劉澤華

[摘 要]由于信息系統(tǒng)自身的特點和網(wǎng)絡(luò)環(huán)境的復(fù)雜性，高校信息系統(tǒng)安全威脅日益凸顯，網(wǎng)絡(luò)安全形勢日益嚴峻。為保障高校信息系統(tǒng)安全運行，提高辦學(xué)效率和質(zhì)量，本文深入研究了信息系統(tǒng)安全等級保護的內(nèi)容，高校信息系統(tǒng)安全等級保護的現(xiàn)狀、實施流程，建立了完整的高校信息系統(tǒng)等級保護體系。

[關(guān)鍵詞]高校；信息系統(tǒng)；安全等級；保護

doi：10.3969/j.issn.1673 - 0194.2016.08.112

[中圖分類號]TP309 [文獻標識碼]A [文章編號]1673-0194（2016）08-0-02

隨著信息技術(shù)的迅猛發(fā)展和計算機網(wǎng)絡(luò)的快速普及，信息系統(tǒng)在各行業(yè)、各領(lǐng)域得到廣泛應(yīng)用。高校作為學(xué)術(shù)研究的重要陣地，信息化建設(shè)高速開展。校園網(wǎng)、信息系統(tǒng)的建立，為學(xué)校教學(xué)、科研和管理提供資源共享、信息交流和協(xié)同工作的網(wǎng)絡(luò)平臺，并且已成為高校信息化建設(shè)的重要組成部分，同時也是衡量一個高校教育信息化、現(xiàn)代化的重要標志。大數(shù)據(jù)、云計算、“互聯(lián)網(wǎng)+”等新技術(shù)出現(xiàn)的同時，偽基站、BIOS（基本輸入輸出系統(tǒng)）后門、木馬僵尸、SQL（結(jié)構(gòu)化查詢語言）注入、DDOS（分布式拒絕服務(wù)）攻擊等各類網(wǎng)絡(luò)攻擊層出不窮、攻擊方式變異頻繁，因此，保障網(wǎng)絡(luò)與信息系統(tǒng)安全，已成為高校信息化發(fā)展中迫切需要解決的重大問題。

1 信息系統(tǒng)等級保護

信息網(wǎng)絡(luò)的全球化使信息網(wǎng)絡(luò)的安全問題日益嚴峻，任何與互聯(lián)網(wǎng)相連接的信息系統(tǒng)都必須面對世界范圍內(nèi)的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取、身份假冒等安全問題。信息系統(tǒng)安全最重要的3個屬性是機密性、完整性與可用性。

信息系統(tǒng)等級保護的核心是對信息系統(tǒng)分等級、按標準進行建設(shè)、管理和監(jiān)督。根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權(quán)益的危害程度，針對信息的機密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本安全保護水平等因素，信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

2 高校信息系統(tǒng)安全現(xiàn)狀

為保證高校信息系統(tǒng)安全性，對信息系統(tǒng)按重要程度、數(shù)據(jù)的機密性等進行不同等級的劃分并按級別進行保護是必要的。目前，高校信息系統(tǒng)的安全等級保護主要存在以下幾個問題。

第一，思想認識不到位。部分高校對信息系統(tǒng)安全等級保護工作認識不足，認為信息系統(tǒng)定級過高會提高管理成本，造成不必要的麻煩。

第二，在信息安全方面的資金投入不足，等級保護工作整改不到位。部分高校學(xué)校經(jīng)費緊張，信息化建設(shè)主要投資在校園網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，針對網(wǎng)絡(luò)安全方面的專項投入不足。

第三，未建立相應(yīng)的安全管理機構(gòu)和安全管理制度，一些必要的管理制度沒有制定。此外一些管理制度修訂不及時，已經(jīng)不能滿足當前系統(tǒng)安全管理的需求。

第四，專業(yè)技術(shù)力量較弱，技術(shù)防護與制度落實不徹底。部分高校網(wǎng)管人員專業(yè)技術(shù)力量較弱，一些不屬于網(wǎng)絡(luò)中心的網(wǎng)絡(luò)處于無人監(jiān)管的狀態(tài)。

第五，部分二級單位對本單位的信息系統(tǒng)及網(wǎng)站底數(shù)不清，依然存在各自為政開設(shè)網(wǎng)站的情況，安全防護也不統(tǒng)一。此外，還存在科研教學(xué)機構(gòu)替其他用戶單位在校內(nèi)開發(fā)、運營系統(tǒng)的情況。

第六，在建設(shè)網(wǎng)絡(luò)安全體系時，存在重技術(shù)、輕管理的現(xiàn)象。許多安全設(shè)備處于系統(tǒng)默認配置，安全設(shè)備不能起到應(yīng)有的作用，部分系統(tǒng)沒有配備安全管理員。

3 高校信息系統(tǒng)等級保護

3.1 實施流程

高校信息系統(tǒng)安全等級保護的實施應(yīng)按照公安部門及教育主管部門的相關(guān)文件要求嚴格執(zhí)行，其主要包含明確責任主體、自主定級、專家評審、主管部門審核批準、公安機關(guān)備案、差距測評、安全整改建設(shè)、驗收測評等流程。

