高校信息安全等級保護的研究與實踐

湯其妹

摘要：由于信息系統自身的特點和網絡環境的復雜性，網絡安全事件日趨頻繁，高校信息系統安全威脅愈演愈烈。為保障高校信息系統安全平穩地運行，提高教學、管理效率，該文闡述了信息系統等級保護的背景，研究了高校信息安全等級保護的內容，并以安徽醫科大學為例給出詳細的設計方案和實施流程。切實保障了學校的信息安全，為其他高校建立自己的信息安全防范體系提供參考。

關鍵詞：信息化;信息安全;等級保護;高校

中圖分類號：TP393? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1009-3044（2019）03-0053-03

Abstract： Due to the characteristics of the information system and the complexity of the network environment， network security incidents are becoming more frequent， and the threat of university information system security is becoming more and more serious. In order to ensure the operation of the information system of university safely and smoothly， and improve the efficiency of teaching and management， this paper expounds the background of the rank protection， studies the content of the information security rank protection in university， and gives the detailed design scheme and the implementation process by taking Anhui Medical University as an example. It effectively safeguards the information security， and provides reference for other universities to establish their own information security system.

Key words： information; information security; rank protection; colleges and universities

1 引言

近年來，信息科技飛速發展，信息系統在各個領域得到廣泛應用。隨之而來的信息安全問題成為人們關注的焦點。高校作為學術研究的重要陣地，信息化建設高速開展，智慧校園加速推進[1][2]。高校信息系統遭受非法入侵、非法攻擊和大規模網絡計算機病毒攻擊等安全事件的數量急劇增多，安全威脅和安全風險逐年增大[3]，信息安全尤其重要。2017年6月1日，《網絡安全法》正式頒布并實施，法規的頒布使得過去許多處于邊界的做法變成違法行為，從管理和技術上要求高校正視網絡安全的現狀，積極建設網絡安全防護體系[4]。本文主要分析高校信息安全存在的問題，探討解決方法，探究信息安全等級保護的建設方案，以安徽醫科大學為例展開詳細的闡述。

2 信息安全等級保護的背景

2003年9月頒發的《關于加強信息安全保障工作的意見》中指出：“要重點保護基礎信息網絡和關系國家安全、社會穩定、經濟命脈等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的技術指南和管理辦法”。2004年11月簽署的《關于信息安全等級保護工作的實施意見》中強調信息安全等級保護制度是國家在社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度。2007年7月四部委會簽關于印發《信息安全等級保護管理辦法的通知》公通字[2007]43號。2016年11月十二屆全國人大第二十一次三次審議表決通過了網絡安全法，這部我國網絡領域的基礎性法律于2017年6月1日正式實施。《網絡安全法》第二十一條明確國家實行網絡安全等級保護制度。網絡運營者需按照網絡安全等級保護制度的要求，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或被竊取、篡改等。2017 年是網絡安全大事件頻發的一年。從1月開始就出現波及全球的網絡安全攻擊事件，5月，勒索病毒蔓延全球，一時間人人自危。勒索病毒是一很有代表性的網絡攻擊事件，揭示了漏洞將成為未來網絡安全中的重要戰略因素[4]。

隨著我校醫療教學業務不斷拓展、生源數量不斷上升，對學校后端信息化支撐的要求越來越高，“教務系統、科研管理系統、數字圖書館、一卡通系統、招生考試系統、學籍查詢系統、網站群系統、email系統”等在支撐校園信息化安全可靠的運行中起到越來越重要的作用，但是由于大部分運行的系統具有開放性，面向教師、學生、各附屬醫院等，在提供服務的同時也面臨著各種安全風險，諸如對學校網站web應用的非法掃描、SQL注入、掛馬、網頁篡改、DDOS攻擊，對一卡通系統的非法訪問、入侵、數據庫數據非法篡改等都可能給學校安全運行造成實質性破壞和影響[5]。

所以對我校核心網絡進行統一安全規劃，合理布局，加強網絡安全，降低整體安全風險的工作勢在必行。

3 信息安全等級保護的建設

安徽醫科大學經過多年的數字化校園建設發展，信息化應用水平不斷提高，信息化建設成效顯著。為促進信息化安全發展，響應國家和上級要求，進一步落實等級保護，夯實等級保護作為國家信息安全國策的成果，我校計劃參照《計算機信息系統安全等級保護劃分準則》和《信息安全技術信息系統安全等級保護定級指南》要求，使“網站群系統、電子政務系統、教務系統、校園一卡通”四個應用系統達到國家信息安全等級保護二級要求（按照信息安全等級保護三級標準建設），按照信息系統安全等級保護基本要求完成4個系統二級等保建設。同時為提高全網安全防護能力，計劃整網參照等保標準建設。

3.1等級保護建設的目標

在國家信息系統安全等級保護相關制度和標準的指導下，全面提升安徽醫科大學信息系統的安全性，能面對當前和未來一段時期內的安全威脅，實現對全網狀況的統一管理，全面提升信息系統安全防護水平，并使核心業務達到等保要求標準。

