高校信息资产安全管理模式的构建与实践
来源:福建师范大学 作者:庄君明 发表于:2021.09.17 615浏览
(文/庄君明 福建师范大学网络与数据中心高级实验师)
保护网络空间安全,落实到具体操作层面就是保护信息资产的运行安全和信息安全。信息资产安全管理的目标是最大限度提升信息资产的安全性,可以通过是否符合国家网络安全等级保护标准来判断。国家网络安全等级保护标准体系涵盖了7大类117个标准,其中比较重要的有《网络安全等级保护基本要求》等10个标准,可作为信息资产管理的标准参照。构建信息资产安全管理模式的解决思路是:根据国家网络安全等级保护标准体系,结合学校自身实际制定管理流程并明确不同环节上的责任主体,采用系统化、规范化、流程化、信息化、动态化的管理方式,最终实现等保合规化。
福建师范大学(以下简称:我校)的信息化建设经过十几年发展,积累了大量的信息资产。按介质类型来分,包含硬件资产、软件资产、数据资产、人员资产,从边界上可分为互联网公开资产和局域网内部资产,从归属上又可分为校级资产和院级资产。我校在原有信息化建设与管理领导小组的基础上,于2017年6月正式成立网络安全与信息化工作领导小组(以下简称:领导小组),对信息资产的安全管理负领导责任。作为该领导小组的下设办公室,信息化建设与管理办公室(以下简称:信息化办)以实现信息资产等保合规化为目标,根据公安部门和上级部门的有关规定,多年来持续对全校信息资产的安全管理进行探索和实践。目前已逐步实现了信息资产的安全管理模式,并且初步搭建了“福建师范大学网络安全等级保护支撑平台”,实现了全校信息资产的信息化管理。
一、制定管理流程
根据国家网络安全等级保护标准体系,结合我校实际,将信息资产安全管理规范为定级备案、指标差距分析和整改、等级测评、安全检测、安全预警、应急处置、安全通报、检查评估共8个环节。《网络安全法》规定二级以上网络安全等级保护定级对象都必须到公安机关办理备案手续,由其颁发备案证明才可正式运行,该备案证明可称之为“上岗证”。其中,通过定级备案才能拿到公安部门许可的“上岗证”;通过测评机构的等级测评才能保证“上岗证”不被取消;通过上级部门和公安部门的检查评估能够检验“上岗证”的成效;而其他几个环节是为了能顺利通过定级备案、等级测评和检查评估服务的。
1.定级备案。以网络安全等级保护定级对象作为管理对象,全面梳理该对象所包含的信息资产。按照《信息系统安全等级保护定级指南》、《福建省教育行业信息系统安全等级保护工作指南》和《福建师范大学信息化建设与管理办法》,自主定级并向公安机关报送定级材料。定级标准从最低的一级到最高的五级,对应的指标标准也不一样。对高校而言,最高定级一般不会超过三级,大部分系统可定为二级。如果审核通过,公安机关会颁发备案证明,如果审核发现定级不准确,则重新定级。
2.指标差距分析和整改。根据所定级别对应的标准指标,参照《网络安全等级保护安全设计技术要求》、《信息系统通用安全技术要求》和《信息系统安全工程管理要求》,分析现有的安全保护措施与等级保护标准要求之间的差距,制定并实施整改措施。
3.等级测评。《网络安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》中有非常详细的测评指导。通过进行等级测评,能够分析和确认信息资产的安全防护能力。等级测评分为内部测评和外部测评。内部测评由责任单位提出申请,通过我校信息化办购买的安全服务进行测评。外部测评则是由公安机关定点的评测机构进行。对于三级及以上的定级对象,每年至少需要进行一次外部测评。
4.安全检测。我校将安全服务进行外包,由专业的安全服务公司,定期对全校信息资产进行安全风险分析和漏洞扫描。对于重点防护对象,采取每天检测的机制,一旦发现漏洞,及时通知相关责任主体进行处理。
5.安全监测预警。网络安全监测预警和信息通报已经上升为国家法律,我校也极力推动该机制的建设。通过外包安全服务提供的网络安全态势感知监测和预警平台,对全校信息资产进行全方位的监测。将预警信息按照严重程度分为四级,每级都对应相应的处理细则。一旦有预警信息,则按照预警级别,通过安全通报机制进行定点通知。
6.应急处置。我校将网络安全事件应急响应分为四级,制定了《福建师范大学网络安全应急处置预案》,对网络安全突发事件应急处置做了详细说明,将学校网络安全和信息化领导小组、信息化办、指挥组、网络安全应急组、技术支持机构等多种角色纳入其中。
7.安全通报。我校建立了校院两级通报机制,主要包括信息化办、各部门主管领导和网络安全管理员等多种责任主体,通过安全监测、安全监测预警、应急处置等手段,一旦发生责任事件,保证及时通知相关责任主体并获得反馈。
8.检查评估。检查评估分为内部自查和外部检查。内部自查由我校信息化办或者各部门发起,通过定期或不定期的检查,发现信息资产存在的安全问题并进行整改。而外部检查通常由公安部门、纪监审部门或者上级主管部门发起,检查学校及各部门网络安全等级保护措施落实情况。经过多年探索实践,我校初步建立了“福建师范大学网络安全等级保护支撑平台”,大大简化了检查评估工作中极为繁琐的文档整理工作。
二、明确责任主体及职责
《网络安全法》明确规定了“谁主管谁负责、谁运行谁负责、谁使用谁负责”的指导原则。信息资产的责任主体包括领导小组、信息化办、安全服务商、二级部门主管领导、二级部门网络安全管理员等多种角色。领导小组作为学校的信息资产安全主管,在管理过程中起着监督和领导作用。信息化办作为信息资产安全的统筹部门,各个环节都有涉及,在管理过程中起着协调和监督作用。二级部门主管领导和网络安全管理员作为信息资产的管理者和使用者,需要对各自所管辖的信息资产负有主要责任。另外,我校采取购买外包安全服务的方式,与专业的安全服务公司合作,为定级备案、等级测评、安全检测、安全监测预警、应急处置等5个环节提供技术支持。
三、完善管理制度
根据国家网络安全等级保护的标准体系,在学校管理办法的基础上,通过修订和完善学校信息化建设与管理办法、网络安全应急处置预案、网络安全通报管理办法等管理制度和实施细则,规范了信息资产的安全管理。
四、多角色共同治理
《网络安全法》明确指出了“共同治理”的操作原则,即需要多方责任主体共同参与信息资产的安全治理。安全遵循着“木桶理论”,只要有一方出现短板都会带来安全问题。安全管理不仅包括管理和技术,还包括安全意识。我校建立了良好的沟通机制,搭建多种类型的交流平台。例如每年定期召开全校性的网络安全与信息化大会,普及安全意识。由信息化办定期举办安全业务学习会,主要面向各部门的网络安全管理员,提升人员队伍的整体水平。重要时期召开紧急部署会议,传达上级精神并部署安全任务。对于各别突出的安全个案,召开多方联席会议,共同拟定下一步整改措施。
五、利用信息化手段动态跟踪管理过程,并简化文档管理工作
在完善管理制度和规范管理过程的基础上,初步搭建了“福建师范大学网络安全等级保护支撑平台”,对管理过程进行动态跟踪,能够记录管理过程并形成文档。对于上级检查任务,能够根据需求快速整理并提取有关文档。定级备案和等级测评工作也依托于该平台展开。
我校的实践运行证明,系统化、规范化、流程化、动态化、信息化的安全管理模式可明显提高管理成效,保证信息资产的等保合规性。(《实验室科学》)