高校信息安全等級保護(hù)研究

王煒

摘 要：建立計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)，是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中的一項(xiàng)重要工作，它直接關(guān)系到高校的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理，為高校的信息系統(tǒng)安全建設(shè)工作提供了重要的基礎(chǔ)支撐。

關(guān)鍵詞：等級保護(hù)；信息系統(tǒng)安全

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，網(wǎng)絡(luò)安全已成為我國一項(xiàng)非常重要的國家安全戰(zhàn)略，“沒有網(wǎng)絡(luò)安全就沒有國家安全”。作為中國教育體系的重要組成部分，高校信息安全是網(wǎng)絡(luò)安全法定義的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)之一，為高校的網(wǎng)絡(luò)安全保障工作提出了更高的要求。

近幾年高校在信息化方面的投入力度不斷加大，特別在大數(shù)據(jù)支撐、智慧校園等方面取得了很大突破，同時(shí)使得校園網(wǎng)絡(luò)在支撐業(yè)務(wù)系統(tǒng)運(yùn)行和發(fā)展中所面臨的安全威脅不斷增加，如何保障業(yè)務(wù)系統(tǒng)的信息完整性、信息保密性和系統(tǒng)可用性是信息安全體系的重要支撐，是高校信息化必須重視的問題。而等級保護(hù)工作作為高校信息安全工作的一個(gè)重要支撐，發(fā)揮著越來越重要的作用。

一、等級保護(hù)相關(guān)依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》第21條規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。（1）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（2）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（3）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；（4）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（5）法律、行政法規(guī)規(guī)定的其他義務(wù)。

教育部辦公廳在2009年發(fā)布了《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函〔2009〕80號），隨后，教育部辦公廳多次發(fā)文，要求全國教育行業(yè)按照國家信息安全等級保護(hù)制度的要求開展等保工作。高校應(yīng)以信息安全等級保護(hù)工作為抓手，建立完善的網(wǎng)絡(luò)信息安全保障體系，提升高等教育信息系統(tǒng)安全水平，保障教育信息化的持續(xù)健康穩(wěn)定發(fā)展。在積極推進(jìn)等級保護(hù)的同時(shí)，進(jìn)一步健全信息安全保障體系，使等級保護(hù)真正成為提高安全保障能力、維護(hù)行業(yè)穩(wěn)定、保障信息化發(fā)展的一項(xiàng)基本制度。

二、等級保護(hù)工作環(huán)節(jié)

（一）調(diào)查摸底

信息安全等級保護(hù)工作是高校一項(xiàng)重要工作，可由信息化部門組織實(shí)施該項(xiàng)工作。各信息系統(tǒng)主管部門、運(yùn)營使用部門組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用，或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)，以及系統(tǒng)建設(shè)規(guī)劃等基本情況，為開展信息安全等級保護(hù)工作打下基礎(chǔ)。

（二）確定等級

按照“誰主管、誰負(fù)責(zé)”原則，各信息系統(tǒng)主管部門按照《信息系統(tǒng)安全等級保護(hù)定級指南》，確定定級對象的安全保護(hù)等級。就目前高校工作實(shí)踐來看，重要信息系統(tǒng)（如招生系統(tǒng)、門戶系統(tǒng)、一卡通等）一般定為三級，其他基本定為一級或二級。

（三）安全建設(shè)整改

由于高校信息化建設(shè)時(shí)間較早，系統(tǒng)較多，要區(qū)別對待新老系統(tǒng)。各信息系統(tǒng)主管部門根據(jù)確定的安全保護(hù)等級，對已有的老信息系統(tǒng)按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采購和使用相應(yīng)等級要求的信息安全產(chǎn)品，落實(shí)安全技術(shù)措施，完成系統(tǒng)整改。新系統(tǒng)在立項(xiàng)建設(shè)環(huán)節(jié)就考慮等保要求，參照《信息系統(tǒng)安全等級保護(hù)基本要求》，在上線前新增應(yīng)用安全、數(shù)據(jù)安全以及部分主機(jī)安全部分的單元測評，推動實(shí)現(xiàn)等級保護(hù)所應(yīng)達(dá)到的防護(hù)要求。

（四） 組織測評

信息系統(tǒng)建設(shè)完成后，信息系統(tǒng)主管部門應(yīng)當(dāng)依照《信息安全等級保護(hù)管理辦法》選擇符合要求的測評機(jī)構(gòu)進(jìn)行測評。已投入運(yùn)行信息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當(dāng)進(jìn)行測評。經(jīng)測評，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，主管部門應(yīng)當(dāng)聯(lián)合信息化部門，制定方案進(jìn)行整改。

（五）履行備案手續(xù)

信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)主管部門，應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后（新建系統(tǒng)）或確定等級后（已運(yùn)營的系統(tǒng)）30 日內(nèi)到地（市）及以上公安機(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)；跨地區(qū)、跨省（市）或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向地級以上市公安局網(wǎng)監(jiān)部門備案。

