基于高校信息系統的信息等級保護工作淺析

龔文濤， 郎穎瑩

(1.中國石油大學(華東) 網絡及教育技術中心， 青島 266580；2.中國石油大學(華東)教育發展中心， 青島 266580)

基于高校信息系統的信息等級保護工作淺析

龔文濤1， 郎穎瑩2

(1.中國石油大學(華東) 網絡及教育技術中心， 青島 266580；2.中國石油大學(華東)教育發展中心， 青島 266580)

隨著高校信息化建設的不斷深入，高校各種信息化應用系統越來越多，安全隱患也越來越大，如何保障信息系統安全是一個研究熱點。借助信息安全等級保護可以強化高校信息平臺安全。分析信息等級保護工作的流程和核心要素，結合高校實況給出等級保護工作的實施步驟，并就如何加強信息安全等級保護工作進行分析和歸納。

信息系統； 等級保護； 信息

0 前言

隨著網絡信息技術的深入發展，網絡信息在人的生活和學習中地位越來越重，人們越來越離不開信息資源，隨之而來也面臨各種安全隱患，諸如系統資料被竊密、信息系統安全防護是否健全、信息管理制度是否完善、信息安全技術應用是否防護得當等各個環節都有可能影響到信息系統的安全狀況，信息系統安全架構設計是一個體系完整、涉及多學科、組成元素多元的系統工程[1-2]。

針對高校來說，結合教學管理和科研、學習等應用需求構建了諸多信息系統，諸如教務系統、科研管理系統、后勤管理系統、一卡通管理系統、電子圖書信息系統等各種信息化應用平臺[3-4]，這些平臺從構建到運維的各個環節中，都有可能有信息安全防護的薄弱環節存在，進而導致信息系統的脆弱性和安全隱患。為進一步夯實信息系統安全，落實上級教育管理部門和公安管理部門對信息安全的嚴格防護和管理要求，高校信息建設管理部門通過信息安全等級保護工作來強化高校各個應用信息系統的安全防護水平，依托信息安全等級保護工作來深入調研學校各個應用信息系統的安全狀況，全面掌握學校重要信息系統的各種安全隱患，并且針對性做好信息系統的安全防護工作[5]。

本文結合高校信息化建設工作，介紹信息系統建設實況，分析和總結信息等級保護工作的概念和建設流程及目的，并分析和總結高校在信息系統中安全防護建設的若干核心問題，提出了如何更深入做好高校信息等級保護工作的相關措施。

1 高校信息等級保護工作概述

1.1 信息安全等級保護分級及建設流程

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，信息安全等級保護是國家安全管理部門對核心、敏感系統的一種強制要求的等級保護機制，依托應用信息系統的功能定位不一樣，基于不同等級的劃分，并采取相關的安全管理制度和技術來保障，需要配置信息系統建設單位的責任人及系統具體運維的技術負責人，借助專業評估企業的專業技術手段，構建一套行之有效的信息安全管理制度，打造一個信息系統安全高效防護的團隊。

信息系統的安全保護等級一般分為五個等級，其主要的判別指標分別是在信息系統受到破壞后，其影響范圍大小和程度深淺來定奪。比如，在最輕的第一級中規定：信息系統受到破壞后，不會損害國家安全、社會秩序和公共利益，但是對公民、法人和其他組織的合法權益造成損害。

信息等級保護需要采集信息系統諸多元素和數據，具體包括：信息系統名稱、建設項目主管部門、使用系統對象范圍、系統是否有冗余備份、系統是否有冗余電源、系統建設年限、系統發生故障后對社會影響程度等。結合某高校兩個批次的信息安全等級保護工作實況，大多數涉及的是二級信息系統，也有少量級別高的三級信息系統。當三級信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

針對高校信息化安全待加強建設的需求，依托信息安全等級保護，能夠對高校特定的信息系統中的資源及信息系統本身進行分級別、分功能、分業務實施保護，能夠對高校信息系統涉及的各種元素，包括信息系統建設的標準、信息系統本身產品、信息系統涵蓋的信息資源、信息系統中的涉及的信息在存儲到傳輸及應用各個環節中針對性做好防護工作，對照出臺各項安全管理制度和技術防護應對策略，進而提升高校信息系統整體安全建設和防護水平。

