王煒
摘 要:建立計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù),是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中的一項(xiàng)重要工作,它直接關(guān)系到高校的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理,為高校的信息系統(tǒng)安全建設(shè)工作提供了重要的基礎(chǔ)支撐。
關(guān)鍵詞:等級保護(hù);信息系統(tǒng)安全
2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施,網(wǎng)絡(luò)安全已成為我國一項(xiàng)非常重要的國家安全戰(zhàn)略,“沒有網(wǎng)絡(luò)安全就沒有國家安全”。作為中國教育體系的重要組成部分,高校信息安全是網(wǎng)絡(luò)安全法定義的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)之一,為高校的網(wǎng)絡(luò)安全保障工作提出了更高的要求。
近幾年高校在信息化方面的投入力度不斷加大,特別在大數(shù)據(jù)支撐、智慧校園等方面取得了很大突破,同時(shí)使得校園網(wǎng)絡(luò)在支撐業(yè)務(wù)系統(tǒng)運(yùn)行和發(fā)展中所面臨的安全威脅不斷增加,如何保障業(yè)務(wù)系統(tǒng)的信息完整性、信息保密性和系統(tǒng)可用性是信息安全體系的重要支撐,是高校信息化必須重視的問題。而等級保護(hù)工作作為高校信息安全工作的一個(gè)重要支撐,發(fā)揮著越來越重要的作用。
一、等級保護(hù)相關(guān)依據(jù)
《中華人民共和國網(wǎng)絡(luò)安全法》第21條規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。(1)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;(2)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;(3)采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;(4)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;(5)法律、行政法規(guī)規(guī)定的其他義務(wù)。
教育部辦公廳在2009年發(fā)布了《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》(教辦廳函〔2009〕80號),隨后,教育部辦公廳多次發(fā)文,要求全國教育行業(yè)按照國家信息安全等級保護(hù)制度的要求開展等保工作。高校應(yīng)以信息安全等級保護(hù)工作為抓手,建立完善的網(wǎng)絡(luò)信息安全保障體系,提升高等教育信息系統(tǒng)安全水平,保障教育信息化的持續(xù)健康穩(wěn)定發(fā)展。在積極推進(jìn)等級保護(hù)的同時(shí),進(jìn)一步健全信息安全保障體系,使等級保護(hù)真正成為提高安全保障能力、維護(hù)行業(yè)穩(wěn)定、保障信息化發(fā)展的一項(xiàng)基本制度。
二、等級保護(hù)工作環(huán)節(jié)
(一)調(diào)查摸底
信息安全等級保護(hù)工作是高校一項(xiàng)重要工作,可由信息化部門組織實(shí)施該項(xiàng)工作。各信息系統(tǒng)主管部門、運(yùn)營使用部門組織開展對所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用,或服務(wù)范圍、系統(tǒng)結(jié)構(gòu),以及系統(tǒng)建設(shè)規(guī)劃等基本情況,為開展信息安全等級保護(hù)工作打下基礎(chǔ)。
(二)確定等級
按照“誰主管、誰負(fù)責(zé)”原則,各信息系統(tǒng)主管部門按照《信息系統(tǒng)安全等級保護(hù)定級指南》,確定定級對象的安全保護(hù)等級。就目前高校工作實(shí)踐來看,重要信息系統(tǒng)(如招生系統(tǒng)、門戶系統(tǒng)、一卡通等)一般定為三級,其他基本定為一級或二級。
(三)安全建設(shè)整改
由于高校信息化建設(shè)時(shí)間較早,系統(tǒng)較多,要區(qū)別對待新老系統(tǒng)。各信息系統(tǒng)主管部門根據(jù)確定的安全保護(hù)等級,對已有的老信息系統(tǒng)按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),采購和使用相應(yīng)等級要求的信息安全產(chǎn)品,落實(shí)安全技術(shù)措施,完成系統(tǒng)整改。新系統(tǒng)在立項(xiàng)建設(shè)環(huán)節(jié)就考慮等保要求,參照《信息系統(tǒng)安全等級保護(hù)基本要求》,在上線前新增應(yīng)用安全、數(shù)據(jù)安全以及部分主機(jī)安全部分的單元測評,推動實(shí)現(xiàn)等級保護(hù)所應(yīng)達(dá)到的防護(hù)要求。
(四) 組織測評
信息系統(tǒng)建設(shè)完成后,信息系統(tǒng)主管部門應(yīng)當(dāng)依照《信息安全等級保護(hù)管理辦法》選擇符合要求的測評機(jī)構(gòu)進(jìn)行測評。已投入運(yùn)行信息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當(dāng)進(jìn)行測評。經(jīng)測評,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,主管部門應(yīng)當(dāng)聯(lián)合信息化部門,制定方案進(jìn)行整改。
(五)履行備案手續(xù)
信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)主管部門,應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后(新建系統(tǒng))或確定等級后(已運(yùn)營的系統(tǒng))30 日內(nèi)到地(市)及以上公安機(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù);跨地區(qū)、跨省(市)或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),向地級以上市公安局網(wǎng)監(jiān)部門備案。
(六)健全長效工作機(jī)制
