路萍+翟躍

摘 要：教育行業(yè)信息系統(tǒng)的安全問題是影響到國家、社會、個人利益的重大問題，等級保護是實施系統(tǒng)安全管理的抓手，現(xiàn)已在教育系統(tǒng)逐步全面展開信息系統(tǒng)安全等級保護工作。本文分析了高等院校內(nèi)部進行信息系統(tǒng)等級保護定級備案工作的內(nèi)容、保障機構(gòu)、實施流程以及管理辦法，并從應用角度提出便于日常管理、便于安全自查的系統(tǒng)設計方案，使信息安全等級保護工作在高等院校中能進行更為有效的落地、實施。

關鍵詞：信息安全；等級保護；定級；備案

中圖分類號：G203 文獻標志碼：A 文章編號：1673-8454（2015）21-0012-05

一、背景

近些年來，隨著互聯(lián)網(wǎng)和信息通信技術(shù)的發(fā)展，信息系統(tǒng)在各行業(yè)、各領域快速拓展。隨著大數(shù)據(jù)時代的到來，偽造基站、BIOS后門、高斯病毒、短信僵尸等各類網(wǎng)絡攻擊層出不窮、日新月異，保障網(wǎng)絡與信息系統(tǒng)安全，已經(jīng)成為信息化發(fā)展中迫切需要解決的重大問題。教育部、北京市教委等部門為保障教育信息系統(tǒng)的安全，逐步推出了相關政策和工作辦法。

二、信息安全等級保護概述

信息安全等級保護（以下簡稱等保）是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實施安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置的綜合性工作。[1]

系統(tǒng)定級備案的實施是信息安全監(jiān)督、檢查和問責的需要。通過備案可以使信息化主管部門知道在哪里、由什么人運行著何等重要程度的信息系統(tǒng)，為信息安全管理提供基礎數(shù)據(jù)。本文著重論述高等院校信息系統(tǒng)信息安全等級保護定級備案工作的實施，所指信息系統(tǒng)是指由計算機及其相關和配套的設備、網(wǎng)絡構(gòu)成的對教育行業(yè)相關業(yè)務信息進行采集、加工、存儲、傳輸、檢索和處理，不涉及國家秘密的系統(tǒng)。[2]

1.信息系統(tǒng)定級備案基本分類

信息系統(tǒng)定級是等級保護的第一步，需分析系統(tǒng)的業(yè)務信息類型和系統(tǒng)服務類型，確定信息安全受到破壞時所侵害的客體，確定對客體的侵害程度。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，以及系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。[3]高等院校信息系統(tǒng)中，招生管理類、數(shù)據(jù)集成類、校務管理類、基礎網(wǎng)絡服務類等信息系統(tǒng)的業(yè)務信息安全或系統(tǒng)服務安全受到破壞，可能影響學校正常秩序，影響高校正常行使工作職能，侵害學校、教師、學生及部分社會公眾合法權(quán)益，可能在一定范圍內(nèi)對社會秩序造成影響，可能侵害公共利益，引起法律糾紛等；教學支持類、科研管理類、公共服務類、信息發(fā)布類等信息系統(tǒng)業(yè)務信息安全或系統(tǒng)服務安全受到破壞，可能影響學校正常秩序，影響高校正常行使工作職能，侵害學校、教師、學生合法權(quán)益，引起法律糾紛等。[4]

2.高等院校信息系統(tǒng)定級備案的基本原則

為了保護信息安全等級保護工作的科學性、合理性，高等院校的信息系統(tǒng)在實施過程中應遵循以下原則：

（1）自主保護原則。在高等院校的信息安全等級保護工作中，學校各二級單位按照相關標準對管轄范圍內(nèi)的信息系統(tǒng)進行自主定級、自主保護，并接受信息化主管部門的監(jiān)督、管理。

（2）重點保護原則。將學校有限的財力、物力、人力投入到招生、教務、科研等重要信息系統(tǒng)安全保護中，依據(jù)相關標準建設安全保護體系，建立安全保護制度，落實安全責任，優(yōu)化信息安全資源配置。