（六）健全長效工作機(jī)制

在信息安全等級保護(hù)職能部門、信息系統(tǒng)主管部門間建立暢通的聯(lián)絡(luò)機(jī)制，建立職能部門、主管部門對信息系統(tǒng)的定期監(jiān)督檢查機(jī)制。信息化部門組織開展教育培訓(xùn)工作，加強(qiáng)對安全專業(yè)技術(shù)人員的培訓(xùn)，提高信息系統(tǒng)主管部門人員的技術(shù)和法律知識水平。

三、信息安全等級保護(hù)測評

信息安全等級保護(hù)測評是高校信息安全等保工作中最重要的一環(huán)，高校通過實(shí)施信息系統(tǒng)安全等級保護(hù)測評，能夠準(zhǔn)確把握信息系統(tǒng)安全狀況，幫助高校按照標(biāo)準(zhǔn)進(jìn)行安全建設(shè)、整改和管理運(yùn)行。

（一）等級保護(hù)測評目的和依據(jù)

信息安全等級保護(hù)測評，是根據(jù)國家等級保護(hù)相關(guān)政策、法律法規(guī)、等級保護(hù)工作的相關(guān)標(biāo)準(zhǔn)，測評客戶定級的信息系統(tǒng)是否符合《信息系統(tǒng)安全等級保護(hù)基本要求》中對信息系統(tǒng)采取相應(yīng)等級安全保護(hù)措施的要求，還可以全面、完整地了解信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況以及系統(tǒng)的整體安全性，出具安全等級測評的結(jié)論；指出該系統(tǒng)存在的安全問題并提出相應(yīng)的整改建議，為委托方進(jìn)一步完善被評估系統(tǒng)安全管理策略、采取適當(dāng)?shù)陌踩Ｕ洗胧┨峁┮罁?jù)。

（二）等級保護(hù)測評內(nèi)容

等級保護(hù)測評內(nèi)容包含安全技術(shù)測評和安全管理測評方式：

安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；

安全管理測評包括：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

（三）等級保護(hù)測評方法

具體在測評環(huán)節(jié)，采用以下三種方法：

1.訪談。訪談是指測評人員通過與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動，獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。在訪談范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。

2.檢查。檢查是指測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對象種類（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。

3.測試。測試是指測評人員針對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)，通過查看和分析響應(yīng)的輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。在測試范圍上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量上可以抽樣。

例如，物理安全測評中，對“物理位置的選擇”一項(xiàng)，訪談內(nèi)容為機(jī)房具有防震、防雨和防風(fēng)能力，并提供機(jī)房設(shè)計(jì)和驗(yàn)收證明；檢查內(nèi)容為查看機(jī)房是否建在高層或地下室。網(wǎng)絡(luò)安全測評中，對“邊界完整性檢查”一項(xiàng)，訪談內(nèi)容為外網(wǎng)接入內(nèi)網(wǎng)行為監(jiān)控、內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為監(jiān)控，并進(jìn)行阻斷處理；測試內(nèi)容為查看外網(wǎng)接入內(nèi)網(wǎng)行為和內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為進(jìn)行監(jiān)控的配置。安全管理制度測評中，對“管理制度”一項(xiàng)，訪談內(nèi)容為制定總體方針和安全策略、建立操作規(guī)程；檢查內(nèi)容為查部門、崗位職責(zé)文件，信息安全方針、安全策略文件；查各類安全管理制度文件；形成安全管理制度體系。

（三）測評綜合分析

對保護(hù)狀況進(jìn)行檢測評估后，判定受測系統(tǒng)的技術(shù)和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿足所定安全等級的結(jié)論，針對安全不符合項(xiàng)提出安全整改建議。

符合程度：綜合分析具體指標(biāo)符合性判斷，給出抽象指標(biāo)符合性判斷結(jié)果，匯總所有抽象指標(biāo)符合判斷，給出安全等級滿足與否的結(jié)論；

安全等級結(jié)論：結(jié)合受測系統(tǒng)符合性程度，判斷受測系統(tǒng)是否滿足所定安全等級的結(jié)論；

安全整改建議：提出安全整改建議，匯總、分析所有不符合項(xiàng)對應(yīng)的改進(jìn)建議，組合成可單獨(dú)執(zhí)行的整改建議。

四、結(jié)束語

建立計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度，是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中的一件大事，它直接關(guān)系到高校的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理，為高校的信息系統(tǒng)安全建設(shè)工作提供了重要的基礎(chǔ)支撐。

參考文獻(xiàn)：

[1]《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》.

[2]《信息安全等級保護(hù)管理辦法》.

[3]劉澤華.高校信息系統(tǒng)安全等級保護(hù)研究，中國管理信息化，2016（08）.

[4]張文勇，李維華，唐作其.信息安全等級保護(hù)測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法研究，電子科學(xué)技術(shù)，2016（03）.

[5]Implementation and Design of Security Configuration Check Toolkit for Classified Evaluation of Information System，Information Technology and Computer Science—Proceedings of 2012 National Conference on Information Technology and Computer Science，2012.