龔文濤， 郎穎瑩

(1.中國石油大學(xué)(華東) 網(wǎng)絡(luò)及教育技術(shù)中心， 青島 266580；2.中國石油大學(xué)(華東)教育發(fā)展中心， 青島 266580)

基于高校信息系統(tǒng)的信息等級保護(hù)工作淺析

龔文濤1， 郎穎瑩2

(1.中國石油大學(xué)(華東) 網(wǎng)絡(luò)及教育技術(shù)中心， 青島 266580；2.中國石油大學(xué)(華東)教育發(fā)展中心， 青島 266580)

隨著高校信息化建設(shè)的不斷深入，高校各種信息化應(yīng)用系統(tǒng)越來越多，安全隱患也越來越大，如何保障信息系統(tǒng)安全是一個(gè)研究熱點(diǎn)。借助信息安全等級保護(hù)可以強(qiáng)化高校信息平臺安全。分析信息等級保護(hù)工作的流程和核心要素，結(jié)合高校實(shí)況給出等級保護(hù)工作的實(shí)施步驟，并就如何加強(qiáng)信息安全等級保護(hù)工作進(jìn)行分析和歸納。

信息系統(tǒng)； 等級保護(hù)； 信息

0 前言

隨著網(wǎng)絡(luò)信息技術(shù)的深入發(fā)展，網(wǎng)絡(luò)信息在人的生活和學(xué)習(xí)中地位越來越重，人們越來越離不開信息資源，隨之而來也面臨各種安全隱患，諸如系統(tǒng)資料被竊密、信息系統(tǒng)安全防護(hù)是否健全、信息管理制度是否完善、信息安全技術(shù)應(yīng)用是否防護(hù)得當(dāng)?shù)雀鱾€(gè)環(huán)節(jié)都有可能影響到信息系統(tǒng)的安全狀況，信息系統(tǒng)安全架構(gòu)設(shè)計(jì)是一個(gè)體系完整、涉及多學(xué)科、組成元素多元的系統(tǒng)工程[1-2]。

針對高校來說，結(jié)合教學(xué)管理和科研、學(xué)習(xí)等應(yīng)用需求構(gòu)建了諸多信息系統(tǒng)，諸如教務(wù)系統(tǒng)、科研管理系統(tǒng)、后勤管理系統(tǒng)、一卡通管理系統(tǒng)、電子圖書信息系統(tǒng)等各種信息化應(yīng)用平臺[3-4]，這些平臺從構(gòu)建到運(yùn)維的各個(gè)環(huán)節(jié)中，都有可能有信息安全防護(hù)的薄弱環(huán)節(jié)存在，進(jìn)而導(dǎo)致信息系統(tǒng)的脆弱性和安全隱患。為進(jìn)一步夯實(shí)信息系統(tǒng)安全，落實(shí)上級教育管理部門和公安管理部門對信息安全的嚴(yán)格防護(hù)和管理要求，高校信息建設(shè)管理部門通過信息安全等級保護(hù)工作來強(qiáng)化高校各個(gè)應(yīng)用信息系統(tǒng)的安全防護(hù)水平，依托信息安全等級保護(hù)工作來深入調(diào)研學(xué)校各個(gè)應(yīng)用信息系統(tǒng)的安全狀況，全面掌握學(xué)校重要信息系統(tǒng)的各種安全隱患，并且針對性做好信息系統(tǒng)的安全防護(hù)工作[5]。

本文結(jié)合高校信息化建設(shè)工作，介紹信息系統(tǒng)建設(shè)實(shí)況，分析和總結(jié)信息等級保護(hù)工作的概念和建設(shè)流程及目的，并分析和總結(jié)高校在信息系統(tǒng)中安全防護(hù)建設(shè)的若干核心問題，提出了如何更深入做好高校信息等級保護(hù)工作的相關(guān)措施。

1 高校信息等級保護(hù)工作概述

1.1 信息安全等級保護(hù)分級及建設(shè)流程

信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，信息安全等級保護(hù)是國家安全管理部門對核心、敏感系統(tǒng)的一種強(qiáng)制要求的等級保護(hù)機(jī)制，依托應(yīng)用信息系統(tǒng)的功能定位不一樣，基于不同等級的劃分，并采取相關(guān)的安全管理制度和技術(shù)來保障，需要配置信息系統(tǒng)建設(shè)單位的責(zé)任人及系統(tǒng)具體運(yùn)維的技術(shù)負(fù)責(zé)人，借助專業(yè)評估企業(yè)的專業(yè)技術(shù)手段，構(gòu)建一套行之有效的信息安全管理制度，打造一個(gè)信息系統(tǒng)安全高效防護(hù)的團(tuán)隊(duì)。

