前言:尋找寫(xiě)作靈感?中文期刊網(wǎng)用心挑選的高校信息安全等級(jí)保護(hù)定級(jí)工作分析,希望能為您的閱讀和創(chuàng)作帶來(lái)靈感,歡迎大家閱讀并分享。
[摘要]隨著網(wǎng)絡(luò)信息安全重要性愈發(fā)凸顯,高校信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)施勢(shì)在必行。定級(jí)作為等級(jí)保護(hù)工作的第一步,其科學(xué)性、合理性、可行性直接關(guān)系著后續(xù)環(huán)節(jié)的有序進(jìn)行。文章通過(guò)分析定級(jí)工作流程和核心要素,結(jié)合教育行業(yè)特殊性,就高校信息系統(tǒng)定級(jí)工作進(jìn)行分析和歸納。
[關(guān)鍵詞]安全等級(jí)保護(hù);信息系統(tǒng);定級(jí)
0引言
在教育部提出《教育信息化2.0行動(dòng)計(jì)劃》后,建設(shè)“數(shù)字化”“智慧化”校園成為實(shí)現(xiàn)教育現(xiàn)代化的重要舉措。然而,由于有些高校信息系統(tǒng)在建設(shè)之初未將等級(jí)保護(hù)作為政策性要求加以考慮,其保護(hù)現(xiàn)狀能否滿(mǎn)足安全基本要求成為管理者們擔(dān)憂(yōu)的問(wèn)題。據(jù)統(tǒng)計(jì),由于安全觀念薄弱,黑客對(duì)高校攻擊的成功率很高[1],因此高校實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)勢(shì)在必行。但由于思想認(rèn)識(shí)不到位、資金投入不足、管理機(jī)構(gòu)和制度不健全等因素[2],部分高校遲遲未實(shí)施等級(jí)保護(hù)工作。而現(xiàn)有的等級(jí)保護(hù)研究成果多從信息系統(tǒng)等級(jí)評(píng)測(cè)技術(shù)角度及整體實(shí)施步驟進(jìn)行,對(duì)于等級(jí)保護(hù)中定級(jí)工作缺乏具體的實(shí)踐指導(dǎo)意義。定級(jí)作為等級(jí)保護(hù)工作的第一步,其能否科學(xué)、合理關(guān)系到后續(xù)環(huán)節(jié)的順利展開(kāi)。本文針對(duì)高校典型信息系統(tǒng)的定級(jí)流程、核心要素進(jìn)行分析,結(jié)合山西某高校網(wǎng)站群信息平臺(tái)定級(jí)實(shí)例,希望對(duì)高校新建或改建信息系統(tǒng)等級(jí)保護(hù)評(píng)測(cè)提供借鑒。
1定級(jí)依據(jù)
信息系統(tǒng)安全等級(jí)評(píng)測(cè)制度對(duì)涉及國(guó)家安全,社會(huì)安全、公共利益,公民、法人和其他組織的專(zhuān)有和公開(kāi)信息以及對(duì)這些信息存儲(chǔ)、傳輸、處理的信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)[3]。截至2018年底,國(guó)家公開(kāi)的信息安全技術(shù)、網(wǎng)絡(luò)安全等級(jí)標(biāo)準(zhǔn)共14條。高校信息系統(tǒng)定級(jí)主要依據(jù)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南(GB/T22240-2008)》以及教育部下發(fā)的《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)》。根據(jù)業(yè)務(wù)信息和信息系統(tǒng)在國(guó)家安全、社會(huì)秩序和公共利益、公民及相關(guān)組織合法權(quán)益中的重要程度以及在遭到破壞后對(duì)國(guó)家、社會(huì)、公民合法權(quán)益的危害程度,將業(yè)務(wù)信息和信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)[4],安全級(jí)別由高到低分別為專(zhuān)控保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、自主保護(hù)級(jí)。同時(shí)依據(jù)安全等級(jí)保護(hù)管理辦法,信息安全等級(jí)保護(hù)評(píng)測(cè)的主要環(huán)節(jié)分為定級(jí)、備案、建設(shè)整改、等級(jí)評(píng)測(cè)和監(jiān)督檢查五個(gè)環(huán)節(jié)。
2定級(jí)流程
信息系統(tǒng)定級(jí)工作總體按照“自主定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、備案”的程序進(jìn)行。
3核心要素
3.1合理劃分信息系統(tǒng)
