王煒

摘 要：建立計算機信息系統(tǒng)安全等級保護，是我國計算機信息系統(tǒng)安全保護工作中的一項重要工作，它直接關(guān)系到高校的計算機信息系統(tǒng)建設(shè)和管理，為高校的信息系統(tǒng)安全建設(shè)工作提供了重要的基礎(chǔ)支撐。

關(guān)鍵詞：等級保護；信息系統(tǒng)安全

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，網(wǎng)絡(luò)安全已成為我國一項非常重要的國家安全戰(zhàn)略，“沒有網(wǎng)絡(luò)安全就沒有國家安全”。作為中國教育體系的重要組成部分，高校信息安全是網(wǎng)絡(luò)安全法定義的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)之一，為高校的網(wǎng)絡(luò)安全保障工作提出了更高的要求。

近幾年高校在信息化方面的投入力度不斷加大，特別在大數(shù)據(jù)支撐、智慧校園等方面取得了很大突破，同時使得校園網(wǎng)絡(luò)在支撐業(yè)務(wù)系統(tǒng)運行和發(fā)展中所面臨的安全威脅不斷增加，如何保障業(yè)務(wù)系統(tǒng)的信息完整性、信息保密性和系統(tǒng)可用性是信息安全體系的重要支撐，是高校信息化必須重視的問題。而等級保護工作作為高校信息安全工作的一個重要支撐，發(fā)揮著越來越重要的作用。

一、等級保護相關(guān)依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》第21條規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。（1）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；（2）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（3）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；（4）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（5）法律、行政法規(guī)規(guī)定的其他義務(wù)。

教育部辦公廳在2009年發(fā)布了《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》（教辦廳函〔2009〕80號），隨后，教育部辦公廳多次發(fā)文，要求全國教育行業(yè)按照國家信息安全等級保護制度的要求開展等保工作。高校應(yīng)以信息安全等級保護工作為抓手，建立完善的網(wǎng)絡(luò)信息安全保障體系，提升高等教育信息系統(tǒng)安全水平，保障教育信息化的持續(xù)健康穩(wěn)定發(fā)展。在積極推進等級保護的同時，進一步健全信息安全保障體系，使等級保護真正成為提高安全保障能力、維護行業(yè)穩(wěn)定、保障信息化發(fā)展的一項基本制度。

二、等級保護工作環(huán)節(jié)

（一）調(diào)查摸底

信息安全等級保護工作是高校一項重要工作，可由信息化部門組織實施該項工作。各信息系統(tǒng)主管部門、運營使用部門組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用，或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)，以及系統(tǒng)建設(shè)規(guī)劃等基本情況，為開展信息安全等級保護工作打下基礎(chǔ)。

（二）確定等級

按照“誰主管、誰負(fù)責(zé)”原則，各信息系統(tǒng)主管部門按照《信息系統(tǒng)安全等級保護定級指南》，確定定級對象的安全保護等級。就目前高校工作實踐來看，重要信息系統(tǒng)（如招生系統(tǒng)、門戶系統(tǒng)、一卡通等）一般定為三級，其他基本定為一級或二級。

（三）安全建設(shè)整改

由于高校信息化建設(shè)時間較早，系統(tǒng)較多，要區(qū)別對待新老系統(tǒng)。各信息系統(tǒng)主管部門根據(jù)確定的安全保護等級，對已有的老信息系統(tǒng)按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采購和使用相應(yīng)等級要求的信息安全產(chǎn)品，落實安全技術(shù)措施，完成系統(tǒng)整改。新系統(tǒng)在立項建設(shè)環(huán)節(jié)就考慮等保要求，參照《信息系統(tǒng)安全等級保護基本要求》，在上線前新增應(yīng)用安全、數(shù)據(jù)安全以及部分主機安全部分的單元測評，推動實現(xiàn)等級保護所應(yīng)達到的防護要求。

（四） 組織測評

信息系統(tǒng)建設(shè)完成后，信息系統(tǒng)主管部門應(yīng)當(dāng)依照《信息安全等級保護管理辦法》選擇符合要求的測評機構(gòu)進行測評。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當(dāng)進行測評。經(jīng)測評，信息系統(tǒng)安全狀況未達到安全保護等級要求的，主管部門應(yīng)當(dāng)聯(lián)合信息化部門，制定方案進行整改。

（五）履行備案手續(xù)

信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)主管部門，應(yīng)當(dāng)在系統(tǒng)投入運行后（新建系統(tǒng)）或確定等級后（已運營的系統(tǒng)）30 日內(nèi)到地（市）及以上公安機關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)；跨地區(qū)、跨?。ㄊ校┗蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，向地級以上市公安局網(wǎng)監(jiān)部門備案。

