网络资产信息化与安全体系分析_王晓静.pdf

1、Application 创新应用388 电子技术 第 52 卷 第 4 期（总第 557 期）2023 年 4 月护。有的信息化资产管理者缺乏安全意识，不重视软件及相关服务安全保护，认为软件及服务不属于资产，对安全不重视，而信息技术人员则没有掌握软件及服务安全专业知识，从而不能对软件及服务提供商安全防护方案进行有效控制和审计；有的管理人员对计算机设备安全管理办法落实情况也不了解，信息技术人员不清楚计算机设备安全管理相关要求及规范要求，导致部分系统存在安全隐患。（2）信息化设备安全投入不足，导致信息化资产面临更多安全风险。目前，高校内部网络安全设备一般由生产厂商提供，没有专门针对信息化设备的安全

2、投资计划，通常仅根据需求投入少量资金进行投资，安全投入不足，设备出现问题后无法得到及时修复或修补不及时，从而造成设备运行不稳定、不安全等问题。高校内部信息化设备投入不足，没有专门用于安全设备的资金投入，导致在网络安全设备方面投入不足。例如，设备生产厂商将会在信息化设备上增加安全防护设备，增加网络安全设备，从而使得安全设备投入不足，不能及时有效地保障系统正常运行，导致信息安全事故发生的概率加大。在安全设备配置方面，高校内部信息化设备存在不同程度损坏，且没有及时更新，存在“新老0 引言信息化资产成为高校的重要资产，但是由于信息化资产目前还没有形成完整有效的管理机制，使用安全管理机制不完善，安全投入

3、不足，安全体系建设滞后1，导致信息化资产可能成为高校信息安全重要隐患。同时，信息化资产存在安全责任不明确，使用安全缺乏管理机制等问题，信息化资产安全工作难以得到有效的保障。1 研究背景信息化资产存在的主要问题。（1）信息化设备没有形成完整的安全管理机制。在信息化资产安全管理中，管理机制是非常重要的环节。目前大部分信息化设备安全管理机制主要包括三个方面：安全技术措施和网络设备管理方案。安全管理职责划分机制，包括设备配置与使用、资源配置与管理、系统管理与运维等，安全管理人员考核与奖惩机制。目前高校信息化资产管理大多依赖于人工执行，在信息化设备购置过程中有很多人为因素，会造成资产安全管理困难程度。例

4、如，有的高校未建立设备管理人员考核制度，导致设备管理人员责任心不强，工作主动性不足，对设备安全未能充分重视，对设备相关业务系统不能实现有效安全保基金项目：网络资产全生命周期管理研究与应用课题（2021ITA07018）。作者简介：王晓静，呼和浩特职业学院；研究方向：信息技术应用。收稿日期：2022-12-19；修回日期：2023-04-12。摘要：阐述信息化资产管理中的问题，网络资产全生命周期管理的实践，包括信息资产分级分类管理、建立管理体系和制度、信息化资产管理评价体系，探讨信息化资产网络安全体系的优化措施。关键词：信息化资产，计算机工程，网络安全。中图分类号：TP393.08文章编号：10

5、00-0755(2023)04-0388-03文献引用格式：王晓静，陈玉英.网络资产信息化与安全体系分析J.电子技术,2023,52(04):388-390.网络资产信息化与安全体系分析王晓静1，陈玉英2（1.呼和浩特职业学院，内蒙古 010010；2.中国联合网络通信有限公司内蒙古自治区分公司，内蒙古 010020）Abstract This paper expounds the problems in information asset management and the practice of network asset lifecycle management,including i

6、nformation asset classification management,establishment of management systems and systems,information asset management evaluation system,and exploration of optimization measures for information asset network security system.Index Terms information assets,computer engineering,network security.Analys

7、is of Network Asset Informatization and Security SystemWANG Xiaojing1,CHEN Yuying2(1.Hohhot Vocational College,Inner Mongolia 010010;2.China United Network Communications Co.,Ltd.,Inner Mongolia Autonomous Branch,Inner Mongolia 010020,China.)Application 创新应用电子技术 第 52 卷 第 4 期（总第 557 期）2023 年 4 月 389结

8、合”管理等情况。由于安全设备本身存在系统漏洞等风险，需要定期更新设备安全漏洞内容，才能进行下一步工作。（3）信息化设备安全防护措施不力，造成安全隐患。由于缺乏对信息化设备安全防护措施不力，导致信息安全隐患不断。从管理角度看，目前，高校信息化设备使用与安全管理制度执行不一致，安全防护措施不到位，使用不规范，管理不到位，导致信息化设备出现安全漏洞，而一些黑客利用这些漏洞攻击设备。从安全防护角度看，网络防火墙存在不完善问题，部分网络安全防护措施未能及时更新；终端防火墙设置不合理，有的仅能保护终端用户（如身份认证），有的只保护用户与外网设备（如电脑）交互使用时的访问控制功能，没有对终端安全进行检测和防