信息系統(tǒng)的安全保護(hù)等級一般分為五個(gè)等級，其主要的判別指標(biāo)分別是在信息系統(tǒng)受到破壞后，其影響范圍大小和程度深淺來定奪。比如，在最輕的第一級中規(guī)定：信息系統(tǒng)受到破壞后，不會(huì)損害國家安全、社會(huì)秩序和公共利益，但是對公民、法人和其他組織的合法權(quán)益造成損害。

信息等級保護(hù)需要采集信息系統(tǒng)諸多元素和數(shù)據(jù)，具體包括：信息系統(tǒng)名稱、建設(shè)項(xiàng)目主管部門、使用系統(tǒng)對象范圍、系統(tǒng)是否有冗余備份、系統(tǒng)是否有冗余電源、系統(tǒng)建設(shè)年限、系統(tǒng)發(fā)生故障后對社會(huì)影響程度等。結(jié)合某高校兩個(gè)批次的信息安全等級保護(hù)工作實(shí)況，大多數(shù)涉及的是二級信息系統(tǒng)，也有少量級別高的三級信息系統(tǒng)。當(dāng)三級信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

針對高校信息化安全待加強(qiáng)建設(shè)的需求，依托信息安全等級保護(hù)，能夠?qū)Ω咝Ｌ囟ǖ男畔⑾到y(tǒng)中的資源及信息系統(tǒng)本身進(jìn)行分級別、分功能、分業(yè)務(wù)實(shí)施保護(hù)，能夠?qū)Ω咝Ｐ畔⑾到y(tǒng)涉及的各種元素，包括信息系統(tǒng)建設(shè)的標(biāo)準(zhǔn)、信息系統(tǒng)本身產(chǎn)品、信息系統(tǒng)涵蓋的信息資源、信息系統(tǒng)中的涉及的信息在存儲到傳輸及應(yīng)用各個(gè)環(huán)節(jié)中針對性做好防護(hù)工作，對照出臺各項(xiàng)安全管理制度和技術(shù)防護(hù)應(yīng)對策略，進(jìn)而提升高校信息系統(tǒng)整體安全建設(shè)和防護(hù)水平。

信息安全等級保護(hù)工作包括信息系統(tǒng)的定級、信息系統(tǒng)備案、信息系統(tǒng)安全建設(shè)和信息系統(tǒng)后期整改、信息安全等級測評、信息安全檢查等五個(gè)核心階段，本文后續(xù)章節(jié)，將以某高校后勤管理信息系統(tǒng)為例來闡述主要的定級流程。

1.2 某高校后勤管理系統(tǒng)等級描述

在定級流程中，有一個(gè)非常重要的環(huán)節(jié)就是對信息系統(tǒng)的描述，主要從安全責(zé)任部門、系統(tǒng)本身要素及系統(tǒng)承載業(yè)務(wù)等環(huán)節(jié)入手，針對某高校后勤管理系統(tǒng)描述主要包括如下三個(gè)方面：

一是確定安全責(zé)任部門：該系統(tǒng)由某高校后勤管理處負(fù)責(zé)組織建設(shè)。由某高校網(wǎng)絡(luò)及教育技術(shù)中心負(fù)責(zé)運(yùn)行維護(hù)，某高校是該信息系統(tǒng)業(yè)務(wù)的主管部門，某高校后勤管理處是該信息系統(tǒng)定級的責(zé)任單位，后勤管理系統(tǒng)作為定級對象。

二是確定信息系統(tǒng)基本要素：該系統(tǒng)主要由數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等服務(wù)器設(shè)備和若干路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備組成，具備了信息系統(tǒng)的基本要素，系統(tǒng)的邊界是由路由器等邊界設(shè)備來區(qū)分。

三是確定該系統(tǒng)承載業(yè)務(wù)情況：本系統(tǒng)承擔(dān)學(xué)校對水電等各種信息資源的后勤管理工作。

1.3 某高校后勤管理系統(tǒng)等級確定

在信息系統(tǒng)的定級中，需要結(jié)合業(yè)務(wù)信息被破壞時(shí)所侵害的客體及對相應(yīng)客體的侵害程度來劃分其級別，如表1所示客體包括如下3個(gè)元素：公民、法人和其他組織的合法權(quán)益、社會(huì)秩序、公共利益、國家安全；而侵害程度依據(jù)不同程度給予不同的劃分，具體評價(jià)的準(zhǔn)則是依托業(yè)務(wù)信息承載業(yè)務(wù)及受到影響的對象來最終確定信息系統(tǒng)級別。

表1 某系統(tǒng)定級表

針對后勤管理系統(tǒng)來說，其業(yè)務(wù)信息描述：本系統(tǒng)主要存儲學(xué)校水電等各種后勤保障信息。

二是業(yè)務(wù)信息受到破壞時(shí)所侵害客體確定：本系統(tǒng)的業(yè)務(wù)信息受到破壞(形式可以包括數(shù)據(jù)丟失、損壞、篡改等)時(shí)，會(huì)對公民、法人和其他組織的合法權(quán)益以及社會(huì)秩序和公眾利益造成影響和損害。

