美国高校信息安全管理情况分析与启示

美国高校信息安全管理情况分析与启示吴海燕苗春雨蒋东兴wuhy@cic.tsinghua.edu.cn（清华大学计算机与信息管理中心100084）摘要：信息安全是高校信息化可持续发展的重要保障，信息安全在经历了技术浪潮、管理浪潮、制度浪潮三个发展阶段，以体系化的方式实现信息安全已经得到了业界的认可。本文调研了美国部分知名高校的信息安全管理部门的名称、组织方式、管理内容以及技术措施，并总结了我国高校信息安全管理者可以借鉴的几个特点。关键词：美国高校信息安全管理TheAnalysisandInspirationofInformationSecurityPracticeinU.S.UniversitiesWuHaiyanMiaoChunyuJiangDongxing（Computer&InformationCenter,TsinghuaUniversity,100084）Abstract：Informationsecurityisanimportantguaranteeforsustainabledevelopment,informationsecurityhasexperiencedinthetechnologywave,themanagementwave,andtheinstitutionalwave.Gaininformationsecuritybymeansofarchitecturalwayshasbeenrecognizedbyindustry.Inthispaper,thename,organization,management,contentandtechnicalmeasuresofsomewell-knownU.S.university'sinformationsecuritymanagementdepartmentisintroduced,aswellasseveralspecialfeatureswhichChina'scollegesanduniversitiesinformationsecuritymanagerscanlearnaresummarized.KeyWords：U.S.UniversitiesInformationsecurityManagement1引言随着高校信息化建设的不断深入，信息成为对高校组织业务至关重要的一种资产，信息安全也受到了越来越大的关注，如何保障个人隐私和重要数据不被泄漏成为信息管理部门重要的职责。高校由于其业务涉及面广、信息量大、环境复杂、人员变化快等问题，对信息安全的保护提出了更高的要求。信息安全工作的目的是保护信息免受各种威胁的损害，以确保业务连续性、业务风险最小化，投资回报和组织利益最大化。信息安全的目标是保证信息的保密性（confidentiality）、完整性（integrity）和可用性（availability）；另外也可包括诸如真实性(authenticity)、可核查性(accountability)、不可否认性(non-repudiation)和可靠性(reliability)等。随着人们对信息安全的认识不断深入，信息安全实践也在不断的发展。Basievonsolms教授将信息安全的发展因三个标志性的飞跃划分为三个阶段。第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全，例如访问控制、身份鉴别和口令等。这时人们没有认识到管理的重要性，信息安全策略、信息安全意识等没有被考虑，相应地，人们认为信息安全是技术人员的责任，而不需要全员参与。第二阶段，管理浪潮。分布式计算和网络的发展使得高层管理人员开始关注安全问题，关于信息安全的文件化规定迅速发展起来，信息安全方针、信息安全经历、信息安全架构等都成了重要的方面。比较技术控制阶段，这个阶段使得高层管理人员参与到信息安全中来，很多组织都设置了信息安全经理的职位。第三阶段，制度浪潮。随着信息安全的发展，人们很自然地关心自己的组织比起其他的组织来信息安全活动是否成功？这就引发了第三次浪潮，既以体系化的方法实现信息安全。其中包括四个不同的方面：信息安全标准化，或者遵守国际上信息安全的最佳实践与控制措施集。标准可以解决用户“如何得知在实践中漏掉了哪些方面”。信息安全认证。认证可以解决“怎么向合作伙伴证明组织的信息安全”或者“一个什么样的合作伙伴才能接入自己组织的系统”。培育组织自己的信息安全文化。信息安全文化可以消除“组织内部用户是组织的最大敌人”的问题。应用持续和动态的手段来测量组织的信息安全。测量可以解决“组织的信息安全方针，程序等执行情况如何”。我国高校信息安全工作起步较晚，目前大部分高校还处于主要通过技术手段保障信息安全的阶段。而美国高校因为信息化起步早，在信息安全方面也处于领先位置，很多高校已经成立了与传统的信息化建设部门（如ITS）平级的、专门的信息安全管理部门，统筹信息安全相关的管理工作，逐步建立完善高校的信息安全体系。本文对Stanford大学、Harvard大学和Berkeley大学等美国部分知名高校的信息安全管理情况进行了调研，介绍了这些高校信息安全管理部门的名称、组织方式、管理内容以及技术措施等，希望对国内高校的信息安全管理工作提供参考，促进国内高校信息安全管理工作的发展，实现高校信息化的可持续发展。2信息安全管理部门情况2.1部门名称随着对信息安全的重视程度日益提高，在美国的知名高校中都成立了专门的信息安全管理部门。由于关注重点、管理范围和组成方式的不同，各个高校对管理部门的命名上存在不同，但一般都包括“information”、“security”两个关键词，有些高校还将“privacy”、“technology”涵盖进了部门名称中，详细名称参见表1。