信息安全管理是維護(hù)和組織所有信息資產(chǎn)安全的系統(tǒng)�����,維護(hù)信息的保密性��、完整性和可用性����,是各種協(xié)調(diào)活動的集合�����,用以指導(dǎo)���、管理和控制各類信息安全風(fēng)險���。對于信息安全管理來說����,成本有限�,所以要在安全風(fēng)險可承受的范圍內(nèi)做好成本控制。
長期以來��,高校的信息安全管理往往停留在以技術(shù)方法解決信息安全問題的層面上��,但根據(jù)相關(guān)統(tǒng)計結(jié)果�,只有20%~30%的信息安全事故是由于黑客或者其他不確定因素造成的,70%~80%是由于內(nèi)部員工的過失或者故意造成的����。實際上,信息安全問題產(chǎn)生的原因往往是人��,所以僅僅通過提高信息安全技術(shù)來提升信息安全管理水平是完全不可能的��。
信息安全管理水平的提升是多個維度綜合作用的結(jié)果�,所以不進(jìn)行綜合規(guī)劃和考量,而僅根據(jù)當(dāng)下的信息安全需求去出臺某些控制手段或購置某類安全設(shè)備����,都可能陷入顧此失彼的狀況�����,從而導(dǎo)致信息安全管理的“barrel(木桶)”出現(xiàn)某些“短板”,信息安全整體管理水平提升受到很大限制�����。
如何快速有效地提升信息安全管理水平?首先應(yīng)該完全理解國內(nèi)外相關(guān)的信息安全管理體系和標(biāo)準(zhǔn)��,熟悉其最佳實踐���;其次在高校目前的信息安全管理水平上��,基于實際需要�,對風(fēng)險進(jìn)行分析�����,采用適當(dāng)?shù)目刂?��,最終建立理想的信息安全管理體系���。
01��、安全框架和過程模型
信息安全管理體系(ISMS)
信息安全管理體系(Information Security Management System��,簡稱ISMS)是一個建立在整體或局部范圍內(nèi)的信息安全方針策略和目標(biāo)�����,以及實現(xiàn)這一目標(biāo)所要進(jìn)行的操作和步驟的集合��。
圖1 ISMS體系框架
ISMS是構(gòu)建高校信息安全管理系統(tǒng)的一部分�����。以風(fēng)險分析為核心����,對高校信息系統(tǒng)的狀況進(jìn)行監(jiān)測�����、評審�、維護(hù)以及持續(xù)改進(jìn),提升高校信息安全管理水平��。如圖1所示�,安全方針是組織制定的一個高層文件�,用來指出組織怎樣對資產(chǎn)�,或者說敏感信息進(jìn)行管理、保護(hù)�、分配;安全組織體系包括安全管理組織結(jié)構(gòu)�����、績效考核��、安全意識教育�����、法律法規(guī)和上級部門規(guī)范要求�;安全策略體系主要包括物理安全�����、網(wǎng)絡(luò)安全����、系統(tǒng)安全等方面,安全策略比制度和規(guī)范更抽象��;安全管理制度、操作規(guī)范和表單具體定義了安全策略實施途徑���、方法和日志記錄����。
ISO/IEC 27001標(biāo)準(zhǔn)
ISO/IEC 27001是由信息安全規(guī)范示例構(gòu)成的綜合性控制集合����,是ISO 27000標(biāo)準(zhǔn)產(chǎn)品群的核心,是目前信息安全管理的國際標(biāo)準(zhǔn)��,如今最新版是ISO/IEC 27001:2022�����。
