高校信息系统安全等级保护的研究.docVIP

高校信息系统安全等级保护的研究 　　[摘 要]由于信息系统自身的特点和网络环境的复杂性，高校信息系统安全威胁日益凸显，网络安全形势日益严峻。为保障高校信息系统安全运行，提高办学效率和质量，本文深入研究了信息系统安全等级保护的内容，高校信息系统安全等级保护的现状、实施流程，建立了完整的高校信息系统等级保护体系。 　　[关键词]高校；信息系统；安全等级；保护 　　doi：10.3969/j.issn.1673 - 0194.2016.08.112 　　[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194（2016）08-0-02 　　随着信息技术的迅猛发展和计算机网络的快速普及，信息系统在各行业、各领域得到广泛应用。高校作为学术研究的重要阵地，信息化建设高速开展。校园网、信息系统的建立，为学校教学、科研和管理提供资源共享、信息交流和协同工作的网络平台，并且已成为高校信息化建设的重要组成部分，同时也是衡量一个高校教育信息化、现代化的重要标志。大数据、云计算、“互联网+”等新技术出现的同时，伪基站、BIOS（基本输入输出系统）后门、木马僵尸、SQL（结构化查询语言）注入、DDOS（分布式拒绝服务）攻击等各类网络攻击层出不穷、攻击方式变异频繁，因此，保障网络与信息系统安全，已成为高校信息化发展中迫切需要解决的重大问题。 　　1 信息系统等级保护 　　信息网络的全球化使信息网络的安全问题日益严峻，任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。信息系统安全最重要的3个属性是机密性、完整性与可用性。 　　信息系统等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度，针对信息的机密性、完整性和可用性要求及信息系统必须要达到的基本安全保护水平等因素，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 　　2 高校信息系统安全现状 　　为保证高校信息系统安全性，对信息系统按重要程度、数据的机密性等进行不同等级的划分并按级别进行保护是必要的。目前，高校信息系统的安全等级保护主要存在以下几个问题。 　　第一，思想认识不到位。部分高校对信息系统安全等级保护工作认识不足，认为信息系统定级过高会提高管理成本，造成不必要的麻烦。 　　第二，在信息安全方面的资金投入不足，等级保护工作整改不到位。部分高校学校经费紧张，信息化建设主要投资在校园网络的基础设施，针对网络安全方面的专项投入不足。 　　第三，未建立相应的安全管理机构和安全管理制度，一些必要的管理制度没有制定。此外一些管理制度修订不及时，已经不能满足当前系统安全管理的需求。 　　第四，专业技术力量较弱，技术防护与制度落实不彻底。部分高校网管人员专业技术力量较弱，一些不属于网络中心的网络处于无人监管的状态。 　　第五，部分二级单位对本单位的信息系统及网站底数不清，依然存在各自为政开设网站的情况，安全防护也不统一。此外，还存在科研教学机构替其他用户单位在校内开发、运营系统的情况。 　　第六，在建设网络安全体系时，存在重技术、轻管理的现象。许多安全设备处于系统默认配置，安全设备不能起到应有的作用，部分系统没有配备安全管理员。 　　3 高校信息系统等级保护 　　3.1 实施流程 　　高校信息系统安全等级保护的实施应按照公安部门及教育主管部门的相关文件要求严格执行，其主要包含明确责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、差距测评、安全整改建设、验收测评等流程。 　　第一，明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，信息系统的主管单位为定级工作的责任主体，负责组织运维单位、使用单位开展信息系统定级工作。 　　第二，自主定级。首先要确定本单位有哪些符合定义的信息系统需要做等级保护工作。在定级时要坚持自主定级、自主保护的原则。参照《信息系统安全等级保护定级指南》，根据本单位实际情况，对本单位的信息系统作自我评估，完成自主定级。 　　第三，专家评审。主管单位完成信息系