从安全事件响应到安全治理,其核心理念是在较充分的技术和心态准备基础上,把握安全事件带来的机遇,在此基础上逐步推动和促成信息安全管理的实质提升。通过切实努力实现信息安全管理从事件响应向安全治理跃升,变被动为主动,明细权责划分,勇于承担责任,实现责任分担。
网络信息安全管理现状
东北大学从2015年起发布了网络信息安全管理的相关政策,专门成立网络安全管理与信息化建设工作领导小组和网络安全专家委员会。
学校自开展网络信息安全管理工作以来,做了诸多实际工作,具体包括梳理校内域名、信息系统,明确使用部门,确定责任部门;以安全应急响应为抓手,促使职能部门和学院部处提高网络安全意识;技术部门与信网办沟通确定安全应急响应操作流程,涉及安全事件、安全漏洞等处置流程;强化安全应急响应的职责归属,遇到问题第一事件处置,通知责任部门整改和反馈。2016年度累计获取和处置学校相关网络安全事件46次,提供网络信息安全支持20次。学校以等级保护建设为契机,推动整体安全加固专项建设。切实推进和实施信息系统等级保护建设,以等级保护建设为抓手,实施“东北大学网络安全防范工程”,统筹推进信息系统定级、备案、测评、整改、整体安全管控。
另外,还加强网络信息安全相关信息的宣传推广工作。如开展“辽宁省网络安全宣传周”活动,举办网络安全讲座、网络安全知识竞赛等;在线发布和推广安全资料,并进行网络信息安全科普。
网络信息安全工作实施
网络信息安全工作实施主要有以下四个方面。
资源统筹管理
一是信息化建设相关项目的统筹管理,包括归口单位管理、年度专家小组评审及按阶段推进项目实施。
二是基础IT环境的统筹管理,包括技术部门提供托管主机、虚拟主机服务,目前学校80%以上业务系统实现集中托管管理以及网络信息安全防护统一管控。等级保护的开展信息系统等级保护工作开始于2010年,在2010—2013年期间,通过校内动员讲解、信息系统汇总与梳理、相关工作小组决策、上报省教育厅和与公安系统沟通等逐步推进等保工作。信息系统等级保护工作在2015年加快推进,通过组建机构、出台制度、明确责任,并推动和实施定级备案测评及整改项目。
安全事件响应
建立技术部门与管理部门协调的安全事件响应,具体流程如下:安全漏洞和安全事件的信息获取,然后进行安全事件判定,对安全事件进行处置,让使用部门(责任部门)整改,提交整改报告和恢复服务。
安全团队建设
建立跨网络、运维、开发的与学生团队合作的网络信息安全团队。
网络信息安全管控
信息技术部门在网络信息安全管控中应该发挥什么作用?技术部门的定位是技术支持而不是安全管理。网络信息安全领域日新月异,攻守不平衡,没有绝对的安全;使用单位和建设单位应该承担更大责任;责任要清晰,需要明确制度和加强顶层设计。
在技术团队组建和培育上,首先立足已有技术团队,不能纯粹依靠第三方服务。另外,加强与学生团队合作。
在政策背景下,以责任为先。技术部门提供必要支持,技术部门可以统一采购第三方安全服务,技术部门不能缺位,应以业务为主,这才是网络和信息服务的价值体现。
同时,要注意网络信息安全组织协调是否顺畅。一般初期会存在矛盾,后期处置过程关注业务,适度管控,主动合作,协调推进有所改善。此外,长期良性发展还受到技术团队的规模、能力、专职程度等影响,有待建设契约式的业务部门与技术部门间的合作模式。
总之,高校网络信息安全管控是一个渐进的过程,需要从掌握的IT资源入手;要明确提供IT资源的技术部门与使用IT资源的业务部门间的责任权利。学校需要转换网络信息安全工作思路,与信息化建设结合,充分利用政策环境推动良性发展理念实现,变被动为主动。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。