高校信息系統安全等級保護研究

劉澤華

[摘 要]由于信息系統自身的特點和網絡環境的復雜性，高校信息系統安全威脅日益凸顯，網絡安全形勢日益嚴峻。為保障高校信息系統安全運行，提高辦學效率和質量，本文深入研究了信息系統安全等級保護的內容，高校信息系統安全等級保護的現狀、實施流程，建立了完整的高校信息系統等級保護體系。

[關鍵詞]高校；信息系統；安全等級；保護

doi：10.3969/j.issn.1673 - 0194.2016.08.112

[中圖分類號]TP309 [文獻標識碼]A [文章編號]1673-0194（2016）08-0-02

隨著信息技術的迅猛發展和計算機網絡的快速普及，信息系統在各行業、各領域得到廣泛應用。高校作為學術研究的重要陣地，信息化建設高速開展。校園網、信息系統的建立，為學校教學、科研和管理提供資源共享、信息交流和協同工作的網絡平臺，并且已成為高校信息化建設的重要組成部分，同時也是衡量一個高校教育信息化、現代化的重要標志。大數據、云計算、“互聯網+”等新技術出現的同時，偽基站、BIOS（基本輸入輸出系統）后門、木馬僵尸、SQL（結構化查詢語言）注入、DDOS（分布式拒絕服務）攻擊等各類網絡攻擊層出不窮、攻擊方式變異頻繁，因此，保障網絡與信息系統安全，已成為高校信息化發展中迫切需要解決的重大問題。

1 信息系統等級保護

信息網絡的全球化使信息網絡的安全問題日益嚴峻，任何與互聯網相連接的信息系統都必須面對世界范圍內的網絡攻擊、數據竊取、身份假冒等安全問題。信息系統安全最重要的3個屬性是機密性、完整性與可用性。

信息系統等級保護的核心是對信息系統分等級、按標準進行建設、管理和監督。根據信息系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的危害程度，針對信息的機密性、完整性和可用性要求及信息系統必須要達到的基本安全保護水平等因素，信息系統的安全保護等級分為以下五級：第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

2 高校信息系統安全現狀

為保證高校信息系統安全性，對信息系統按重要程度、數據的機密性等進行不同等級的劃分并按級別進行保護是必要的。目前，高校信息系統的安全等級保護主要存在以下幾個問題。

第一，思想認識不到位。部分高校對信息系統安全等級保護工作認識不足，認為信息系統定級過高會提高管理成本，造成不必要的麻煩。

第二，在信息安全方面的資金投入不足，等級保護工作整改不到位。部分高校學校經費緊張，信息化建設主要投資在校園網絡的基礎設施，針對網絡安全方面的專項投入不足。

第三，未建立相應的安全管理機構和安全管理制度，一些必要的管理制度沒有制定。此外一些管理制度修訂不及時，已經不能滿足當前系統安全管理的需求。

第四，專業技術力量較弱，技術防護與制度落實不徹底。部分高校網管人員專業技術力量較弱，一些不屬于網絡中心的網絡處于無人監管的狀態。

第五，部分二級單位對本單位的信息系統及網站底數不清，依然存在各自為政開設網站的情況，安全防護也不統一。此外，還存在科研教學機構替其他用戶單位在校內開發、運營系統的情況。

第六，在建設網絡安全體系時，存在重技術、輕管理的現象。許多安全設備處于系統默認配置，安全設備不能起到應有的作用，部分系統沒有配備安全管理員。

3 高校信息系統等級保護

3.1 實施流程

高校信息系統安全等級保護的實施應按照公安部門及教育主管部門的相關文件要求嚴格執行，其主要包含明確責任主體、自主定級、專家評審、主管部門審核批準、公安機關備案、差距測評、安全整改建設、驗收測評等流程。

第一，明確責任主體。按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，信息系統的主管單位為定級工作的責任主體，負責組織運維單位、使用單位開展信息系統定級工作。

第二，自主定級。首先要確定本單位有哪些符合定義的信息系統需要做等級保護工作。在定級時要堅持自主定級、自主保護的原則。參照《信息系統安全等級保護定級指南》，根據本單位實際情況，對本單位的信息系統作自我評估，完成自主定級。

第三，專家評審。主管單位完成信息系統自主定級后，聘請有關信息安全等級保護專家對信息系統自主定級情況進行評審，形成評審意見，以求準確對信息系統進行定級。

第四，主管部門審核批準。主管單位完成信息系統專家評審后，填寫《信息系統安全等級保護定級報告》《信息系統安全等級保護備案表》和信息系統安全等級保護專家評審意見等材料報送至所屬教育主管部部門進行審批，并出具行業定級意見。

第五，公安機關備案。高校定級為二級及以上的信息系統需要到當地公安局網監部門備案審核。

第六，差距測評。完成定級、備案后，高校應委托具備信息安全等級保護測評資質的且熟悉教育行業的第三方測評機構，按照相關要求和標準，對信息系統安全保護狀況開展差距測評，并編寫差距測評報告及整改建議。

第七，安全整改建設。高校根據差距測評報告和整改建議，針對存在安全問題的信息系統，有針對性地進行整改建設，提高信息系統的安全性。

第八，驗收測評。完成安全整改建設后，高校應委托具備信息安全等級保護測評資質的且熟悉教育行業的第三方測評機構，按照相關要求和標準，對信息系統開展驗收測評，編寫驗收測評報告，并送至公安機關備案，以完成安全等級保護工作。

3.2 保障策略

高校信息系統的等級保護存在各種各樣的問題，以至于等級保護工作落實不到位，為保證安全等級保護工作順利進行，應采取如下保障策略。

第一，提高安全意識。信息安全等級保護管理部門應加大信息系統安全等級保護工作的宣傳力度，定期召開由各高校有關信息系統部門負責人參加的信息安全等級保護相關會議，宣傳信息安全等級保護工作的重要性和意義，促使高校加強對信息系統的安全意識。

第二，增強技術能力。高校信息系統安全，需要強大的技術團隊作支撐。在開展安全等級保護工作中，專業的技術能力是保證測評工作和整改工作順利高效進行的基礎。因而，應注重技術能力的培養和提高。

第三，建立安全管理機構、健全安全管理制度，保證信息系統安全的專項預算。針對高校信息系統，應及時建立及更新各項管理制度，以達到安全等級保護的要求，并滿足系統安全管理的需求，同時在制度中規劃高校信息系統安全建設的整體方針，并保證網絡安全方面的專項投入。

4 結 語

高校信息系統的安全至關重要，信息系統安全等級保護是保障信息安全的重要屏障。充分了解高校信息系統安全的現狀和存在的問題，并嚴格按照等級保護的要求、實施流程對高校信息系統進行等級保護，建立高校信息系統安全等級保護完整體系，有利于高校信息系統的安全保護。

主要參考文獻

[1]冼偉銓，王厚奎.等級保護要求下的高校Web安全[J].信息安全與技術，2012（2）.

[2]高朝勤.信息系統等級保護中的多級安全技術研究[D].北京：北京工業大學，2012.

[3]路萍，翟躍.信息安全等級保護備案在高等院校中的研究與實踐[J].中國教育信息化：高教職教，2015（21）.

[4]劉玉燕.高校信息安全等級保護評測[J].信息技術，2011（2）.

[5]肖國煜.信息系統等級保護測評實踐[J].信息網絡安全，2011（7）.