高校信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)施研究與分析

呂美敬

（中央財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息中心， 北京 100081）

1 引言

隨著網(wǎng)絡(luò)信息時(shí)代的飛速發(fā)展，智慧校園的智能化程度也越來(lái)越高，高校信息系統(tǒng)數(shù)量也越來(lái)越多，高校工作者及學(xué)生對(duì)各類(lèi)業(yè)務(wù)信息系統(tǒng)的依賴不斷加深，信息安全工作顯得愈加重要，但隨著各類(lèi)業(yè)務(wù)應(yīng)用與服務(wù)不斷深入，當(dāng)前各高校和部門(mén)的信息安全防護(hù)水平依然不能滿足信息化快速發(fā)展對(duì)安全保障的需要。高校信息化建設(shè)在給教學(xué)、科研、管理、學(xué)習(xí)帶來(lái)便捷的同時(shí)，成為不法分子利用網(wǎng)絡(luò)傳播非法信息的重要途徑。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《信息安全等級(jí)保護(hù)管理辦法》已正式頒布實(shí)施，按照國(guó)家信息安全等級(jí)保護(hù)相關(guān)制度的要求，等級(jí)保護(hù)測(cè)評(píng)變得有法可依、有據(jù)可循。信息系統(tǒng)安全等級(jí)保護(hù)是針對(duì)不同信息系統(tǒng)進(jìn)行分級(jí)保護(hù)而開(kāi)展的，是網(wǎng)絡(luò)安全工作的重要組成部分。為加強(qiáng)高校校園網(wǎng)絡(luò)和信息系統(tǒng)安全，高校必須高度重視并主動(dòng)推進(jìn)等級(jí)保護(hù)工作，為高校師生創(chuàng)造一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境。

2 信息安全等級(jí)保護(hù)測(cè)評(píng)概述

網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。等級(jí)保護(hù)測(cè)評(píng)就是有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)非涉密的信息系統(tǒng)按照不同等級(jí)要求對(duì)這些系統(tǒng)進(jìn)行安全測(cè)評(píng)，出具相應(yīng)的信息系統(tǒng)測(cè)評(píng)報(bào)告。

根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，等級(jí)保護(hù)工作總共分五個(gè)階段，分別為信息系統(tǒng)定級(jí)、信息系統(tǒng)備案（定級(jí)備案）、信息系統(tǒng)等級(jí)測(cè)評(píng)、信息系統(tǒng)安全整改、定期監(jiān)督檢查，如圖1所示。

圖1 等級(jí)保護(hù)工作五個(gè)階段

（1）信息系統(tǒng)定級(jí)。信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)。信息安全等級(jí)保護(hù)的五個(gè)等級(jí)如表1所示。

（2）信息系統(tǒng)備案。二級(jí)及以上信息系統(tǒng)的定級(jí)需用戶單位到單位所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理系統(tǒng)備案手續(xù)。

（3）等級(jí)保護(hù)測(cè)評(píng)。信息系統(tǒng)建設(shè)完成后，系統(tǒng)運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu)，對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)并出具信息系統(tǒng)測(cè)評(píng)報(bào)告。

（4）信息系統(tǒng)安全整改。測(cè)評(píng)完成之后需根據(jù)測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題及時(shí)進(jìn)行安全整改，特別是存在高危風(fēng)險(xiǎn)的信息系統(tǒng)。測(cè)評(píng)的結(jié)論分為不符合、基本符合、符合。

（5）定期監(jiān)督檢查。信息安全監(jiān)管部門(mén)依據(jù)信息安全等級(jí)保護(hù)的管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款，監(jiān)督檢查用戶單位開(kāi)展等級(jí)保護(hù)工作情況，定期對(duì)信息系統(tǒng)進(jìn)行安全大檢查。

