基于智慧校園的高校信息系統(tǒng)安全管理研究

馬鴻健，李義勇，車(chē)路，劉瑾

（山東農(nóng)業(yè)大學(xué)，山東 泰安 271018）

0 引 言

高校信息化建設(shè)為在校師生的學(xué)習(xí)、工作、生活提供了便利，同時(shí)，有越來(lái)越多的信息系統(tǒng)對(duì)互聯(lián)網(wǎng)開(kāi)放。網(wǎng)站種類(lèi)繁多，網(wǎng)絡(luò)應(yīng)用需求復(fù)雜，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，給高校信息系統(tǒng)的安全管理提出了更高的要求。從整體上看，高校的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和安全策略配置比較到位，信息化建設(shè)和安全管理制度相對(duì)健全，但在信息系統(tǒng)的運(yùn)維、管理上仍存在問(wèn)題，主要表現(xiàn)在重建設(shè)輕管理、重業(yè)務(wù)應(yīng)用輕安全防范，管理缺少規(guī)范、方式落后、信息滯后等。如何加強(qiáng)信息系統(tǒng)的安全管理，實(shí)現(xiàn)對(duì)信息系統(tǒng)管理過(guò)程的有效監(jiān)督，是高校信息化管理部門(mén)的工作重點(diǎn)。

1 高校信息系統(tǒng)安全管理的重要性

高校信息系統(tǒng)的管理采用線上與線下相結(jié)合的方式，二級(jí)部門(mén)在建設(shè)信息系統(tǒng)和網(wǎng)站時(shí)需要向信息化部門(mén)提交申請(qǐng)登記材料。傳統(tǒng)的紙質(zhì)登記存在信息填寫(xiě)不規(guī)范、審核審批流程煩瑣、統(tǒng)計(jì)查詢(xún)困難等問(wèn)題，并且通常只在申請(qǐng)資源時(shí)提交登記材料，后期由于存在教學(xué)科研項(xiàng)目結(jié)題、團(tuán)隊(duì)人員以及系統(tǒng)管理員變更等情況，在信息系統(tǒng)升級(jí)、改造、遷移、停用過(guò)程中未能及時(shí)上報(bào)更新，信息系統(tǒng)和網(wǎng)站可能長(zhǎng)期處于無(wú)人看管狀態(tài)，帶來(lái)嚴(yán)重的安全隱患，不利于備案信息的維護(hù)和管理工作的開(kāi)展。

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等文件的相關(guān)要求，高校需要提高網(wǎng)絡(luò)安全防護(hù)水平和管理能力。高校在加強(qiáng)網(wǎng)絡(luò)安全防護(hù)與管理方面采取的措施主要包括落實(shí)網(wǎng)絡(luò)安全主體責(zé)任、加強(qiáng)信息化資產(chǎn)管理、開(kāi)展等級(jí)保護(hù)自查和集中測(cè)評(píng)、提升相關(guān)人員網(wǎng)絡(luò)安全素養(yǎng)等，其中理清信息資產(chǎn)、明確管理對(duì)象是構(gòu)建網(wǎng)絡(luò)安全管理體系的基礎(chǔ)，也是做好網(wǎng)絡(luò)安全保障和應(yīng)急響應(yīng)等工作的前提。

2 信息系統(tǒng)和網(wǎng)站管理應(yīng)用設(shè)計(jì)

信息系統(tǒng)管理應(yīng)用和網(wǎng)站管理應(yīng)用基于智慧校園平臺(tái)設(shè)計(jì)實(shí)現(xiàn)，目的是面向信息系統(tǒng)和網(wǎng)站的申請(qǐng)、審核、建設(shè)、運(yùn)行、停用等環(huán)節(jié)規(guī)范流程，采集必要的軟件、硬件信息，實(shí)現(xiàn)虛擬服務(wù)器資源和信息發(fā)布類(lèi)應(yīng)用的在線申請(qǐng)、審核、變更。同時(shí)結(jié)合年審備案機(jī)制，督促管理員及時(shí)更新備案信息，并基于備案信息生成校內(nèi)信息資產(chǎn)統(tǒng)計(jì)查詢(xún)數(shù)據(jù)，方便系統(tǒng)管理員維護(hù)，輔助部門(mén)領(lǐng)導(dǎo)決策，實(shí)現(xiàn)校內(nèi)信息資產(chǎn)統(tǒng)一的過(guò)程管理和安全管理。信息系統(tǒng)管理應(yīng)用功能模塊如圖1所示，依托智慧校園平臺(tái)向用戶組授權(quán)開(kāi)放，用戶通過(guò)統(tǒng)一身份認(rèn)證登錄平臺(tái)進(jìn)行信息系統(tǒng)的申請(qǐng)、上報(bào)、變更和年審。

