高校信息系統(tǒng)等級保護工作策略探究

孫曉林

摘要：隨著智慧校園建設(shè)步伐的加快，智能化程度越來越高，高校信息系統(tǒng)數(shù)量也隨之增多。但信息系統(tǒng)的安全建設(shè)并未同步發(fā)展，信息系統(tǒng)安全事件層出不窮。等級保護是提高信息系統(tǒng)安全防護的重要手段。通過分析信息系統(tǒng)等級保護工作的流程、特點，結(jié)合當(dāng)前網(wǎng)絡(luò)和信息系統(tǒng)安全的現(xiàn)狀，提出高校進行信息系統(tǒng)安全等級保護工作的必要性并對開展等級工作的策略進行研究。

關(guān)鍵詞：網(wǎng)絡(luò)；信息系統(tǒng)；安全；等級保護

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）23-0077-02

Abstract： With the further development of wisdom campus construction， the intelligence is increased greatly. The number of university information systems is also increasing. However， the security construction had not developed simultaneously， which leaded to the frequent security incidents. The classified protection is an important means to improve information system security. By analyzing the process and characteristics of classified protection， we proposed that its unavoidable to launch the security classified protection work of information system combining the network and information system security situation. Finally， the working strategy was probed.

Key words：network； information system； security； classified protection

1 引言

網(wǎng)絡(luò)信息化的快速發(fā)展，使得信息系統(tǒng)在各個領(lǐng)域普及開來[1]。由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性、信息系統(tǒng)的脆弱性，信息安全事件不斷發(fā)生，嚴(yán)重危害公民利益和社會秩序[2]。信息系統(tǒng)承載著各領(lǐng)域、各行業(yè)的重要功能和數(shù)據(jù)，一旦遭到攻擊，將產(chǎn)生不可估量的后果。習(xí)近平總書記強調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全”。《中華人民共和國網(wǎng)絡(luò)安全法》和《信息安全等級保護管理辦法》的正式實施，使網(wǎng)絡(luò)安全和信息系統(tǒng)安全工作有法可依、有章可循。

信息系統(tǒng)安全等級保護是針對不同信息系統(tǒng)進行分級保護而開展的，是網(wǎng)絡(luò)安全工作的重要組成部分。高校必須高度重視此項工作并主動推進[3]，進一步加強校園網(wǎng)和信息系統(tǒng)的安全，給師生提供一個安全可靠的網(wǎng)絡(luò)環(huán)境，從而更好地學(xué)習(xí)和生活。

2 信息系統(tǒng)等級保護工作概述

信息系統(tǒng)是指由計算機及其相關(guān)配套的設(shè)備、網(wǎng)絡(luò)構(gòu)成對相關(guān)業(yè)務(wù)信息進行采集、加工、存儲、傳輸、檢索和處理，不涉及國家秘密的系統(tǒng)[4]。信息系統(tǒng)等級保護是指對信息系統(tǒng)分等級實施安全保護，對使用的安全產(chǎn)品按等級管理，并對所發(fā)生的安全事件分等級相應(yīng)、處置的綜合性工作[5]。該項工作包含以下五個步驟：定級、備案、測評、建設(shè)整改和監(jiān)督審查。其中，定級是等級保護工作的第一步，需要依據(jù)信息系統(tǒng)受到破壞時所侵害的客體以及客體受侵害的程度確定的信息系統(tǒng)安全等級；備案指對已定級的信息系統(tǒng)到公安機關(guān)進行在冊登記；測評是由第三方公司對已經(jīng)定級備案的信息系統(tǒng)進行“體檢”，出具測評報告，并提出整改建議；信息系統(tǒng)主管部門再針對等級測評中檢測出來的問題進行整改；在整個等級保護工作過程中公安機關(guān)對具有監(jiān)督審查的權(quán)利，以確保該工作的順利進行。