在最新的ISO/IEC 27001:2022標(biāo)準(zhǔn)中���,明確列出了93個控制項�,這些控制項涵蓋了4個主題和15個安全運(yùn)營能力域�。ISO/IEC 27001標(biāo)準(zhǔn)是一種信息安全管理系統(tǒng)建設(shè)、運(yùn)行��、監(jiān)控��、檢測、維護(hù)和持續(xù)改進(jìn)模式��,它建立并且執(zhí)行了信息安全管理系統(tǒng)�����,并將要求事項指定為執(zhí)行機(jī)構(gòu)應(yīng)遵守的風(fēng)險評估標(biāo)準(zhǔn)��。比較全面的管理標(biāo)準(zhǔn)ISO/IEC 27001為相關(guān)員工提供了熟練使用它的方法�����,以達(dá)到創(chuàng)造適合組織的信息安全管理系統(tǒng)的目的�。圖2為ISO/IEC 27001:2022的15個安全運(yùn)營能力域���。
圖2 ISO/IEC 27001:2022的15個安全運(yùn)營能力域
PDCA模型
PDCA是1930年由美國質(zhì)量管理專家休哈特博士提出的一種管理流程模型�,在此之后持續(xù)改進(jìn)����。PDCA動態(tài)持續(xù)改進(jìn)的一個循環(huán)體就是ISMS(如圖3所示)。
圖3 PDCA 的循環(huán)體系
02��、華中師范大學(xué)ISMS建設(shè)實踐
安全方針建設(shè)
高校信息安全方針由領(lǐng)導(dǎo)班子公開發(fā)布��,用以指導(dǎo)高校對信息資產(chǎn)的管理,其中包含了對敏感信息的管理�����、保護(hù)以及發(fā)布的規(guī)則和方式��。
信息安全方針應(yīng)詳細(xì)說明高校管理層的努力���,介紹高校管理信息安全的方法���,通過后需采取適當(dāng)方法向全體師生宣傳信息安全相關(guān)策略。信息安全策略應(yīng)簡短易懂���,內(nèi)容需包含:信息安全是什么以及重要性����,上級的意見�����,介紹信息安全管理���,信息安全管理的法律效力���。華中師范大學(xué)的信息安全方針包含以下內(nèi)容����。
第一�,負(fù)責(zé)人為學(xué)校信息安全的第一責(zé)任人。有關(guān)信息安全的總體方向及行動方針則由學(xué)校的信息化領(lǐng)導(dǎo)小組確立����,并向相關(guān)部門發(fā)出通告。
第二�,確保現(xiàn)有信息資產(chǎn)的保密性�����、完整性和可操作性����,繼續(xù)進(jìn)行風(fēng)險評估��,管理和技術(shù)手段并重���,從而建立全面覆蓋學(xué)校的可度量�����、可管理的信息安全管理系統(tǒng)����,為各種信息系統(tǒng)的平穩(wěn)運(yùn)行提供可信的支撐環(huán)境。
第三����,所有教職工和學(xué)生應(yīng)遵守法律法規(guī)要求和上級部門的要求。
第四����,定期對所有管理人員及工作人員進(jìn)行信息安全的必要教育和培訓(xùn),增強(qiáng)其信息安全意識��。
第五�����,定期進(jìn)行信息安全相關(guān)的內(nèi)部審計����,在采取必要且妥當(dāng)?shù)母恼胧r,盡力防止偶發(fā)災(zāi)害、故障���、過失及因故意濫用信息資產(chǎn)等而導(dǎo)致的業(yè)務(wù)中斷��,確保業(yè)務(wù)連續(xù)性�。
第六�,因?qū)W校教職工故意或重大過失而違反學(xué)校有關(guān)信息安全的各項規(guī)定時,或其行為已違反信息安全相關(guān)法律時�����,應(yīng)按相關(guān)文件規(guī)定進(jìn)行處罰�。
ISMS范圍界定
ISMS范圍界定的原則包括:與ISMS合作的法律機(jī)構(gòu)是哪個?該機(jī)構(gòu)將擁有�����、經(jīng)營和依賴哪些信息資產(chǎn)��?機(jī)構(gòu)的信息資產(chǎn)具體有哪些�?