表1美国部分高校的信息安全管理部门名称高校名称信息安全管理部门名称在CIO体系中的位置（与ITS部门的关系）Harvard建立信息安全和隐私网站（InformationSecurityandPrivacy），在CIO体系中没有独立的信息安全管理部门CIO办公室制定信息安全策略，ITS部门负责策略的执行Berkeley最初被称为信息安全委员会（InformationSecurityCommittee，与ITS共同隶属于CIO办公室，受CIO的直接领导CISC），2006年10月改为信息安全和隐私委员会（InformationSecurityandPrivacyCommittee，CISPC）；Stanford信息安全办公室（InformationSecurityOffice，ISO）与ITS共同隶属于CIO办公室，受CIO的直接领导TheUniversityofTexasatDallas信息安全办公室（InformationSecurityOffice，ISO）与ITS共同隶属于CIO办公室，受CIO的直接领导印第安纳大学信息技术安全办公室(InformationTechnologySecurityOffice，ITSO）与ITS共同隶属于CIO办公室，受CIO的直接领导2.2部门隶属关系美国高校于20世纪90年代中期开始了CIO体制的实践探索1990年美国克莱蒙特大学的KennethC.Green教授首次提出了“CampusComputing”（校园信息化）的概念，并于同年开始了针对美国高校信息化的研究项目：CampusComputingProject(CCP)。该项目至今已持续18年，是目前世界上最有代表性的高校信息化研究项目。CCP2006年的调查报告显示，目前有30％的美国高校建立了基于CIO的信息化组织体制。我们此次调研的美国高校都已经建立了比较完善的CIO体系，因此我们将从信息安全管理部门在CIO体系中的位置、与传统的ITS部门之间的关系两个角度来分析信息安全管理部门在学校中的隶属关系。我们分析了Harvard、Berkeley、TheUniversityofTexasatDallas、印第安纳大学的CIO组织体系图，发现在这几所高校，信息安全管理部门都是直接向学校的最高管理部门负责，与ITS是平级或者是ITS的上级单位，具体如表1所示。例如，在Stanford，ISO通过商业事件执行主席（theVicePresidentforBusinessAffairs）或首席财务官（ChiefFinancialOfficer）的办公室直接向学校的高级管理部门汇报。在Berkeley，CISPC是由学校的首席信息官（ChiefInformationOffice，CIO）发起，并向学校安全和隐私负责人（campusSecurityandPrivacyOfficer）汇报。而在印第安纳大学，ITSO则是直接向学校的CIO和ITPolicyOfficer负责。2.3部门组织方式根据职责的需要，不同高校的信息安全管理机构的组织方式存在着差异。在大部分高校中，信息安全管理机构是一个实体，有固定的组织机构和人员。有些高校的信息安全管理机构还有自己的开发人员和维护人员，负责相关系统的开发、数据的管理、以及对引进软件的审核等。图1是印第安纳大学的CIO体系的组成结构图。从图中我们看到，ITSecurityandPolicyOfficer向CIO汇报，协调IT策略相关问题，为技术的部署和使用问题提供咨询，处理事件响应，推行用于捍卫大学的安全措施，例如阻断恶意网络流量、隔离不安全的设备等。SecurityOffice向PolicyOfficer和CIO汇报，在技术方面为CIO提供建议和意见，协调安全技术方面资源；其它IT组织也向CIO汇报，他们确保其自身的信息安全处于良好的状态，而且必须准备提供援助，帮助院系解决安全问题，甚至提供院系所需的相关备用服务。VP/CIO数据管理办公室应急管理办公室图2印第安纳大学的CIO体系图但也部分的学校，其信息安全管理部门并没有固定的人员编制，以委员会的方式进行组织。例如在Berkeley大学，CISPC由CIO发起，每个成员的任期为1年。在成员中通过投票选出执行主席，执行主席的任期为2年，但在第二年起转为普通成员。所有的决议由成员投票决定，参加投票的成员必须超过全体成员的70%，且需要成员本人参加投票才有效。此外，CISPC对成员的组成和投票资格都有限制。3部门使命和职责调研中发现，美国高校信息安全管理部门涉及的范围很广，从计算机软件、数字媒体的版权，到保密数据、重要数据、个人隐私数据（银行帐号、社保基金账号、身份信息、电子邮件等）的保护，以及不同数据、服务器的分级、分类以及保护策略等。总的说来，所有的这些信息安全部门的使命都是通过主动的安全分析、风险控制，保护学校的计算机和信息资产，包括重要的理论数据和研究成果，以及涉密数据、合同、财务、报酬和个人隐私等数据不被泄漏或违法使用。具体职责各个学校不尽相同，但一般都包括信息安全体系规划、信息安全策略制定、信息分级保护、安全风险管理、信息安全事件响应、信息安全措施实施协调、信息安全文化培育几个方面：信息安全体系规划：建立系统化、程序化和文档化的安全管理体系以及相应的技术措施规划；信息安全策略和操作规范制定：建立大学的信息安全策略（关于信息安全的整体强制指导原则），在信息安全策略的指导下，制定操作规范；安全风险管理：对大学信息和信息处理设施的威胁（Threat）、影响（Impact）和薄弱点（Vulnerability）及其发生的可能性的评估，并进行相应的风险控制；信息分级保护：根据信息的保密性、重要性等对信息进行级别划分并提出相应的防护要求，级别数量各大学各不相同，但一般划分为3级；安全事件响应：安全事件的响应、调查和汇报；信息安全文化培育：包括对师生的安全教育、培训、讲座等。一般来说信息安全管理部门会制定大学的信息安全策略（包括总体策略和一些具体策略，如email安全使用策略等）和安全操作规范，表2中，我们对UTDallas大学和Harvard大学的主要安全策略和操作规范进行了比较。表2：安全策略和操作规范列表与比较UTDallas大学H