3 高校開(kāi)展信息安全等級(jí)保護(hù)工作的重要性

高校校園網(wǎng)是高校信息化建設(shè)的基礎(chǔ)，隨著智慧校園的智能化及普及，高校信息系統(tǒng)的數(shù)量也急劇增加。高校網(wǎng)站和信息系統(tǒng)一直是社會(huì)關(guān)注的重點(diǎn)，影響面大，也是黑客的重點(diǎn)關(guān)注對(duì)象。高校需要開(kāi)展等級(jí)保護(hù)工作主要有五個(gè)方面的原因。

（1）落實(shí)《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見(jiàn)》（教技〔2014〕4號(hào)）、《教育部公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等保工作的通知》（教技〔2015〕2號(hào)）、《教育部辦公廳關(guān)于組織開(kāi)展部屬單位信息安全等級(jí)保護(hù)工作的通知》（教技廳函〔2015〕68號(hào)）等國(guó)家政策文件的要求，履行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《信息安全等級(jí)保護(hù)管理辦法》等法律法規(guī)及相關(guān)制度關(guān)于開(kāi)展等級(jí)保護(hù)測(cè)評(píng)的網(wǎng)絡(luò)安全義務(wù)。

（2）高校可以通過(guò)信息安全等級(jí)保護(hù)工作及時(shí)發(fā)現(xiàn)學(xué)校業(yè)務(wù)信息系統(tǒng)存在的安全隱患和不足，依據(jù)測(cè)評(píng)結(jié)論進(jìn)行安全整改之后，有效提高應(yīng)用系統(tǒng)的安全防護(hù)能力，降低信息系統(tǒng)被非法分子攻擊的風(fēng)險(xiǎn)，維護(hù)學(xué)校的聲譽(yù)和形象。

（3）高校按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作，是切實(shí)履行網(wǎng)絡(luò)安全義務(wù)，避免網(wǎng)絡(luò)受到非法干擾、破壞或者未經(jīng)授權(quán)的侵入，避免網(wǎng)絡(luò)數(shù)據(jù)遭受泄露或者網(wǎng)站頁(yè)面被竊取或篡改。

（4）信息安全等級(jí)保護(hù)工作是網(wǎng)絡(luò)安全工作的基礎(chǔ)，只有做好等級(jí)保護(hù)測(cè)評(píng)工作，才能更好地開(kāi)展安全整改建設(shè)。高校管理者及網(wǎng)絡(luò)安全工作人員可以通過(guò)等級(jí)保護(hù)測(cè)評(píng)工作了解整個(gè)學(xué)校網(wǎng)絡(luò)安全工作的成果，是否存在風(fēng)險(xiǎn)點(diǎn)，了解風(fēng)險(xiǎn)點(diǎn)產(chǎn)生的原因，并根據(jù)可能產(chǎn)生的破壞和后果，合理處置風(fēng)險(xiǎn)點(diǎn)，并在以后的信息化建設(shè)工作過(guò)程中針對(duì)薄弱點(diǎn)加強(qiáng)建設(shè)。

（5）提高高校信息化建設(shè)工作者的網(wǎng)絡(luò)安全意識(shí)，強(qiáng)化等級(jí)保護(hù)工作在信息化安全工作過(guò)程中的重要性，確保信息系統(tǒng)各項(xiàng)安全保障措施滿足最新的安全形勢(shì)需要。

表1 信息安全等級(jí)保護(hù)的五個(gè)等級(jí)

4 以中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)為例的等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目實(shí)施研究

中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)主要幫助學(xué)校提高學(xué)生就業(yè)的工作效率，極為方便地對(duì)就業(yè)的有關(guān)數(shù)據(jù)進(jìn)行管理、輸入、輸出、查找等有關(guān)操作，為用人單位、學(xué)生、教師、校友等四類(lèi)用戶提供服務(wù)。中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)是為學(xué)校師生及企業(yè)提供就業(yè)信息及管理的平臺(tái)，業(yè)務(wù)信息主要包含企業(yè)基本信息數(shù)據(jù)、企業(yè)發(fā)布招聘信息數(shù)據(jù)、學(xué)生基本信息數(shù)據(jù)、學(xué)生就業(yè)派遣信息等。下面就等級(jí)保護(hù)工作的五個(gè)階段，對(duì)中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作進(jìn)行詳細(xì)介紹。

