,從場(chǎng)地與設(shè)施安全管理����、設(shè)備安全管理、系統(tǒng)安全管理���、信息安全管理�����、建設(shè)安全管理�、運(yùn)行維護(hù)安全管理和技術(shù)文檔安全管理7 個(gè)方面詳細(xì)制定安全管理規(guī)定,并明確系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維過(guò)程中相關(guān)人員的工作流程和操作規(guī)范�����,為全校的信息系統(tǒng)安全管理提供依據(jù)���。
2009年至2010年���,針對(duì)信息安全問(wèn)題突發(fā)性強(qiáng)的特點(diǎn),為建立健全應(yīng)急工作機(jī)制���,提高信息系統(tǒng)安全突發(fā)事件的組織指揮和應(yīng)急處置能力�����,最大限度地減輕突發(fā)事件造成的損失�����,學(xué)校完成《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全應(yīng)急預(yù)案》的制定�����,并在IT部門(mén)建立起突發(fā)事件應(yīng)急響應(yīng)工作機(jī)制�����。與此同時(shí)���,為加強(qiáng)日常防控來(lái)減少突發(fā)事件的發(fā)生,學(xué)校IT部門(mén)制定《運(yùn)行維護(hù)工作條例》對(duì)硬件維護(hù)���、操作系統(tǒng)維護(hù)�、數(shù)據(jù)庫(kù)維護(hù)和應(yīng)用系統(tǒng)維護(hù)的各個(gè)環(huán)節(jié)的工作流程和操作規(guī)程進(jìn)行更加詳細(xì)的規(guī)定��,并在工作中增加安全監(jiān)控�、安全檢測(cè)、安全策略?xún)?yōu)化�����、安全審計(jì)等環(huán)節(jié)加強(qiáng)對(duì)信息系統(tǒng)的安全防護(hù)�。
2010年初����,為明確和建立學(xué)校的信息安全策略��,為各部門(mén)制定操作規(guī)范和開(kāi)展安全工作提供指導(dǎo)�,學(xué)校制定《上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理整體方案》,從信息安全組織體系�、管理體系和技術(shù)體系3個(gè)層次,詳細(xì)描述管理策略以及技術(shù)手段�����。該方案的出臺(tái)極大地推動(dòng)IT部門(mén)管理制度的完善和技術(shù)改進(jìn)����,同時(shí)也促進(jìn)各院系、部門(mén)內(nèi)部安全管理的強(qiáng)化和人員安全意識(shí)的提高�。
強(qiáng)化安全管理
信息安全是一項(xiàng)長(zhǎng)期的工作,必須將其納入信息系統(tǒng)的日常管理中常抓不懈���,防患于未然����。信息系統(tǒng)質(zhì)量的內(nèi)涵,除了系統(tǒng)功能和性能滿(mǎn)足業(yè)務(wù)要求外�,與信息系統(tǒng)安全有關(guān)的系統(tǒng)安全性、可靠性��、可用性也是系統(tǒng)質(zhì)量控制的范疇����。主要采取的管理措施如下:
1. 增加建設(shè)過(guò)程中的評(píng)審環(huán)節(jié)
在項(xiàng)目設(shè)計(jì)、開(kāi)發(fā)階段成果接近完成時(shí)��,由項(xiàng)目組會(huì)同相關(guān)業(yè)務(wù)部門(mén)共同組織技術(shù)評(píng)審����,包括對(duì)系統(tǒng)安全性的審查。評(píng)審以項(xiàng)目前期形成的方案��、文檔及學(xué)校的相關(guān)標(biāo)準(zhǔn)和規(guī)范為依據(jù)�,對(duì)該階段形成的方案�����、技術(shù)文檔及系統(tǒng)進(jìn)行審查�、確認(rèn)等工作,并形成評(píng)審結(jié)論�����。
2. 進(jìn)行內(nèi)部測(cè)試和第三方測(cè)試
在項(xiàng)目驗(yàn)收前,除了由項(xiàng)目?jī)?nèi)部和業(yè)務(wù)部門(mén)參與的集成測(cè)試外����,聘請(qǐng)專(zhuān)業(yè)的第三方測(cè)試機(jī)構(gòu)進(jìn)行測(cè)試。
3. 安全檢測(cè)與審計(jì)雙管齊下�,全方位監(jiān)控安全事件
對(duì)應(yīng)用系統(tǒng)和服務(wù)器進(jìn)行每三個(gè)月一次的定期安全檢測(cè),有效消除潛在的安全隱患;定期進(jìn)行應(yīng)用系統(tǒng)的安全審計(jì)����、數(shù)據(jù)庫(kù)的安全審計(jì)、服務(wù)器的安全審計(jì)����、配置管理的安全審計(jì)等,避免越權(quán)操作及數(shù)據(jù)泄漏事件的發(fā)生����。
4. 建立突發(fā)事件應(yīng)急響應(yīng)機(jī)制
