高校信息安全等級保護定級工作分析研究

牛永亮

[摘 ? ?要] 隨著網(wǎng)絡(luò)信息安全重要性愈發(fā)凸顯，高校信息系統(tǒng)安全等級保護工作的實施勢在必行。定級作為等級保護工作的第一步，其科學(xué)性、合理性、可行性直接關(guān)系著后續(xù)環(huán)節(jié)的有序進行。文章通過分析定級工作流程和核心要素，結(jié)合教育行業(yè)特殊性，就高校信息系統(tǒng)定級工作進行分析和歸納。

[關(guān)鍵詞] 安全等級保護;信息系統(tǒng);定級

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 19. 060

[中圖分類號] TP393 ? ?[文獻標識碼] ?A ? ? ?[文章編號] ?1673 - 0194（2019）19- 0138- 02

0 ? ? ?引 ? ?言

在教育部提出《教育信息化2.0行動計劃》后，建設(shè)“數(shù)字化”“智慧化”校園成為實現(xiàn)教育現(xiàn)代化的重要舉措。然而，由于有些高校信息系統(tǒng)在建設(shè)之初未將等級保護作為政策性要求加以考慮，其保護現(xiàn)狀能否滿足安全基本要求成為管理者們擔(dān)憂的問題。據(jù)統(tǒng)計，由于安全觀念薄弱，黑客對高校攻擊的成功率很高[1]，因此高校實施信息系統(tǒng)安全等級保護勢在必行。但由于思想認識不到位、資金投入不足、管理機構(gòu)和制度不健全等因素[2]，部分高校遲遲未實施等級保護工作。而現(xiàn)有的等級保護研究成果多從信息系統(tǒng)等級評測技術(shù)角度及整體實施步驟進行，對于等級保護中定級工作缺乏具體的實踐指導(dǎo)意義。

定級作為等級保護工作的第一步，其能否科學(xué)、合理關(guān)系到后續(xù)環(huán)節(jié)的順利展開。本文針對高校典型信息系統(tǒng)的定級流程、核心要素進行分析，結(jié)合山西某高校網(wǎng)站群信息發(fā)布平臺定級實例，希望對高校新建或改建信息系統(tǒng)等級保護評測提供借鑒。

1 ? ? ?定級依據(jù)

信息系統(tǒng)安全等級評測制度對涉及國家安全，社會安全、公共利益，公民、法人和其他組織的專有和公開信息以及對這些信息存儲、傳輸、處理的信息系統(tǒng)分等級進行安全保護[3]。截至2018年底，國家公開發(fā)布的信息安全技術(shù)、網(wǎng)絡(luò)安全等級標準共14條。高校信息系統(tǒng)定級主要依據(jù)《信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008）》以及教育部下發(fā)的《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）》。

根據(jù)業(yè)務(wù)信息和信息系統(tǒng)在國家安全、社會秩序和公共利益、公民及相關(guān)組織合法權(quán)益中的重要程度以及在遭到破壞后對國家、社會、公民合法權(quán)益的危害程度，將業(yè)務(wù)信息和信息系統(tǒng)的安全保護等級分為五級[4]，安全級別由高到低分別為專控保護級、強制保護級、監(jiān)督保護級、指導(dǎo)保護級、自主保護級。同時依據(jù)安全等級保護管理辦法，信息安全等級保護評測的主要環(huán)節(jié)分為定級、備案、建設(shè)整改、等級評測和監(jiān)督檢查五個環(huán)節(jié)。

2 ? ? ?定級流程

信息系統(tǒng)定級工作總體按照“自主定級、專家評審、主管部門審批、備案”的程序進行，如圖1所示。

3 ? ? ?核心要素

3.1 ? 合理劃分信息系統(tǒng)

高校信息系統(tǒng)可以按隸屬單位、業(yè)務(wù)對象、部署模式等方式劃分，但勿將整個校園網(wǎng)絡(luò)進行定級，要綜合考慮安全管理和責(zé)任，將基礎(chǔ)網(wǎng)絡(luò)劃分為若干個安全域;不要將某一類信息系統(tǒng)作為定級對象，要按照不同業(yè)務(wù)類別單獨確立。

3.2 ? 綜合評估受侵害程度

高校信息系統(tǒng)受侵害程度應(yīng)根據(jù)其承載的業(yè)務(wù)、面向的對象、行政級別、部署模式綜合考慮，同時根據(jù)辦學(xué)規(guī)模、社會影響力綜合評估[5]。比如高校辦學(xué)規(guī)模較大，其受危害程度大于中小學(xué)信息系統(tǒng);“985”、“211”院校大于其他院校。

3.3 ? 工作銜接要緊密

在自主定級之后，要報教育主管部門審批，并及時向當(dāng)?shù)毓矙C關(guān)備案。按照規(guī)定，第一級系統(tǒng)無須備案;批準為二級以上系統(tǒng)，由其運營使用單位到所在地區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

4 ? ? ?定級實例分析

以山西省某高校為例，該校數(shù)字化建設(shè)主要有一卡通系統(tǒng)、站群管理系統(tǒng)、教務(wù)管理系統(tǒng)等。下面以該校網(wǎng)站群信息發(fā)布平臺系統(tǒng)定級工作為例進行說明。