在小型組織里�����,所有事物都應(yīng)在ISMS的范圍內(nèi)。高校的部門和信息點眾多���,ISMS范圍的劃定非常復(fù)雜�。高校內(nèi)部教師或?qū)W生私自創(chuàng)建了大量的科研�����、學(xué)術(shù)���、生活類網(wǎng)站�,再加上服務(wù)器部署時間長�、人員更迭,服務(wù)器的應(yīng)用情況很難摸清���。對此�����,我們采用了以下兩種方法�����。
第一��,使用流量采集工具對服務(wù)器訪問流量采集�����、處理����、存儲及分析,建立服務(wù)器應(yīng)用和URL(統(tǒng)一資源定位符)的列表�����,當(dāng)數(shù)據(jù)采集一月左右�����,基本可以發(fā)現(xiàn)該網(wǎng)段所有的活動URL���。然后�����,對這些URL進(jìn)行分析,剔除非本校域名網(wǎng)站或者直接使用IP訪問的網(wǎng)站�����,便可以形成資產(chǎn)清單。這種方法的優(yōu)點是對現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備的運(yùn)行影響很小�,缺點是不能發(fā)現(xiàn)沒有流量的信息系統(tǒng)。
第二����,使用掃描器對目標(biāo)網(wǎng)段進(jìn)行主動掃描,發(fā)現(xiàn)��、處理����、分析存活的信息系統(tǒng),建立資產(chǎn)列表�。這種方法的優(yōu)點是可以發(fā)現(xiàn)流量采集工具所不能發(fā)現(xiàn)的信息資產(chǎn),缺點是會對現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備的性能產(chǎn)生壓力�,只能選擇業(yè)務(wù)非高峰時段進(jìn)行。
結(jié)合上述兩種方法���,我們對產(chǎn)生的資產(chǎn)列表進(jìn)行了交叉比對��,并將資產(chǎn)列表中的“雙非”信息系統(tǒng)(“雙非”信息系統(tǒng)指使用非本校IP地址和域名的信息系統(tǒng))排除���,得到最終的資產(chǎn)列表����。我們按照“誰主管誰負(fù)責(zé)”的原則���,確定每個部門所屬的信息資產(chǎn)�,進(jìn)而匯總確定ISMS邊界��。
安全組織體系建設(shè)
高校安全組織體系建設(shè)的首要任務(wù)就是要明確學(xué)校信息資產(chǎn)的保護(hù)責(zé)任和完成特定安全流程的責(zé)任����。學(xué)校在信息安全政策中應(yīng)當(dāng)對信息安全角色與責(zé)任分配提供總的指導(dǎo),同時對特定的站點�����、服務(wù)和相關(guān)安全流程提供更詳細(xì)的指南�����。圖4為華中師范大學(xué)網(wǎng)絡(luò)安全組織架構(gòu)�。
圖4 華中師范大學(xué)網(wǎng)絡(luò)安全組織架構(gòu)
網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組是學(xué)校網(wǎng)絡(luò)與信息安全工作的領(lǐng)導(dǎo)機(jī)構(gòu),負(fù)責(zé)學(xué)校網(wǎng)絡(luò)與信息安全工作的政策制定���、統(tǒng)籌部署與監(jiān)督檢查����。領(lǐng)導(dǎo)小組下設(shè)教育信息化工作小組和網(wǎng)絡(luò)與信息安全工作小組��。網(wǎng)絡(luò)與信息安全工作小組負(fù)責(zé)研究制定學(xué)校網(wǎng)絡(luò)與信息安全技術(shù)方案和管理規(guī)定�����,負(fù)責(zé)對校內(nèi)各單位網(wǎng)絡(luò)與信息安全工作進(jìn)行監(jiān)督���、評價�����、指導(dǎo)及審批����,指揮���、協(xié)調(diào)��、督促學(xué)校網(wǎng)絡(luò)信息安全事件的處理�����。網(wǎng)絡(luò)與信息安全工作小組由學(xué)校辦公室�����、宣傳部�����、信息化辦公室��、學(xué)生工作部��、研究生院和保衛(wèi)處等單位構(gòu)成����。
安全策略體系建設(shè)
信息安全策略是解決信息安全問題最重要的步驟,也是整個信息安全體系的基礎(chǔ)���。華中師范大學(xué)的安全策略體系建設(shè)內(nèi)容如下����。
系統(tǒng)安全策略:操作系統(tǒng)的選用���、操作系統(tǒng)的安裝�、操作系統(tǒng)的使用規(guī)范、操作系統(tǒng)的加固���、操作系統(tǒng)的漏洞掃描�����、操作系統(tǒng)的升級管理、操作系統(tǒng)的變更管理等��。
