高校信息安全等级保护研究.docxVIP

?

?

高校信息安全等级保护研究

?

?

王炜

摘要：建立计算机信息系统安全等级保护，是我国计算机信息系统安全保护工作中的一项重要工作，它直接关系到高校的计算机信息系统建设和管理，为高校的信息系统安全建设工作提供了重要的基础支撑。

关键词：等级保护；信息系统安全

2017年6月1日，《中华人民共和国网络安全法》正式实施，网络安全已成为我国一项非常重要的国家安全战略，“没有网络安全就没有国家安全”。作为中国教育体系的重要组成部分，高校信息安全是网络安全法定义的关键基础设施行业之一，为高校的网络安全保障工作提出了更高的要求。

近几年高校在信息化方面的投入力度不断加大，特别在大数据支撑、智慧校园等方面取得了很大突破，同时使得校园网络在支撑业务系统运行和发展中所面临的安全威胁不断增加，如何保障业务系统的信息完整性、信息保密性和系统可用性是信息安全体系的重要支撑，是高校信息化必须重视的问题。而等级保护工作作为高校信息安全工作的一个重要支撑，发挥着越来越重要的作用。

一、等级保护相关依据

《中华人民共和国网络安全法》第21条规定国家实行网络安全等级保护制度。网络运营者应按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。

教育部办公厅在2009年发布了《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函〔2009〕80号），随后，教育部办公厅多次发文，要求全国教育行业按照国家信息安全等级保护制度的要求开展等保工作。高校应以信息安全等级保护工作为抓手，建立完善的网络信息安全保障体系，提升高等教育信息系统安全水平，保障教育信息化的持续健康稳定发展。在积极推进等级保护的同时，进一步健全信息安全保障体系，使等级保护真正成为提高安全保障能力、维护行业稳定、保障信息化发展的一项基本制度。

二、等级保护工作环节

（一）调查摸底

信息安全等级保护工作是高校一项重要工作，可由信息化部门组织实施该项工作。各信息系统主管部门、运营使用部门组织开展对所屬信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用，或服务范围、系统结构，以及系统建设规划等基本情况，为开展信息安全等级保护工作打下基础。

（二）确定等级

按照“谁主管、谁负责”原则，各信息系统主管部门按照《信息系统安全等级保护定级指南》，确定定级对象的安全保护等级。就目前高校工作实践来看，重要信息系统（如招生系统、门户系统、一卡通等）一般定为三级，其他基本定为一级或二级。

（三）安全建设整改

由于高校信息化建设时间较早，系统较多，要区别对待新老系统。各信息系统主管部门根据确定的安全保护等级，对已有的老信息系统按照等级保护的管理规范和技术标准，采购和使用相应等级要求的信息安全产品，落实安全技术措施，完成系统整改。新系统在立项建设环节就考虑等保要求，参照《信息系统安全等级保护基本要求》，在上线前新增应用安全、数据安全以及部分主机安全部分的单元测评，推动实现等级保护所应达到的防护要求。

（四）组织测评

信息系统建设完成后，信息系统主管部门应当依照《信息安全等级保护管理办法》选择符合要求的测评机构进行测评。已投入运行信息系统在完成系统整改后也应当进行测评。经测评，信息系统安全状况未达到安全保护等级要求的，主管部门应当联合信息化部门，制定方案进行整改。

（五）履行备案手续

信息系统安全保护等级为第二级以上的信息系统主管部门，应当在系统投入运行后（新建系统）或确定等级后（已运营的系统）30日内到地（市）及以上公安机关网监部门办理备案手续；跨地区、跨省（市）或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向地级以上市公安局网监部门备案。

（六）健全长效工作机制

在信息安全等级保护职能部门、信息系统主管部门间建立畅通的联络机制，建立职能部门、主管部门对信息系统的定期监督检查机制。信息化部门组织开展教育培训工作，加强对安全专业技术人员的培训，提高信息系统主管部门人员的技术和法律知识水平。

三、信息安全等级保护测评

信息安全等级保护测评是高校信息安全等保工作中最重要的一环，高校通过实施信息系统安全等级保护测评，能够准确把握信息系统安全状况，帮助高校按照标准进行安全建设、整改和管理运行。

（一）等级保护测评目的和依据

信息安全等级保护测评，是根据国家等级保护相关政策、法律法规、