“技术与管理并重”、“建设与运维并重”是信息安全建设的两个基本原则,强调的是建立和实施安全标准体系,在信息系统建设的全过程中严格按照管理体制执行技术要求。随着信息安全威胁的涉及领域不断扩展和程度不断提升,传统的类似“瀑布模型”层次化的强调“七分管理,三分技术”的信息安全理念已经受到严峻挑战,借鉴信息安全业界以“攻防实战对抗”为核心、以“增加攻击成本”为目的的强调“七分技术,三分管理”的信息安全建设理念成了大势所趋。高等院校在网站安全保障过程中面临安全工作人员少、安全工作可见性差、攻防双方对比不对称、安全工作投入无保障等困境,在立足传统的安全标准体系制度建设的基础上,在现有条件下应该重点借鉴信息安全业界理念和加强自身人员队伍建设。
网站管理组织结构
高等院校所属网站的管理组织结构如图1所示,主要由信息管理部门、技术支撑部门和校内业务部门构成。部门分类关注的是承担的具体职能属性,根据部门职能可以在每所高等院校中找到对应的二级部门,参见表1示例。
信息管理部门,负责制定学校网站建设与管理的相关制度,监督和管理校级别对外信息发布,对学校相关的所有域名和信息系统进行备案和管理,领导和组织网站安全保障工作,领导和组织包括信息安全等级保护的信息安全相关工作。
技术支撑部门,为信息管理部门和校内各类部门提供专业的网站规划、设计、建设和运维的技术支撑,建设和运维门户网站,为校内各类部门提供网站群系统或服务托管环境,组建跨网络管理、信息服务和用户支持的信息安全协调小组统一支持学校网站安全保障,提出和监督实施学校网站安全保障相关技术要求。校内各类部门,根据学校网站建设与管理制度以及相关安全保障要求,负责本部门相关网站系统的规划、设计、建设和运维。
人员队伍建设建议
网站安全保障相关的人员队伍建设,主要是指学校技术支撑部门的专业信息安全人员队伍的建设,以及校内各类部门的信息安全联系员的组织和培训,重点是前者。对于网站安全保障的人员队伍建设提出以下建议:
1.技术支撑部门要打破安全工作的部门界限,组建跨网络管理、信息服务和用户支持的信息安全协调小组统一支持学校网站安全保障,确定专职的信息安全负责人,并在内设部门内确定对口安全支援人员。
2.技术支撑部门内部要将网站安全保障工作作为与网络建设、系统开发、用户服务等同等重要对待,保障资金和项目支持,提供足够的人员保障。
3.技术支撑部门的安全协调小组要全面指导和协助信息安全工作的各个环节,如帮助用户服务进行用户安全服务与支持,协助设施运维加强数据中心安全建设,协助系统开发规范安全应用开发流程,规范运行管理交换路由设备安全设置等。
4.技术支撑部门要组建信息安全应急响应小组,定期对学校相关网站环境进行外部安全检查,跟踪安全业界动态,制定网站安全事件应急响应和处置预案,定期进行应急演练和攻防训练,提升网站安全应急事件处置能力。
5.技术支撑部门要培养自身安全人员与采购专业安全咨询服务相结合,做好学校顶层设计,规划建设完整的安全保障体系,积极对外参与安全学术交流,加强和国内外安全组织机构的密切联系与合作,充分发挥学生力量辅助学校安全工作。
6.技术支撑部门要配合信息管理部门和校内各类部门,组建信息安全联系员队伍,并提供足够的网站信息安全知识培训和流程支持。
(作者单位为东北大学网络中心)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。