高校信息安全体系建设与实践

　　当前，全国高校的信息化校园建设正在向纵深发展，高校的教学、科研和管理工作越来越依赖于各类信息系统的稳定运行，这就给信息部门带来了安全保障上的挑战。国内外信息安全保障的技术和理念也在不断发展变化中|3'从最初面对数据信息的产生、传输、存储、使用过程的保障，到后来面向整个业务系统的保障，随着各类业务系统的不断整合当前的信息安全保障理念也随之逐步朝着面向服务的方向发展。本文以中国人民大学经多次讨论和组织专家论证、逐步开始全校层次上的信息安全保障体系建设工作的案例为基础，简要介绍一些信息安全体系建设经验和体会。

　　1现状与问题

　　1.信息安全现状

　　随着信息化建设的推进，我校信息化建设初具规模，软硬件设备配备完成，运行保障的基础技术手段基本具备。网络中心技术力量雄厚，承担网络系统管理和应用支持的专业技术人员达20余人;针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段，保障了核心业务系统在一般情况下的正常运行，具备了基本的安全防护能力|6];日常运行管理规范，按照信息基础设施运行操作流程和管理对象的不同，确定了网络系统运行保障管理的角色和岗位，初步建立了问题处理的应急响应机制。由网络中心进行日常管理的主要有六大业务应用系统，即网络通信平台、认证计费系统、校园一卡通、电子校务系统、网站群、邮件系统。

　　网络通信平台是大学各大业务平台的基础核心，是整个校园网的基础，其他应用系统都运行在高校的基础网络环境上;认证计费系统是针对用户接入校园网和互联网的一种接入认证计费的管理方式;校园一卡通系统建设在物理专网上，主要实现学生校园卡消费管理，校园卡与大学网络有3个物理接口;电子校务系统是大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息;大学主页网站系统为大学校园的互联网窗口起到学校对外介绍宣传的功能;邮件系统主要为大学教师与学生提供邮件收发服务，目前邮件系统注册用1.2面临的主要问题

　　通过等级保护差距分析和风险评估，目前大学所面临的信息安全风险和主要问题如下：

　　(1)高校领域没有总体安全标准指引，方向不明确，缺少主线。

　　(2)对国际国内信息安全法律法规缺乏深刻意识和认识。

　　(3)信息安全机构不完善，缺乏总体安全方针与策略，职责不够明确。

　　(4)教职员工和学生数量庞大，管理复杂，人员安全意识相对薄弱，日常安全问题多。

　　()建设投资和投入有限，运维和管理人员的信息安全专业能力有待提高。

　　(6)内部管理相对松散，缺乏安全监管及检查机制，无法有效整体管控。

　　(7)缺乏信息安全总体规划，难以全面提升管理

　　(8)缺乏监控、预警、响应、恢复的集中运行管理手段，无法提高安全运维能力。

　　2建设思路

　　2.1建设原则和工作路线

　　学校信息安全建设的总体原则是:总体规划、适度防护，分级分域、强化控制，保障核心、提升管理，支撑应用、规范运维。

　　依据这一总体原则，我们的信息安全体系建设工作以风险评估为起点，以安全体系为核心，通过对安全工作生命周期的理解从风险评估、安全体系规划着手，并以解决方案和策略设计落实安全体系的各个环节，在建设过程中逐步完善安全体系，以安全体系运行维护和管理的过程等全面满足安全工作各个层面的安全需求，最终达到全面、持续、突出重点的安全保障。

　　2.2体系框架

　　信息安全体系框架依据《信息安全技术信息系统安全等级保护基本要求》GBT22239-2008、《信息系统等级保护安全建设技术方案设计要求》(征求意见稿)，并吸纳了IATF模型[7]中“深度防护战略，，理论，强调安全策略、安全技术、安全组织和安全运行4个核心原则，重点关注计算环境、区域边界、通信网络等多个层次的安全防护，构建信息系统的安全技术体系和安全管理体系，并通过安全运维服务和itsm[8]集中运维管理(基于IT服务管理标准的最佳实践)，形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构(见图2)，从而实现并覆盖了等级保护基本要求中对网络安全、主机安全、应用安全、数据安全和管理安全的防护要求，以满足信息系统全方位的安全保护需求。

　　(1)安全策略：明确信息安全工作目的、信息安全建设目标、信息安全管理目标等，是信息安全各个方面所应遵守的原则方法和指导性策略。

　　(2)安全组织：是信息安全体系框架中最重要的

　　各级组织间的工作职责，覆盖安全管理制度、安全管理机构和人员安全管理3个部分。

　　(3)安全运行：是信息安全体系框架中最重要的安全管理策略之一，是维持信息系统持续运行的保障制度和规范。主要集中在规范信息系统应用过程和人员的操作执行，该部分以国家等级保护制度为依据，覆盖系统建设管理、系统运维管理2个部分。

　　(4)安全技术:是从技术角度出发，落实学校组织机构的总体安全策略及管理的具体技术措施的实现，是对各个防护对象进行有效地技术措施保护。安全技术注重信息系统执行的安全控制，针对未授权的访问或误用提供自动保护，发现违背安全策略的行为，并满足应用程序和数据的安全需求。安全技术包含通信网络、计算环境、区域边界和提供整体安全支撑的安全支撑平台。该部分以国家等级保护制度为依据，覆盖物理层、网络层、主机层、应用层和数据层5个部分。