圖1 信息系統(tǒng)管理應(yīng)用功能模塊圖

2.1 網(wǎng)站管理應(yīng)用設(shè)計(jì)

網(wǎng)站管理用于各部門(mén)網(wǎng)站的在線申請(qǐng)、變更、年審。網(wǎng)站申請(qǐng)主要流程為：用戶在線填寫(xiě)網(wǎng)站申請(qǐng)，提交部門(mén)領(lǐng)導(dǎo)審批，提交宣傳部門(mén)審核，提交信息化管理部門(mén)審核開(kāi)通。網(wǎng)站申請(qǐng)頁(yè)面如圖2所示，網(wǎng)站申請(qǐng)主要采集網(wǎng)站管理員信息和網(wǎng)站信息，網(wǎng)站管理員信息由智慧校園平臺(tái)獲取，網(wǎng)站信息主要包括網(wǎng)站名稱(chēng)、域名、網(wǎng)站主要服務(wù)內(nèi)容等。網(wǎng)站變更包括網(wǎng)站信息變更、管理員變更和關(guān)閉功能，管理員變更需要變更后的管理員審核通過(guò)，再提交系統(tǒng)管理員審核，管理員變更后，信息資產(chǎn)的責(zé)任人和歸屬部門(mén)也相應(yīng)變更。

圖2 網(wǎng)站申請(qǐng)頁(yè)面

2.2 信息系統(tǒng)管理應(yīng)用設(shè)計(jì)

信息系統(tǒng)管理用于各業(yè)務(wù)部門(mén)虛擬服務(wù)器的在線申請(qǐng)、上報(bào)、變更和信息系統(tǒng)年審。虛擬服務(wù)器申請(qǐng)的主要流程為：用戶閱讀并確認(rèn)申請(qǐng)協(xié)議，在線填寫(xiě)虛擬服務(wù)器申請(qǐng)登記信息，提交虛擬服務(wù)器管理員預(yù)審，提交用戶所在部門(mén)領(lǐng)導(dǎo)審批，提交虛擬服務(wù)器管理員審核、授權(quán)、開(kāi)通。虛擬服務(wù)器申請(qǐng)登記信息包括：信息系統(tǒng)信息（業(yè)務(wù)名稱(chēng)、單位名稱(chēng)、單位負(fù)責(zé)人等）、系統(tǒng)管理員信息（姓名、工號(hào)、聯(lián)系電話等）、服務(wù)器配置信息（服務(wù)器位置、服務(wù)器類(lèi)型、操作系統(tǒng)版本、域名、IP地址、應(yīng)用服務(wù)對(duì)象、用戶數(shù)、業(yè)務(wù)用途、有效期、開(kāi)放端口等）、應(yīng)用軟件信息（數(shù)據(jù)庫(kù)名稱(chēng)及版本、中間件名稱(chēng)及版本、開(kāi)發(fā)框架名稱(chēng)及版本等）、運(yùn)維單位信息（公司名稱(chēng)、技術(shù)負(fù)責(zé)人姓名、聯(lián)系電話等）。虛擬服務(wù)器變更包括虛擬服務(wù)器信息變更、管理員變更和關(guān)閉功能。信息系統(tǒng)關(guān)閉時(shí)，用戶需要選擇要關(guān)閉的信息系統(tǒng)，提交系統(tǒng)管理員審核后關(guān)閉并回收虛擬服務(wù)器資源。

2.3 信息資產(chǎn)查詢(xún)統(tǒng)計(jì)

信息資產(chǎn)查詢(xún)統(tǒng)計(jì)包括網(wǎng)站和虛擬服務(wù)器的信息資產(chǎn)查詢(xún)統(tǒng)計(jì)，網(wǎng)站系統(tǒng)管理員可以查看全校網(wǎng)站，虛擬服務(wù)器系統(tǒng)管理員可以查看全校虛擬服務(wù)器，以便更好地進(jìn)行信息系統(tǒng)安全管理。部門(mén)領(lǐng)導(dǎo)同步智慧校園平臺(tái)中的崗位設(shè)置和組織機(jī)構(gòu)獲取的權(quán)限，點(diǎn)擊部門(mén)查詢(xún)統(tǒng)計(jì)頁(yè)面可查看、統(tǒng)計(jì)本部門(mén)的所有信息資產(chǎn)。各部門(mén)的虛擬服務(wù)器管理員、網(wǎng)站管理員可分別查看本人申請(qǐng)的所有信息資產(chǎn)的詳情。查詢(xún)統(tǒng)計(jì)內(nèi)容包括網(wǎng)站及信息系統(tǒng)名稱(chēng)、管理員、單位負(fù)責(zé)人、信息系統(tǒng)狀態(tài)、IP地址、域名以及開(kāi)放訪問(wèn)權(quán)限的端口等。

