對高校信息安全等級保護工作的探究

袁麗媛 宋佳霏

摘要：隨著校園信息化建設的迅速發展，網絡中潛藏的不安全的因素逐漸威脅著高校網絡安全，對此我們將對高校信息系統等級保護工作現狀進行分析，并提出相應的建議，希望對創建穩定的校園網絡環境有所幫助。

關鍵詞：信息安全；等級保護；現狀分析

近年來，由于教學、科研和管理的需要，高校對網絡基礎架構和信息安全逐漸提出了更高層次的要求，網絡安全等級保護受到越來越多的高校管理者的關注。本文結合高校網絡架構和特點，根據信息安全等級保護制定標準及相關法律法規，對高校信息安全等級保護現狀進行分析，根據需求給出相應的建議。

1 信息安全等級保護的現狀分析

信息安全等級保護工作是按照系統資源所具有的實際安全需求及資源的重要程度對信息系統進行分級保護，對不同類別信息系統給以不同指導，對系統分階段實施，確保信息系統安全穩定運行。2003年，國家明確指出“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”，07年頒布的《信息系統安全的等級保護基本要求》 明確指出了我國在開展等保工作的過程中應遵循的基本技術和安全管理要求，是等級測評的一個基本“標尺”。

從信息安全等級保護發展現狀來看，我國信息系統安全研究還處于初級階段?，F階段，越來越多的高校開始著手等保預測評，部分高校對信息安全等保工作持觀望的態度，還有小部分高校不了解也不關注等保工作。據某高校對信息安全等級保護預測評的研究中，不完全符合的測評指標占比都高達60%，預測評的信息系統無論是技術方面還是管理方面都嚴重缺失，因而，開展高校信息安全等保工作具有非常重要的意義。

2 信息安全等級保護測評流程

流程一：信息系統定級。我國信息安全等級保護分為五級，高校將選擇合理等級進行定級，一般涉及學校師生的信息系統（如教務管理、財務管理等系統）確定為二級，涉及國家、政府與政黨的信息系統上升為三級，擬確定為四級以上的信息系統需請國家信息安全保護等級專家評審委員會評審。

流程二：風險評估。以相應的政策、標準為基準，對等保體系進行風險測評，從三者綜合作用角度對信息資產面臨的威脅、存在的弱點、造成的影響、以及三者綜合作用而帶來風險的可能性評估，分析信息系統的等保體系是否達標，風險評估完成后出具《評估報告》和《整改意見》。風險評估是確定信息安全需求的一個重要途徑、需請相應級別、具有資質的測評中心進行風險評估。

流程三：等保方案設計與安全體系部署。等級保護設計對安全現狀和基本要求進行差異性分析，做到以需求為主導、突出重點、整體規劃，達到物理安全、網絡安全、主機安全、應用安全、數據安全與備份恢復各項指標要求，以滿足政策要求，滿足標準要求，滿足高校自身要求。等保體系整體架構分為通信網絡、區域邊界、計算環境。

流程四：等保體系測評。等保體系測評的特點：確保安全，統一規劃，分步實施；全局管理、統一標準、適度安全、減少影響。進行專家論證，項目組織實施并進行內部驗收工作。

流程五：等保整改建設完成。需請相應級別、具有資質的測評中心進行等保測評；等保測評完成后出具《測評報告》和《整改意見》。等保體系整改建設完成，構筑由安全管理中心統一管理下的計算環境、區域邊界、通信網絡三重防御體系。

3 高校等保存在的重點難點問題

3.1 學校領導重視度和關注度普遍不高

部分高校對信息安全系統等保工作認識不到位，認為信息系統沒必要定級或者認為定級太高會提高管理成本，造成不必要的麻煩。因而部分學校不進行系統定級，或是將信息系統定級較低。

3.2 資金問題

存在長期閑置的資金，未合理調整使用方向，未能切實提高公共資金使用效益。部分高校學校經費緊張，信息化建設主要投資在校園網絡的基礎設施，然而在網絡安全方面的資金投入不足，使得等級保護工作整改不到位。

3.3 未建立相應的安全管理機制

在建設信息系統安全體系時，許多設備處于系統默認配置而且沒有配備安全管理員角色，不能起到安全作用。部分高校沒有建立有效的安全管理制度，并且一些過舊的管理制度已經不能滿足當前系統安全管理的需求。[1]

4 高校信息安全等級保護改進方案

針對上述高校信息安全等級保護工作中出現的問題，我們將以下幾個方面加以改進。

4.1 加大宣傳，轉變觀念

信息安全等級保護管理部門應加大信息安全等級保護工作的宣傳力度，定期召開由高校有關信息部門負責人參加的信息安全等級保護相關會議，宣傳信息安全等級保護工作的重要性和意義，促使高校積極轉變觀念，使高校充分認識校園網絡安全對于學校安全和穩定的重要性以及產生的積極作用。[1]

4.2 建立安全管理機構、健全安全管理制度

多年前的安全管理舊制度，已經不能滿足日益成熟的安全系統管理需要，需再建立一些新的管理制度來逐漸完善。建立專門的網絡管理部門和專業的網絡管理隊伍，配備專業的網絡安全管理人員，健全工作制度，做好日志記錄工作，制定安全可靠的應急處理預案。[2]

4.3 做好技術和管理兩方面的工作

在信息系統采取某些安全技術的同時，建立配套的安全管理制度。做好網絡硬件設備安全建設工作重點做好環境安全、設備安全與介質安全三個方面的工作；做好軟件方面安全建設工作，重點在于數據安全、應用安全、網絡軟件環境安全與主機軟件環境。[3]

4.4 構建符合信息系統等保要求的安全體系結構

建設適合的網絡安全模式、調整網絡安全架構，以適應等級保護的體系架構的要求，制作信息等級保護實施方案，做好構筑由安全管理中心統一管理下的計算環境、區域邊界、通信網絡三重防御體系。

5 結語

互聯網的快速發展推動了校園數字化建設，如何更好地開展高校信息系統安全等級保護工作和制定科學的校園網絡防范體系成為營造高校安全、穩定網絡環境的基礎。本文開展對高校信息安全等級保護工作的探究，希望對各地高校等保工作提供一定的借鑒作用。

參考文獻：

[1]王強民.高校信息系統安全等級保護工作的現狀分析[J].第二屆全國信息安全等級保護技術大會會議論文集，2013（06）.

[2]劉澤華.高校信息系統安全等級保護研究[J].中國管理信息化[J].2016（04）.

[3]崔玉華.對”信息安全等級保護”的探討[J].Netinfo Security，2005：7274.

作者簡介：袁麗媛（1996），女，漢族，濟南人，本科，山東中醫藥大學；宋佳霏（1996），女，漢族，濟南人，本科，山東中醫藥大學。