高校信息安全等級保護定級工作分析

前言：尋找寫作靈感？中文期刊網用心挑選的高校信息安全等級保護定級工作分析，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

［摘要］隨著網絡信息安全重要性愈發凸顯，高校信息系統安全等級保護工作的實施勢在必行。定級作為等級保護工作的第一步，其科學性、合理性、可行性直接關系著后續環節的有序進行。文章通過分析定級工作流程和核心要素，結合教育行業特殊性，就高校信息系統定級工作進行分析和歸納。

［關鍵詞］安全等級保護；信息系統；定級

0引言

在教育部提出《教育信息化2．0行動計劃》后，建設“數字化”“智慧化”校園成為實現教育現代化的重要舉措。然而，由于有些高校信息系統在建設之初未將等級保護作為政策性要求加以考慮，其保護現狀能否滿足安全基本要求成為管理者們擔憂的問題。據統計，由于安全觀念薄弱，黑客對高校攻擊的成功率很高［1］，因此高校實施信息系統安全等級保護勢在必行。但由于思想認識不到位、資金投入不足、管理機構和制度不健全等因素［2］，部分高校遲遲未實施等級保護工作。而現有的等級保護研究成果多從信息系統等級評測技術角度及整體實施步驟進行，對于等級保護中定級工作缺乏具體的實踐指導意義。定級作為等級保護工作的第一步，其能否科學、合理關系到后續環節的順利展開。本文針對高校典型信息系統的定級流程、核心要素進行分析，結合山西某高校網站群信息平臺定級實例，希望對高校新建或改建信息系統等級保護評測提供借鑒。

1定級依據

信息系統安全等級評測制度對涉及國家安全，社會安全、公共利益，公民、法人和其他組織的專有和公開信息以及對這些信息存儲、傳輸、處理的信息系統分等級進行安全保護［3］。截至2018年底，國家公開的信息安全技術、網絡安全等級標準共14條。高校信息系統定級主要依據《信息系統安全保護等級定級指南（GB／T22240－2008）》以及教育部下發的《教育行業信息系統安全等級保護定級工作指南（試行）》。根據業務信息和信息系統在國家安全、社會秩序和公共利益、公民及相關組織合法權益中的重要程度以及在遭到破壞后對國家、社會、公民合法權益的危害程度，將業務信息和信息系統的安全保護等級分為五級［4］，安全級別由高到低分別為專控保護級、強制保護級、監督保護級、指導保護級、自主保護級。同時依據安全等級保護管理辦法，信息安全等級保護評測的主要環節分為定級、備案、建設整改、等級評測和監督檢查五個環節。

2定級流程

信息系統定級工作總體按照“自主定級、專家評審、主管部門審批、備案”的程序進行。

3核心要素

3.1合理劃分信息系統

高校信息系統可以按隸屬單位、業務對象、部署模式等方式劃分，但勿將整個校園網絡進行定級，要綜合考慮安全管理和責任，將基礎網絡劃分為若干個安全域；不要將某一類信息系統作為定級對象，要按照不同業務類別單獨確立。

3.2綜合評估受侵害程度

高校信息系統受侵害程度應根據其承載的業務、面向的對象、行政級別、部署模式綜合考慮，同時根據辦學規模、社會影響力綜合評估［5］。比如高校辦學規模較大，其受危害程度大于中小學信息系統；“985”、“211”院校大于其他院校。

3.3工作銜接要緊密

在自主定級之后，要報教育主管部門審批，并及時向當地公安機關備案。按照規定，第一級系統無須備案；批準為二級以上系統，由其運營使用單位到所在地區的市級以上公安機關辦理備案手續。

4定級實例分析

以山西省某高校為例，該校數字化建設主要有一卡通系統、站群管理系統、教務管理系統等。下面以該校網站群信息平臺系統定級工作為例進行說明。

4．1自主定級

4.1.1摸底調查

該系統主要為高校門戶網站提供數據支撐，具有獨立的安全域。摸底應對該系統的責任部門、隸屬關系、服務對象及范圍、關鍵產品使用、系統采用服務等進行調查。了解到，該系統2016年12月建設完成，主要將校內各部門的站點信息聯系在起來，以統一的門戶為來訪者提供一站式服務。該平臺部署了Web應用防護系統、數據庫審計系統、入侵防御系統，在系統邊界部署有堡壘機、防火墻。

