● 摘要
互联网的迅速发展缩小了世界范围内的沟通,促进了信息化网络的构建,使信息传输和加工跨越了时间、空间的限制。校园网作为互联网发展的一种形式,为高校教学、办公和科研等活动及师生日常生活提供了十分便利的条件。但是校园网络的发展也是一把双刃剑,随着局域网与外网的联系日益增多,校园网安全管理问题日益突显,严重影响了师生的教学科研工作。因此需要对校园网进行安全防护研究。
目前在安全管理领域里多采用ISO27000系列标准对信息系统内部安全进行评估和管理,但是由于ISO27000标准本身的局限性,在安全策略的提出上不完善,在其核心控制领域中,没有对任何一个领域或控制目标的权重分配,导致在进行风险评估时,没有一个标准依据来对控制目标进行加权,不同的评估人员得出的评估结果可能也不相同,在实施时需要对评估人员进行培训,增加了实施安全管理的难度和成本。因此本文选用一种新的标准---德国基线保护手册(ITBPM)来建置校园网安全防护体系。
论文详细介绍了德国基线保护手册(ITBPM),指出ITBPM以信息资产作为安全管理的基础,说明目前资产可能面临的威胁有哪些,需要采取哪些标准安全防护措施,即遵循“资产-威胁-控制措施”的流程来建置信息系统安全防护体系,并依据相关分类方式,将信息资产分层次再分模块,每一模块有一组建议的标准安全防护措施,遵照标准建议的安全防护措施可建置符合组织要求的信息安全管理系统。论文详述了ITBPM之后与目前较为通用的ISO27000系列标准在实施流程,标准内容和应用现状上进行了对比,提出ITBPM在安全策略上具有显著优越性,操作流程简捷且管理成本较低。
论文选用校园网作为研究对象,以陕西师范大学国际商学院机房为例,利用科学的调研方法识别机房目前的安全状况并列出机房的信息资产,以资产做为安全管理的基础,识别资产潜在的威胁,并提出相应的安全策略制定安全计划并实施计划,希望以此方法解决校园网长期存在的安全问题。
为了验证依据ITBPM建立的机房安全防护体系可以有效降低资产的风险,论文采用风险评估的方法机房资产进行风险评估,对比实施前后的风险值说明依据ITBPM建置的安全体系可以有效地降低系统的风险,制定的机房安全策略可以解决机房长期以来的安全问题并保障了业务的连续性。