[摘要]随着网络信息安全重要性愈发凸显,高校信息系统安全等级保护工作的实施势在必行。定级作为等级保护工作的第一步,其科学性、合理性、可行性直接关系着后续环节的有序进行。文章通过分析定级工作流程和核心要素,结合教育行业特殊性,就高校信息系统定级工作进行分析和归纳。
[关键词]安全等级保护;信息系统;定级
0引言
在教育部提出《教育信息化2.0行动计划》后,建设“数字化”“智慧化”校园成为实现教育现代化的重要举措。然而,由于有些高校信息系统在建设之初未将等级保护作为政策性要求加以考虑,其保护现状能否满足安全基本要求成为管理者们担忧的问题。据统计,由于安全观念薄弱,黑客对高校攻击的成功率很高[1],因此高校实施信息系统安全等级保护势在必行。但由于思想认识不到位、资金投入不足、管理机构和制度不健全等因素[2],部分高校迟迟未实施等级保护工作。而现有的等级保护研究成果多从信息系统等级评测技术角度及整体实施步骤进行,对于等级保护中定级工作缺乏具体的实践指导意义。定级作为等级保护工作的第一步,其能否科学、合理关系到后续环节的顺利展开。本文针对高校典型信息系统的定级流程、核心要素进行分析,结合山西某高校网站群信息平台定级实例,希望对高校新建或改建信息系统等级保护评测提供借鉴。
1定级依据
信息系统安全等级评测制度对涉及国家安全,社会安全、公共利益,公民、法人和其他组织的专有和公开信息以及对这些信息存储、传输、处理的信息系统分等级进行安全保护[3]。截至2018年底,国家公开的信息安全技术、网络安全等级标准共14条。高校信息系统定级主要依据《信息系统安全保护等级定级指南(GB/T22240-2008)》以及教育部下发的《教育行业信息系统安全等级保护定级工作指南(试行)》。根据业务信息和信息系统在国家安全、社会秩序和公共利益、公民及相关组织合法权益中的重要程度以及在遭到破坏后对国家、社会、公民合法权益的危害程度,将业务信息和信息系统的安全保护等级分为五级[4],安全级别由高到低分别为专控保护级、强制保护级、监督保护级、指导保护级、自主保护级。同时依据安全等级保护管理办法,信息安全等级保护评测的主要环节分为定级、备案、建设整改、等级评测和监督检查五个环节。
2定级流程
信息系统定级工作总体按照“自主定级、专家评审、主管部门审批、备案”的程序进行。
3核心要素
3.1合理划分信息系统
高校信息系统可以按隶属单位、业务对象、部署模式等方式划分,但勿将整个校园网络进行定级,要综合考虑安全管理和责任,将基础网络划分为若干个安全域;不要将某一类信息系统作为定级对象,要按照不同业务类别单独确立。
3.2综合评估受侵害程度
高校信息系统受侵害程度应根据其承载的业务、面向的对象、行政级别、部署模式综合考虑,同时根据办学规模、社会影响力综合评估[5]。比如高校办学规模较大,其受危害程度大于中小学信息系统;“985”、“211”院校大于其他院校。
3.3工作衔接要紧密
在自主定级之后,要报教育主管部门审批,并及时向当地公安机关备案。按照规定,第一级系统无须备案;批准为二级以上系统,由其运营使用单位到所在地区的市级以上公安机关办理备案手续。
4定级实例分析
以山西省某高校为例,该校数字化建设主要有一卡通系统、站群管理系统、教务管理系统等。下面以该校网站群信息平台系统定级工作为例进行说明。
4.1自主定级
4.1.1摸底调查
该系统主要为高校门户网站提供数据支撑,具有独立的安全域。摸底应对该系统的责任部门、隶属关系、服务对象及范围、关键产品使用、系统采用服务等进行调查。了解到,该系统2016年12月建设完成,主要将校内各部门的站点信息联系在起来,以统一的门户为来访者提供一站式服务。该平台部署了Web应用防护系统、数据库审计系统、入侵防御系统,在系统边界部署有堡垒机、防火墙。
