淺談構(gòu)建基于ISMS的學(xué)校信息安全管理體系

方彬人+謝嵩嵐

根據(jù)《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》提出的“三通兩平臺(tái)”建設(shè)核心目標(biāo)，目前教育信息化已經(jīng)進(jìn)入了一個(gè)高速發(fā)展時(shí)期，教育信息化日益被普及推廣，對(duì)教育的改革和發(fā)展起到了重要推動(dòng)作用。

一、學(xué)校信息化建設(shè)現(xiàn)狀分析

現(xiàn)階段各高校及中小學(xué)都基本普及了校園網(wǎng)絡(luò)，其中大部分也已開(kāi)始進(jìn)行信息系統(tǒng)的建設(shè)，以校園一卡通系統(tǒng)、校園安全監(jiān)控系統(tǒng)、科研管理數(shù)據(jù)庫(kù)等為主。 還有一部分開(kāi)始推行普及整個(gè)校園的身份認(rèn)證系統(tǒng)，提供賬號(hào)支持師生設(shè)備上網(wǎng)。學(xué)校的教學(xué)和管理工作對(duì)信息系統(tǒng)的依賴性也越來(lái)越強(qiáng)。

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大以及對(duì)信息系統(tǒng)建設(shè)的深入和完善，數(shù)據(jù)大量產(chǎn)生并持續(xù)快速增長(zhǎng)，信息系統(tǒng)數(shù)據(jù)庫(kù)的規(guī)模也在不斷擴(kuò)大，隨著其承載的信息量的不斷增加，這些信息的安全性也就凸顯出來(lái)，系統(tǒng)保護(hù)和數(shù)據(jù)防災(zāi)就變得愈發(fā)重要。

二、威脅學(xué)校信息系統(tǒng)數(shù)據(jù)安全的因素

網(wǎng)絡(luò)故障、病毒侵害、非法訪問(wèn)、軟件設(shè)計(jì)缺陷、數(shù)據(jù)庫(kù)破壞、拒絕服務(wù)攻擊、系統(tǒng)物理故障、使用人員人為失誤、信息泄密、自然災(zāi)害等，都可對(duì)系統(tǒng)數(shù)據(jù)可用性、完整性和保密性的進(jìn)行破壞，從而對(duì)信息系統(tǒng)構(gòu)成威脅，由此而造成的安全后果是難以估量的。

三、學(xué)校信息安全管理體系的構(gòu)建

學(xué)校信息系統(tǒng)應(yīng)用是多方面的，一旦投入使用，就會(huì)產(chǎn)生大量的數(shù)據(jù)，面對(duì)來(lái)自多方面的威脅，稍有不慎就會(huì)造成災(zāi)難性后果。所以，建立完善的信息安全管理體系，即Information Security Management System（簡(jiǎn)稱ISMS），勢(shì)在必行。

1. 構(gòu)建學(xué)校ISMS的方法和目的

針對(duì)信息安全在不同網(wǎng)絡(luò)層次上（物理層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、應(yīng)用層、用戶終端層等）的需要，參照國(guó)際標(biāo)準(zhǔn)ISO/IEC27001信息安全管理體系（ISMS），明確信息安全的方針和目標(biāo)，建立完整的信息安全管理制度和流程，制定完善的安全策略，強(qiáng)化安全技術(shù)的應(yīng)用，采取行之有效的安全防范措施，保證信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

2. 安全策略與防范措施

（1）強(qiáng)化安全技術(shù)

從安全技術(shù)實(shí)施上，進(jìn)行全面的安全漏洞檢測(cè)和分析，針對(duì)檢測(cè)和分析的結(jié)果，完善安全策略，制定防范措施和完整的解決方案。

采用冗余技術(shù) 。學(xué)校信息網(wǎng)絡(luò)是運(yùn)行整個(gè)學(xué)校業(yè)務(wù)系統(tǒng)的基礎(chǔ)，更是數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心，首先需要通過(guò)增加設(shè)備及鏈路的冗余來(lái)提高其可靠性，包括電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等技術(shù)。

