高校安全管理工作方案 .docx
《高校安全管理工作方案 .docx》由会员分享,可在线阅读,更多相关《高校安全管理工作方案 .docx(9页珍藏版)》请在咨信网上搜索。
高校安全管理工作实施方案 高校信息化安全管理方案 在高校信息化应用日益深化的今天,信息和资源的整合日益密切,如何保障信息系统的持续稳定运行,确保信息安全是亟待解决的关键问题。从调研显示,目前我国高校网络系统存在许多安全问题,如:非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等,产生这些安全问题的原因在于:没有建立完善的网络系统安全体系;没有建立相应的安全组织、管理、技术机构;没有建立完备的网络系统安全措施。 本文从高校信息系统的需求出发,遵从风险管理的理念,在信息化战略规划的基础上,借鉴国际最佳实践经验,研究并实施高校信息化安全管理体系,为高校信息安全管理工作提供借鉴和参考。 规划信息化安全管理体系 分层次建立安全管理制度和手段 信息化安全管理体系规划是高校安全体系建立的第一步,目的是识别安全问题,明确安全管理的范围和内容,建立安全管理的组织管理机制,从管理和技术两个角度,分层次规划各环节的安全管理制度和技术防范手段,形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤: 1.建立安全管理组织。安全管理组织的成员由机构的战略影响者组成,包括来自行政、it、业务、安全、保卫、风险和规划部门的人员。 2.识别保护对象。识别学校目前的关注点、面临的风险及威胁,分析它们存在的原因,将分析结果纳入安全管理体系的规划中重点考虑。 3.评估现有措施。了解学校目前的安全管理措施并评估它们的效力。 4.考虑长期需要。安全整体规划应考虑长期的需要,具有一定的前瞻性,如长期的制度适应性、设备老化、安全人员的发展需要等。 5.纳入学校的建设规划。了解学校新建项目,如办公楼、教学楼、停车场等项目,是否会影响现有的物理安全规划,如有影响,将安全规划纳入学校建设规划中通盘考虑。 6.建立安全工作机制。形成文件化的制度体系和工作条例,明确各岗位的责任、应提供的服务和交付物,这些将有助于确保工作的落实和运作效率。 7.应对新老技术的混合。新技术的规划应考虑对老技术的冲击,新老技术的融合运用将是一个挑战。 8.关键设施重点布局。关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合,这些设施的安全尤为重要,风险也最为突出。体系框架的内容 上述的规划步骤从组织、管理和技术三方面较全面地考虑高校信息化安全管理的具体问题,有助于形成完整有效的信息化安全管理体系。图1是高校信息化安全管理体系整体框架,其中包括安全组织体系、安全管理体系和安全技术体系。 图1高校信息化安全管理体系 1.安全组织体系 它是确保信息安全工作贯彻和落实的基石,基本框架应包含决策、管理、运营和应用4个层次。决策层负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等;管理层负责信息化安全管理体系的实施、安全管理工作机制的研究制订、安全管理制度的贯彻和执行、日常安全管理的组织协调等;运营层具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护;应用层即普通用户,职责包括严格按照系统操作手册正确使用信息系统,不得进行可能危害信息系统安全的操作,不得发布恶意信息等。 2.安全管理体系 它是整个安全管理体系有效运作和持续改进的保障,应在实践中逐步实现规章制度的文件化、工作机制的程序化和监控手段的系统化,基本框架具体包括安全制度的建立、建设与运营工作条例的建立、应急响应机制的建立、审计与评审机制的建立、安全教育与培训。 3.安全技术体系 该体系有力保障信息资源和应用系统免受外部攻击,基本框架由网络层安全技术、系统层安全技术和应用层安全技术构成。网络层安全技术包括防火墙、病毒防范、入侵检测、vpn等;系统层安全技术包括数据备份与恢复、数据库安全审计、应用系统监控、身份认证等;应用层安全技术包括权限管理、信息加密、桌面系统等。 信息化安全管理体系整改 上海财经大学经过多年的信息化建设,包括教学、学生、办公自动化、招生、人事、财务、公共数据平台、校园一卡通等一大批信息系统得到应用。随着应用的深化,系统中积累大量的业务数据和工作成果,这些信息对学校目前的管理乃至今后的发展都至关重要,因此,信息的安全问题也成为信息化工作的焦点。2009年起,在认真分析学校信息安全管理和技术两方面的问题和原因的基础上,学校从组织、管理、技术三方面入手进行一系列的整改,截至目前,已形成较为完善的组织体系、管理体系和技术体系。 完善信息安全管理的组织结构 2009年,学校对信息安全管理的组织结构进行重新梳理,形成包含决策、管理、维护和应用4个层次在内的较为完善的网络信息系统安全管理组织机构,工作职责更加明确。上海财经大学网络信息系统安全管理组织机构如图2。 图2财经大学网络信息系统安全管理组织机构 1.决策层。在信息化领导小组的职能中明确信息系统的安全管理职能,由信息化领导小组统一规划、部署和统筹资源。 2.管理层。组建安全工作小组作为信息化安全工作的执行机构,工作小组由信息化相关部门领导及专业技术人员和部分管理人员组成。 3.运营层。完善系统运营各岗位人员的工作职责,包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员。 4.应用层。进一步明确应用层各院系、部门及用户的安全责任,与各院系、部门签订安全责任书,同时明确各院系、部门信息员的日常信息安全工作职责,使其成为信息安全工作的基础支持队伍。