高校信息系統(tǒng)可以按隸屬單位、業(yè)務(wù)對(duì)象、部署模式等方式劃分,但勿將整個(gè)校園網(wǎng)絡(luò)進(jìn)行定級(jí),要綜合考慮安全管理和責(zé)任,將基礎(chǔ)網(wǎng)絡(luò)劃分為若干個(gè)安全域;不要將某一類(lèi)信息系統(tǒng)作為定級(jí)對(duì)象,要按照不同業(yè)務(wù)類(lèi)別單獨(dú)確立。
3.2綜合評(píng)估受侵害程度
高校信息系統(tǒng)受侵害程度應(yīng)根據(jù)其承載的業(yè)務(wù)、面向的對(duì)象、行政級(jí)別、部署模式綜合考慮,同時(shí)根據(jù)辦學(xué)規(guī)模、社會(huì)影響力綜合評(píng)估[5]。比如高校辦學(xué)規(guī)模較大,其受危害程度大于中小學(xué)信息系統(tǒng);“985”、“211”院校大于其他院校。
3.3工作銜接要緊密
在自主定級(jí)之后,要報(bào)教育主管部門(mén)審批,并及時(shí)向當(dāng)?shù)毓矙C(jī)關(guān)備案。按照規(guī)定,第一級(jí)系統(tǒng)無(wú)須備案;批準(zhǔn)為二級(jí)以上系統(tǒng),由其運(yùn)營(yíng)使用單位到所在地區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。
4定級(jí)實(shí)例分析
以山西省某高校為例,該校數(shù)字化建設(shè)主要有一卡通系統(tǒng)、站群管理系統(tǒng)、教務(wù)管理系統(tǒng)等。下面以該校網(wǎng)站群信息平臺(tái)系統(tǒng)定級(jí)工作為例進(jìn)行說(shuō)明。
4.1自主定級(jí)
4.1.1摸底調(diào)查
該系統(tǒng)主要為高校門(mén)戶(hù)網(wǎng)站提供數(shù)據(jù)支撐,具有獨(dú)立的安全域。摸底應(yīng)對(duì)該系統(tǒng)的責(zé)任部門(mén)、隸屬關(guān)系、服務(wù)對(duì)象及范圍、關(guān)鍵產(chǎn)品使用、系統(tǒng)采用服務(wù)等進(jìn)行調(diào)查。了解到,該系統(tǒng)2016年12月建設(shè)完成,主要將校內(nèi)各部門(mén)的站點(diǎn)信息聯(lián)系在起來(lái),以統(tǒng)一的門(mén)戶(hù)為來(lái)訪者提供一站式服務(wù)。該平臺(tái)部署了Web應(yīng)用防護(hù)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、入侵防御系統(tǒng),在系統(tǒng)邊界部署有堡壘機(jī)、防火墻。
4.1.2責(zé)任明確
該系統(tǒng)由學(xué)校信息網(wǎng)絡(luò)與信息化領(lǐng)導(dǎo)小組負(fù)責(zé)安全等級(jí)評(píng)測(cè)工作,網(wǎng)絡(luò)技術(shù)中心負(fù)責(zé)該信息系統(tǒng)的運(yùn)行維護(hù),對(duì)該系統(tǒng)網(wǎng)絡(luò)安全負(fù)保護(hù)責(zé)任;宣傳部負(fù)責(zé)功能定位、后臺(tái)管理和權(quán)限設(shè)定,對(duì)平臺(tái)的信息負(fù)有內(nèi)容安全審核責(zé)任。
4.1.3自主定級(jí)
該高校是區(qū)域知名大學(xué),該系統(tǒng)是學(xué)校面向校內(nèi)師生和社會(huì)的服務(wù)窗口。其業(yè)務(wù)信息受到破壞時(shí),會(huì)對(duì)教職工內(nèi)部辦公產(chǎn)生影響,所侵害的客體是公民、法人和其他組織的合法權(quán)益;當(dāng)網(wǎng)站主頁(yè)面信息遭到篡改時(shí),會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,但不損害國(guó)家安全;系統(tǒng)服務(wù)受到破壞后,會(huì)對(duì)師生內(nèi)部辦公、學(xué)習(xí)造成嚴(yán)重影響,影響公眾對(duì)校園網(wǎng)站的正常瀏覽和搜索,對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害,對(duì)社會(huì)秩序和公眾利益造成一般損害,但不損害國(guó)家安全。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,將該業(yè)務(wù)信息、服務(wù)系統(tǒng)安全保護(hù)等級(jí)分別定為第三級(jí)、第二級(jí)。綜合以上情況,參考《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》對(duì)省級(jí)高校門(mén)戶(hù)網(wǎng)站安全保護(hù)等級(jí)的建議,最終該系保護(hù)等級(jí)定為第三級(jí)。
4.2專(zhuān)家評(píng)審