三是業(yè)務(wù)信息受到破壞時(shí)對侵害客體的侵害程度確定本系統(tǒng)的業(yè)務(wù)信息受到破壞時(shí)，會(huì)對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，以及對社會(huì)秩序和公共利益造成損害。

四是業(yè)務(wù)信息安全保護(hù)等級的確定：根據(jù)業(yè)務(wù)信息受到破壞時(shí)所侵害的客體以及侵害程度，確定本系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級為第二級。

1.4 某高校后勤管理系統(tǒng)定級流程

后勤管理系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定，最終確定后勤管理系統(tǒng)安全保護(hù)等級為第二級，如表2所示。

表2 某系統(tǒng)最終定級表

2 高校建設(shè)信息等級保護(hù)注意問題

2.1 信息等級保護(hù)工作若干關(guān)鍵點(diǎn)

安全形勢越來越嚴(yán)峻的大趨勢下，加強(qiáng)高校信息安全建設(shè)勢在必行，依托信息等級保護(hù)工作，深入拓展和強(qiáng)化高校信息系統(tǒng)建設(shè)中各個(gè)薄弱環(huán)節(jié)，具有重要意義，而高校信息化建設(shè)工作錯(cuò)綜復(fù)雜，有非常多的環(huán)節(jié)和各種困難，要做好信息等級保護(hù)工作，要注意如下幾個(gè)關(guān)鍵問題：

一是前瞻確保引領(lǐng)作用，確保起點(diǎn)高安全性強(qiáng)：等級保護(hù)工作是一項(xiàng)非常重要的工作，做好等級保護(hù)工作，能夠促進(jìn)學(xué)校整體信息化安全建設(shè)水平，能引領(lǐng)整個(gè)校園信息化網(wǎng)絡(luò)安全的建設(shè)規(guī)范和標(biāo)準(zhǔn)，能夠提升廣大信息化管理人員的安全意識和安全保障技術(shù)水平。

二是政策要落地注重實(shí)效，整改措施要找對象保障安全：信息等級保護(hù)是一項(xiàng)落地工程，最終是要為強(qiáng)化信息系統(tǒng)的安全工作發(fā)揮實(shí)效，信息系統(tǒng)建設(shè)和管理部門及負(fù)責(zé)單位要以等級評估中的問題待改進(jìn)的薄弱環(huán)節(jié)為切入點(diǎn)，針對性提升信息系統(tǒng)的安全防護(hù)水平。

三是管理與技術(shù)并重，打好網(wǎng)絡(luò)信息安全組合拳：技術(shù)日新月異，不能夠僅依托技術(shù)解決所有問題，加強(qiáng)安全制度建設(shè)，配套實(shí)施技術(shù)手段，構(gòu)建一套涵蓋科學(xué)規(guī)范管理制度、出臺配套的涵蓋應(yīng)急預(yù)防的安全技術(shù)方案，并構(gòu)建長期規(guī)范的后期反饋與考核體系，確保等級保護(hù)工作持續(xù)性和有效性。

2.2 高校等級保護(hù)需要強(qiáng)化環(huán)節(jié)

針對高校信息等級保護(hù)中的若干關(guān)鍵點(diǎn)，結(jié)合高校信息等級保護(hù)工作具體開展來看，取得一些成績，同時(shí)也看到了諸多不足之處，主要體現(xiàn)以下幾個(gè)方面：

一是信息等級保護(hù)工作效率偏低，協(xié)同工作制度有待梳理：信息化建設(shè)工作是一個(gè)體系復(fù)雜的系統(tǒng)工作，需要涉及到信息系統(tǒng)建設(shè)部門、信息系統(tǒng)管理部門、網(wǎng)絡(luò)管理部門5、學(xué)校行政管理部門、二級院系等諸多部門，對信息業(yè)務(wù)的管理流程規(guī)范性和靈活性提出新要求，而網(wǎng)絡(luò)信息安全的實(shí)際技術(shù)支撐單位和牽頭單位一般是網(wǎng)絡(luò)信息中心，其管理執(zhí)行力缺乏，導(dǎo)致有些其他二級單位協(xié)同配合力度不夠，信息等級保護(hù)的各項(xiàng)協(xié)同工作配合力度還不夠，導(dǎo)致信息等級保護(hù)工作推進(jìn)力度不夠。

