新一代数字校园信息安全体系构建.docxVIP

新一代数字校园

信息安全体系构建

清华大学计算机与信息管理中心

吴海燕

2009年5月

目录

数字校园当前信息安全形势分析

-数字校园信息安全的领域特性分析

-数字校园信息安全的传统方案分析

-数字校园的信息安全的新挑战

新一代数字校园信息安全体系构建当前迫切需要重视的安全问题

清华大学的实践

数字校园信息安全的领域特性分析

面临来自内外部的双重威胁：

–外部：Internet

–内部：计算机节点多，安全防范弱；学生群体的特性：活跃、好奇

高校的组织结构松散，倡导开放，安全管理策略与制度不易推进。

高校的信息系统多为联邦模式、系统多、系统小、变化快、开发质量不高，应用安全较难保障。

数字校园信息安全的新挑战

数字校园快速发展带来的挑战：

–全局性信息系统要求用户身份和操作全局可信、可控、可查，要求在统一信息安全策略的指导下进行信息安全活动，保持业务连续性、最小化业务风险；

–网上办事能力的增强对信息安全提出了新要求，特别是“可信”的要求；

–核心业务流程的上网对数据的必威体育官网网址性、完整性和不可否认性提出了更高的要求。

数字校园信息安全的新挑战

外部环境变化带来的挑战：

–信息安全形势越来越严峻，校园内、外的攻击

（特别是有组织的攻击）越来越多，攻击手段越来越复杂，网络、主机、数据、应用乃至管理制度上任何的漏洞，都会成为可怕的安全隐患，系统越多潜在的隐患越大；

–业界的信息安全实践也在经历了技术浪潮、管理浪潮后，进入了制度化浪潮，以体系化的方法实现信息安全，参照信息安全的国际标准和最佳实践全面考虑信息安全的各项控制措施，成为了共识。

数字校园信息安全的传统方案

安全措施

–网络、系统层面的安全技术措施为主

–以访问控制措施为主，缺乏可信措施

建设过程

–采用自底向上的构建方法

–缺乏专门的信息安全组织机构

–缺乏持续的过程保障机制

主要问题

重网络轻应用、重技术轻管理，计算机信息系统比较脆弱,网络与信息系统的应急处理能力不强,防护水平不高；

头痛医头，脚痛医脚，缺乏整体规划；

信息安全管理观念薄弱,相关人员特别是一些负责人员的信息安全意识不强；

信息安全组织机构和队伍不健全，制约着信息安全保障工作的进一步开展。

目录

数字校园当前信息安全形势分析

新一代数字校园信息安全体系构建

–信息安全体系构建最佳实践研究

–新一代数字校园的信息安全需求

–新一代数字校园信息安全体系的组成

当前迫切需要重视的安全问题清华大学的实践

信息安全体系构建最佳实践

研究

新一代数字校园在信息安全方面的需求

统一：

–在统一信息安全策略的指导下进行信息安全活动，保持业务连续性、最小化业务风险

全面：

–安全措施全面，包括从物理、网络、系统、数据、应用到用户层的安全技术与管理措施

体系：

–安全措施是一个有机的整体，建设是一个持续、完整的过程

合规：

–遵循标准、符合法律、法规、政策要求

新一代数字校园信息安全体系的构建思路

自顶向下

–信息安全体系规划是数字校园整体规划的一部分,整体设计，建立全面（包括技术、管理、机制、人员各方面）的安全措施

–必须统一安全策略

–建立以人为本的安全目标：确保用户身份和操作的全局可信、可控、可查

持续改进

–安全体系不断完善、持续改进

–与业界最佳实践接轨

新一代数字校园安全体系组成

过程管理模型

规划（Plan)：信息安全体系规划

–获得领导层支持

–定义边界、识别资产、风险评估

–设计信息安全措施实施（Do)：

–实施信息安全措施检查（Check)：

–监视、评审控制措施的执行结果改进(Act)：

–根据检查的结果、新的需求不断改进

安全措施框架

安全组织机构、安全文化

企业典型的安全组织机构模式

–信息安全领导小组、信息安全工作小组、信息安全联系人

国外高校

信息安全策略

表达组织对信息安全的需求；

表达组织的信息安全目标、范围、战略定位；

阐述了管理层的目标及责任，以及组织中的责任分配；

宏观地描述组织中的信息安全如何实现，基于什么样的目的，使用什么样的资源及结构；

体现了组织的领导层对于信息安全的承诺。

信息安全审计

通过建立安全审计制度，辅以相应的分析手段和工具，对网络、系统、应用、数据库中出现的各种访问活动进行监视和记录,审查资源的受访情况是否符合安全策略的设定：

–提升系统的安全强度

–是发现、追踪、处理安全事件的重要依据

系统建设安全

关注信息系统建设过程中的安全，包括：

–信息系统安全规划

–信息系统安全设计

–信息系统开发安全（包括自开发与外包开发