4.1 信息系統(tǒng)定級(jí)

中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)服務(wù)受到非法破壞后，會(huì)導(dǎo)致用人單位和學(xué)生無(wú)法通過(guò)系統(tǒng)辦理招聘和就業(yè)手續(xù)，影響學(xué)生處就業(yè)工作人員的工作效率，使中央財(cái)經(jīng)大學(xué)就業(yè)工作無(wú)法正常開(kāi)展。因此，受到影響的客體是公民、法人和其他組織的合法權(quán)益，侵害程度為嚴(yán)重侵害，如表1所示，該系統(tǒng)的安全等級(jí)保護(hù)可以定為二級(jí)。自主定級(jí)完成后，系統(tǒng)管理人員形成《中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》和《中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)安全等級(jí)保護(hù)備案表》。

4.2 信息系統(tǒng)備案

中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)定級(jí)之后需要到中央財(cái)經(jīng)大學(xué)所在地海淀區(qū)公安部門(mén)備案，將《中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》和《中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)安全等級(jí)保護(hù)備案表》等定級(jí)材料打印兩份，首頁(yè)蓋章，電子檔準(zhǔn)備一份送至海淀區(qū)公安局內(nèi)保局定級(jí)備案，形成帶備案公安機(jī)關(guān)公章的中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)安全等級(jí)保護(hù)備案證明以及蓋章的中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)定級(jí)報(bào)告和備案表。

4.3 等級(jí)保護(hù)測(cè)評(píng)工作

根據(jù)等級(jí)保護(hù)基本要求，委托第三方測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)。測(cè)評(píng)機(jī)構(gòu)一定是有測(cè)評(píng)資質(zhì)且已在用戶所在地公安網(wǎng)安部門(mén)備案。等級(jí)保護(hù)測(cè)評(píng)工作包括物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的測(cè)評(píng)，并分析其與等級(jí)保護(hù)基本要求之間的差距，按照信息安全等級(jí)保護(hù)制度建設(shè)要求提出安全整改建議，形成《信息安全整改建議書(shū)》和《網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)安全技術(shù)策略規(guī)范》。

測(cè)評(píng)工具：掃描工具、滲透測(cè)試工具集等。

測(cè)評(píng)方法：訪談、檢查、測(cè)試。

測(cè)評(píng)對(duì)象：機(jī)房、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫(kù)管理系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、訪談人員、安全管理文檔。

根據(jù)測(cè)評(píng)項(xiàng)權(quán)重，以加權(quán)平均合并同一安全控制點(diǎn)下的所有測(cè)評(píng)項(xiàng)的符合程度得分，并按照控制點(diǎn)得分計(jì)算公式得到各安全控制點(diǎn)的 5分制得分。

控制點(diǎn)得分，n為同一控制點(diǎn)下的測(cè)評(píng)項(xiàng)數(shù)，不含不適用的控制點(diǎn)和測(cè)評(píng)項(xiàng)。根據(jù)公式和各層面的測(cè)評(píng)結(jié)果，得到各層面的安全得分如圖2所示。

圖2 安全層面得分比較

根據(jù)測(cè)評(píng)與風(fēng)險(xiǎn)分析結(jié)果，計(jì)算中央財(cái)經(jīng)大學(xué)招生就業(yè)信息系統(tǒng)的綜合得分為 87.70，且系統(tǒng)不存在高風(fēng)險(xiǎn)安全問(wèn)題，因此測(cè)評(píng)結(jié)論為基本符合。