信息系統(tǒng)安全等級保護工作具有以下特點：

（1）強制性?！吨腥A人民共和國網(wǎng)絡(luò)安全法》規(guī)定：國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（五）法律、行政法規(guī)規(guī)定的其他義務(wù)[6]。不做等級保護工作就違反了第（五）規(guī)定，觸犯了法律。目前我國已經(jīng)有單位因此受到處罰，如未按照要求定級備案、未按照文件規(guī)定進行等級測評、未留存網(wǎng)絡(luò)日志、或安全保護技術(shù)措施不到位等[7]。在當(dāng)前網(wǎng)絡(luò)環(huán)境日益復(fù)雜的情況下，等級保護工作一定要及時主動去做，不要觀望等待。

（2）持續(xù)性。按照《信息安全等級保護管理辦法》的規(guī)定，信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查，并開展等級測評。高校教育行業(yè)的二級信息系統(tǒng)明確要求每兩年自查并做一次等級測評，三級信息系統(tǒng)要求每年自查并進行一次等級測評，四級信息系統(tǒng)至少半年進行一次等級測評，五級系統(tǒng)則是根據(jù)安全需求進行測評[8]。因此等保測評工作具有周期性、持續(xù)性。

3 高校網(wǎng)絡(luò)安全工作

網(wǎng)絡(luò)安全事件的頻發(fā)以及《網(wǎng)絡(luò)安全法》的實施，各高校對網(wǎng)絡(luò)安全都引起了較高的重視，并相繼采取了一些措施，但仍存在問題：

（1）重建設(shè)，輕等保：智慧校園建設(shè)的大背景下，智能化程度越來越高，高校信息系統(tǒng)數(shù)量也隨之增多，但信息系統(tǒng)的主管部門只是積極主動地建系統(tǒng)，而網(wǎng)絡(luò)安全方面的投入還不夠，等級保護工作開展不積極。

（2）重運維，輕防護：信息系統(tǒng)運營單位大都側(cè)重于系統(tǒng)使用和維護，對防范網(wǎng)絡(luò)安全風(fēng)險、應(yīng)急處置和綜合防護方面能力不足，難以適應(yīng)情況復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。

（3）重使用，輕培訓(xùn)：在高校，各部門的信息系統(tǒng)只是推廣使用，但是只有網(wǎng)絡(luò)中心或信息中心有專門的網(wǎng)絡(luò)安全技術(shù)人員，而其他部門的信息系統(tǒng)網(wǎng)絡(luò)管理人員并非本專業(yè)，只能簡單地管理、維護信息系統(tǒng)，絕大部分管理人員并沒有接受系統(tǒng)的網(wǎng)絡(luò)安全技能培訓(xùn)，安全防范意識和防護能力都比較差。

針對高校存在的上述網(wǎng)絡(luò)安全問題，提出以下建議：

（1）建立健全網(wǎng)絡(luò)安全教育培訓(xùn)機制：建立以網(wǎng)絡(luò)中心網(wǎng)絡(luò)安全工作人員為主，其他部門工作在網(wǎng)絡(luò)安全一線的人員（如網(wǎng)絡(luò)安全員、網(wǎng)站管理員和系統(tǒng)管理員）為輔的培訓(xùn)機制，定期或不定期地舉行網(wǎng)絡(luò)教育專題講座，使更多的網(wǎng)絡(luò)安全人員接受系統(tǒng)的網(wǎng)絡(luò)安全教育培訓(xùn)，從而提高網(wǎng)絡(luò)安全意識。

（2）定期演練，加強網(wǎng)絡(luò)安全應(yīng)急保障體系：在每年的網(wǎng)絡(luò)宣傳周舉辦各類網(wǎng)絡(luò)安全知識競賽、應(yīng)急演練等活動，一方面加強各部門的安全意識，另一方面提高應(yīng)急處置能力。演練過程中，及時總結(jié)并發(fā)現(xiàn)問題，不斷改進，增強網(wǎng)絡(luò)的安全性和信息系統(tǒng)的健壯性。

（3）加快統(tǒng)一數(shù)據(jù)中心的建設(shè)：不同部門的數(shù)據(jù)實現(xiàn)共享，統(tǒng)一部署安全防護措施和安全設(shè)備，提高安全防范能力。