（六）健全長效工作機制

在信息安全等級保護職能部門、信息系統(tǒng)主管部門間建立暢通的聯(lián)絡(luò)機制，建立職能部門、主管部門對信息系統(tǒng)的定期監(jiān)督檢查機制。信息化部門組織開展教育培訓(xùn)工作，加強對安全專業(yè)技術(shù)人員的培訓(xùn)，提高信息系統(tǒng)主管部門人員的技術(shù)和法律知識水平。

三、信息安全等級保護測評

信息安全等級保護測評是高校信息安全等保工作中最重要的一環(huán)，高校通過實施信息系統(tǒng)安全等級保護測評，能夠準(zhǔn)確把握信息系統(tǒng)安全狀況，幫助高校按照標(biāo)準(zhǔn)進行安全建設(shè)、整改和管理運行。

（一）等級保護測評目的和依據(jù)

信息安全等級保護測評，是根據(jù)國家等級保護相關(guān)政策、法律法規(guī)、等級保護工作的相關(guān)標(biāo)準(zhǔn)，測評客戶定級的信息系統(tǒng)是否符合《信息系統(tǒng)安全等級保護基本要求》中對信息系統(tǒng)采取相應(yīng)等級安全保護措施的要求，還可以全面、完整地了解信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況以及系統(tǒng)的整體安全性，出具安全等級測評的結(jié)論；指出該系統(tǒng)存在的安全問題并提出相應(yīng)的整改建議，為委托方進一步完善被評估系統(tǒng)安全管理策略、采取適當(dāng)?shù)陌踩Ｕ洗胧┨峁┮罁?jù)。

（二）等級保護測評內(nèi)容

等級保護測評內(nèi)容包含安全技術(shù)測評和安全管理測評方式：

安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全；

安全管理測評包括：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。

（三）等級保護測評方法

具體在測評環(huán)節(jié)，采用以下三種方法：

1.訪談。訪談是指測評人員通過與信息系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護措施是否有效落實的一種方法。在訪談范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。

2.檢查。檢查是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護措施是否有效實施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對象種類（設(shè)備、文檔、機制等），數(shù)量上可以抽樣。

3.測試。測試是指測評人員針對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)，通過查看和分析響應(yīng)的輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否得以有效實施的一種方法。在測試范圍上，應(yīng)基本覆蓋不同類型的機制，在數(shù)量上可以抽樣。

例如，物理安全測評中，對“物理位置的選擇”一項，訪談內(nèi)容為機房具有防震、防雨和防風(fēng)能力，并提供機房設(shè)計和驗收證明；檢查內(nèi)容為查看機房是否建在高層或地下室。網(wǎng)絡(luò)安全測評中，對“邊界完整性檢查”一項，訪談內(nèi)容為外網(wǎng)接入內(nèi)網(wǎng)行為監(jiān)控、內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為監(jiān)控，并進行阻斷處理；測試內(nèi)容為查看外網(wǎng)接入內(nèi)網(wǎng)行為和內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為進行監(jiān)控的配置。安全管理制度測評中，對“管理制度”一項，訪談內(nèi)容為制定總體方針和安全策略、建立操作規(guī)程；檢查內(nèi)容為查部門、崗位職責(zé)文件，信息安全方針、安全策略文件；查各類安全管理制度文件；形成安全管理制度體系。

（三）測評綜合分析

對保護狀況進行檢測評估后，判定受測系統(tǒng)的技術(shù)和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿足所定安全等級的結(jié)論，針對安全不符合項提出安全整改建議。

符合程度：綜合分析具體指標(biāo)符合性判斷，給出抽象指標(biāo)符合性判斷結(jié)果，匯總所有抽象指標(biāo)符合判斷，給出安全等級滿足與否的結(jié)論；

安全等級結(jié)論：結(jié)合受測系統(tǒng)符合性程度，判斷受測系統(tǒng)是否滿足所定安全等級的結(jié)論；

安全整改建議：提出安全整改建議，匯總、分析所有不符合項對應(yīng)的改進建議，組合成可單獨執(zhí)行的整改建議。

四、結(jié)束語

建立計算機信息系統(tǒng)安全等級保護制度，是我國計算機信息系統(tǒng)安全保護工作中的一件大事，它直接關(guān)系到高校的計算機信息系統(tǒng)建設(shè)和管理，為高校的信息系統(tǒng)安全建設(shè)工作提供了重要的基礎(chǔ)支撐。

參考文獻：

[1]《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》.

[2]《信息安全等級保護管理辦法》.

[3]劉澤華.高校信息系統(tǒng)安全等級保護研究，中國管理信息化，2016（08）.

[4]張文勇，李維華，唐作其.信息安全等級保護測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法研究，電子科學(xué)技術(shù)，2016（03）.

[5]Implementation and Design of Security Configuration Check Toolkit for Classified Evaluation of Information System，Information Technology and Computer Science—Proceedings of 2012 National Conference on Information Technology and Computer Science，2012.