（3）同步建設原則。按照等保要求，在學校新建和改建的信息化項目中，將信息安全建設與系統(tǒng)建設同步規(guī)劃、實施。

（4）動態(tài)調(diào)整原則。高等院校信息系統(tǒng)的應用功能、服務對象、范圍等會根據(jù)政策、管理辦法、新業(yè)務需求而發(fā)生變更、擴展。當發(fā)生較大變化時，應根據(jù)等級保護管理規(guī)范和技術(shù)標準的要求重新定級、備案，實施安全保護。

三、高等院校等保定級備案管理辦法的研究

1.高校信息安全管理存在的主要問題

目前高等院校在信息安全等級保護備案方面存在著以下問題：

（1）二級單位難以按照信息安全等級保護基本要求結(jié)合自身情況制定切實可行的信息安全管理制度和技術(shù)標準規(guī)范。

（2）系統(tǒng)、網(wǎng)站的建設注重業(yè)務應用的實現(xiàn)，缺少安全設計和部署，開發(fā)環(huán)境與生產(chǎn)環(huán)境混淆，沒有足夠的測試急于上線，缺少安全防護意識。

（3）系統(tǒng)的不斷改造升級，增加了網(wǎng)絡安全的脆弱性，降低了系統(tǒng)的安全狀態(tài)。

（4）部分二級單位對本單位的信息系統(tǒng)及網(wǎng)站底數(shù)不清，依然存在各自為政開設網(wǎng)站的情況，安全防護不統(tǒng)一。且存在科研教學機構(gòu)替其他用戶單位在校內(nèi)開發(fā)、運營系統(tǒng)的情況。

（5）由于學校人員組織、編制等限制，無法嚴格按照等保要求組建專門的、專業(yè)的安全運維管理組織，配備崗責明確的職能人員。二級單位的系統(tǒng)管理員、網(wǎng)站管理員計算機知識與技能相對欠缺、安全意識相對薄弱，不足以開展安全自查、安全防范和風險分析排查。

針對上述問題，本文研究信息安全保障機構(gòu)的建立、校內(nèi)定級備案工作流程、自查監(jiān)察管理辦法等，以改進高校等保定級備案工作。

2.高校信息安全保障機構(gòu)的建立

以高校現(xiàn)有校院兩級管理實體為基礎，確定信息安全領導小組、專家組以及信息安全主管部門和責任人，統(tǒng)一管理與協(xié)調(diào)。按照“誰主管、誰負責”的原則實行信息工作責任制和責任追究制，保證全校的信息安全建設與運維的管理職責得到落實。

本文建立的信息安全保障機構(gòu)實質(zhì)上是一個三級機構(gòu)，如圖1所示：

（1）信息化主管部門

信息安全領導小組領導下的信息化主管部門通常包括兩類：

一類是宣傳部、信息辦等內(nèi)容主管部門。負責學校各級網(wǎng)站的內(nèi)容管理，包括網(wǎng)站審批、輿情監(jiān)控；負責信息安全組織機構(gòu)的人員信息登記等工作。

另一類是信息中心、網(wǎng)絡中心等技術(shù)主管部門。負責全校信息安全等級保護的管理工作；負責校級系統(tǒng)的物理安全、網(wǎng)絡安全、主機安全以及應用和數(shù)據(jù)安全；根據(jù)等級保護相應等級的技術(shù)要求對二級單位的系統(tǒng)網(wǎng)站進行安全監(jiān)測、整改等工作。

（2）信息安全第一責任人

二級單位信息安全第一責任人原則上為本部門一把手，對本部門各業(yè)務系統(tǒng)及管轄下的網(wǎng)站在形式、內(nèi)容、運行方面承擔監(jiān)督和管理的責任，負責建立和完善本部門網(wǎng)絡安全和信息安全組織，統(tǒng)籌本單位的信息系統(tǒng)建設，建立健全本部門信息化管理制度，審批確定本部門信息系統(tǒng)的安全運維方案和應急預案。