（4）加快等級保護工作的進程：加大人力、財力的投入，尤其是等級測評工作，盡早發(fā)現(xiàn)問題，進行整改。

4 高校信息系統(tǒng)安全等級保護工作策略探究

等級保護作為提高信息系統(tǒng)安全的重要手段，是必須進行的。但高校信息系統(tǒng)等級保護工作處于起步階段，大部分高校對該項工作只是進行了一部分，如只進行定級備案，等級測評工作只是進行一部分或者尚未進行，因此存在很大的安全隱患。目前，高校等級保護工作面臨的主要問題有：

（1）財力不足：缺乏信息安全甚至等級保護工作的專項資金。

（2）資金到位但工作難開展：等級保護工作涉及高校所有的信息系統(tǒng)，而這些信息系統(tǒng)分散在學(xué)校各二級部門，如教務(wù)處、財務(wù)處、人事處、科研處、網(wǎng)絡(luò)中心等，網(wǎng)絡(luò)中心作為學(xué)校的教學(xué)輔助部門，難以協(xié)調(diào)其他部門配合進行等級保護工作。

根據(jù)高校信息系統(tǒng)等級保護工作的現(xiàn)狀，對開展等級保護工作策略進行探究：

（1）不買系統(tǒng)，只買應(yīng)用，如不購買郵件系統(tǒng)，從已經(jīng)備案的郵件系統(tǒng)服務(wù)商購買郵件用戶數(shù)，為師生間接提供郵件服務(wù)。

（2）爭取多方面的資金，如與銀行、運營商合作，并要求系統(tǒng)建設(shè)、配套安全設(shè)備建設(shè)和等級保護工作同時進行。

（3）建立并完善網(wǎng)絡(luò)安全相關(guān)制度，注重落實。

（4）校領(lǐng)導(dǎo)主導(dǎo)，并督促等級保護工作開展情況。

5 結(jié)論

在信息化高速發(fā)展和智慧校園建設(shè)步伐日益加快的今天，信息系統(tǒng)的安全工作至關(guān)重要，對信息系統(tǒng)按照業(yè)務(wù)重要性、數(shù)據(jù)保密性等進行等級劃分并分級別保護是十分必要的。高校要嚴(yán)格落實《網(wǎng)絡(luò)安全法》和《信息安全等級保護管理辦法》的相關(guān)規(guī)定，堅持網(wǎng)絡(luò)安全、信息系統(tǒng)安全與智慧校園建設(shè)并重，堅持“三手抓，三手都要硬”，建設(shè)更加安全、智慧的網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1] 劉澤華. 高校信息系統(tǒng)安全等級保護研究[J]. 中國管理信息化， 2016， 19（8）：154-155.

[2] 王建華. 信息安全等級保護標(biāo)準(zhǔn)現(xiàn)狀及其在網(wǎng)絡(luò)安全法作用下的發(fā)展[J]. 中國金融電腦， 2018（3）.

[3] 王強民， 張保穩(wěn)， 張競. 高校信息系統(tǒng)安全等級保護工作的現(xiàn)狀分析[C]. 全國信息安全等級保護技術(shù)大會會議， 2013.

[4] 路萍， 翟躍. 信息安全等級保護備案在高等院校中的研究與實踐[J]. 中國教育信息化， 2015（21）：12-16.

[5] 龔文濤， 郎穎瑩等. 基于高校信息系統(tǒng)的信息等級保護工作淺析[J]. 微型電腦應(yīng)用， 2017（1）：60-61.

[6] 中華人民共和國網(wǎng)絡(luò)安全法[J]. 林業(yè)勞動安全， 2016， 29（4）：10-16.

[7] 中國網(wǎng)絡(luò)安全等級保護網(wǎng). 關(guān)于檢查《網(wǎng)絡(luò)安全法》《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》實施情況的報告[EB/OL]. http：//www.djbh.net/webdev/web/PolicyStandardsAction.do？p=getGlgf&id;=8a8182565fd8b6b90160b98385d4009d.2018-1-3.

[8] 第二章 等級劃分與保護. 信息安全等級保護管理辦法[J]. 電力信息與通信技術(shù)， 2007， 5（9）：22-26.

【通聯(lián)編輯：代影】