部署網(wǎng)絡(luò)安全設(shè)備。在Internet出口處部署主動(dòng)入侵防御設(shè)備（IPS）及流控設(shè)備，開(kāi)啟實(shí)時(shí)防御和安全過(guò)濾，優(yōu)化網(wǎng)絡(luò)帶寬，構(gòu)建可視、可控、高效的網(wǎng)絡(luò)。通過(guò)防火墻與IPS的緊密配合，抵御來(lái)自校園網(wǎng)內(nèi)外的各種惡意攻擊和病毒傳播，確保校園核心業(yè)務(wù)和核心資源的安全，真正實(shí)現(xiàn)校園網(wǎng)絡(luò)與應(yīng)用的安全保障。

加強(qiáng)用戶終端管理。制定統(tǒng)一且便于管理的終端管理方案，強(qiáng)制準(zhǔn)入制度，對(duì)特定區(qū)域、數(shù)據(jù)及設(shè)備設(shè)定訪問(wèn)權(quán)限，保證整個(gè)網(wǎng)絡(luò)的安全性和可管理性。根據(jù)物理位置、功能區(qū)域、業(yè)務(wù)應(yīng)用或者管理策略等劃分VLAN，對(duì)需要接入網(wǎng)絡(luò)的用戶與設(shè)備進(jìn)行實(shí)名認(rèn)證，并保證用戶帳號(hào)的唯一性。同時(shí)，部署上網(wǎng)行為管理設(shè)備，對(duì)校內(nèi)終端用戶的網(wǎng)上行為進(jìn)行有效監(jiān)管，降低因終端用戶的違法網(wǎng)絡(luò)行為帶來(lái)的安全及法規(guī)風(fēng)險(xiǎn)。

強(qiáng)化數(shù)據(jù)安全。建立統(tǒng)一的數(shù)據(jù)存儲(chǔ)中心，增加負(fù)載均衡設(shè)備及同步磁盤(pán)陣列，提高數(shù)據(jù)庫(kù)服務(wù)器業(yè)務(wù)連續(xù)性及應(yīng)用服務(wù)器負(fù)載能力，并針對(duì)整個(gè)信息系統(tǒng)進(jìn)行統(tǒng)一定時(shí)的D2D2T備份，并結(jié)合重復(fù)數(shù)據(jù)刪除等技術(shù)，提高數(shù)據(jù)備份效率和數(shù)據(jù)保留周期。

（2）完善安全管理制度

建立信息安全體系與實(shí)行保護(hù)措施，只是邁出了ISMS建設(shè)的第一步，更重要的是，通過(guò)規(guī)范信息安全體系建設(shè)，形成科學(xué)完善的安全保障制度及長(zhǎng)效的保障機(jī)制，明確職責(zé)與管理責(zé)任，制定應(yīng)急預(yù)案，加強(qiáng)安全培訓(xùn)，定期進(jìn)行信息安全查驗(yàn)及應(yīng)急演練，做到對(duì)安全隱患及時(shí)發(fā)現(xiàn)、及時(shí)消除，以持續(xù)有效的、全方位地保證校園信息網(wǎng)絡(luò)的安全。

安全只是相對(duì)的，沒(méi)有哪一種技術(shù)和產(chǎn)品能夠完全解決安全問(wèn)題。學(xué)校的信息安全保障，需要建立一整套網(wǎng)絡(luò)安全防御體系，并采用多種技術(shù)手段全方位的防止來(lái)自網(wǎng)絡(luò)內(nèi)外的威脅。隨著數(shù)據(jù)量急劇膨脹，學(xué)校要根據(jù)自身網(wǎng)絡(luò)的實(shí)際情況確定安全管理等級(jí)和安全管理范圍，系統(tǒng)的進(jìn)行安全規(guī)劃，制訂相關(guān)操作使用規(guī)程、管理制度和應(yīng)急措施等，建立適合自身的網(wǎng)絡(luò)安全管理策略，并嚴(yán)格遵循這些策略，通過(guò)技術(shù)防治和管理防范相結(jié)合，才能最終達(dá)到保護(hù)學(xué)校信息安全的。

責(zé)任編輯 龍建剛