利用PDCA循環(huán)模式提升校園信息網(wǎng)絡(luò)安全質(zhì)量的探索與實(shí)踐

◆摘? 要：校園信息網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)系統(tǒng)性的工程，各高校信息化建設(shè)經(jīng)過長(zhǎng)時(shí)間的建設(shè)，網(wǎng)絡(luò)安全已經(jīng)取得了一定的成效，但隨著等保2.0新標(biāo)準(zhǔn)的提出，信息網(wǎng)絡(luò)安全質(zhì)量還需要進(jìn)行很大的提升。本文利用PDCA戴明環(huán)模式，提出了校園信息網(wǎng)絡(luò)安全質(zhì)量建設(shè)的探索思路。

◆關(guān)鍵詞：信息安全;網(wǎng)絡(luò)安全;PDCA;等保測(cè)評(píng)

2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已經(jīng)開始實(shí)施，標(biāo)志著等級(jí)保護(hù)2.0的正式啟動(dòng)。全面推進(jìn)校園信息系統(tǒng)等級(jí)保護(hù)及測(cè)評(píng)工作，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施管控能力，強(qiáng)化網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和技術(shù)防護(hù)，增強(qiáng)應(yīng)急處置和災(zāi)難恢復(fù)能力，有效防范、控制和抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。建成完備網(wǎng)絡(luò)信息安全體系，開展上網(wǎng)行為審計(jì)，建立系統(tǒng)性安全防御體系，提高整體網(wǎng)絡(luò)安全防護(hù)水平，構(gòu)建可信、可控、可查的網(wǎng)絡(luò)環(huán)境空間成為了校園信息網(wǎng)絡(luò)安全建設(shè)的工作目標(biāo)。

一、校園信息網(wǎng)絡(luò)安全質(zhì)量現(xiàn)狀

對(duì)照等保2.0標(biāo)準(zhǔn)要求，校園信息網(wǎng)絡(luò)安全整體質(zhì)量依然不足，人員防護(hù)體系、技術(shù)防護(hù)體系、安全評(píng)估體系、演練加固體系等均不完善，信息網(wǎng)絡(luò)安全整體質(zhì)量均需要進(jìn)行有效改進(jìn)和提升。

1.技術(shù)安全防護(hù)體系需要增強(qiáng)，安全防護(hù)范圍需要擴(kuò)大

技術(shù)安全防護(hù)體系簡(jiǎn)稱“技防”，是網(wǎng)絡(luò)與信息安全建設(shè)體系的重要內(nèi)容。等保2.0的保護(hù)對(duì)象在范圍上有了很大的擴(kuò)充，在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)大了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等。因此1.0標(biāo)準(zhǔn)下的安全防護(hù)體系均出現(xiàn)了防護(hù)范圍不足，技術(shù)手段有限、關(guān)鍵位置防控不到位等問題。

2.安全管理制度體系依然不健全，安全培訓(xùn)和安全教育還有待加強(qiáng)。

“人防”是網(wǎng)絡(luò)與信息安全建設(shè)體系的重要保障，等保2.0在控制措施分類上有了新的變化。現(xiàn)有安全管理體系和服務(wù)支撐體系存在通訊控制不嚴(yán)格、安全策略不嚴(yán)謹(jǐn)、系統(tǒng)管理不健全等問題。安全服務(wù)體系方面缺乏有效安全培訓(xùn)和教育機(jī)制。全員安全意識(shí)、法律意識(shí)和風(fēng)險(xiǎn)意識(shí)還有待加強(qiáng)。

3.安全評(píng)估存在不全面、不及時(shí)、不到位的問題

信息系統(tǒng)安全評(píng)估是一項(xiàng)周期性工作，各單位需要對(duì)信息系統(tǒng)及時(shí)進(jìn)行定級(jí)備案和測(cè)評(píng)加固。由于信息系統(tǒng)隨著應(yīng)用和需求的調(diào)整，經(jīng)常發(fā)生變化，導(dǎo)致備案和測(cè)評(píng)工作很難及時(shí)跟進(jìn)處理。

4.系統(tǒng)加固和演練能力依然脆弱

隨著新漏洞的發(fā)現(xiàn)，系統(tǒng)加固需專業(yè)技術(shù)團(tuán)隊(duì)長(zhǎng)期跟進(jìn)。應(yīng)急演練作為模擬事件，需要調(diào)動(dòng)各項(xiàng)資源積極參與演練，以充分發(fā)揮應(yīng)急演練效果和效能。但往往由于制度設(shè)計(jì)缺陷，無法整體協(xié)同，導(dǎo)致演練效果不足。

二、基于PDCA原理的網(wǎng)絡(luò)安全體系設(shè)計(jì)思路

PDCA循環(huán)是美國(guó)質(zhì)量管理專家休哈特博士首先提出的，由戴明采納、宣傳，獲得普及，所以又稱戴明環(huán)。全面質(zhì)量管理的思想基礎(chǔ)和方法依據(jù)就是PDCA循環(huán)?；赑DCA原理，圍繞著校園網(wǎng)絡(luò)安全整體工作質(zhì)量目標(biāo)，通過技術(shù)防護(hù)實(shí)施計(jì)劃（P），人員防護(hù)實(shí)施執(zhí)行（D），安全評(píng)估檢查效果（C），加固演練總結(jié)處理（A），可形成有效的安全質(zhì)量提升路徑，不斷循環(huán)，不斷檢查，不斷總結(jié)，循序漸進(jìn)推進(jìn)安全質(zhì)量建設(shè)工作。

