信息安全等级保护备案在高等院校中研究与实践.docVIP

信息安全等级保护备案在高等院校中的研究与实践 　　摘 要：教育行业信息系统的安全问题是影响到国家、社会、个人利益的重大问题，等级保护是实施系统安全管理的抓手，现已在教育系统逐步全面展开信息系统安全等级保护工作。本文分析了高等院校内部进行信息系统等级保护定级备案工作的内容、保障机构、实施流程以及管理办法，并从应用角度提出便于日常管理、便于安全自查的系统设计方案，使信息安全等级保护工作在高等院校中能进行更为有效的落地、实施。 　　关键词：信息安全；等级保护；定级；备案 　　中图分类号：G203 文献标志码：A 文章编号：1673-8454（2015）21-0012-05 　　一、背景 　　近些年来，随着互联网和信息通信技术的发展，信息系统在各行业、各领域快速拓展。随着大数据时代的到来，伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异，保障网络与信息系统安全，已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全，逐步推出了相关政策和工作办法。 　　二、信息安全等级保护概述 　　信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1] 　　系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统，为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施，所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理，不涉及国家秘密的系统。[2] 　　1.信息系统定级备案基本分类 　　信息系统定级是等级保护的第一步，需分析系统的业务信息类型和系统服务类型，确定信息安全受到破坏时所侵害的客体，确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中，招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏，可能影响学校正常秩序，影响高校正常行使工作职能，侵害学校、教师、学生及部分社会公众合法权益，可能在一定范围内对社会秩序造成影响，可能侵害公共利益，引起法律纠纷等；教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏，可能影响学校正常秩序，影响高校正常行使工作职能，侵害学校、教师、学生合法权益，引起法律纠纷等。[4] 　　2.高等院校信息系统定级备案的基本原则 　　为了保护信息安全等级保护工作的科学性、合理性，高等院校的信息系统在实施过程中应遵循以下原则： 　　（1）自主保护原则。在高等院校的信息安全等级保护工作中，学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护，并接受信息化主管部门的监督、管理。 　　（2）重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中，依据相关标准建设安全保护体系，建立安全保护制度，落实安全责任，优化信息安全资源配置。 　　（3）同步建设原则。按照等保要求，在学校新建和改建的信息化项目中，将信息安全建设与系统建设同步规划、实施。 　　（4）动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时，应根据等级保护管理规范和技术标准的要求重新定级、备案，实施安全保护。 　　三、高等院校等保定级备案管理办法的研究 　　1.高校信息安全管理存在的主要问题 　　目前高等院校在信息安全等级保护备案方面存在着以下问题： 　　（1）二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。 　　（2）系统、网站的建设注重业务应用的实现，缺少安全设计和部署，开发环境与生产环境混淆，没有足够的测试急于上线，缺少安全防护意识。 　　（3）系统的不断改造升级，增加了网络安全的脆弱性，降低了系统的安全状态。 　　（4）部分二级单位对本单位的信息系统及网站底数不清，依然存在各自为政开设网站的情况，安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。 　　（5）由于学校人员组织、编制等限制，无法严格按照等保要求组建专门的、专业的安全