信息安全等級保護工作包括信息系統的定級、信息系統備案、信息系統安全建設和信息系統后期整改、信息安全等級測評、信息安全檢查等五個核心階段，本文后續章節，將以某高校后勤管理信息系統為例來闡述主要的定級流程。

1.2 某高校后勤管理系統等級描述

在定級流程中，有一個非常重要的環節就是對信息系統的描述，主要從安全責任部門、系統本身要素及系統承載業務等環節入手，針對某高校后勤管理系統描述主要包括如下三個方面：

一是確定安全責任部門：該系統由某高校后勤管理處負責組織建設。由某高校網絡及教育技術中心負責運行維護，某高校是該信息系統業務的主管部門，某高校后勤管理處是該信息系統定級的責任單位，后勤管理系統作為定級對象。

二是確定信息系統基本要素：該系統主要由數據庫服務器、應用服務器等服務器設備和若干路由器、交換機等網絡設備組成，具備了信息系統的基本要素，系統的邊界是由路由器等邊界設備來區分。

三是確定該系統承載業務情況：本系統承擔學校對水電等各種信息資源的后勤管理工作。

1.3 某高校后勤管理系統等級確定

在信息系統的定級中，需要結合業務信息被破壞時所侵害的客體及對相應客體的侵害程度來劃分其級別，如表1所示客體包括如下3個元素：公民、法人和其他組織的合法權益、社會秩序、公共利益、國家安全；而侵害程度依據不同程度給予不同的劃分，具體評價的準則是依托業務信息承載業務及受到影響的對象來最終確定信息系統級別。

表1 某系統定級表

針對后勤管理系統來說，其業務信息描述：本系統主要存儲學校水電等各種后勤保障信息。

二是業務信息受到破壞時所侵害客體確定：本系統的業務信息受到破壞(形式可以包括數據丟失、損壞、篡改等)時，會對公民、法人和其他組織的合法權益以及社會秩序和公眾利益造成影響和損害。

三是業務信息受到破壞時對侵害客體的侵害程度確定本系統的業務信息受到破壞時，會對公民、法人和其他組織的合法權益造成嚴重損害，以及對社會秩序和公共利益造成損害。

四是業務信息安全保護等級的確定：根據業務信息受到破壞時所侵害的客體以及侵害程度，確定本系統的業務信息安全保護等級為第二級。

1.4 某高校后勤管理系統定級流程

后勤管理系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定，最終確定后勤管理系統安全保護等級為第二級，如表2所示。

表2 某系統最終定級表

2 高校建設信息等級保護注意問題

2.1 信息等級保護工作若干關鍵點

安全形勢越來越嚴峻的大趨勢下，加強高校信息安全建設勢在必行，依托信息等級保護工作，深入拓展和強化高校信息系統建設中各個薄弱環節，具有重要意義，而高校信息化建設工作錯綜復雜，有非常多的環節和各種困難，要做好信息等級保護工作，要注意如下幾個關鍵問題：

一是前瞻確保引領作用，確保起點高安全性強：等級保護工作是一項非常重要的工作，做好等級保護工作，能夠促進學校整體信息化安全建設水平，能引領整個校園信息化網絡安全的建設規范和標準，能夠提升廣大信息化管理人員的安全意識和安全保障技術水平。

二是政策要落地注重實效，整改措施要找對象保障安全：信息等級保護是一項落地工程，最終是要為強化信息系統的安全工作發揮實效，信息系統建設和管理部門及負責單位要以等級評估中的問題待改進的薄弱環節為切入點，針對性提升信息系統的安全防護水平。

三是管理與技術并重，打好網絡信息安全組合拳：技術日新月異，不能夠僅依托技術解決所有問題，加強安全制度建設，配套實施技術手段，構建一套涵蓋科學規范管理制度、出臺配套的涵蓋應急預防的安全技術方案，并構建長期規范的后期反饋與考核體系，確保等級保護工作持續性和有效性。