1.技術(shù)防護(hù)實(shí)施計(jì)劃

技術(shù)防護(hù)實(shí)施計(jì)劃要根據(jù)經(jīng)濟(jì)性、安全性、可行性等幾個(gè)方面進(jìn)行規(guī)劃設(shè)計(jì)，經(jīng)濟(jì)性方面要結(jié)合學(xué)校信息化整體規(guī)模及防護(hù)要求，合理利用現(xiàn)有資源，合理進(jìn)行設(shè)計(jì)規(guī)劃和防護(hù)體系設(shè)計(jì)。安全性要從總體上做到相對(duì)安全，要覆蓋全、要全面涵蓋物理環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面?？尚行砸獜挠行Ч⒛苈涞?、易檢查方面進(jìn)行設(shè)計(jì)，要實(shí)現(xiàn)不同防護(hù)層面所采用的技術(shù)防護(hù)支撐工具要能實(shí)際產(chǎn)生防護(hù)作用，要防止出現(xiàn)木桶效應(yīng)，要實(shí)現(xiàn)日常防護(hù)監(jiān)控和管理能做到及時(shí)監(jiān)控、精準(zhǔn)定位，出現(xiàn)問題要能夠第一時(shí)間進(jìn)行技術(shù)響應(yīng)。

2.人員防護(hù)實(shí)施執(zhí)行

人員防護(hù)體系的建設(shè)，首先要建立安全管理體系和安全服務(wù)體系。安全管理體系通過規(guī)章制度的形式進(jìn)行責(zé)權(quán)利的劃分，安全服務(wù)體系通過培訓(xùn)教育的形式進(jìn)行思想意識(shí)引領(lǐng)。

安全管理體系要從安全方針和安全策略總體設(shè)計(jì)。安全方針要明確管理責(zé)任、使用責(zé)任和運(yùn)營(yíng)責(zé)任。安全策略要從組織、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維等方向進(jìn)行設(shè)計(jì)，要明確安全事件決策機(jī)制和處置流程，要合理劃分職責(zé)和分工，要明確溝通模式，要制定安全人員任用條件、培訓(xùn)和處罰條例，系統(tǒng)建設(shè)要制定有效項(xiàng)目管理制度，系統(tǒng)運(yùn)維要制定運(yùn)維策略和應(yīng)急處置預(yù)案。

安全服務(wù)體系要從全員參與，人人相關(guān)角度出發(fā)。合理制定安全培訓(xùn)方案和計(jì)劃，針對(duì)不同崗位和不同用戶定期進(jìn)行安全培訓(xùn)教育和意識(shí)宣傳，及時(shí)跟蹤安全培訓(xùn)效果，并改進(jìn)培訓(xùn)方案。

3.安全評(píng)估檢查效果

依據(jù)《等級(jí)保護(hù)管理辦法》，信息系統(tǒng)建成后，需及時(shí)進(jìn)行備案工作，并獲得《備案證書》。按照等保相關(guān)指標(biāo)要求和流程規(guī)范進(jìn)行評(píng)估檢查工作。等保測(cè)評(píng)工作從信息系統(tǒng)調(diào)研和資產(chǎn)識(shí)別開始，要做好詳細(xì)的資產(chǎn)梳理，需結(jié)合系統(tǒng)的相關(guān)性、一致性和有效性詳細(xì)開展。資產(chǎn)梳理內(nèi)容包括信息系統(tǒng)基本情況、物理環(huán)境、承載業(yè)務(wù)、網(wǎng)絡(luò)結(jié)構(gòu)、外聯(lián)線路及設(shè)備端口、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備等等多項(xiàng)關(guān)聯(lián)性內(nèi)容。根據(jù)資產(chǎn)數(shù)情況，開展定級(jí)初測(cè)和復(fù)測(cè)工作，并出具初測(cè)和復(fù)測(cè)報(bào)告，結(jié)合等保測(cè)評(píng)標(biāo)準(zhǔn)得出差距分析報(bào)告。

4.加固演練總結(jié)處理

加固演練總結(jié)是針對(duì)系統(tǒng)加固和應(yīng)急演練的最后總結(jié)。具體內(nèi)容可包括系統(tǒng)加固、制度體系完善，輿情管控，攻防演練和應(yīng)急演練等等。加固是根據(jù)發(fā)現(xiàn)的漏洞進(jìn)行技術(shù)或制度的升級(jí)和策略修改。演練是根據(jù)制定的流程進(jìn)行協(xié)同化安全事件模擬處置，以提升應(yīng)急響應(yīng)能力。

系統(tǒng)加固可根據(jù)差距分析編寫安全加固整改方案并進(jìn)行系統(tǒng)加固整改。整改結(jié)束，再進(jìn)行復(fù)測(cè)，直至問題消除。安全制度體系加固主要針對(duì)人員防護(hù)方面進(jìn)行管理提升，輿情管控主要針對(duì)信息內(nèi)容方面進(jìn)行進(jìn)行管理提升，攻防演練主要模擬事件未發(fā)生時(shí)的處置能力提升，應(yīng)急演練主要模擬事件發(fā)生后的處理能力進(jìn)行提升。

三、結(jié)語

校園安全防護(hù)體系建設(shè)是一項(xiàng)綜合性的系統(tǒng)化工程，基于PDCA原理的校園信息網(wǎng)絡(luò)安全質(zhì)量建設(shè)思路，能夠通過體系規(guī)劃、人員執(zhí)行、評(píng)估檢查、演練加固等四個(gè)階段有效銜接，從而形成工作質(zhì)量提升閉環(huán)，螺旋式提升信息網(wǎng)絡(luò)安全整理治理能力和水平，有效提升校園信息網(wǎng)絡(luò)整體安全建設(shè)質(zhì)量。

作者簡(jiǎn)介

喻民權(quán)（1975—），男，云南省人，北京經(jīng)濟(jì)管理職業(yè)學(xué)院信息與網(wǎng)絡(luò)中心工程師。