在信息安全等級保護(hù)職能部門、信息系統(tǒng)主管部門間建立暢通的聯(lián)絡(luò)機(jī)制,建立職能部門、主管部門對信息系統(tǒng)的定期監(jiān)督檢查機(jī)制。信息化部門組織開展教育培訓(xùn)工作,加強(qiáng)對安全專業(yè)技術(shù)人員的培訓(xùn),提高信息系統(tǒng)主管部門人員的技術(shù)和法律知識水平。
三、信息安全等級保護(hù)測評
信息安全等級保護(hù)測評是高校信息安全等保工作中最重要的一環(huán),高校通過實(shí)施信息系統(tǒng)安全等級保護(hù)測評,能夠準(zhǔn)確把握信息系統(tǒng)安全狀況,幫助高校按照標(biāo)準(zhǔn)進(jìn)行安全建設(shè)、整改和管理運(yùn)行。
(一)等級保護(hù)測評目的和依據(jù)
信息安全等級保護(hù)測評,是根據(jù)國家等級保護(hù)相關(guān)政策、法律法規(guī)、等級保護(hù)工作的相關(guān)標(biāo)準(zhǔn),測評客戶定級的信息系統(tǒng)是否符合《信息系統(tǒng)安全等級保護(hù)基本要求》中對信息系統(tǒng)采取相應(yīng)等級安全保護(hù)措施的要求,還可以全面、完整地了解信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況以及系統(tǒng)的整體安全性,出具安全等級測評的結(jié)論;指出該系統(tǒng)存在的安全問題并提出相應(yīng)的整改建議,為委托方進(jìn)一步完善被評估系統(tǒng)安全管理策略、采取適當(dāng)?shù)陌踩U洗胧┨峁┮罁?jù)。
(二)等級保護(hù)測評內(nèi)容
等級保護(hù)測評內(nèi)容包含安全技術(shù)測評和安全管理測評方式:
安全技術(shù)測評包括:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全;
安全管理測評包括:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。
(三)等級保護(hù)測評方法
具體在測評環(huán)節(jié),采用以下三種方法:
1.訪談。訪談是指測評人員通過與信息系統(tǒng)有關(guān)人員(個(gè)人/群體)進(jìn)行交流、討論等活動,獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。在訪談范圍上,應(yīng)基本覆蓋所有的安全相關(guān)人員類型,在數(shù)量上可以抽樣。
2.檢查。檢查是指測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動,獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效實(shí)施的一種方法。在檢查范圍上,應(yīng)基本覆蓋所有的對象種類(設(shè)備、文檔、機(jī)制等),數(shù)量上可以抽樣。
3.測試。測試是指測評人員針對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng),通過查看和分析響應(yīng)的輸出結(jié)果,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。在測試范圍上,應(yīng)基本覆蓋不同類型的機(jī)制,在數(shù)量上可以抽樣。
例如,物理安全測評中,對“物理位置的選擇”一項(xiàng),訪談內(nèi)容為機(jī)房具有防震、防雨和防風(fēng)能力,并提供機(jī)房設(shè)計(jì)和驗(yàn)收證明;檢查內(nèi)容為查看機(jī)房是否建在高層或地下室。網(wǎng)絡(luò)安全測評中,對“邊界完整性檢查”一項(xiàng),訪談內(nèi)容為外網(wǎng)接入內(nèi)網(wǎng)行為監(jiān)控、內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為監(jiān)控,并進(jìn)行阻斷處理;測試內(nèi)容為查看外網(wǎng)接入內(nèi)網(wǎng)行為和內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為進(jìn)行監(jiān)控的配置。安全管理制度測評中,對“管理制度”一項(xiàng),訪談內(nèi)容為制定總體方針和安全策略、建立操作規(guī)程;檢查內(nèi)容為查部門、崗位職責(zé)文件,信息安全方針、安全策略文件;查各類安全管理制度文件;形成安全管理制度體系。
(三)測評綜合分析
對保護(hù)狀況進(jìn)行檢測評估后,判定受測系統(tǒng)的技術(shù)和管理級別與所定安全等級要求的符合程度,基于符合程度給出是否滿足所定安全等級的結(jié)論,針對安全不符合項(xiàng)提出安全整改建議。
符合程度:綜合分析具體指標(biāo)符合性判斷,給出抽象指標(biāo)符合性判斷結(jié)果,匯總所有抽象指標(biāo)符合判斷,給出安全等級滿足與否的結(jié)論;
安全等級結(jié)論:結(jié)合受測系統(tǒng)符合性程度,判斷受測系統(tǒng)是否滿足所定安全等級的結(jié)論;
安全整改建議:提出安全整改建議,匯總、分析所有不符合項(xiàng)對應(yīng)的改進(jìn)建議,組合成可單獨(dú)執(zhí)行的整改建議。
四、結(jié)束語
建立計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度,是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中的一件大事,它直接關(guān)系到高校的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理,為高校的信息系統(tǒng)安全建設(shè)工作提供了重要的基礎(chǔ)支撐。
參考文獻(xiàn):
[1]《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》.
[2]《信息安全等級保護(hù)管理辦法》.
[3]劉澤華.高校信息系統(tǒng)安全等級保護(hù)研究,中國管理信息化,2016(08).
[4]張文勇,李維華,唐作其.信息安全等級保護(hù)測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法研究,電子科學(xué)技術(shù),2016(03).
[5]Implementation and Design of Security Configuration Check Toolkit for Classified Evaluation of Information System,Information Technology and Computer Science—Proceedings of 2012 National Conference on Information Technology and Computer Science,2012.