3.2 等級保護流程

等級保護的工作流程是系統定級、定級備案、建設整改、等級測評、安全檢查[6]，如圖1所示。

按照等級保護定級流程將核心業務系統定為二級，按照三級標準來做。

3.3 等級保護內容

安徽醫科大學網絡主要由辦公網、學生網、教學網、數據中心業務系統、VPN區域等組成。辦公網用戶通過接入層交換機接入到核心交換機中，數據中心的業務通過數據中心交換機接入到核心交換機上，防火墻串聯到核心交換機上并接入四條外聯線路，分別是電信、移動、聯通、教育網，“網站群、電子政務系統、教務系統、校園一卡通”這四個業務系統都包含在數據中心區域內，數據區域后端采用虛擬化技術。

目前區域通過外網進行業務往來都僅僅受到防火墻進行簡單防護。安徽醫科大學網絡拓撲圖如圖2所示。

針對我校信息中心信息系統進行風險差距分析，依據《信息系統安全等級保護基本要求》，三級要求包括技術部分和管理部分，如圖3所示。

4 等級保護部署實施

進一步細化等級保護的操作流程如圖4所示。

1）系統定級

對信息系統進行分析調查，確定定級對象，根據國家及行業要求和規范對定級對象進行分析，確定安全保護等級，定級結果經過專家（第三方及甲方或乙方相關人員）評審后，編寫《信息系統等級保護定級報告》。

2）系統備案

填寫《備案表》及相關資料，向主管部門進行備案。已運行的第二級以上信息系統，應當到所在地的市級以上公安機關辦理備案手續。新建第二級以上信息系統，應當到所在地的市級以上公安機關辦理備案手續。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地的市級以上公安機關備案。

3）差距評估

采用檢查、人工審計、工具等方式對信息系統進行分析，查找與《信息系統等級保護基本要求》以及行業要求的差距，形成《差距評估報告》，從而提出安全整改建議。

4）整改建設方案

根據安全需求或整改建議對信息系統進行安全規劃建設方案編寫，方案可能是規劃方案，也可能是整改建設落地方案。方案通過專家評審后，用于指導安全措施實施。

5）安全建設實施

安全建設實施是根據整改建設方案來細化具體安全產品部署和網絡結構及安全域的改造，以及對各類系統或設備進行安全加固，同時對安全管理體系相關文檔進行細化落地。

6）自查階段

在安全技術和安全管理措施實施完成以后，參照基本要求和測評要求對信息系統進行一次安全檢查，查看是否所有措施都已得到落實，以便及時發現問題，及時修補。

7）測評階段

準備信息系統等級測評的相關材料，提交給等級保護測評機構進行測評。若測評未通過，需按測評意見進行整改，并等待進行二次測評。

安徽醫科大學信息中心等保整改加固改造拓撲圖如圖5所示。

由拓撲圖可以看出：出口區域部署兩臺鏈路負載均衡、兩臺防火墻、兩臺入侵防御系統、兩臺防病毒網關產品，運維管理區部署一臺堡壘機設備、一套日志審計系統、一臺網絡審計系統、一臺數據防泄漏（DLP）設備、一套準入系統產品、一臺漏洞掃描設備、一套安全管理平臺（SOC）產品、一臺終端安全管理服務器、一臺防病毒服務器，接入區域針對終端電腦安裝專用殺毒軟件產品及終端安全管理產品，虛擬化服務區部署虛擬化安全防護產品、web應用防火墻、數據庫審計產品。

這些軟硬件設備保障了整網的信息安全。

5 結束語

高校信息系統的安全非常重要，信息安全等級保護是保障信息安全的有效措施。每個高校都有自己的信息化組織、管理制度和辦法，建設進程也不盡一致，具體要根據學校信息化建設情況、自身的特點，建設適合自己學校的信息安全體系，循序漸進地推進信息安全等級保護工作，扎實推進高校的信息化建設進程。

參考文獻：

[1] 路萍，翟躍.信息安全等級保護備案在高等院校中的研究與實踐[J].中國教育信息化，2015（21）：12-16.

[2] 劉澤華.高校信息系統安全等級保護研究[J].中國管理信息化，2016，19（08）：154-155.

[3] 牟綜磊，任彥龍.國內高校信息系統安全多維防護實踐與研究[J].電子商務，2018（05）：28-30.

[4] 王左利.合力驅動下的“奮進”網絡安全：高等教育機構要制定基于風險的安全策略，與安全威脅和挑戰的發展保持同步[J].中國教育網絡，2018（01）.

[5] 陸明燕.高校信息化建設中的信息安全問題與舉措分析[J].信息通信，2018（02）：291-292.

[6] 龔文濤，郎穎瑩.基于高校信息系統的信息等級保護工作淺析[J].微型電腦應用，2017，33（01）：60-61+70.

[7] 李旸.淺談安徽省高校校園信息化建設中存在的安全威脅[J].蚌埠學院學報，2014，3（01）：175-178.

[8] 高薇，許浩，寧玉文，等.基于安全態勢感知平臺的高校網絡SOC研究——以第四軍醫大學為例[J].計算機技術與發展，2018，28（01）：150-154.

【通聯編輯：代影】