　　()安全运维:安全运维服务体系架构共分两层，实现人员、技术、流程三者的完美整合，通过基于ITIL[9]的运维管理方法，保障基础设施和生产环境的正常运转，提升业务的可持续性，从而也体现了安全运3重点建设工作

　　3.1安全渗透测试

　　2009年4月，学校对38个网站、2个关键系统和6台主机系统进行远程渗透测评。通过测评，全面、完整地了解了当前系统的安全状况，发现了20个高危漏洞，并针对高危漏洞分析了系统所面临的各种风险，根据测评结果发现被测系统存在的安全隐患。渗透测试主要任务包括:收集网站信息、网站威胁分析、脆弱性分析和渗透入侵测评、提升权限测评、获取代码、渗透测评报告。

　　3.2风险评估和安全加固

　　2009年5月，依据安全渗透测试结果，对大学的六大信息系统进行了安全测评。根据评估结果得出系统存在的安全问题，并对严重的问题提出相应的风险控制策略。主要工作任务包括:系统调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。通过风险评估最终得出了威胁的数量和等级，表1、表2为威胁的数量和等级统计。2009年6月和9月，基于风险评估结果，对涉及到的网络设备(4台)和主机设备(14台)进行了安全加固工作。

　　3.3安全体系规划

　　根据前期对全校的网络、重要信息系统及管理层面的全面评估和了解整理出符合大学实际的安全需求，并结合实际业务要求，对学校整体信息系统的安全工作进行规划和设计，并通过未来3年的逐步安全建设，满足学校的信息安全目标及国家相关政策和标准学校依据国际国内规范及标准，参考业界的最佳实践ISMS[10](信息安全管理体系)，结合我校目前的实际情况，制定了一套完整、科学、实际的信息安全管理体系，制定并描述了网络与信息安全管理必须遵守的基本原则和要求。

　　通过信息安全管理体系的建立，使学校的组织结构布局更加合理，人员安全意识也明显提高，从而保证了网络畅通和业务正常运行，提高了IT服务质量。通过制度、流程、标准及规范，加强了日常安全工作执行能力，提高了信息安全保障水平。

　　4未来展望和下一步工作

　　4.1安全防护体系

　　根据网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，可以考虑使用逻辑隔离技术(VLAN或防火墙技术)将整个学校的网络系统划分为3个层次的安全域：第一层次安全域包括整个学校网络信息系统;第二层次安全域将各应用系统从逻辑上和物理上分别划分;第三层次安全域主要是各应用系统内部根据应用人群的终端分布、部门等划分子网或子系统。

　　公钥基础设施包括：CA安全区：主要承载CAServer•、主从LDAP、数据库、加密机、OCSP等;KMC管理区:主要承载KMCServer、加密机等;RA注册区:主要承载各院所的RA注册服务器，为各院所的师生管理提供数字证书注册服务。

　　应用安全支撑平台为各信息系统提供应用支撑服务、安全支撑服务以及安全管理策略，使得信息系统建立在一个稳定和高效的应用框架上，封装复杂的业务支撑服务、基础安全服务、管理服务，并平滑支持业务系统的扩展。主要包括:统一身份管理、统一身份认证、统一访问授权、统一审计管理、数据安全引擎、单点登录等功能。

　　4.2安全运维体系

　　ITSM集中运维管理解决方案面对学校日益复杂的IT环境，整合以往对各类设备、服务器、终端和业务系统等的分割管理，实现了对IT系统的集中、统一、全面的监控与管理;系统通过融入ITIL等运维管理理念，达到了技术、功能、服务三方面的完全整合，实现了IT服务支持过程的标准化、流程化、规范化，极大地提高了故障应急处理能力，提升了信息部门的管理效率和服务水平。

　　根据终端安全的需求，系统应建设一套完整的技术平台，以实现由管理员根据管理制度来制定各种详尽的安全管理策略，对网内所有终端计算机上的软硬件资源、以及计算机上的操作行为进行有效管理。实现将以网络为中心的分散管理变为以用户为中心集中策略管理;对终端用户安全接入策略统一管理、终端用户安全策略的强制实施、终端用户安全状态的集中审计;对用户事前身份和安全级别的认证、事中安全状态定期安全检测，内容包括定期的安全风险评估、安全加固、安全应急响应和安全巡检。

　　4.3安全审计体系

　　综合安全审计平台可以跟踪记录谁操作了我们重要的数据，记录谁复制了机密文件，谁访问了数据库等等，并且从数月累积的庞大审计记录中分析和获得异常现象，为安全管理制度提供参考。通过建立相应的网络审计模块、主机审计模块、数据库审计模块和安全设备审计模块等，建立定期针对某些事件信息数据进行安全审计的机制，确保目前信息系统安全控制的有效性，集中发现网络行为的合规性，根据既定策略识别非授权访问、入侵等现象，并进行分析。通过对受控对象的活动进行安全审计，为网络、系统与应用安全管理人员及高层管理人员提供一个监督、检查当前信息系统运行状况的有效手段。