复旦大学IT安全保障工作三大实践.docVIP

复旦大学 IT安全保障工作三大实践 前言 　　网络在提高管理效率，促进教科研发展、方便校园生活的同时，网络中的各种安全问题也层出不穷，提高IT安全的建设和管理水平已成为高校信息化建设中不容忽视的重要工作内容，复旦大学也正在尝试着自身的IT安全保障体系的建设。 　　复旦大学校园信息化办公室（以下简称“信息办”）在进行信息化校园建设的同时，一直非常重视网络信息安全的建设和管理工作。几年来，围绕着“依托技术优势、规范管理制度和健全保障体系”的IT安全建设方针，复旦大学正逐步建立起一套比较完整的信息化校园网络和应用系统安全保障体系，以保证学校教科研、管理和各种校园生活信息化应用的正常运行。复旦大学IT安全的建设主要展开了以下实践。 　　人员落实 　　2001年夏，复旦大学率先在全国高校中进行IT组织结构的调整，成立了实体化的信息办，统一负责学校信息化建设的规划和实施。成立伊始，信息办下属网络、信息和培训三个中心就非常重视在各项IT安全工作中的分工合作。 　　为将IT安全工作推向规范化的道路，信息办还依托虚拟团队模式，成立了“网络信息安全领导小组”和“安全工作小组”。前者由信息办主任、副主任和各中心的主任组成；后者则从信息办下属的各中心抽调对网络、信息系统安全技术比较精通的技术骨干7人组成。安全领导小组、安全工作小组和各中心安全工作执行人员分别从决策、监督和具体执行三个层面为IT安全工作提供人员保障，各层面人员分工合作，并实施安全事故/故障的分级处理和上报机制，有效和最大限度地保障了网络基础、系统开发建设和运行维护等方面的安全。 　　2005年7月，信息办将原由各中心人员轮流承担的用户接待和分散于各中心的运行维护工作分离出来，在原培训中心基础上成立了统一负责用户服务和日常运行工作的运行培训中心（以下简称“运行中心”）。该中心的成立既是信息办增强IT服务意识的体现，也是努力提升IT服务管理水平的重要举措。它与调整后的网络和信息中心各司其职、分工协作，在使信息化校园的建设开发和运行服务工作均走上了专职化发展道路的同时，也实现了信息化校园服务的三线支撑模式，图1为三线服务中的IT安全管理工作。 　　运行中心成立之初就建立了用户服务台制度，在作为一线服务对用户提供集中、专职的服务联络点同时，它也是接触用户IT安全问题的始发点。如网络流量监控、系统升级、数据备份等日常安全保障工作成为运行中心对IT基础设施进行运行维护的重要内容。网络和信息中心在集中精力进行网络建设和应用系统开发的同时，也可以持续关注IT安全领域技术的革新，分析、识别IT基础架构中潜在的安全威胁，解决深层次的安全问题，并在必要时协同运行中心实施IT安全管理制度上的一些变革。 　　管理标准 　　良好的IT安全保障离不开规范严谨的管理制度，复旦大学信息办在具体落实IT安全保障工作时，还注重从管理制度上规范安全工作的实施，以职责界定清晰并具体的条例和流程指导IT安全管理的实践。 　　信息办制定了《系统安全管理方案》、《数据安全规范管理办法》、《故障恢复及安全维护流程》、《校园网络信息安全应急处置预案》、《密码安全管理办法》等一系列安全条例和流程，保证了IT安全工作的“有章可循，有据可查”。例如：为最大限度保证系统上线后的安全运行，每一系统正式上线前必须制定系统上线运行的标准，并由安全工作小组负责组织实施评审，通过评审的标准则以《系统安全管理方案》文档的形式留存下来，它也是将来系统安全审计的依据。每一系统方案都阐明了整套的安全实施办法，包括定期安全检查制度、系统负载均衡、双机热备、数据备份、应急响应流程、故障恢复流程等。 　　有实施，还需有监督。安全工作小组会定期或不定期对管理操作人员的工作进行审计，审计的内容包括：端口扫描、备份检查、系统补丁检查等；审计后双方需在审计报告上签名，若管理操作人员没按有关安全规范进行操作，则他们应承担相应的网络及系统安全责任。经几轮审计后，管理操作人员还需对发现的不符合项进行整改。此外，安全工作小组还会定期通报安全工作情况。通过这些安全检查和督促措施，信息办有效保持了各网络和系统管理员在安全工作上的警惕性，信息办全体人员的安全意识和责任心也有了很大的改观。 　　技术革新 　　信息办还持续关注IT新技术的发展动向，并选择一系列先进、合理的技术工具和手段来支撑IT安全管理工作，这些技术手段包括： 　　1.使用具备旁路监听技术的设备过滤、限制访问不良网络信息； 　　2.通过网络版、单机版的防病毒软件，以及在线杀毒软件减少病毒的影响； 　　3.使用邮件网关进行垃圾邮件过滤，并根据用户举报分析垃圾邮件特征和设置过滤规则； 　　4.使用专用漏洞扫描软件定期对系统进行漏洞扫描，并生成报告，提醒管理员对存在漏洞的系统进行整改； 　　5.使用双层防火墙防护托管服务器群，并自行