二是信息等級保護(hù)是常態(tài)化工作，需要持久投入與付出：信息化建設(shè)單位不僅要承擔(dān)著學(xué)校各種信息系統(tǒng)建設(shè)任務(wù)，還承載網(wǎng)絡(luò)信息建設(shè)規(guī)劃及運(yùn)維工作，甚至有的還要承擔(dān)學(xué)校核心交換機(jī)、匯聚交換機(jī)、數(shù)據(jù)中心交換機(jī)、存儲、刀片服務(wù)器、虛擬服務(wù)器、及各項(xiàng)專網(wǎng)等應(yīng)用繁雜的運(yùn)維任務(wù)，成規(guī)模的校園網(wǎng)絡(luò)用戶節(jié)點(diǎn)數(shù)以萬計(jì)，需要維護(hù)的交換機(jī)及服務(wù)器近千臺，而核心業(yè)務(wù)信息化建設(shè)部門人員不過十人，正常的業(yè)務(wù)工作就要耗費(fèi)大量精力和時(shí)間，在人員緊缺前提下，缺乏人力和物力做好常態(tài)化信息等級保護(hù)工作。

三是信息等級保護(hù)專業(yè)技能要求高，需要加強(qiáng)培訓(xùn)和學(xué)習(xí)：信息技術(shù)發(fā)展日新月異，技術(shù)革新迭代速度快，對信息安全網(wǎng)絡(luò)等相關(guān)知識和技能要求高，信息等級保護(hù)涉及到計(jì)算機(jī)安全、信息安全、傳輸安全、存儲安全、機(jī)房環(huán)境安全等諸多領(lǐng)域知識，是一項(xiàng)跨多學(xué)科、涵蓋管理制度與防護(hù)技術(shù)于一體的系統(tǒng)工作，需要掌握網(wǎng)絡(luò)安全、信息安全等領(lǐng)域的諸多技能，而傳統(tǒng)的信息化崗位缺乏專業(yè)培訓(xùn)和教育，要做好信息化環(huán)境下的等級保護(hù)工作，必須定期組織培訓(xùn)和學(xué)習(xí)，組建一個(gè)專職運(yùn)維團(tuán)隊(duì)來加強(qiáng)學(xué)習(xí)和運(yùn)維。

3 總結(jié)

本文分析和總結(jié)等級保護(hù)工作的意義、評價(jià)流程和評價(jià)標(biāo)準(zhǔn)，結(jié)合學(xué)校的信息系統(tǒng)業(yè)務(wù)對象、建設(shè)的應(yīng)用系統(tǒng)的功能分類，總結(jié)和調(diào)研等級保護(hù)工作的各項(xiàng)注意事項(xiàng)，最終針對性提出加強(qiáng)信息等級保護(hù)工作的各項(xiàng)建議，總結(jié)出高校等級保護(hù)需要強(qiáng)化的諸多環(huán)節(jié)。

[1] 楊智,金舒原,段毅,方濱興.多級安全中敏感標(biāo)記的最優(yōu)化挖掘[J]. 軟件學(xué)報(bào)， 2011(5)．

[2] 馬力,畢馬寧,任衛(wèi)紅.安全保護(hù)模型與等級保護(hù)安全要求關(guān)系的研究[J]. 信息網(wǎng)絡(luò)安全， 2011(6)．

[3] 王超,盧志剛,劉寶旭.面向等級保護(hù)的漏洞掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 核電子學(xué)與探測技術(shù)， 2010(7)．

[4] 張蓓,馮梅,靖小偉,劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J]. 計(jì)算機(jī)安全， 2010(4).

[5] 張旭.面向大型企業(yè)科研生產(chǎn)信息系統(tǒng)的等級保護(hù)建設(shè)方案的研究與實(shí)踐[D]. 北京郵電大學(xué)， 2012.

The Analysis of Information Level Protection Based on the University Information System

Gong Wentao1,Lang Yingying2

(1. Internet and Education Technology Center,China University of Petroleum (East China),Qingdao 266580,China;2. Education Development Center,China University of Petroleum (East China),Qingdao 266580,China)

Along with the continuous deepening of information construction of colleges and universities, there are more and more colleges and universities information application systems, seculity trouble is more and more big. How to ensure the security of information system becomes a research hotspot. With the help of information security level protection for strengthening the information security platform, the paper analyses the process and the core elements of the information level of protection. By combining work steps of the live grade given protection work, the methods of strengthening the information security level protection were analyzed and summarized.

Information system; Security level; Information

龔文濤(1984-)，男，潛江市人，中國石油大學(xué)(華東)網(wǎng)絡(luò)及教育技術(shù)中心，工程師，工學(xué)碩士，研究方向：訪問控制和網(wǎng)絡(luò)安全、青島 266580； 郎穎瑩(1983-)，女，青島市人，中國石油大學(xué)(華東)教育發(fā)展中心，工程師，工學(xué)碩士，研究方向：在線教育、系統(tǒng)研發(fā)和網(wǎng)絡(luò)安全、青島 266580

1007-757X(2017)01-0060-03

TP393

A

2016.06.30)