形成文件化的信息安全整体策略 早在2008年,学校就着手组织制定《上海财经大学信息系统安全管理办法》、《上海财经大学信息系统建设管理办法》和《上海财经大学信息系统运行维护管理办法》,从场地与设施安全管理、设备安全管理、系统安全管理、信息安全管理、建设安全管理、运行维护安全管理和技术文档安全管理7个方面详细制定安全管理规定,并明确系统建设和系统运维过程中相关人员的工作流程和操作规范,为全校的信息系统安全管理提供依据。 2009年至2010年,针对信息安全问题突发性强的特点,为建立健全应急工作机制,提高信息系统安全突发事件的组织指挥和应急处置能力,最大限度地减轻突发事件造成的损失,学校完成《上海财经大学信息系统安全应急预案》的制定,并在it部门建立起突发事件应急响应工作机制。与此同时,为加强日常防控来减少突发事件的发生,学校it部门制定《运行维护工作条例》对硬件维护、操作系统维护、数据库维护和应用系统维护的各个环节的工作流程和操作规程进行更加详细的规定,并在工作中增加安全监控、安全检测、安全策略优化、安全审计等环节加强对信息系统的安全防护。 2010年初,为明确和建立学校的信息安全策略,为各部门制定操作规范和开展安全工作提供指导,学校制定《上海财经大学网络信息系统安全管理整体方案》,从信息安全组织体系、管理体系和技术体系3个层次,详细描述管理策略以及技术手段。该方案的出台极大地推动it部门管理制度的完善和技术改进,同时也促进各院系、部门内部安全管理的强化和人员安全意识的提高。 强化安全管理 信息安全是一项长期的工作,必须将其纳入信息系统的日常管理中常抓不懈,防患于未然。信息系统质量的内涵,除了系统功能和性能满足业务要求外,与信息系统安全有关的系统安全性、可靠性、可用性也是系统质量控制的范畴。主要采取的管理措施如下: 1.增加建设过程中的评审环节 在项目设计、开发阶段成果接近完成时,由项目组会同相关业务部门共同组织技术评审,包括对系统安全性的审查。评审以项目前期形成的方案、文档及学校的相关标准和规范为依据,对该阶段形成的方案、技术文档及系统进行审查、确认等工作,并形成评审结论。 2.进行内部测试和第三方测试 在项目验收前,除了由项目内部和业务部门参与的集成测试外,聘请专业的第三方测试机构进行测试。 3.安全检测与审计双管齐下,全方位监控安全事件 对应用系统和服务器进行每三个月一次的定期安全检测,有效消除潜在的安全隐患;定期进行应用系统的安全审计、数据库的安全审计、服务器的安全审计、配置管理的安全审计等,避免越权操作及数据泄漏事件的发生。 4.建立突发事件应急响应机制 基于《上海财经大学信息安全应急预案》,建立突发事件的应急响应机制,落实信息系统的服务级别管理,实行应急预案演练制度,建立预案库,在突发事件发生后形成处置报告,分析原因,改进工作。 5.加强安全意识宣传与教育 我们可以面向全校师生员工组织一系列的信息安全宣传和教育活动,包括组织面向学生和教师的信息安全知识竞赛活动,开展信息安全意识培训等,提高人员的安全防范意识,发挥人在信息安全对策中的主体作用。加强技术防范,构筑安全堡垒 系统的日常建设与运行管理中,我们通过构建自动化防控系统来加强系统的安全防范,为应用系统和用户构筑起坚实的安全堡垒,具体措施包括: 1.搭建版本控制系统,确保开发中源代码的安全 在程序开发的过程中,需要多人同时参加和协作,通过搭建版本控制系统,记录系统建设过程中相关文档和源代码的变更过程,防止代码意外丢失、被覆盖等情况的出现。 2.构建三套独立环境,保证正式环境安全 将系统开发环境、系统测试环境和正式系统进行分离,确保开发阶段和测试阶段的工作不影响正式系统的使用。 3.建立备份与恢复机制,保护系统建设成果 建立本地及异地数据备份及恢复规范及方案,研发数据统一管理与备份的相关程序,对系统建设过程中的成果进行及时备份,防止因为误操作或机器故障导致数据丢失,切实保证数据的安全。 4.防火墙与入侵监测,构筑网络屏障 在internet和校园网之间以及校园网和信息系统服务器之间架设两层防火墙,防止校内外用户对服务器的攻击;部署网络分析系统,实时监控网络流量、网络攻击和病毒传播,为网络安全事件的定位和取证提供支持;禁止从公网访问关键信息系统,用户需要通过vpn加密链路才能实现从校外访问关键信息系统。 5.漏洞扫描与日志分析,促进应用安全的不断提升 在应用系统层,我们采用系统日志分析平台对应用进行日志分析,捕捉和定位异常事件;定期对应用服务执行漏洞扫描,对出现的sql注入、跨站脚本攻击、网页非法篡改、强制访问等系统安全风险及时进行分析和整改。 6.主动式监控及时追踪问题 自主完成服务器软硬件运行状态监控系统的开发,实现对服务器运行状态及各信息系统状态进行主动监听和预警;建立统一日志服务器,对所有系统的日志进行集中管理和备份,确保问题发生时通过日志进行定位和追踪。 所谓“三分技术,七分管理”,信息化安全管理问题需要从管理和技术两方面考虑和解决,依靠有效的组织保障、规范的管理流程、安全可靠的系统工具及技术的支撑,才能达到“以较小的代价利用有限资源控制安全风险”的目标,更好地保证信息化建设和应用的成果。 第9页 共9页- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高校安全管理工作方案 高校 安全管理 工作方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【qwe****66】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【qwe****66】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【qwe****66】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【qwe****66】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文