信息系統(tǒng)和網(wǎng)站的申請建設、改造升級以及撤銷，信息安全第一責任人負責依法進行信息安全等級保護備案和定級工作，報信息化主管部門備案。

（3）二級單位信息安全工作實施小組

二級單位信息安全工作實施小組主要包括四類人員。

①信息安全員

各二級單位須指定信息安全管理員，負責本單位網(wǎng)絡與信息系統(tǒng)的管理和運維工作。接受本部門第一責任人、信息化主管部門的領導，協(xié)調(diào)本部門的系統(tǒng)管理員、網(wǎng)站管理員以及信息發(fā)布員實現(xiàn)信息系統(tǒng)等級保護的管理要求、技術(shù)要求。主要有以下工作：

協(xié)助信息安全第一責任人統(tǒng)籌本單位的網(wǎng)絡建設和信息系統(tǒng)建設，管理本單位的二級網(wǎng)站和三級網(wǎng)站，包括信息系統(tǒng)安全等級保護定級備案以及自查等實施工作。

負責本單位局域網(wǎng)管理，學校固定IP、域名等網(wǎng)絡資源的申請、配置、管理工作。

負責本單位的信息收集與維護工作，保證數(shù)據(jù)的準確性、及時性，支持校內(nèi)外信息交流和交換、數(shù)據(jù)上報。

負責本單位網(wǎng)絡安全、信息安全與保密工作，對系統(tǒng)安全策略、系統(tǒng)備份、日志管理和操作流程等方面制訂管理辦法。

②系統(tǒng)管理員和網(wǎng)站管理員

系統(tǒng)管理員和網(wǎng)站管理員應是在職教職工，根據(jù)所負責的計算機信息系統(tǒng)對應的信息安全等保等級進行相應技術(shù)和管理工作，從服務器、數(shù)據(jù)庫、應用服務等多層面進行系統(tǒng)的補丁升級、定期備份、巡檢、應急響應、故障解決等工作，保障系統(tǒng)正常、穩(wěn)定運行。

③信息發(fā)布員

信息發(fā)布員是網(wǎng)頁具體內(nèi)容的審核發(fā)布人員，應保證信息的及時有效性，能根據(jù)上級領導或主管部門的要求更新、撤銷、歸檔網(wǎng)頁信息。

④資產(chǎn)管理員

通常高等院校各二級單位都有固定資產(chǎn)管理員，雖然這些管理者不是信息化專業(yè)人員，但是負責軟硬件各類設備的管理，因此也應納入等保安全保障體系范疇。

3.校內(nèi)定級備案工作

高等院校，特別是理工類高等院校內(nèi)的系統(tǒng)/網(wǎng)站繁多，且教學、科研、服務等應用目標不同，管轄等級不同（校級、院部處級、實驗室以及群團組織等），但無論系統(tǒng)大小都應按照有關法律法規(guī)進行等級保護定級備案。

各系統(tǒng)主管單位根據(jù)信息系統(tǒng)分類、系統(tǒng)重要程度及實際的安全需求，參照《計算機信息系統(tǒng)安全保護等級劃分準則》、《信息系統(tǒng)安全等級保護基本要求》和《教育行政部門及高等院校信息系統(tǒng)安全等級保護定級指南》進行定級（高校一般不涉及四、五級系統(tǒng)），實施安全保護。原則上安全等級應不低于建議級別；對于承載復雜功能的信息系統(tǒng)，安全等級可高于建議級別；對于承載多個業(yè)務功能的信息系統(tǒng)，應以建議的最高安全等級進行定級。其中電子公文與信息交換、信息門戶系統(tǒng)、招生管理系統(tǒng)等為重要保護對象。[4]

本文設計的高等院校內(nèi)部定級備案工作流程如圖2所示。

本工作流程中，等級保護定級備案的關鍵節(jié)點在于二級單位在新建系統(tǒng)或網(wǎng)站時，需要申請服務器、固定IP以及二級域名等網(wǎng)絡資源。信息化工作主管部門通?？梢栽诖斯?jié)點要求二級單位完成系統(tǒng)的定級備案工作，以防疏漏。