2.2 高校等級保護需要強化環節

針對高校信息等級保護中的若干關鍵點，結合高校信息等級保護工作具體開展來看，取得一些成績，同時也看到了諸多不足之處，主要體現以下幾個方面：

一是信息等級保護工作效率偏低，協同工作制度有待梳理：信息化建設工作是一個體系復雜的系統工作，需要涉及到信息系統建設部門、信息系統管理部門、網絡管理部門5、學校行政管理部門、二級院系等諸多部門，對信息業務的管理流程規范性和靈活性提出新要求，而網絡信息安全的實際技術支撐單位和牽頭單位一般是網絡信息中心，其管理執行力缺乏，導致有些其他二級單位協同配合力度不夠，信息等級保護的各項協同工作配合力度還不夠，導致信息等級保護工作推進力度不夠。

二是信息等級保護是常態化工作，需要持久投入與付出：信息化建設單位不僅要承擔著學校各種信息系統建設任務，還承載網絡信息建設規劃及運維工作，甚至有的還要承擔學校核心交換機、匯聚交換機、數據中心交換機、存儲、刀片服務器、虛擬服務器、及各項專網等應用繁雜的運維任務，成規模的校園網絡用戶節點數以萬計，需要維護的交換機及服務器近千臺，而核心業務信息化建設部門人員不過十人，正常的業務工作就要耗費大量精力和時間，在人員緊缺前提下，缺乏人力和物力做好常態化信息等級保護工作。

三是信息等級保護專業技能要求高，需要加強培訓和學習：信息技術發展日新月異，技術革新迭代速度快，對信息安全網絡等相關知識和技能要求高，信息等級保護涉及到計算機安全、信息安全、傳輸安全、存儲安全、機房環境安全等諸多領域知識，是一項跨多學科、涵蓋管理制度與防護技術于一體的系統工作，需要掌握網絡安全、信息安全等領域的諸多技能，而傳統的信息化崗位缺乏專業培訓和教育，要做好信息化環境下的等級保護工作，必須定期組織培訓和學習，組建一個專職運維團隊來加強學習和運維。

3 總結

本文分析和總結等級保護工作的意義、評價流程和評價標準，結合學校的信息系統業務對象、建設的應用系統的功能分類，總結和調研等級保護工作的各項注意事項，最終針對性提出加強信息等級保護工作的各項建議，總結出高校等級保護需要強化的諸多環節。

[1] 楊智,金舒原,段毅,方濱興.多級安全中敏感標記的最優化挖掘[J]. 軟件學報， 2011(5)．

[2] 馬力,畢馬寧,任衛紅.安全保護模型與等級保護安全要求關系的研究[J]. 信息網絡安全， 2011(6)．

[3] 王超,盧志剛,劉寶旭.面向等級保護的漏洞掃描系統的設計與實現[J]. 核電子學與探測技術， 2010(7)．

[4] 張蓓,馮梅,靖小偉,劉明新.基于安全域的企業網絡安全防護體系研究[J]. 計算機安全， 2010(4).

[5] 張旭.面向大型企業科研生產信息系統的等級保護建設方案的研究與實踐[D]. 北京郵電大學， 2012.

The Analysis of Information Level Protection Based on the University Information System

Gong Wentao1,Lang Yingying2

(1. Internet and Education Technology Center,China University of Petroleum (East China),Qingdao 266580,China;2. Education Development Center,China University of Petroleum (East China),Qingdao 266580,China)

Along with the continuous deepening of information construction of colleges and universities, there are more and more colleges and universities information application systems, seculity trouble is more and more big. How to ensure the security of information system becomes a research hotspot. With the help of information security level protection for strengthening the information security platform, the paper analyses the process and the core elements of the information level of protection. By combining work steps of the live grade given protection work, the methods of strengthening the information security level protection were analyzed and summarized.

Information system; Security level; Information

龔文濤(1984-)，男，潛江市人，中國石油大學(華東)網絡及教育技術中心，工程師，工學碩士，研究方向：訪問控制和網絡安全、青島 266580； 郎穎瑩(1983-)，女，青島市人，中國石油大學(華東)教育發展中心，工程師，工學碩士，研究方向：在線教育、系統研發和網絡安全、青島 266580

1007-757X(2017)01-0060-03

TP393

A

2016.06.30)