9、范；数据库管理平台存在安全漏洞，数据不能被篡改、保存等。从技术防护角度看，部分技术防护手段不到位，如未及时更新漏洞管理平台；未对内网数据库管理平台进行监控；内网数据库管理平台没有进行数据库安全管理等。从使用角度看，高校信息化设备普遍存在安全管理意识不强、安全防护措施不力等问题。（4）信息化资产安全管理体系建设滞后。当前，高校的信息安全管理体系尚不完善，管理体制有待完善。信息化资产管理体系建设主要集中在信息系统管理员的岗位设置上，缺少了安全管理人员，缺乏安全知识。信息化资产安全管理工作需要人员专职和兼职相结合，很多单位信息化资产安全管理工作还是由其他工作人员来完成，缺乏信息安全管理人员，难以保证

10、信息安全工作有人管。2 网络资产全生命周期管理的实践为应对信息化资产向高校生产经营业务资产转变的挑战，我国各地区相继出台了一系列信息安全管理相关法规。北京、天津、山东、湖北和河南等地都出台了相关法规政策，如关于加强互联网与经济社会发展安全协调管理的意见互联网安全信息技术管理办法关于加强网络信息安全建设工作的通知网络信息安全事件应急处置预案等。但对于如何做好信息化资产管理提出了很多新理念、新方法。例如网络安全技术措施指南指出：网络安全能力建设应贯穿于网络管理过程中，实现网络安全能力资源共享。信息安全事件应急处置预案指出：信息安全事件发生后，应根据网络安全法规定做出响应并采取相应措施；在接到上级机

11、构、高校相关部门通知后，第一时间启动应急处置预案工作；网络管理人员第一时间对其进行技术支持和培训2。（1）开展信息资产分级分类管理。对信息资产按照网络安全等级保护制度要求，结合高校业务特点、技术架构、管理需求等对其进行严格分析评估，根据网络安全等级保护制度要求实施细则明确划分安全等级，并建立信息资产安全等级保护制度；对信息资产实施分类管理，根据信息资产特点制定安全防护措施，采取相应安全措施；在此基础上再根据信息资产安全风险等级制定信息资产安全应急处置预案。高校信息资产分为核心资产及非核心资产。核心资产包括核心信息系统软件及硬件、核心业务系统硬件与软件等，主要用于支撑高校内部业务流程；非核心资产

12、包括信息系统运维服务外包软件及服务外包等，主要用于支撑高校各类日常工作与经营活动；信息资产主要用于为高校提供新技术支撑及服务。（2）建立管理体系和制度。根据国家相关法规和政策，结合高校实际情况，对高校信息化资产的安全管理进行了统筹规划，制定了相应的管理体系和管理制度。建立了信息化资产管理工作领导小组,领导小组下设办公室,负责日常工作管理，负责信息化资产风险评估，协助制定信息化资产管理计划。领导小组下设安全管理办公室，负责统筹组织、协调与指导相关信息安全管理工作。（3）开展专业能力建设。对高校信息系统的安全专业人员进行教育培训是开展网络安全专业能力建设面临的一个重要问题。高校在信息系统的安全专业

13、人才培养中，可以把培养学生与信息系统安全相关的岗位实践相结合，建立实践基地，让学生到企业、公司等信息安全企业去进行体验式教学。学生毕业后可以到高校去当教师，在教学过程中，通过理论与实践结合的方式帮助学生提高分析问题和解决问题的能力。对从事网络安全、电子商务等专业技术工作的人员也可以组织一些相关培训活动来提高他们所从事的信息系统管理岗位及相关岗位的能力。通过加强培训和实践来为学生提供更多的实训机会，让学生到企业去锻炼并获取企业真实生产过程中所需的经验和知识，以满足他们自身成长发展所需要。通过加强高校网络安全专业建设、提高其从业人员素质和教学水平来满足这些新需求是当务之急。（4）建立信息化资产管理

14、评价体系。信息化资产管理评价体系，是对高校信息化资产管理情况进行评估、分析和总结发现的有效工具。通过信息化资产管理评价体系建设，在管理层面有效提升信息化资产管理工作水平，实现资产全生命周期精细化管理，推动高校信息化资产的持续健康发展。信息化资产管理评价体系以信息化资产价值为出发点，以信息化资产安全为核心，采用定性与定量相结合的方式对信息化资产信息安全管理过程进行评价分析。通过信息化资产年度报告将年度信息化资产消耗情况进行可视化展示，客观反映信息化资产管理情况。根据信息化资产信息安全管理效果指标体系评估结果，依据得分情况，及时制定完善Application 创新应用390 电子技术 第 52 卷

