淺議高校信息系統安全等級保護工作的必要性

摘 要：隨著信息技術的高速發展和網絡應用的迅速普及，網絡信息安全越來越受到社會的廣泛關注。原因在于，網絡信息安全所涉及領域關乎公共利益、社會穩定、乃至國家安全。其中，高校作為網絡信息普及應用的主陣地，網絡信息安全工作更加不容忽視。然而，目前大多數高校信息安全保障工作尚處于起步階段，信息安全意識和信息系統安全防范能力相對薄弱，導致信息系統被破壞事件頻發。對此，我們從保障高校信息系統安全角度，對高校信息系統安全等級保護工作的必要性進行研究，以達到促進高校信息系統安全水平和能力提升的目的。

關鍵詞：信息系統；安全；等級保護；必要性

一、信息系統安全等級保護概述

信息系統安全等級保護是按照信息系統重要性進行劃分，實行分級管理、分級保護的一項工作。劃分等級所依據的標準是信息系統在國家安全和社會生活中的重要程度以及對國家安全、社會秩序、公共利益等方面的危害程度進行確定。按照等級保護分類標準，信息系統安全等級被劃分為五個安全等級，實行分級保護、分級響應處置。

二、高校信息系統安全現狀分析

（一）信息系統被攻擊和破壞的現象頻發

由于高校信息系統自身存在安全漏洞以及高校網站在搜索引擎中普遍占據較高權重等原因，高校的信息系統、網站常常遭受到黑客的入侵和攻擊。常見的攻擊行為有網站被掛馬、掛鏈；服務器被控制；后臺數據被篡改等。高校網站最易遭受到來自網絡游戲、招生咨詢、信貸理財等內容的掛馬、掛鏈；高校教務系統、學工系統是遭受數據篡改的重災區，黑客入侵系統后會肆意竊取用戶的個人信息，篡改學生成績以及獎懲助貸等信息數據。

（二）信息系統一旦遭到破壞危害程度巨大

一般來說，高校信息系統遭受破壞后造成的危害程度大于中小學校信息系統；“985工程”院校和“211工程”院校造成的危害程度大于一般高校。承載教學教務管理的信息系統較承載一般業務的信息系統受到攻擊破壞后造成的危害程度嚴重；承載教學教務管理的信息系統涵蓋學籍和學歷管理、考試和成績管理、學工管理、招生管理等。再者，涉及到學校重要數據和機密的信息系統一旦遭到攻擊和破壞后，危害程度會更加嚴重。

（三）信息系統自身存在安全漏洞風險

信息系統自身存在安全漏洞問題是信息系統遭受攻擊和破壞的主要因素。據最新數據統計，近幾年高校信息系統安全漏洞在數量和種類上都呈現出上升趨勢。信息系統安全漏洞種類繁多，比較常見的有敏感信息泄露、弱口令、SQL盲注、XSS跨站腳本等。例如，攻擊者利用XSS跨站漏洞插入任意HTML/JavaScript代碼到頁面中，獲取用戶會話cookie、用戶訪問URL、用戶瀏覽器及操作系統版本等信息，插入偽造的登錄頁面進行釣魚，或者對頁面進行掛馬；信息系統存在弱口令漏洞，使攻擊者能夠利用密碼暴力破解等手段，達到破壞用戶賬戶安全乃至整個服務器安全的目的。

（四）信息系統在管理和制度層面存在缺位

高校網絡和信息系統管理人員普遍存在對保障信息系統安全的認識不足、管理責任不明確、管控和應急響應不到位等問題。在制度建設層面，缺乏相配套的管理制度，例如系統安全管理制度、日常運維管理制度、應急響應處置制度、安全培訓制度等。管理和制度上的不健全是誘發信息系統不穩定、不安全的又一重要因素。

三、實施信息系統安全等級保護工作的意義

（一）國家法律法規的制度性要求

根據《中華人民共和國網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。高校作為教育信息化建設的重要領域，實施信息系統安全等級保護尤為重要。

（二）對信息系統的檢驗和差距分析

對照信息系統安全等級保護制度的要求，分別從技術和管理兩個層面對信息系統進行一次全面的檢驗和問題隱患排查。技術層面側重對物理環境和設備安全、主機和應用安全以及數據庫安全等方面進行測查；管理層面則側重從系統建設和運維管理、安全管理制度、應急響應處置等方面進行測查。通過全面梳理和檢驗，查找出問題和差距，為信息系統下一步整改工作提供依據。

（三）對信息系統的問題整改和完善

根據測評報告和整改建議，對前期測查出存在安全問題的信息系統進行針對性整改，以使其符合等級保護標準要求。一般來說，主要是對信息系統存在的漏洞風險、物理設備安全、主機和應用安全、數據安全以及管理制度方面進行整改完善。待整改完畢后，會對存在的安全問題進行復測復評，若安全風險仍然存在，將繼續進行整改，直到重要問題風險被有效解決。

四、結語

高校信息系統所暴露出的安全問題日趨嚴重，信息系統遭受攻擊的破壞程度和社會影響力也逐漸增大，倒逼高校信息系統管理人員必須重視信息系統安全等級保護工作，保障信息系統安全穩定運行。按照信息系統安全等級保護體系規范要求，對所轄信息系統進行等級保護，通過實施排查安全漏洞隱患、對照目標找差距、完善問題整改等一系列過程，幫助高校信息系統提升安全防范能力和水平。

參考文獻：

[1]劉澤華.高校信息系統安全等級保護研究[J].2016（04）.

[2]王強民.高校信息系統安全等級保護工作的現狀分析[J].2013（06）.

[3]肖國煜.信息系統等級保護測評實踐[J].2011（07）.

作者簡介：潘文杰（1986-），男，江蘇淮安人，本科，助理工程師，研究方向：計算機網絡技術。