| 标题 | 基于全生命周期安全管理的高校业务系统管理方案设计 |
| 范文 | 金纯 摘要:当下高校业务系统建设混乱。为了提升业务系统的安全性,须要对业务系统的整个生命周期进行有效的安全管理。该文提出一个对业务系统全生命周期进行安全管理的方案,旨在提升高校业务系统安全管理的能力。 关键词:全生命周期;信息安全;业务系统管理;安全管理 中图分类号:G642 文献标识码:A 文章编号:1009-3044(2019)12-0105-02 开放科学(资源服务)标识码(OSID): Management Scheme Design of information System in Colleges and Universities Based on Life Cycle Safety Management JIN Chun (East China University of Politics and Law, Shanghai 201620, China) Abstract: At present, the construction of university business system is confused. In order to improve the security of business system, it is necessary to carry out effective security management for the whole life cycle of business system. This paper puts forward a management plan for the whole life cycle of business system, aiming at improving the ability of business system safety management in Colleges and universities. Key words: Life cycle; Information security; Information system management; Safety Manager 1 高校应用系统建设现状和信息安全管理现状 在信息时代的大背景下,高校信息化程度在不断提高,信息系统建设各式各样,业务系统数量众多。高校的教学环境和办公条件得到了不断提升和改善,广大师生的工作效率得到了提高,学习和生活也变得更为便捷。与此同时,一系列的信息安全问题也随之产生,提升高校业务系统信息安全管理的能力迫在眉睫。目前,高校信息安全的管理主要存在以下几点问题:1)信息化统筹的管理和建设基础薄弱。息化管理部门,信息技术支撑部门,业务部门之间对信息系统建设的目的,步调也存在差异,很难评估和审核所有信息系统的安全状况。 2)信息系统全生命周期管理滞后。部分业务系统未在开发时考虑安全需求,安全漏洞存在整个系统的生命周期。而重视建设忽略维护的惯性使得很多信息系统处于无人管理状态,甚至出现了“僵尸”网站,导致了不安全因素的发生。3)网络安全工作仍侧重应急响应。网络安全工作的主要内容停留在信息和安全事件的应急处理和整改监督上,容易忽略事前的预警和管控。4)网络安全工作主动性较弱。整个学校信息系统管理混乱,职责不明确,导致对信息安全的重视普遍不足。 2 应用系统全生命周期安全管理内容 信息系统生命周期是指信息系统在实际使用过程中需要不断的修改、维护,按照产生、发展、成熟、消亡(更新)的过程进行周期循环。从信息安全管理的角度看,信息系统生命周期可以划分为需求分析阶段、设计和开发阶段、部署阶段、验收上线阶段、日常维护阶段、关闭阶段共七个阶段。每个阶段都有安全工作内容的工作重点: 1)需求分析阶段。我们需要确定应用安全、数据安全、安全审计、访问控制等要求,而且需求的固定不得随意更改。 2)设计和开发阶段。检测开放所使用的编程语言,开发框架,数据库,中间件,服务器软件,开源软件情况以及自主开发的插件情况等。厂商需要在遵循安全开发原则的基础上,在完成功能测试后,还要进行网络安全方面的测试。 3)部署阶段。进行安全策略的设置,厂商部署后由校方进行审核修正。网络安全策略的配置主要涉及服务器端口、访问控制策略、堡垒机配置、病毒查杀、Web应用防护策略。对于不同类别、不同用途以及不同建设阶段的服务器,需要配置不同的安全策略,以满足其相应的安全管理需求。 4)验收上线阶段。厂商需要提供第三方的安全检测报告。 5)日常维护阶段。定时对服务器巡检,处理异常情况,并修复。形成巡检报告,异常报告以及bug修复的记录等。如果遇到系统需要升级,需要在升级后对系统重新进行安全检测和评估,并详细记录安全策略的变化,以保证升级后系统的安全运行。 6)关闭阶段。妥善处理相应权限的撤销以及残留数据的销毁等,同时还要对服务器资源进行回收,避免形成僵尸系统,并做好信息系统关闭记录。 3 高校业务系统管理方案设计 基于目前高校信息化建设存在的问题,以及全生命周期安全管理的需要,我们提出一个针对高校业务系统安全管理的建设方案。 1)功能介绍 高校业务系统管理主要是通过对学校所有在建的和已建成的业务系统进行全生命周期的跟踪,动态了解每个系统的当前安全状态并精准解决系统安全隐患。从而实现对学校所有业务系统的安全监控,确保业务系统的信息安全。同时,掌握所有业务数据的内部流动及支撑查询、统计管理功能。系统基础数据及业务操作产生的数据沉淀后可作为信息系统的基础数据支撑更加复杂的线上业务申请、审核、管理等。 2)模块设计 3)应用系统基础数据管理 应用系统基础数据管理模块主要是对学校所有应用用系统的管理。包括应用系统的添加、应用系统基本信息的维护等。数据来源主要是各系统负责人在线录入或批量导入。页面内容主要有:系统负责人员可根据自身负责的系统情况在此页面录入、查看及管理系统信息,页面信息包括,系统名称、URL、外网地址(若没有则为空)、内网地址、系统功能描述、系统负责部门、系统负责人、负责人联系方式、是否已开放外网、部署位置,生命周期阶段,安全状态等信息。页面内容根据当前登录人信息仅呈现当前登录人本人录入的信息系统的数据。 4)业务系统安全管理 业务系统安全管理主要是通过记录业务系统在各个生命周期里的安全事件,达到对业务系统的安全管理。从新增一个业务系统开始,该业务系统在生命周期的每个阶段,业务系统负责人必须完成所有该项目的安全任务,提交出相应的文档,才能进入下个生命周期阶段。每个安全任务都会触发该业务系统的安全状态的变化,为从方便业务系统负责人和学校信息系统安全员了解当前业务系统的安全情况。 5)數据统计分析管理 数据统计分析管理主要功能是对业务系统进行查找,归类,分析和统计。安全管理员可以快速查找出某个业务系统的安全状态,或者统计出所有有安全隐患的系统,快速形成安全报告,方便精准对每个业务系统的安全隐患做出解决方案。 4 结束语 高校在高速信息化建设的同时,并没有很好地对各业务系统进行安全管理。建立一套基于全生命周期信息系统管理方案势必提升信息安全人员管理各业务系统安全的能力,从而降低高校发生安全事件的风险。 参考文献: [1]吴晓东. 信息安全技术在工程项目管理中的应用[J]. 中国战略新兴产业, 2017(16). [2]张达. 教育管理信息系统信息安全运维体系建设[J]. 科技资讯 2017(34):16. [3]刘述忠 软件研发中的信息安全管理[J].中国金融电脑,2016(5). 【通联编辑:王力】 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。