4.1 ? 自主定級

4.1.1 ? 摸底調(diào)查

該系統(tǒng)主要為高校門戶網(wǎng)站提供數(shù)據(jù)支撐，具有獨立的安全域。摸底應(yīng)對該系統(tǒng)的責(zé)任部門、隸屬關(guān)系、服務(wù)對象及范圍、關(guān)鍵產(chǎn)品使用、系統(tǒng)采用服務(wù)等進行調(diào)查。了解到，該系統(tǒng)2016年12月建設(shè)完成，主要將校內(nèi)各部門的站點信息聯(lián)系在起來，以統(tǒng)一的門戶為來訪者提供一站式服務(wù)。該平臺部署了Web應(yīng)用防護系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、入侵防御系統(tǒng)，在系統(tǒng)邊界部署有堡壘機、防火墻。

4.1.2 ? 責(zé)任明確

該系統(tǒng)由學(xué)校信息網(wǎng)絡(luò)與信息化領(lǐng)導(dǎo)小組負責(zé)安全等級評測工作，網(wǎng)絡(luò)技術(shù)中心負責(zé)該信息系統(tǒng)的運行維護，對該系統(tǒng)網(wǎng)絡(luò)安全負保護責(zé)任;宣傳部負責(zé)功能定位、后臺管理和權(quán)限設(shè)定，對平臺的信息發(fā)布負有內(nèi)容安全審核責(zé)任。

4.1.3 ? 自主定級

該高校是區(qū)域知名大學(xué)，該系統(tǒng)是學(xué)校面向校內(nèi)師生和社會的服務(wù)窗口。其業(yè)務(wù)信息受到破壞時，會對教職工內(nèi)部辦公產(chǎn)生影響，所侵害的客體是公民、法人和其他組織的合法權(quán)益;當(dāng)網(wǎng)站主頁面信息遭到篡改時，會對社會秩序和公共利益造成嚴重損害，但不損害國家安全;系統(tǒng)服務(wù)受到破壞后，會對師生內(nèi)部辦公、學(xué)習(xí)造成嚴重影響，影響公眾對校園網(wǎng)站的正常瀏覽和搜索，對公民、法人和其他組織的合法權(quán)益造成嚴重損害，對社會秩序和公眾利益造成一般損害，但不損害國家安全。根據(jù)《信息系統(tǒng)安全等級保護定級指南》，將該業(yè)務(wù)信息、服務(wù)系統(tǒng)安全保護等級分別定為第三級、第二級。

綜合以上情況，參考《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南》對省級高校門戶網(wǎng)站安全保護等級的建議，最終該系保護等級定為第三級。

4.2 ? 專家評審

在完成信息系統(tǒng)自主定級后，聘請相關(guān)信息安全等級保護專家3～5名對自主定級情況進行評審，核對相關(guān)信息的準確度，形成評審意見。

4.3主管部門審核批準

完成專家評審后，填寫《安全等級保護定級報告》、《安全等級保護備案表》以及專家評審意見等材料，并將相關(guān)材料報送省教育廳進行審批。

4.4 ? 備案

自主定級完成后，攜帶《定級報告》、《備案表》以及系統(tǒng)拓撲結(jié)構(gòu)及說明等材料到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。審核后，公安部門加蓋等級保護專用章，出具備案證明。

5 ? ? ?幾點建議

（1）明確責(zé)任。在高校信息化建設(shè)過程中，由于各信息系統(tǒng)建設(shè)時間、網(wǎng)絡(luò)設(shè)備配置地點不集中，加之高校機構(gòu)改革、職能變化等都會對信息系統(tǒng)的責(zé)任區(qū)分產(chǎn)生影響。因此，要嚴格按照“誰主管誰負責(zé)、誰運營誰負責(zé)”的原則進行。

（2）系統(tǒng)劃分要合理。高校中信息子系統(tǒng)種類繁多、功能定位不一，在確定定級對象時要從安全管理和安全責(zé)任角度出發(fā)，將基礎(chǔ)信息網(wǎng)絡(luò)劃分為若干個最小安全域進行定級。

（3）資金配套要到位。安排專項經(jīng)費用于網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)。對于等級評測工作，三級系統(tǒng)每年至少進行一次，二級系統(tǒng)每兩年進行一次，每次都需專項資金確保評測工作順利進行。

（4）動態(tài)地看待定級環(huán)節(jié)。定級工作隨著信息技術(shù)發(fā)展、網(wǎng)絡(luò)安全威脅變化以及業(yè)務(wù)需求、系統(tǒng)運行量的增加而需要不斷進行調(diào)整。當(dāng)系統(tǒng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息或系統(tǒng)服務(wù)受到破壞后的客體及受侵害程度發(fā)生較大變化時，就應(yīng)重新定級。

6 ? ? ?結(jié) ? ?語

本文分析和總結(jié)了信息等級保護定級工作的依據(jù)、實施步驟、核心要素，并結(jié)合山西某高校網(wǎng)站群信息發(fā)布平臺系統(tǒng)定級實例進行了具體分析，給出建議。高校信息化建設(shè)任重道遠，定級作為等級評測的第一步，必須認真籌劃，才能更好地應(yīng)對不斷增強的網(wǎng)絡(luò)安全威脅。

主要參考文獻

[1]王強民，張保穩(wěn)，張競.高校信息系統(tǒng)安全等級保護工作的現(xiàn)狀分析[C]//第二屆全國信息安全等級保護技術(shù)大會會議論文集，2013：62-63.

[2]劉澤華.高校信息系統(tǒng)安全等級保護研究[J]. 中國管理信息化，2016，19（8）：154-155.

[3]李超.信息系統(tǒng)安全等級保護實務(wù)[M].北京：科學(xué)出版社，2013：4-5.

[4]全國信息安全標準化技術(shù)委員會.GB/T 22240-2008信息系統(tǒng)安全保護等級定級指南[S].2008.

[5]教育部安全廳.教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（教技廳函[2014]74號）[Z].2014-10-27.