4.4 信息系統(tǒng)安全整改

根據(jù)測(cè)評(píng)中發(fā)現(xiàn)的問(wèn)題，結(jié)合《信息安全整改建議書(shū)》，采購(gòu)部署安全產(chǎn)品、進(jìn)行系統(tǒng)改造和加固、落實(shí)安全管理體系，針對(duì)有漏洞的信息系統(tǒng)，通知應(yīng)用廠商，進(jìn)行漏洞修復(fù)。整改完成之后，測(cè)評(píng)機(jī)構(gòu)再依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）進(jìn)行驗(yàn)證，驗(yàn)證安全整改結(jié)果，最終出具《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告》。由于涉及到校就業(yè)信息系統(tǒng)的安全性，僅僅羅列部分測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題，部分?jǐn)?shù)據(jù)的安全整改信息如表2所示。

測(cè)評(píng)結(jié)束后，用戶單位具備加蓋過(guò)主管部門(mén)的公章的《中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》《中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)安全等級(jí)保護(hù)備案表》、中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)備案證明以及加蓋過(guò)測(cè)評(píng)機(jī)構(gòu)公章及測(cè)評(píng)專用章的《中央財(cái)經(jīng)大學(xué)就業(yè)信息系統(tǒng)測(cè)評(píng)報(bào)告》，以此可以證明中央財(cái)經(jīng)大學(xué)就業(yè)信息管理系統(tǒng)已經(jīng)完成二級(jí)系統(tǒng)的定級(jí)及等級(jí)保護(hù)測(cè)評(píng)工作。

4.5 定期監(jiān)督檢查

信息安全監(jiān)管部門(mén)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款，監(jiān)督檢查運(yùn)營(yíng)使用單位開(kāi)展等級(jí)保護(hù)工作，定期對(duì)信息系統(tǒng)進(jìn)行安全檢查。檢查內(nèi)容主要包括是否制定內(nèi)部安全管理制度和操作規(guī)程，落實(shí)網(wǎng)絡(luò)安全管理制度，建立網(wǎng)絡(luò)安全防護(hù)技術(shù)措施、記錄檢測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)，網(wǎng)絡(luò)日志留存不少于六個(gè)月，是否采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密措施等。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。

通過(guò)此次等級(jí)保護(hù)測(cè)評(píng)工作的實(shí)施，我們及時(shí)發(fā)現(xiàn)了就業(yè)信息系統(tǒng)與國(guó)家安全標(biāo)準(zhǔn)之間存在的差距，明確了目前就業(yè)系統(tǒng)存在的安全隱患和不足，并及時(shí)進(jìn)行安全整改，通過(guò)整改提高了信息系統(tǒng)的信息安全防護(hù)能力，降低了系統(tǒng)被各種非法分子攻擊的可能性。合理的規(guī)避了物理層面、網(wǎng)絡(luò)層面、主機(jī)層面、應(yīng)用層面、數(shù)據(jù)安全及備份恢復(fù)等方面可能存在的風(fēng)險(xiǎn)，完善了相關(guān)的安全管理制度，讓就業(yè)信息系統(tǒng)更安全便捷的服務(wù)廣大師生。

表2 安全整改問(wèn)題及反饋示例

5 結(jié)束語(yǔ)

本文從高校的角度解讀了教育行業(yè)等級(jí)保護(hù)測(cè)評(píng)的相關(guān)政策，并以學(xué)校就業(yè)系統(tǒng)為實(shí)例，詳細(xì)闡述了等級(jí)保護(hù)測(cè)評(píng)工作，對(duì)高校信息系統(tǒng)的測(cè)評(píng)工作具有一定的現(xiàn)實(shí)指導(dǎo)意義。隨著等保信息化2.0時(shí)代的到來(lái)，等級(jí)保護(hù)工作必將更加規(guī)范嚴(yán)格。為加強(qiáng)高校校園網(wǎng)絡(luò)和信息系統(tǒng)安全，高校必須高度重視等級(jí)保護(hù)工作的開(kāi)展并主動(dòng)推進(jìn)，給高校師生提供一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境?，F(xiàn)狀分析[A].第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集, 2013.