如果是校級系統(tǒng)、二級單位重要業(yè)務管理系統(tǒng)，通常需要經(jīng)過經(jīng)信委等上級主管部門的審批，因此可以在立項之時就進行相應的定級備案、安全規(guī)劃，落實信息安全等級保護相關控制，以確保在系統(tǒng)的規(guī)劃設計、建設實施、運行維護整個安全生命周期中貫徹信息安全等級保護要求。

4.自查監(jiān)察管理辦法

（1）等保自查

學校信息化工作主管部門以及各二級單位每年都應參照等保的要求項和控制點，對管轄范圍內(nèi)的信息系統(tǒng)依據(jù)保護級別制定安全策略，規(guī)范管理和技術(shù)實施，并定期檢查。包括網(wǎng)絡與信息系統(tǒng)安全基本情況、技術(shù)防護情況、信息安全產(chǎn)品使用和信息技術(shù)服務外包安全管理情況、應急處置及容災備份情況以及等級保護工作落實情況等。并填報自查結(jié)果，上報主管部門備案。

（2）安全監(jiān)控

信息化工作技術(shù)主管部門負責利用可利用的安全技術(shù)、產(chǎn)品以及工具了解和評估系統(tǒng)的安全狀態(tài)；從物理環(huán)境、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)，到最終的用戶終端匯集安全監(jiān)控審計信息（詳見圖3），并進行分析及時發(fā)現(xiàn)安全隱患，提供可能的解決方案和技術(shù)支持。

信息化工作技術(shù)主管部門還應配合教委、公安局等上級部門進行信息安全的抽查、整改工作，完成每年度的信息安全等級保護工作匯報，保障敏感時期的信息安全保障工作。

（3）整改管理辦法

對于自行發(fā)現(xiàn)的安全隱患以及上級下達的整改通知，信息化主管部門通知二級單位，落實人員限期實施整改，并配合系統(tǒng)主管單位將系統(tǒng)調(diào)整到“最安全”和“風險最低”狀態(tài)。整改完成后，二級單位以書面形式上交整改報告，說明安全問題描述、原因、整改措施等。對于影響嚴重的系統(tǒng)或不能按期整改完成的系統(tǒng)，信息化技術(shù)主管部門有權(quán)停止網(wǎng)絡服務，經(jīng)核準整改效果后方可銷案，同時加入重點安全監(jiān)控名單。對于不能解決的安全問題和重大安全問題應及時告知信息安全領導小組和專家組，尋求領導層和校外專業(yè)團隊的指導。

四、高等院校等保定級備案管理系統(tǒng)探究

信息安全等級保護定級備案以及自查整改的實施，大多是信息采集、錄入和管理工作。然而又不同于一般的行政管理，需要結(jié)合技術(shù)的和非技術(shù)的手段保證全校等級保護工作的系統(tǒng)性、可行性、有效性和可擴展性。

目前已經(jīng)有公司推出了信息安全等級保護綜合管理系統(tǒng)，通過應用軟件實現(xiàn)各種備案信息的錄入、批量導入/導出、審核，從而進行備案信息的查詢、檢索和統(tǒng)計，以及為上級主管部門提供本單位的信息系統(tǒng)備案狀況。但是，這些系統(tǒng)大都缺乏分層管理、數(shù)據(jù)關聯(lián)、約束檢查，使等保信息還是處于分散的狀態(tài)中，也不便于校內(nèi)日常信息安全工作管理。本文從信息化人員管理、資產(chǎn)管理以及制度管理的角度出發(fā)，討論此類系統(tǒng)的設計思想，以實現(xiàn)定級備案工作在高校實施中的有效落地。

1.數(shù)據(jù)關聯(lián)與約束（見圖4）

建立信息安全保障體系對照表，通過Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code關鍵字實現(xiàn)系統(tǒng)與部門、系統(tǒng)與管理員、系統(tǒng)與資產(chǎn)、系統(tǒng)與制度的關系。可以知道一個二級單位有哪些系統(tǒng)，分別是幾級系統(tǒng)；可以知道每個系統(tǒng)使用了哪些固定資產(chǎn)，管理員是誰；可以知道每個系統(tǒng)建立或使用了哪些制度，是校級的還是二級單位內(nèi)部的，等等。例如，通過上述關聯(lián)可以很容易得到如表1所示的查詢統(tǒng)計表。