4.1.2责任明确
该系统由学校信息网络与信息化领导小组负责安全等级评测工作,网络技术中心负责该信息系统的运行维护,对该系统网络安全负保护责任;宣传部负责功能定位、后台管理和权限设定,对平台的信息负有内容安全审核责任。
4.1.3自主定级
该高校是区域知名大学,该系统是学校面向校内师生和社会的服务窗口。其业务信息受到破坏时,会对教职工内部办公产生影响,所侵害的客体是公民、法人和其他组织的合法权益;当网站主页面信息遭到篡改时,会对社会秩序和公共利益造成严重损害,但不损害国家安全;系统服务受到破坏后,会对师生内部办公、学习造成严重影响,影响公众对校园网站的正常浏览和搜索,对公民、法人和其他组织的合法权益造成严重损害,对社会秩序和公众利益造成一般损害,但不损害国家安全。根据《信息系统安全等级保护定级指南》,将该业务信息、服务系统安全保护等级分别定为第三级、第二级。综合以上情况,参考《教育行业信息系统安全等级保护定级工作指南》对省级高校门户网站安全保护等级的建议,最终该系保护等级定为第三级。
4.2专家评审
在完成信息系统自主定级后,聘请相关信息安全等级保护专家3~5名对自主定级情况进行评审,核对相关信息的准确度,形成评审意见。
4.3主管部门审核批准
完成专家评审后,填写《安全等级保护定级报告》、《安全等级保护备案表》以及专家评审意见等材料,并将相关材料报送省教育厅进行审批。
4.4备案
自主定级完成后,携带《定级报告》、《备案表》以及系统拓扑结构及说明等材料到所在地设区的市级以上公安机关办理备案手续。审核后,公安部门加盖等级保护专用章,出具备案证明。
5几点建议
(1)明确责任。在高校信息化建设过程中,由于各信息系统建设时间、网络设备配置地点不集中,加之高校机构改革、职能变化等都会对信息系统的责任区分产生影响。因此,要严格按照“谁主管谁负责、谁运营谁负责”的原则进行。(2)系统划分要合理。高校中信息子系统种类繁多、功能定位不一,在确定定级对象时要从安全管理和安全责任角度出发,将基础信息网络划分为若干个最小安全域进行定级。(3)资金配套要到位。安排专项经费用于网络信息系统安全建设。对于等级评测工作,三级系统每年至少进行一次,二级系统每两年进行一次,每次都需专项资金确保评测工作顺利进行。(4)动态地看待定级环节。定级工作随着信息技术发展、网络安全威胁变化以及业务需求、系统运行量的增加而需要不断进行调整。当系统状态变化可能导致业务信息或系统服务受到破坏后的客体及受侵害程度发生较大变化时,就应重新定级。
6结语
本文分析和总结了信息等级保护定级工作的依据、实施步骤、核心要素,并结合山西某高校网站群信息平台系统定级实例进行了具体分析,给出建议。高校信息化建设任重道远,定级作为等级评测的第一步,必须认真筹划,才能更好地应对不断增强的网络安全威胁。
主要参考文献
[1]王强民,张保稳,张竞.高校信息系统安全等级保护工作的现状分析[C]//第二届全国信息安全等级保护技术大会会议论文集,2013:62-63.
[2]刘泽华.高校信息系统安全等级保护研究[J].中国管理信息化,2016,19(8):154-155.
[3]李超.信息系统安全等级保护实务[M].北京:科学出版社,2013:4-5.
[4]全国信息安全标准化技术委员会.GB/T22240-2008信息系统安全保护等级定级指南[S].2008.
[5]教育部安全厅.教育行业信息系统安全等级保护定级工作指南(教技厅函[2014]74号)[Z].2014-10-27.
作者:牛永亮 单位:山西财经大学