數(shù)據(jù)安全策略:關(guān)鍵業(yè)務(wù)數(shù)據(jù)(存儲和傳輸)加密要求策略�����、個人計算機(jī)的數(shù)據(jù)保密策略��、學(xué)校機(jī)密文檔保護(hù)策略等����。
賬號口令策略:口令設(shè)置規(guī)則、口令更換周期�、口令管理方式等。
病毒防護(hù)策略:防病毒產(chǎn)品選型����、安裝��、配置��、升級等��。
緊急恢復(fù)策略:應(yīng)急響應(yīng)組建設(shè)�����、應(yīng)急恢復(fù)過程規(guī)范�、應(yīng)急恢復(fù)演練和測試��、應(yīng)急恢復(fù)培訓(xùn)等���。
第三方策略:第三方和廠商管理策略�、外包的服務(wù)和服務(wù)水平協(xié)議��、保密協(xié)議等���。
系統(tǒng)開發(fā)策略:系統(tǒng)開發(fā)的安全策略和開發(fā)規(guī)范�����。安全審計策略:
安全策略審計�、安全管理制度審計、應(yīng)急計劃審計�����、崗位審計��、系統(tǒng)日志審計等��。
安全意識與教育
安全意識與教育是高校ISMS的重要組成部分�����。高校應(yīng)當(dāng)對所有教職工及第三方相關(guān)用戶經(jīng)常性地進(jìn)行信息安全教育與培訓(xùn)����,對于新教職工要在其訪問信息和某項服務(wù)之前先進(jìn)行安全意識與教育培訓(xùn)�,以提高安全意識與防范技能,并促使遵守國家法律����、法規(guī)與組織的安全政策與程序。
03����、高校ISMS推行的關(guān)鍵
ISMS體系試用和完善
ISMS體系分發(fā)與制度測試�。首先�,在部分部門內(nèi)進(jìn)行ISMS體系的試點推廣。在推行ISMS體系的過程中��,采取從松到嚴(yán)��、從少到多的方式���,即先從最容易接受���、最容易起到效果的地方開始(如病毒防護(hù)、上網(wǎng)管理��、桌面管理等)�。其次,在ISMS體系執(zhí)行過程中�����,通過過程評估發(fā)現(xiàn)哪些內(nèi)容是教職工不容易接受的���,哪些是不容易操作的��。這些都用于日后對體系的逐步完善�。
ISMS體系修訂完善。ISMS體系試運(yùn)行過程中必然會出現(xiàn)一些問題���。項目實踐中���,我們發(fā)現(xiàn)最大的問題是ISMS的可操作性需要加強(qiáng)。對此����,高校應(yīng)以業(yè)務(wù)流程為導(dǎo)向,將安全要求融入每個步驟中����,避免教條式地按照標(biāo)準(zhǔn)要求寫文件�����;通過反饋意見調(diào)查表�����、滿意度測量等方式集中或分散收集反饋意見����,根據(jù)反饋意見進(jìn)行必要的ISMS體系修訂和完善����,以確保ISMS體系及時頒布實施����。
領(lǐng)導(dǎo)層的承諾與支持
在任何一個組織內(nèi)實施ISMS,必須得到高層管理人員的承諾與支持��,在高校實施ISMS也不例外���。
高校對高層管理人員的認(rèn)可和貢獻(xiàn)有兩種作用�,一是安全政策和管理措施可以有效體現(xiàn)在整個組織中���,二是必要的財政和人力資源支持與部門之間的調(diào)整問題應(yīng)該由學(xué)校的最高管理人員來促進(jìn)��。
實踐中���,應(yīng)當(dāng)取得學(xué)校高層管理人員的支持,將安全管理要求融入教職工績效考核��。學(xué)校將安全績效用具體的指標(biāo)定義����,通過定期的安全審計�����,檢查安全績效及制度執(zhí)行有效性��,可以明顯改善教職工的信息安全管理意識���,加快ISMS的推進(jìn)。
本文首先介紹了信息安全管理體系ISMS和ISO/IEC 27001國際信息安全管理標(biāo)準(zhǔn)���,其次依據(jù)ISO/IEC 27001標(biāo)準(zhǔn)建立了一套高校ISMS�����,最后以華中師范大學(xué)為例��,介紹了ISMS的具體實施過程和落地經(jīng)驗��。實踐證明,基于ISO/IEC 27001標(biāo)準(zhǔn)的高校ISMS保障了高校信息系統(tǒng)的業(yè)務(wù)連續(xù)性�����,提升了高校信息安全治理水平。
來源:《中國教育網(wǎng)絡(luò)》2024年1月刊
作者:周偉1���,陳柳2(作者1單位為華中師范大學(xué)信息化辦公室�,作者2單位為武漢工程大學(xué)電氣信息學(xué)院)
在線咨詢
在線咨詢
0371-63319761