15、 第 4 期（总第 557 期）2023 年 4 月资产管理方案与措施，全面落实各项资产管理措施力度；针对信息化资产在安全管理上存在责任不落实等问题开展专项整治，全面提升信息安全防护能力。对信息化资产日常管理中存在履职不到位、不及时发现信息安全事件、风险管理不到位等问题进行监督控制，及时消除风险隐患；针对信息化资产风险及安全隐患，组织开展自查整改活动，完善整改措施；加大信息化资产安全投入，提升信息化资产安全保障能力；针对信息化资产与业务资产不同特点、安全防护需求相匹配情况等进行分析诊断发现问题隐患，有针对性开展重点整治提升。3 信息化资产网络安全体系的优化措施基于对信息化资产安全工作的深入研究

16、，提出以下建议：（1）完善资产使用安全责任体系：以信息化资产为基础，构建安全责任体系，明确责任人，落实责任制。（2）构建资产使用安全管理机制：建立资产使用安全规范、安全使用记录标准、安全使用评估制度等管理制度，明确资产使用安全责任。（3）强化资产使用安全保障：建立包括数据加密制度、电子数据交换（EDI）制度等技术措施，加强安全管控3。（1）以需求为导向，推动信息化资产使用安全工作。各单位对信息化资产的需求是在不断变化的，需要及时掌握信息化资产信息，并根据需求制定相应的制度，加强对资产的管理，提升资产使用安全性。如需对现有信息系统中的资产信息进行整合，对现有信息系统中的资产信息进行梳理，结合各单

17、位实际情况进行资产管理，从而实现资产资源共享。此外，还需对已有信息系统配置进行梳理，针对存在问题进行整改，建立有效的管控机制。同时，还需建立相关制度与机制，为信息化资产使用提供安全保障，促进资产在使用中安全。（2）以技术为支撑，确保信息化资产安全使用。要以确保安全生产为核心，技术作为支撑，以信息技术为支撑，形成全方位的安全防护体系。建议结合行业信息化发展趋势，依托云平台，搭建高校信息资源共享平台，利用电子政务资源，实现信息资源统一管理、统一服务，推动信息资源有效共享，提升安全保障能力4。建议按照“谁主管谁负责”和“谁审批谁负责”原则，制定信息化资产管理办法。以信息安全为核心，加大信息技术投入，

18、加强信息技术应用，提高信息安全防护能力。要建立信息化资产管理体系，构建资产使用安全管理机制。（3）以创新为驱动，建立信息化资产安全使用管理体系和技术措施，保障资产安全健康运行。建立基于信息化资产网络安全工作的新技术手段，从制度、标准、操作、应用等方面着手，构建安全管理体系。重点关注数据加密设备、终端管理设备、数据库等管理系统的技术方案设计与应用，建立多层级、多功能的安全使用技术体系，形成技术支撑架构、技术解决方案与技术支撑体系协同运行机制，以保证安全用网5-8。完善以信息化资产管理系统为基础的资产管理体制，在制定信息化资产管理实施细则和信息化资产使用规范中应充分考虑信息化资产安全使用的特点及管

19、理要求，以更好地保证信息化资产安全健康运行。完善信息化资产使用管理体系，完善信息化资产安全检查制度，加强信息化资产使用安全评估工作力度，切实做到定期组织开展安全检查工作；完善信息化资产安全使用技术体系，严格落实信息化资产使用安全管理制度和技术措施，进一步提高安全管理水平和技术保障能力；加强信息化资产使用管理技术和应用研究，信息化资产安全工作方法与技术机制，完善信息化资产安全使用技术与应用创新研究，提升信息化资产安全管理能力；加强信息化资产使用安全管理技术体系建设，确保信息化资产安全健康运行。4 结语随着高校信息化资产数量的快速增长，信息化资产的安全问题日益突出，需要高校强化对信息化资产的安全管

20、控。因此，在高校信息系统安全建设过程中应建立一套完善的信息化资产信息安全管理体系，明确各岗位人员的安全责任，加大投入力度，加强业务建设的连续性，切实保障信息化资产信息安全。参考文献1 司成伟,赵全洲.构建基于信息化资产的网络安全工作体系J.数字通信世界,2019(09):111-113.2 姬莉,孙美玲,王梦鹿.一种基于网络的信息 安 全 服 务 管 理 系 统 及 方 法 P .中 国：CN109936564A，2019.3 王静.当前我国企业信息化建设中的网络安全问题研究J.行政事业资产与财务,2014(06):224.4 曾昊川.高校信息化建设中网络安全管理与对策研究J.网络安全技术与应用,2022(03):83-84.5 邹捷.高校信息化建设中网络安全管理与对策研究J.数字通信世界,2021(11):164-166.6 张能.企业信息化建设中的网络安全管理问题J.计算机与网络,2019,45(08):56-57.7 黄铁兵.计算机网络系统中的信息安全策略分析J.集成电路应用,2022,39(10):112-113.8 张光勇.网络信息安全技术在高校信息化建设中的应用J.电子技术与软件工程,2018(07):206-207.