前言

　　网络在提高管理效率，促进教科研发展、方便校园生活的同时，网络中的各种安全问题也层出不穷，提高IT安全的建设和管理水平已成为高校信息化建设中不容忽视的重要工作内容，复旦大学也正在尝试着自身的IT安全保障体系的建设。

　　复旦大学校园信息化办公室（以下简称“信息办”）在进行信息化校园建设的同时，一直非常重视网络信息安全的建设和管理工作。几年来，围绕着“依托技术优势、规范管理制度和健全保障体系”的IT安全建设方针，复旦大学正逐步建立起一套比较完整的信息化校园网络和应用系统安全保障体系，以保证学校教科研、管理和各种校园生活信息化应用的正常运行。复旦大学IT安全的建设主要展开了以下实践。

　　人员落实

　　2001年夏，复旦大学率先在全国高校中进行IT组织结构的调整，成立了实体化的信息办，统一负责学校信息化建设的规划和实施。成立伊始，信息办下属网络、信息和培训三个中心就非常重视在各项IT安全工作中的分工合作。

　　为将IT安全工作推向规范化的道路，信息办还依托虚拟团队模式，成立了“网络信息安全领导小组”和“安全工作小组”。前者由信息办主任、副主任和各中心的主任组成；后者则从信息办下属的各中心抽调对网络、信息系统安全技术比较精通的技术骨干7人组成。安全领导小组、安全工作小组和各中心安全工作执行人员分别从决策、监督和具体执行三个层面为IT安全工作提供人员保障，各层面人员分工合作，并实施安全事故/故障的分级处理和上报机制，有效和最大限度地保障了网络基础、系统开发建设和运行维护等方面的安全。

　　2005年7月，信息办将原由各中心人员轮流承担的用户接待和分散于各中心的运行维护工作分离出来，在原培训中心基础上成立了统一负责用户服务和日常运行工作的运行培训中心（以下简称“运行中心”）。该中心的成立既是信息办增强IT服务意识的体现，也是努力提升IT服务管理水平的重要举措。它与调整后的网络和信息中心各司其职、分工协作，在使信息化校园的建设开发和运行服务工作均走上了专职化发展道路的同时，也实现了信息化校园服务的三线支撑模式，图1为三线服务中的IT安全管理工作。

　　运行中心成立之初就建立了用户服务台制度，在作为一线服务对用户提供集中、专职的服务联络点同时，它也是接触用户IT安全问题的始发点。如网络流量监控、系统升级、数据备份等日常安全保障工作成为运行中心对IT基础设施进行运行维护的重要内容。网络和信息中心在集中精力进行网络建设和应用系统开发的同时，也可以持续关注IT安全领域技术的革新，分析、识别IT基础架构中潜在的安全威胁，解决深层次的安全问题，并在必要时协同运行中心实施IT安全管理制度上的一些变革。

　　管理标准

　　良好的IT安全保障离不开规范严谨的管理制度，复旦大学信息办在具体落实IT安全保障工作时，还注重从管理制度上规范安全工作的实施，以职责界定清晰并具体的条例和流程指导IT安全管理的实践。

　　信息办制定了《系统安全管理方案》、《数据安全规范管理办法》、《故障恢复及安全维护流程》、《校园网络信息安全应急处置预案》、《密码安全管理办法》等一系列安全条例和流程，保证了IT安全工作的“有章可循，有据可查”。例如：为最大限度保证系统上线后的安全运行，每一系统正式上线前必须制定系统上线运行的标准，并由安全工作小组负责组织实施评审，通过评审的标准则以《系统安全管理方案》文档的形式留存下来，它也是将来系统安全审计的依据。每一系统方案都阐明了整套的安全实施办法，包括定期安全检查制度、系统负载均衡、双机热备、数据备份、应急响应流程、故障恢复流程等。

　　有实施，还需有监督。安全工作小组会定期或不定期对管理操作人员的工作进行审计，审计的内容包括：端口扫描、备份检查、系统补丁检查等；审计后双方需在审计报告上签名，若管理操作人员没按有关安全规范进行操作，则他们应承担相应的网络及系统安全责任。经几轮审计后，管理操作人员还需对发现的不符合项进行整改。此外，安全工作小组还会定期通报安全工作情况。通过这些安全检查和督促措施，信息办有效保持了各网络和系统管理员在安全工作上的警惕性，信息办全体人员的安全意识和责任心也有了很大的改观。

　　技术革新

　　信息办还持续关注IT新技术的发展动向，并选择一系列先进、合理的技术工具和手段来支撑IT安全管理工作，这些技术手段包括：

　　1.使用具备旁路监听技术的设备过滤、限制访问不良网络信息；

　　2.通过网络版、单机版的防病毒软件，以及在线杀毒软件减少病毒的影响；

　　3.使用邮件网关进行垃圾邮件过滤，并根据用户举报分析垃圾邮件特征和设置过滤规则；

　　4.使用专用漏洞扫描软件定期对系统进行漏洞扫描，并生成报告，提醒管理员对存在漏洞的系统进行整改；

　　5.使用双层防火墙防护托管服务器群，并自行开发了基于NetFlow的网络流量监控软件，对服务器进行流量、CPU/内存/IO使用情况监控；

　　6.建立校园网络信息安全服务网站（FDU-CERT）发布计算机病毒预报和安全漏洞等安全公告，分发安全补丁，并提供WSUS服务等；

　　7.建立了异地数据备份和容灾方案、LogServer日志记录和NTP服务器等。

　　举例来说，为了在网络和应用系统出现异常或突发状况时能尽早发现并及时处理，信息办在自行开发的信息服务管理系统（eService）中实现了运行状态监控和多样化通知功能。eService在较短时间间隔内不断对各信息系统和数据库进行检测的机制，可以确定各系统是否发生了故障。当故障发生时提供待办事宜、邮件提醒和短信通知三种快捷程度的通知功能，对于一般事务在系统内发送待办事宜，对于用户服务信息向用户发送邮件通知，对于突发事件则向相关人员发送手机短信通知，如图2所示。

　　由此，信息办不但在用户服务中掌握了一定程度的主动性，安全故障的应急响应能力也从报警向预警的道路上迈出了坚实的步伐。

　　总之，我们应该看到，随着信息资产越来越成为高校最有价值的资产，IT安全保障的重要性不言而喻。单独依靠技术手段实现安全的能力是有限的，IT安全保障工作是一个横跨IT规划、建设、运行和服务各IT生命周期，涉及人员、IT资源、IT流程、IT风险等诸多管理要素的复杂问题。

　　COBIT、ITIL、BS7799等著名IT相关的国际标准给高校实现安全管理的最佳实践提供了很多有益的指导，复旦大学信息办从人员落实、管理标准和技术革新三个角度对IT安全保障体系的建立做了一些有益的探索和实践。

　　但是，我们也看到，提升高校各级领导、行政管理人员和全体师生的整体信息安全意识，培育用户规范的信息安全行为等一系列安全工作的任务还很艰巨。要想真正实现保障“IT基础设施的可用性和连续性，组织关键信息的可用性、机密性和完整性，业务信息处理和交换过程中的可信任性”的根本目标，尚任重道远。