2.4 年審管理設(shè)計(jì)

年審管理包括網(wǎng)站和信息系統(tǒng)的年審，需要系統(tǒng)管理員設(shè)置年審批次和年審開(kāi)啟時(shí)間。網(wǎng)站年審需要信息發(fā)布類(lèi)應(yīng)用的租戶填寫(xiě)網(wǎng)站年審備案信息，信息系統(tǒng)年審備案需要信息系統(tǒng)的用戶填寫(xiě)虛擬服務(wù)器備案登記信息，用戶可以直接選擇信息系統(tǒng)或網(wǎng)站點(diǎn)擊年審申請(qǐng)，在原有申請(qǐng)信息的基礎(chǔ)上進(jìn)行編輯、修改及確認(rèn)提交，以便及時(shí)更新備案信息。系統(tǒng)管理員可以對(duì)未按時(shí)備案的網(wǎng)站進(jìn)行訪問(wèn)限制和關(guān)閉，后期可根據(jù)年度、年審批次查看信息系統(tǒng)的年審備案信息和變更記錄，實(shí)現(xiàn)信息系統(tǒng)和網(wǎng)站的過(guò)程管理。

3 信息系統(tǒng)和網(wǎng)站管理應(yīng)用測(cè)試

山東農(nóng)業(yè)大學(xué)依托智慧校園平臺(tái)搭建了信息系統(tǒng)和網(wǎng)站管理應(yīng)用，通過(guò)梳理規(guī)范信息系統(tǒng)的申請(qǐng)、審核、變更、備案等流程，實(shí)現(xiàn)了對(duì)全校信息系統(tǒng)和網(wǎng)站的申請(qǐng)、上報(bào)、變更、開(kāi)放訪問(wèn)、年審等管理，經(jīng)過(guò)測(cè)試可對(duì)信息系統(tǒng)和網(wǎng)站的申請(qǐng)時(shí)間、域名、IP地址、端口的開(kāi)放變更進(jìn)行統(tǒng)計(jì)查詢(xún)，網(wǎng)站查詢(xún)統(tǒng)計(jì)測(cè)試頁(yè)面如圖3所示。信息系統(tǒng)和網(wǎng)站的管理，為后續(xù)的漏洞掃描和安全管理提供了基礎(chǔ)，結(jié)合信息化資產(chǎn)準(zhǔn)確數(shù)據(jù)，信息化部門(mén)能夠制定網(wǎng)絡(luò)安全防護(hù)策略，并根據(jù)數(shù)據(jù)情況隨時(shí)進(jìn)行動(dòng)態(tài)調(diào)整，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)與現(xiàn)實(shí)資產(chǎn)狀況的精確匹配，即便是信息系統(tǒng)遇到突發(fā)安全事件時(shí)，也能夠第一時(shí)間聯(lián)系到用戶進(jìn)行整改處置，保證了信息系統(tǒng)的安全和穩(wěn)定運(yùn)行。

圖3 網(wǎng)站查詢(xún)統(tǒng)計(jì)測(cè)試頁(yè)面

4 高校信息系統(tǒng)安全管理實(shí)踐研究

4.1 建立網(wǎng)絡(luò)安全管理制度

信息系統(tǒng)的安全管理要建立健全的網(wǎng)絡(luò)安全管理制度，包括網(wǎng)絡(luò)安全工作責(zé)任制、校園網(wǎng)站管理辦法、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等，從管理制度上明確網(wǎng)絡(luò)安全主體責(zé)任，并簽訂網(wǎng)絡(luò)安全責(zé)任書(shū)。各部門(mén)主要負(fù)責(zé)人為網(wǎng)站建設(shè)與管理第一責(zé)任人，同時(shí)指定管理員負(fù)責(zé)建設(shè)和維護(hù)本部門(mén)的信息系統(tǒng)和網(wǎng)站，信息系統(tǒng)和網(wǎng)站實(shí)行年審備案制度，堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，信息系統(tǒng)部門(mén)主要負(fù)責(zé)人和管理員要承擔(dān)網(wǎng)絡(luò)安全主體責(zé)任。