基于《上海財(cái)經(jīng)大學(xué)信息安全應(yīng)急預(yù)案》,建立突發(fā)事件的應(yīng)急響應(yīng)機(jī)制���,落實(shí)信息系統(tǒng)的服務(wù)級(jí)別管理��,實(shí)行應(yīng)急預(yù)案演練制度���,建立預(yù)案庫(kù)�����,在突發(fā)事件發(fā)生后形成處置報(bào)告�����,分析原因�����,改進(jìn)工作��。
5. 加強(qiáng)安全意識(shí)宣傳與教育
我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動(dòng)����,包括組織面向?qū)W生和教師的信息安全知識(shí)競(jìng)賽活動(dòng)�,開(kāi)展信息安全意識(shí)培訓(xùn)等,提高人員的安全防范意識(shí)����,發(fā)揮人在信息安全對(duì)策中的主體作用����。
加強(qiáng)技術(shù)防范��,構(gòu)筑安全堡壘
系統(tǒng)的日常建設(shè)與運(yùn)行管理中�����,我們通過(guò)構(gòu)建自動(dòng)化防控系統(tǒng)來(lái)加強(qiáng)系統(tǒng)的安全防范�,為應(yīng)用系統(tǒng)和用戶(hù)構(gòu)筑起堅(jiān)實(shí)的安全堡壘���,具體措施包括:
1. 搭建版本控制系統(tǒng)�����,確保開(kāi)發(fā)中源代碼的安全
在程序開(kāi)發(fā)的過(guò)程中����,需要多人同時(shí)參加和協(xié)作�����,通過(guò)搭建版本控制系統(tǒng)�,記錄系統(tǒng)建設(shè)過(guò)程中相關(guān)文檔和源代碼的變更過(guò)程,防止代碼意外丟失���、被覆蓋等情況的出現(xiàn)��。
2. 構(gòu)建三套獨(dú)立環(huán)境���,保證正式環(huán)境安全
將系統(tǒng)開(kāi)發(fā)環(huán)境���、系統(tǒng)測(cè)試環(huán)境和正式系統(tǒng)進(jìn)行分離,確保開(kāi)發(fā)階段和測(cè)試階段的工作不影響正式系統(tǒng)的使用����。
3. 建立備份與恢復(fù)機(jī)制,保護(hù)系統(tǒng)建設(shè)成果
建立本地及異地?cái)?shù)據(jù)備份及恢復(fù)規(guī)范及方案��,研發(fā)數(shù)據(jù)統(tǒng)一管理與備份的相關(guān)程序�����,對(duì)系統(tǒng)建設(shè)過(guò)程中的成果進(jìn)行及時(shí)備份���,防止因?yàn)檎`操作或機(jī)器故障導(dǎo)致數(shù)據(jù)丟失��,切實(shí)保證數(shù)據(jù)的安全��。
4. 防火墻與入侵監(jiān)測(cè)�����,構(gòu)筑網(wǎng)絡(luò)屏障
在Internet和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務(wù)器之間架設(shè)兩層防火墻�,防止校內(nèi)外用戶(hù)對(duì)服務(wù)器的攻擊;部署網(wǎng)絡(luò)分析系統(tǒng)�,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊和病毒傳播��,為網(wǎng)絡(luò)安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問(wèn)關(guān)鍵信息系統(tǒng)�����,用戶(hù)需要通過(guò)VPN加密鏈路才能實(shí)現(xiàn)從校外訪問(wèn)關(guān)鍵信息系統(tǒng)���。
5. 漏洞掃描與日志分析�����,促進(jìn)應(yīng)用安全的不斷提升
在應(yīng)用系統(tǒng)層�����,我們采用系統(tǒng)日志分析平臺(tái)對(duì)應(yīng)用進(jìn)行日志分析��,捕捉和定位異常事件;定期對(duì)應(yīng)用服務(wù)執(zhí)行漏洞掃描�,對(duì)出現(xiàn)的SQL注入、跨站腳本攻擊��、網(wǎng)頁(yè)非法篡改�、強(qiáng)制訪問(wèn)等系統(tǒng)安全風(fēng)險(xiǎn)及時(shí)進(jìn)行分析和整改。
6. 主動(dòng)式監(jiān)控及時(shí)追蹤問(wèn)題
自主完成服務(wù)器軟硬件運(yùn)行狀態(tài)監(jiān)控系統(tǒng)的開(kāi)發(fā)��,實(shí)現(xiàn)對(duì)服務(wù)器運(yùn)行狀態(tài)及各信息系統(tǒng)狀態(tài)進(jìn)行主動(dòng)監(jiān)聽(tīng)和預(yù)警;建立統(tǒng)一日志服務(wù)器�����,對(duì)所有系統(tǒng)的日志進(jìn)行集中管理和備份�����,確保問(wèn)題發(fā)生時(shí)通過(guò)日志進(jìn)行定位和追蹤�����。
所謂“三分技術(shù)��,七分管理”��,信息化安全管理問(wèn)題需要從管理和技術(shù)兩方面考慮和解決��,依靠有效的組織保障、規(guī)范的管理流程����、安全可靠的系統(tǒng)工具及技術(shù)的支撐,才能達(dá)到“以較小的代價(jià)利用有限資源控制安全風(fēng)險(xiǎn)”的目標(biāo)����,更好地保證信息化建設(shè)和應(yīng)用的成果�。
