摘 要:
关键词:
校园网安全系统的建设目标是根据学校信息网络结构和应用模式,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,并提出相应的解决方案,制订相应的安全策略,编制安全规划,采用合理、先进的技术实施安全工程,加强安全管理,保证系统的安全性。
对于这样规模庞大、结构复杂、涉及人员众多的网络体系需要建立全网安全保障系统,针对不同的业务特征进行合理的安全保障,确保业务系统的安全运行。
我们在设计学校信息安全保障体系的过程中,借鉴IATF的信息安全保障体系模型构建学校信息安全保障体系的技术体系和管理体系,这些体系构成学校所需的安全体系。在技术体系和管理体系中的安全控制和对策的选择和定制中,采用“最佳实施”方法,通过列举满足实际需求和实际应用来构造安全保障体系。
在学校安全保障体系设计过程中,整体性一直是最核心的问题,因此为了保障安全体系具有一定的完整性,避免对安全问题的遗漏,需要在方法论中引入了安全框架模型。
安全保障体系框架示意图
上图中,最下层是安全体系要保护的对象,根据信息资产逻辑图,将保护对象分成计算区域、区域边界、通信网络和基础设施(指PKI/PMI/KMI中心和应急响应中心)等。计算区域部分主要指提供业务的网络服务,计算区域内部可以根据学校信息化的实际需求进一步细分为子区域,边界和通信网络。对不同区域、边界和通信网络,其安全需求是不同的。保护对象框架将学校信息系统的安全问题细分为一组结构化的安全需求。
通过将对策框架中的所有安全控制中的策略,组织,技术和运作分别提炼,组成相应的策略体系、组织体系、技术体系和运作体系。每个体系由对策框架组成,对策框架由一组安全控制组成,这些安全控制是根据保护对象中的安全需求设计和选择出来的。每一条安全控制都包含策略,组织,技术和运作四个要素。
在校园网的信息系统安全等级保护方面,国内尚未制定相关标准,但可以参考公安部制定的《信息系统安全等级保护基本要求》进行设计。基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
根据公安部《信息系统等级保护技术要求》中相应技术要求,以满足物理安全、网络安全、主机安全、应用安全、数据安全及存备份恢复等几方面的基本要求为前提。
在基于人、技术及运行的信息安全纵深防御体系中,对人的行为的控制是信息安全保障最主要的方面。下图所示为信息安全管理体系框架,该体系包括安全方针、安全策略、安全组织、人员安全、物理安全、安全制度与管理办法、安全标准与规范、安全政策、安全法律法规与标准、安全培训以及安全规范。
安全管理体系框架图
安全策略作为建立安全机制必须首要考虑的核心,它对安全措施的具体实践提供指导和支持。制定一套系统、科学的安全策略是指导学校等级化信息安全保障体系安全建设的重要内容。
建立安全组织机构、完善安全管理制度,建立有效的工作机制,做到事有人管,职责分工明确是有效防范由于内部人员有意无意对系统造成破坏的有效保障措施。
在组织安全方针、安全策略、安全制度与管理方法、安全标准与规范的建设过程中充分体现国家安全政策、安全法律法规与标准是组织充分保障信息系统安全的基础。国家安全政策、安全法律法规与标准从国家和行业的角度制约信息安全,组织必须遵循国家和相关主管部门关于信息系统安全方面的法律法规、政策和制度。
对内部人员进行有组织的安全培训、安全教育,规范人员行为、制定相关章程等对保障学校信息系统安全尤为重要。
根据学校业务目标的发展规划,通过对学校信息系统相关资源的分析,制定安全规划,提出未来几年内的信息安全发展方向、建设计划和预期效果,对指导和规范整个学校信息系统的安全工作具有重要的意义。它可以保证学校信息系统的安全水平和信息系统的建设和发展同步进行,避免因为网络与信息安全水平的滞后而影响信息系统的整体发展。
一个强健而完整的信息安全保障体系仅有先进的科学技术保障手段是不够的。技术本身是信息安全体系的一部分,是辅助实现信息安全的手段。在人员不经过系统培训,没有运行程序指导其应用的情况下,信息系统配备的各种安全措施并没有多大价值。人是信息安全系统的使用者,是信息安全中最活跃的因素。统计结果表明,在所有的信息安全事故中,超过75%的安全事故是由于内部员工的疏忽或有意破坏造成的,所以人,特别是内部员工是对信息系统的最大潜在威胁。通过以人为本的有效的信息安全管理,人可以是信息系统最可靠的安全防线。安全管理能够充分发挥系统安全设备和安全技术措施的作用,有效的程序性安全机制更可以弥补安全设备和技术措施的不足,降低信息系统安全的剩余风险,使网络及办公环境的安全运行得到保证。信息安全管理体系是信息安全保障体系的重要组成部分,通过建立安全组织,明确安全角色与职责,制定人员安全、物理安全方面的规章制度和相关操作标准与规范,对相关人员进行安全培训与教育等方面来保障组织的信息系统有效运行。