4.2 強(qiáng)化網(wǎng)絡(luò)安全技術(shù)防護(hù)

按照國(guó)家網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)規(guī)范要求，建立網(wǎng)絡(luò)安全防護(hù)體系，通過(guò)制定精細(xì)化網(wǎng)絡(luò)安全防護(hù)策略來(lái)增強(qiáng)風(fēng)險(xiǎn)防范能力。部署邊界防火墻、WAF、IPS等防護(hù)設(shè)備，配置服務(wù)器區(qū)安全防護(hù)策略，實(shí)現(xiàn)訪問(wèn)控制，阻斷非法請(qǐng)求，檢測(cè)和防范攻擊、入侵行為。部署堡壘機(jī)、VPN系統(tǒng)，實(shí)現(xiàn)信息系統(tǒng)和網(wǎng)站的安全訪問(wèn)管理和運(yùn)維審計(jì)。部署大數(shù)據(jù)分析平臺(tái)，集中采集網(wǎng)絡(luò)、服務(wù)器和安全設(shè)備的日志，主動(dòng)預(yù)測(cè)預(yù)警。借助漏洞掃描設(shè)備和安全測(cè)試服務(wù)，在信息系統(tǒng)上線前進(jìn)行安全檢測(cè)，定期組織對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)漏洞和WEB應(yīng)用漏洞掃描，督促存在漏洞的信息系統(tǒng)及時(shí)整改，對(duì)于存在高風(fēng)險(xiǎn)漏洞而又未進(jìn)行整改的信息系統(tǒng)限制訪問(wèn)，保障信息系統(tǒng)服務(wù)的安全性、可用性。

4.3 開(kāi)展等級(jí)保護(hù)工作

落實(shí)等級(jí)保護(hù)工作，參照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)、備案、建設(shè)、整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。對(duì)網(wǎng)絡(luò)安全與信息化建設(shè)進(jìn)行同步規(guī)劃，將網(wǎng)絡(luò)安全等級(jí)保護(hù)要求落實(shí)到新建信息系統(tǒng)的需求說(shuō)明中，在系統(tǒng)上線前完成相關(guān)安全測(cè)評(píng)工作，明確網(wǎng)絡(luò)安全保障重點(diǎn)，統(tǒng)一規(guī)劃組織開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)集中測(cè)評(píng)工作，在信息系統(tǒng)使用過(guò)程中持續(xù)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)和整改工作，將等級(jí)保護(hù)工作貫穿于信息化系統(tǒng)的整個(gè)生命周期。

4.4 提高安全管理意識(shí)

強(qiáng)化信息管理部門(mén)網(wǎng)絡(luò)安全管理人員的專(zhuān)業(yè)管理技能，加強(qiáng)各部門(mén)信息系統(tǒng)管理員的安全技能培訓(xùn)，提高信息系統(tǒng)管理員的網(wǎng)絡(luò)安全責(zé)任意識(shí)、網(wǎng)絡(luò)安全技術(shù)水平以及對(duì)信息系統(tǒng)的管理運(yùn)維能力。通過(guò)網(wǎng)絡(luò)安全宣傳周等活動(dòng)，面向師生開(kāi)展網(wǎng)絡(luò)安全宣傳教育和培訓(xùn)（培訓(xùn)內(nèi)容包括防范個(gè)人信息泄露、惡意郵件鏈接，加強(qiáng)信息系統(tǒng)的密碼安全管理等），普及網(wǎng)絡(luò)安全知識(shí)，提升全校師生的網(wǎng)絡(luò)安全素養(yǎng)和管理水平，打好網(wǎng)絡(luò)安全主動(dòng)仗。

5 結(jié) 論

高校信息系統(tǒng)安全管理是系統(tǒng)安全、可靠運(yùn)行的保障，根據(jù)國(guó)家網(wǎng)絡(luò)安全相關(guān)要求結(jié)合學(xué)校實(shí)際管理流程，基于智慧校園平臺(tái)實(shí)現(xiàn)信息系統(tǒng)管理和網(wǎng)站管理，各部門(mén)可按照流程完成信息系統(tǒng)的線上申請(qǐng)、上報(bào)、審核、更新、備案，在積極落實(shí)網(wǎng)絡(luò)安全工作與責(zé)任的同時(shí)，提高了年審的工作效率和備案信息數(shù)據(jù)的準(zhǔn)確性，方便了信息系統(tǒng)資產(chǎn)的查詢(xún)、統(tǒng)計(jì)、管理，保障高校信息系統(tǒng)的安全穩(wěn)定運(yùn)行。