高校信息系統安全等級保護測評實施研究與分析

呂美敬

（中央財經大學網絡信息中心， 北京 100081）

1 引言

隨著網絡信息時代的飛速發展，智慧校園的智能化程度也越來越高，高校信息系統數量也越來越多，高校工作者及學生對各類業務信息系統的依賴不斷加深，信息安全工作顯得愈加重要，但隨著各類業務應用與服務不斷深入，當前各高校和部門的信息安全防護水平依然不能滿足信息化快速發展對安全保障的需要。高校信息化建設在給教學、科研、管理、學習帶來便捷的同時，成為不法分子利用網絡傳播非法信息的重要途徑。

《中華人民共和國網絡安全法》和《信息安全等級保護管理辦法》已正式頒布實施，按照國家信息安全等級保護相關制度的要求，等級保護測評變得有法可依、有據可循。信息系統安全等級保護是針對不同信息系統進行分級保護而開展的，是網絡安全工作的重要組成部分。為加強高校校園網絡和信息系統安全，高校必須高度重視并主動推進等級保護工作，為高校師生創造一個安全可靠的網絡環境。

2 信息安全等級保護測評概述

網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。等級保護測評就是有資質的測評機構對非涉密的信息系統按照不同等級要求對這些系統進行安全測評，出具相應的信息系統測評報告。

根據信息系統等級保護相關標準，等級保護工作總共分五個階段，分別為信息系統定級、信息系統備案（定級備案）、信息系統等級測評、信息系統安全整改、定期監督檢查，如圖1所示。

圖1 等級保護工作五個階段

（1）信息系統定級。信息系統運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統的安全保護等級。信息安全等級保護的五個等級如表1所示。

（2）信息系統備案。二級及以上信息系統的定級需用戶單位到單位所在地設區的市級以上公安機關辦理系統備案手續。

（3）等級保護測評。信息系統建設完成后，系統運營使用單位選擇符合管理辦法要求的檢測機構，對信息系統安全等級狀況開展等級測評并出具信息系統測評報告。

（4）信息系統安全整改。測評完成之后需根據測評過程中發現的安全問題及時進行安全整改，特別是存在高危風險的信息系統。測評的結論分為不符合、基本符合、符合。

（5）定期監督檢查。信息安全監管部門依據信息安全等級保護的管理規范及《網絡安全法》相關條款，監督檢查用戶單位開展等級保護工作情況，定期對信息系統進行安全大檢查。

3 高校開展信息安全等級保護工作的重要性

高校校園網是高校信息化建設的基礎，隨著智慧校園的智能化及普及，高校信息系統的數量也急劇增加。高校網站和信息系統一直是社會關注的重點，影響面大，也是黑客的重點關注對象。高校需要開展等級保護工作主要有五個方面的原因。

（1）落實《教育部關于加強教育行業網絡與信息安全工作的指導意見》（教技〔2014〕4號）、《教育部公安部關于全面推進教育行業信息安全等保工作的通知》（教技〔2015〕2號）、《教育部辦公廳關于組織開展部屬單位信息安全等級保護工作的通知》（教技廳函〔2015〕68號）等國家政策文件的要求，履行《中華人民共和國網絡安全法》和《信息安全等級保護管理辦法》等法律法規及相關制度關于開展等級保護測評的網絡安全義務。

（2）高校可以通過信息安全等級保護工作及時發現學校業務信息系統存在的安全隱患和不足，依據測評結論進行安全整改之后，有效提高應用系統的安全防護能力，降低信息系統被非法分子攻擊的風險，維護學校的聲譽和形象。

（3）高校按照網絡安全等級保護制度的要求進行等級保護測評工作，是切實履行網絡安全義務，避免網絡受到非法干擾、破壞或者未經授權的侵入，避免網絡數據遭受泄露或者網站頁面被竊取或篡改。

（4）信息安全等級保護工作是網絡安全工作的基礎，只有做好等級保護測評工作，才能更好地開展安全整改建設。高校管理者及網絡安全工作人員可以通過等級保護測評工作了解整個學校網絡安全工作的成果，是否存在風險點，了解風險點產生的原因，并根據可能產生的破壞和后果，合理處置風險點，并在以后的信息化建設工作過程中針對薄弱點加強建設。

（5）提高高校信息化建設工作者的網絡安全意識，強化等級保護工作在信息化安全工作過程中的重要性，確保信息系統各項安全保障措施滿足最新的安全形勢需要。

表1 信息安全等級保護的五個等級

4 以中央財經大學就業信息系統為例的等級保護測評項目實施研究

中央財經大學就業信息系統主要幫助學校提高學生就業的工作效率，極為方便地對就業的有關數據進行管理、輸入、輸出、查找等有關操作，為用人單位、學生、教師、校友等四類用戶提供服務。中央財經大學就業信息系統是為學校師生及企業提供就業信息及管理的平臺，業務信息主要包含企業基本信息數據、企業發布招聘信息數據、學生基本信息數據、學生就業派遣信息等。下面就等級保護工作的五個階段，對中央財經大學就業信息系統的等級保護測評工作進行詳細介紹。