第一，明確責任主體。按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，信息系統(tǒng)的主管單位為定級工作的責任主體，負責組織運維單位、使用單位開展信息系統(tǒng)定級工作。

第二，自主定級。首先要確定本單位有哪些符合定義的信息系統(tǒng)需要做等級保護工作。在定級時要堅持自主定級、自主保護的原則。參照《信息系統(tǒng)安全等級保護定級指南》，根據(jù)本單位實際情況，對本單位的信息系統(tǒng)作自我評估，完成自主定級。

第三，專家評審。主管單位完成信息系統(tǒng)自主定級后，聘請有關(guān)信息安全等級保護專家對信息系統(tǒng)自主定級情況進行評審，形成評審意見，以求準確對信息系統(tǒng)進行定級。

第四，主管部門審核批準。主管單位完成信息系統(tǒng)專家評審后，填寫《信息系統(tǒng)安全等級保護定級報告》《信息系統(tǒng)安全等級保護備案表》和信息系統(tǒng)安全等級保護專家評審意見等材料報送至所屬教育主管部部門進行審批，并出具行業(yè)定級意見。

第五，公安機關(guān)備案。高校定級為二級及以上的信息系統(tǒng)需要到當?shù)毓簿志W(wǎng)監(jiān)部門備案審核。

第六，差距測評。完成定級、備案后，高校應(yīng)委托具備信息安全等級保護測評資質(zhì)的且熟悉教育行業(yè)的第三方測評機構(gòu)，按照相關(guān)要求和標準，對信息系統(tǒng)安全保護狀況開展差距測評，并編寫差距測評報告及整改建議。

第七，安全整改建設(shè)。高校根據(jù)差距測評報告和整改建議，針對存在安全問題的信息系統(tǒng)，有針對性地進行整改建設(shè)，提高信息系統(tǒng)的安全性。

第八，驗收測評。完成安全整改建設(shè)后，高校應(yīng)委托具備信息安全等級保護測評資質(zhì)的且熟悉教育行業(yè)的第三方測評機構(gòu)，按照相關(guān)要求和標準，對信息系統(tǒng)開展驗收測評，編寫驗收測評報告，并送至公安機關(guān)備案，以完成安全等級保護工作。

3.2 保障策略

高校信息系統(tǒng)的等級保護存在各種各樣的問題，以至于等級保護工作落實不到位，為保證安全等級保護工作順利進行，應(yīng)采取如下保障策略。

第一，提高安全意識。信息安全等級保護管理部門應(yīng)加大信息系統(tǒng)安全等級保護工作的宣傳力度，定期召開由各高校有關(guān)信息系統(tǒng)部門負責人參加的信息安全等級保護相關(guān)會議，宣傳信息安全等級保護工作的重要性和意義，促使高校加強對信息系統(tǒng)的安全意識。

第二，增強技術(shù)能力。高校信息系統(tǒng)安全，需要強大的技術(shù)團隊作支撐。在開展安全等級保護工作中，專業(yè)的技術(shù)能力是保證測評工作和整改工作順利高效進行的基礎(chǔ)。因而，應(yīng)注重技術(shù)能力的培養(yǎng)和提高。

第三，建立安全管理機構(gòu)、健全安全管理制度，保證信息系統(tǒng)安全的專項預(yù)算。針對高校信息系統(tǒng)，應(yīng)及時建立及更新各項管理制度，以達到安全等級保護的要求，并滿足系統(tǒng)安全管理的需求，同時在制度中規(guī)劃高校信息系統(tǒng)安全建設(shè)的整體方針，并保證網(wǎng)絡(luò)安全方面的專項投入。

4 結(jié) 語

高校信息系統(tǒng)的安全至關(guān)重要，信息系統(tǒng)安全等級保護是保障信息安全的重要屏障。充分了解高校信息系統(tǒng)安全的現(xiàn)狀和存在的問題，并嚴格按照等級保護的要求、實施流程對高校信息系統(tǒng)進行等級保護，建立高校信息系統(tǒng)安全等級保護完整體系，有利于高校信息系統(tǒng)的安全保護。

主要參考文獻

[1]冼偉銓，王厚奎.等級保護要求下的高校Web安全[J].信息安全與技術(shù)，2012（2）.

[2]高朝勤.信息系統(tǒng)等級保護中的多級安全技術(shù)研究[D].北京：北京工業(yè)大學(xué)，2012.

[3]路萍，翟躍.信息安全等級保護備案在高等院校中的研究與實踐[J].中國教育信息化：高教職教，2015（21）.

[4]劉玉燕.高校信息安全等級保護評測[J].信息技術(shù)，2011（2）.

[5]肖國煜.信息系統(tǒng)等級保護測評實踐[J].信息網(wǎng)絡(luò)安全，2011（7）.