高校信息系统安全等级保护研究
来源:用户上传
作者:
[摘 要]由于信息系统自身的特点和网络环境的复杂性,高校信息系统安全威胁日益凸显,网络安全形势日益严峻。为保障高校信息系统安全运行,提高办学效率和质量,本文深入研究了信息系统安全等级保护的内容,高校信息系统安全等级保护的现状、实施流程,建立了完整的高校信息系统等级保护体系。
[关键词]高校;信息系统;安全等级;保护
doi:10.3969/j.issn.1673 - 0194.2016.08.112
[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2016)08-0-02
随着信息技术的迅猛发展和计算机网络的快速普及,信息系统在各行业、各领域得到广泛应用。高校作为学术研究的重要阵地,信息化建设高速开展。校园网、信息系统的建立,为学校教学、科研和管理提供资源共享、信息交流和协同工作的网络平台,并且已成为高校信息化建设的重要组成部分,同时也是衡量一个高校教育信息化、现代化的重要标志。大数据、云计算、“互联网+”等新技术出现的同时,伪基站、BIOS(基本输入输出系统)后门、木马僵尸、SQL(结构化查询语言)注入、DDOS(分布式拒绝服务)攻击等各类网络攻击层出不穷、攻击方式变异频繁,因此,保障网络与信息系统安全,已成为高校信息化发展中迫切需要解决的重大问题。
1 信息系统等级保护
信息网络的全球化使信息网络的安全问题日益严峻,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。信息系统安全最重要的3个属性是机密性、完整性与可用性。
信息系统等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度,针对信息的机密性、完整性和可用性要求及信息系统必须要达到的基本安全保护水平等因素,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2 高校信息系统安全现状
为保证高校信息系统安全性,对信息系统按重要程度、数据的机密性等进行不同等级的划分并按级别进行保护是必要的。目前,高校信息系统的安全等级保护主要存在以下几个问题。
第一,思想认识不到位。部分高校对信息系统安全等级保护工作认识不足,认为信息系统定级过高会提高管理成本,造成不必要的麻烦。
第二,在信息安全方面的资金投入不足,等级保护工作整改不到位。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,针对网络安全方面的专项投入不足。
第三,未建立相应的安全管理机构和安全管理制度,一些必要的管理制度没有制定。此外一些管理制度修订不及时,已经不能满足当前系统安全管理的需求。
第四,专业技术力量较弱,技术防护与制度落实不彻底。部分高校网管人员专业技术力量较弱,一些不属于网络中心的网络处于无人监管的状态。
第五,部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护也不统一。此外,还存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
第六,在建设网络安全体系时,存在重技术、轻管理的现象。许多安全设备处于系统默认配置,安全设备不能起到应有的作用,部分系统没有配备安全管理员。
3 高校信息系统等级保护
3.1 实施流程
高校信息系统安全等级保护的实施应按照公安部门及教育主管部门的相关文件要求严格执行,其主要包含明确责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、差距测评、安全整改建设、验收测评等流程。
第一,明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。
第二,自主定级。首先要确定本单位有哪些符合定义的信息系统需要做等级保护工作。在定级时要坚持自主定级、自主保护的原则。参照《信息系统安全等级保护定级指南》,根据本单位实际情况,对本单位的信息系统作自我评估,完成自主定级。
第三,专家评审。主管单位完成信息系统自主定级后,聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见,以求准确对信息系统进行定级。
第四,主管部门审核批准。主管单位完成信息系统专家评审后,填写《信息系统安全等级保护定级报告》《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料报送至所属教育主管部部门进行审批,并出具行业定级意见。
第五,公安机关备案。高校定级为二级及以上的信息系统需要到当地公安局网监部门备案审核。
第六,差距测评。完成定级、备案后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统安全保护状况开展差距测评,并编写差距测评报告及整改建议。
第七,安全整改建设。高校根据差距测评报告和整改建议,针对存在安全问题的信息系统,有针对性地进行整改建设,提高信息系统的安全性。
第八,验收测评。完成安全整改建设后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统开展验收测评,编写验收测评报告,并送至公安机关备案,以完成安全等级保护工作。
3.2 保障策略
高校信息系统的等级保护存在各种各样的问题,以至于等级保护工作落实不到位,为保证安全等级保护工作顺利进行,应采取如下保障策略。
第一,提高安全意识。信息安全等级保护管理部门应加大信息系统安全等级保护工作的宣传力度,定期召开由各高校有关信息系统部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校加强对信息系统的安全意识。
第二,增强技术能力。高校信息系统安全,需要强大的技术团队作支撑。在开展安全等级保护工作中,专业的技术能力是保证测评工作和整改工作顺利高效进行的基础。因而,应注重技术能力的培养和提高。
第三,建立安全管理机构、健全安全管理制度,保证信息系统安全的专项预算。针对高校信息系统,应及时建立及更新各项管理制度,以达到安全等级保护的要求,并满足系统安全管理的需求,同时在制度中规划高校信息系统安全建设的整体方针,并保证网络安全方面的专项投入。
4 结 语
高校信息系统的安全至关重要,信息系统安全等级保护是保障信息安全的重要屏障。充分了解高校信息系统安全的现状和存在的问题,并严格按照等级保护的要求、实施流程对高校信息系统进行等级保护,建立高校信息系统安全等级保护完整体系,有利于高校信息系统的安全保护。
主要参考文献
[1]冼伟铨,王厚奎.等级保护要求下的高校Web安全[J].信息安全与技术,2012(2).
[2]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.
[3]路萍,翟跃.信息安全等级保护备案在高等院校中的研究与实践[J].中国教育信息化:高教职教,2015(21).
[4]刘玉燕.高校信息安全等级保护评测[J].信息技术,2011(2).
[5]肖国煜.信息系统等级保护测评实践[J].信息网络安全,2011(7).
转载注明来源:https://www.xzbu.com/3/view-11281328.htm