4.1 信息系統定級

中央財經大學就業信息系統服務受到非法破壞后，會導致用人單位和學生無法通過系統辦理招聘和就業手續，影響學生處就業工作人員的工作效率，使中央財經大學就業工作無法正常開展。因此，受到影響的客體是公民、法人和其他組織的合法權益，侵害程度為嚴重侵害，如表1所示，該系統的安全等級保護可以定為二級。自主定級完成后，系統管理人員形成《中央財經大學就業信息系統安全等級保護定級報告》和《中央財經大學就業信息系統安全等級保護備案表》。

4.2 信息系統備案

中央財經大學就業信息系統定級之后需要到中央財經大學所在地海淀區公安部門備案，將《中央財經大學就業信息系統安全等級保護定級報告》和《中央財經大學就業信息系統安全等級保護備案表》等定級材料打印兩份，首頁蓋章，電子檔準備一份送至海淀區公安局內保局定級備案，形成帶備案公安機關公章的中央財經大學就業信息系統安全等級保護備案證明以及蓋章的中央財經大學就業信息系統定級報告和備案表。

4.3 等級保護測評工作

根據等級保護基本要求，委托第三方測評機構測評。測評機構一定是有測評資質且已在用戶所在地公安網安部門備案。等級保護測評工作包括物理環境、網絡安全、主機安全、應用安全、數據安全、安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等方面的測評，并分析其與等級保護基本要求之間的差距，按照信息安全等級保護制度建設要求提出安全整改建議，形成《信息安全整改建議書》和《網絡設備、安全設備、操作系統、數據庫安全技術策略規范》。

測評工具：掃描工具、滲透測試工具集等。

測評方法：訪談、檢查、測試。

測評對象：機房、網絡設備、安全設備、服務器設備、數據庫管理系統、業務應用軟件、訪談人員、安全管理文檔。

根據測評項權重，以加權平均合并同一安全控制點下的所有測評項的符合程度得分，并按照控制點得分計算公式得到各安全控制點的 5分制得分。

控制點得分，n為同一控制點下的測評項數，不含不適用的控制點和測評項。根據公式和各層面的測評結果，得到各層面的安全得分如圖2所示。

圖2 安全層面得分比較

根據測評與風險分析結果，計算中央財經大學招生就業信息系統的綜合得分為 87.70，且系統不存在高風險安全問題，因此測評結論為基本符合。

4.4 信息系統安全整改

根據測評中發現的問題，結合《信息安全整改建議書》，采購部署安全產品、進行系統改造和加固、落實安全管理體系，針對有漏洞的信息系統，通知應用廠商，進行漏洞修復。整改完成之后，測評機構再依據《信息系統安全等級保護基本要求》（GB/T 22239-2008）進行驗證，驗證安全整改結果，最終出具《信息系統安全等級測評報告》。由于涉及到校就業信息系統的安全性，僅僅羅列部分測評過程中發現的問題，部分數據的安全整改信息如表2所示。

測評結束后，用戶單位具備加蓋過主管部門的公章的《中央財經大學就業信息系統安全等級保護定級報告》《中央財經大學就業信息系統安全等級保護備案表》、中央財經大學就業信息系統備案證明以及加蓋過測評機構公章及測評專用章的《中央財經大學就業信息系統測評報告》，以此可以證明中央財經大學就業信息管理系統已經完成二級系統的定級及等級保護測評工作。

4.5 定期監督檢查

信息安全監管部門依據信息安全等級保護管理規范及《網絡安全法》相關條款，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。檢查內容主要包括是否制定內部安全管理制度和操作規程，落實網絡安全管理制度，建立網絡安全防護技術措施、記錄檢測網絡運行狀態，網絡日志留存不少于六個月，是否采取數據分類、重要數據備份和加密措施等。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。

通過此次等級保護測評工作的實施，我們及時發現了就業信息系統與國家安全標準之間存在的差距，明確了目前就業系統存在的安全隱患和不足，并及時進行安全整改，通過整改提高了信息系統的信息安全防護能力，降低了系統被各種非法分子攻擊的可能性。合理的規避了物理層面、網絡層面、主機層面、應用層面、數據安全及備份恢復等方面可能存在的風險，完善了相關的安全管理制度，讓就業信息系統更安全便捷的服務廣大師生。

表2 安全整改問題及反饋示例

5 結束語

本文從高校的角度解讀了教育行業等級保護測評的相關政策，并以學校就業系統為實例，詳細闡述了等級保護測評工作，對高校信息系統的測評工作具有一定的現實指導意義。隨著等保信息化2.0時代的到來，等級保護工作必將更加規范嚴格。為加強高校校園網絡和信息系統安全，高校必須高度重視等級保護工作的開展并主動推進，給高校師生提供一個安全可靠的網絡環境。現狀分析[A].第二屆全國信息安全等級保護技術大會會議論文集, 2013.