4.1.2責任明確

該系統由學校信息網絡與信息化領導小組負責安全等級評測工作，網絡技術中心負責該信息系統的運行維護，對該系統網絡安全負保護責任；宣傳部負責功能定位、后臺管理和權限設定，對平臺的信息負有內容安全審核責任。

4.1.3自主定級

該高校是區域知名大學，該系統是學校面向校內師生和社會的服務窗口。其業務信息受到破壞時，會對教職工內部辦公產生影響，所侵害的客體是公民、法人和其他組織的合法權益；當網站主頁面信息遭到篡改時，會對社會秩序和公共利益造成嚴重損害，但不損害國家安全；系統服務受到破壞后，會對師生內部辦公、學習造成嚴重影響，影響公眾對校園網站的正常瀏覽和搜索，對公民、法人和其他組織的合法權益造成嚴重損害，對社會秩序和公眾利益造成一般損害，但不損害國家安全。根據《信息系統安全等級保護定級指南》，將該業務信息、服務系統安全保護等級分別定為第三級、第二級。綜合以上情況，參考《教育行業信息系統安全等級保護定級工作指南》對省級高校門戶網站安全保護等級的建議，最終該系保護等級定為第三級。

4．2專家評審

在完成信息系統自主定級后，聘請相關信息安全等級保護專家3~5名對自主定級情況進行評審，核對相關信息的準確度，形成評審意見。

4．3主管部門審核批準

完成專家評審后，填寫《安全等級保護定級報告》、《安全等級保護備案表》以及專家評審意見等材料，并將相關材料報送省教育廳進行審批。

4．4備案

自主定級完成后，攜帶《定級報告》、《備案表》以及系統拓撲結構及說明等材料到所在地設區的市級以上公安機關辦理備案手續。審核后，公安部門加蓋等級保護專用章，出具備案證明。

5幾點建議

（1）明確責任。在高校信息化建設過程中，由于各信息系統建設時間、網絡設備配置地點不集中，加之高校機構改革、職能變化等都會對信息系統的責任區分產生影響。因此，要嚴格按照“誰主管誰負責、誰運營誰負責”的原則進行。（2）系統劃分要合理。高校中信息子系統種類繁多、功能定位不一，在確定定級對象時要從安全管理和安全責任角度出發，將基礎信息網絡劃分為若干個最小安全域進行定級。（3）資金配套要到位。安排專項經費用于網絡信息系統安全建設。對于等級評測工作，三級系統每年至少進行一次，二級系統每兩年進行一次，每次都需專項資金確保評測工作順利進行。（4）動態地看待定級環節。定級工作隨著信息技術發展、網絡安全威脅變化以及業務需求、系統運行量的增加而需要不斷進行調整。當系統狀態變化可能導致業務信息或系統服務受到破壞后的客體及受侵害程度發生較大變化時，就應重新定級。

6結語

本文分析和總結了信息等級保護定級工作的依據、實施步驟、核心要素，并結合山西某高校網站群信息平臺系統定級實例進行了具體分析，給出建議。高校信息化建設任重道遠，定級作為等級評測的第一步，必須認真籌劃，才能更好地應對不斷增強的網絡安全威脅。

主要參考文獻

［1］王強民，張保穩，張競．高校信息系統安全等級保護工作的現狀分析［C］//第二屆全國信息安全等級保護技術大會會議論文集，2013：62－63．

［2］劉澤華．高校信息系統安全等級保護研究［J］．中國管理信息化，2016，19（8）：154－155．

［3］李超．信息系統安全等級保護實務［M］．北京：科學出版社，2013：4－5．

［4］全國信息安全標準化技術委員會．GB／T22240－2008信息系統安全保護等級定級指南［S］．2008．

［5］教育部安全廳．教育行業信息系統安全等級保護定級工作指南（教技廳函［2014］74號）［Z］．2014－10－27．

作者:牛永亮 單位:山西財經大學