而從表2不僅可以獲得二級單位各系統(tǒng)的資產(chǎn)信息（軟硬件），而且可按系統(tǒng)、部門進行匯總計算，獲得國外產(chǎn)品百分比統(tǒng)計等信息。

通過資產(chǎn)編碼Assets_code關聯(lián)資產(chǎn)信息和資產(chǎn)檢查表，按照資產(chǎn)類型編碼對應的技術(shù)要求-Technology_checkcode、Technology_Description檢查項填寫資產(chǎn)檢查表的檢查結(jié)果，并記錄日期，可以用作后續(xù)的變更記錄和跟蹤。

通過系統(tǒng)編碼System_code從系統(tǒng)定級信息獲取系統(tǒng)安全等級G_level，對應到管理要求表得到相應的檢查項信息，再根據(jù)“制度-管理檢查項對照”自動獲取校級制度，便于二級單位的管理制度檢查信息的填報。

這些關系的建立，不但可以獲得更多的級聯(lián)信息，而且可以進行約束。例如，通過制度的“共享標志”約束其他部門是否能使用二級單位自定義的制度；通過在系統(tǒng)備案基本備案信息中錄入的資產(chǎn)數(shù)量Assets_number來驗證資產(chǎn)信息是否填報完備，等等。

2.數(shù)圖關聯(lián)

資產(chǎn)管理涉及機器設備、軟件系統(tǒng)等方面。梳理資產(chǎn)是實施等級保護的過程中重要的一步，以確定學校各系統(tǒng)的資產(chǎn)，明確責任人、物理位置、使用情況以及數(shù)據(jù)信息交互情況。

高校信息系統(tǒng)的資產(chǎn)管理大多還處于手工管理的離散狀態(tài)，即便有固定資產(chǎn)管理系統(tǒng)，也只是從財產(chǎn)角度對各類資產(chǎn)進行注冊在案（其分類與信息化角度不同），沒有按照信息安全等級保護的管理要求、技術(shù)要求記錄更為詳盡的管理信息、運維信息。

本文建議建立基于拓撲結(jié)構(gòu)圖的信息系統(tǒng)資產(chǎn)管理，便于基礎信息的錄入、等保檢查項檢查和直觀展示。因為，如果只是通過二維表或者樹狀結(jié)構(gòu)圖的形式輸入資產(chǎn)信息，難以直觀地了解到哪些網(wǎng)絡設備、哪些服務器、哪個數(shù)據(jù)庫以及哪個Web應用是一個系統(tǒng)的。但是基于拓撲圖資產(chǎn)信息管理，可以通過圖形符號的方式建立資產(chǎn)之間的關聯(lián)，便于掌握一個系統(tǒng)的整體資產(chǎn)情況。例如，一臺服務器的符號可以連接服務器、中間件、數(shù)據(jù)庫、應用等多層資產(chǎn)，逐一錄入（包括沒有固定資產(chǎn)的免費資源）。如果少了哪一層資產(chǎn)沒有填報（沒有需說明理由），即當前備案信息尚不完備，則該系統(tǒng)應該是不允許訪問的狀態(tài)。從等保管理要求，信息化主管部門就可以停止其運行服務。

五、結(jié)束語

每個高等院校都會有自己的信息化組織機構(gòu)、管理制度和辦法，信息化建設進程也不盡相同，在具體應用《信息安全等級保護基本要求》時，不應一味追求所有的安全項，而是要根據(jù)學校自身信息化建設情況、特點，兼顧可操作性設計和實施信息安全體系建設，穩(wěn)步漸進地落實等級保護工作。

參考文獻：

[1]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S].中國標準出版社，2008.

[2]中國教育信息化網(wǎng).北京市市屬教育行業(yè)信息安全等級保護定級評審工作辦法[EB/OL]. http：//www.ict.edu.cn/laws/difang/n20140623_14386.shtml，2014-06-23.

[3]沈昌祥，信息安全保障建設中的等級保護[J].信息技術(shù)與標準化，2007（11）.

[4]教育部辦公廳.教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）[Z].2014.10.

（編輯：王天鵬）