在完成信息系統(tǒng)自主定級(jí)后,聘請(qǐng)相關(guān)信息安全等級(jí)保護(hù)專(zhuān)家3~5名對(duì)自主定級(jí)情況進(jìn)行評(píng)審,核對(duì)相關(guān)信息的準(zhǔn)確度,形成評(píng)審意見(jiàn)。
4.3主管部門(mén)審核批準(zhǔn)
完成專(zhuān)家評(píng)審后,填寫(xiě)《安全等級(jí)保護(hù)定級(jí)報(bào)告》、《安全等級(jí)保護(hù)備案表》以及專(zhuān)家評(píng)審意見(jiàn)等材料,并將相關(guān)材料報(bào)送省教育廳進(jìn)行審批。
4.4備案
自主定級(jí)完成后,攜帶《定級(jí)報(bào)告》、《備案表》以及系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明等材料到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。審核后,公安部門(mén)加蓋等級(jí)保護(hù)專(zhuān)用章,出具備案證明。
5幾點(diǎn)建議
(1)明確責(zé)任。在高校信息化建設(shè)過(guò)程中,由于各信息系統(tǒng)建設(shè)時(shí)間、網(wǎng)絡(luò)設(shè)備配置地點(diǎn)不集中,加之高校機(jī)構(gòu)改革、職能變化等都會(huì)對(duì)信息系統(tǒng)的責(zé)任區(qū)分產(chǎn)生影響。因此,要嚴(yán)格按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則進(jìn)行。(2)系統(tǒng)劃分要合理。高校中信息子系統(tǒng)種類(lèi)繁多、功能定位不一,在確定定級(jí)對(duì)象時(shí)要從安全管理和安全責(zé)任角度出發(fā),將基礎(chǔ)信息網(wǎng)絡(luò)劃分為若干個(gè)最小安全域進(jìn)行定級(jí)。(3)資金配套要到位。安排專(zhuān)項(xiàng)經(jīng)費(fèi)用于網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)。對(duì)于等級(jí)評(píng)測(cè)工作,三級(jí)系統(tǒng)每年至少進(jìn)行一次,二級(jí)系統(tǒng)每?jī)赡赀M(jìn)行一次,每次都需專(zhuān)項(xiàng)資金確保評(píng)測(cè)工作順利進(jìn)行。(4)動(dòng)態(tài)地看待定級(jí)環(huán)節(jié)。定級(jí)工作隨著信息技術(shù)發(fā)展、網(wǎng)絡(luò)安全威脅變化以及業(yè)務(wù)需求、系統(tǒng)運(yùn)行量的增加而需要不斷進(jìn)行調(diào)整。當(dāng)系統(tǒng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息或系統(tǒng)服務(wù)受到破壞后的客體及受侵害程度發(fā)生較大變化時(shí),就應(yīng)重新定級(jí)。
6結(jié)語(yǔ)
本文分析和總結(jié)了信息等級(jí)保護(hù)定級(jí)工作的依據(jù)、實(shí)施步驟、核心要素,并結(jié)合山西某高校網(wǎng)站群信息平臺(tái)系統(tǒng)定級(jí)實(shí)例進(jìn)行了具體分析,給出建議。高校信息化建設(shè)任重道遠(yuǎn),定級(jí)作為等級(jí)評(píng)測(cè)的第一步,必須認(rèn)真籌劃,才能更好地應(yīng)對(duì)不斷增強(qiáng)的網(wǎng)絡(luò)安全威脅。
主要參考文獻(xiàn)
[1]王強(qiáng)民,張保穩(wěn),張競(jìng).高校信息系統(tǒng)安全等級(jí)保護(hù)工作的現(xiàn)狀分析[C]//第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集,2013:62-63.
[2]劉澤華.高校信息系統(tǒng)安全等級(jí)保護(hù)研究[J].中國(guó)管理信息化,2016,19(8):154-155.
[3]李超.信息系統(tǒng)安全等級(jí)保護(hù)實(shí)務(wù)[M].北京:科學(xué)出版社,2013:4-5.
[4]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T22240-2008信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南[S].2008.
[5]教育部安全廳.教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(教技廳函[2014]74號(hào))[Z].2014-10-27.
作者:牛永亮 單位:山西財(cái)經(jīng)大學(xué)
