龚文涛， 郎颖莹

(1.中国石油大学(华东) 网络及教育技术中心， 青岛 266580；2.中国石油大学(华东)教育发展中心， 青岛 266580)

基于高校信息系统的信息等级保护工作浅析

龚文涛1， 郎颖莹2

(1.中国石油大学(华东) 网络及教育技术中心， 青岛 266580；2.中国石油大学(华东)教育发展中心， 青岛 266580)

随着高校信息化建设的不断深入，高校各种信息化应用系统越来越多，安全隐患也越来越大，如何保障信息系统安全是一个研究热点。借助信息安全等级保护可以强化高校信息平台安全。分析信息等级保护工作的流程和核心要素，结合高校实况给出等级保护工作的实施步骤，并就如何加强信息安全等级保护工作进行分析和归纳。

信息系统； 等级保护； 信息

0 前言

随着网络信息技术的深入发展，网络信息在人的生活和学习中地位越来越重，人们越来越离不开信息资源，随之而来也面临各种安全隐患，诸如系统资料被窃密、信息系统安全防护是否健全、信息管理制度是否完善、信息安全技术应用是否防护得当等各个环节都有可能影响到信息系统的安全状况，信息系统安全架构设计是一个体系完整、涉及多学科、组成元素多元的系统工程[1-2]。

针对高校来说，结合教学管理和科研、学习等应用需求构建了诸多信息系统，诸如教务系统、科研管理系统、后勤管理系统、一卡通管理系统、电子图书信息系统等各种信息化应用平台[3-4]，这些平台从构建到运维的各个环节中，都有可能有信息安全防护的薄弱环节存在，进而导致信息系统的脆弱性和安全隐患。为进一步夯实信息系统安全，落实上级教育管理部门和公安管理部门对信息安全的严格防护和管理要求，高校信息建设管理部门通过信息安全等级保护工作来强化高校各个应用信息系统的安全防护水平，依托信息安全等级保护工作来深入调研学校各个应用信息系统的安全状况，全面掌握学校重要信息系统的各种安全隐患，并且针对性做好信息系统的安全防护工作[5]。

本文结合高校信息化建设工作，介绍信息系统建设实况，分析和总结信息等级保护工作的概念和建设流程及目的，并分析和总结高校在信息系统中安全防护建设的若干核心问题，提出了如何更深入做好高校信息等级保护工作的相关措施。

1 高校信息等级保护工作概述

1.1 信息安全等级保护分级及建设流程

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，信息安全等级保护是国家安全管理部门对核心、敏感系统的一种强制要求的等级保护机制，依托应用信息系统的功能定位不一样，基于不同等级的划分，并采取相关的安全管理制度和技术来保障，需要配置信息系统建设单位的责任人及系统具体运维的技术负责人，借助专业评估企业的专业技术手段，构建一套行之有效的信息安全管理制度，打造一个信息系统安全高效防护的团队。

信息系统的安全保护等级一般分为五个等级，其主要的判别指标分别是在信息系统受到破坏后，其影响范围大小和程度深浅来定夺。比如，在最轻的第一级中规定：信息系统受到破坏后，不会损害国家安全、社会秩序和公共利益，但是对公民、法人和其他组织的合法权益造成损害。

信息等级保护需要采集信息系统诸多元素和数据，具体包括：信息系统名称、建设项目主管部门、使用系统对象范围、系统是否有冗余备份、系统是否有冗余电源、系统建设年限、系统发生故障后对社会影响程度等。结合某高校两个批次的信息安全等级保护工作实况，大多数涉及的是二级信息系统，也有少量级别高的三级信息系统。当三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

针对高校信息化安全待加强建设的需求，依托信息安全等级保护，能够对高校特定的信息系统中的资源及信息系统本身进行分级别、分功能、分业务实施保护，能够对高校信息系统涉及的各种元素，包括信息系统建设的标准、信息系统本身产品、信息系统涵盖的信息资源、信息系统中的涉及的信息在存储到传输及应用各个环节中针对性做好防护工作，对照出台各项安全管理制度和技术防护应对策略，进而提升高校信息系统整体安全建设和防护水平。

信息安全等级保护工作包括信息系统的定级、信息系统备案、信息系统安全建设和信息系统后期整改、信息安全等级测评、信息安全检查等五个核心阶段，本文后续章节，将以某高校后勤管理信息系统为例来阐述主要的定级流程。

1.2 某高校后勤管理系统等级描述

在定级流程中，有一个非常重要的环节就是对信息系统的描述，主要从安全责任部门、系统本身要素及系统承载业务等环节入手，针对某高校后勤管理系统描述主要包括如下三个方面：

一是确定安全责任部门：该系统由某高校后勤管理处负责组织建设。由某高校网络及教育技术中心负责运行维护，某高校是该信息系统业务的主管部门，某高校后勤管理处是该信息系统定级的责任单位，后勤管理系统作为定级对象。

二是确定信息系统基本要素：该系统主要由数据库服务器、应用服务器等服务器设备和若干路由器、交换机等网络设备组成，具备了信息系统的基本要素，系统的边界是由路由器等边界设备来区分。

三是确定该系统承载业务情况：本系统承担学校对水电等各种信息资源的后勤管理工作。

1.3 某高校后勤管理系统等级确定

在信息系统的定级中，需要结合业务信息被破坏时所侵害的客体及对相应客体的侵害程度来划分其级别，如表1所示客体包括如下3个元素：公民、法人和其他组织的合法权益、社会秩序、公共利益、国家安全；而侵害程度依据不同程度给予不同的划分，具体评价的准则是依托业务信息承载业务及受到影响的对象来最终确定信息系统级别。

表1 某系统定级表

针对后勤管理系统来说，其业务信息描述：本系统主要存储学校水电等各种后勤保障信息。

二是业务信息受到破坏时所侵害客体确定：本系统的业务信息受到破坏(形式可以包括数据丢失、损坏、篡改等)时，会对公民、法人和其他组织的合法权益以及社会秩序和公众利益造成影响和损害。

三是业务信息受到破坏时对侵害客体的侵害程度确定本系统的业务信息受到破坏时，会对公民、法人和其他组织的合法权益造成严重损害，以及对社会秩序和公共利益造成损害。

四是业务信息安全保护等级的确定：根据业务信息受到破坏时所侵害的客体以及侵害程度，确定本系统的业务信息安全保护等级为第二级。

1.4 某高校后勤管理系统定级流程

后勤管理系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定后勤管理系统安全保护等级为第二级，如表2所示。

表2 某系统最终定级表

2 高校建设信息等级保护注意问题

2.1 信息等级保护工作若干关键点

安全形势越来越严峻的大趋势下，加强高校信息安全建设势在必行，依托信息等级保护工作，深入拓展和强化高校信息系统建设中各个薄弱环节，具有重要意义，而高校信息化建设工作错综复杂，有非常多的环节和各种困难，要做好信息等级保护工作，要注意如下几个关键问题：

一是前瞻确保引领作用，确保起点高安全性强：等级保护工作是一项非常重要的工作，做好等级保护工作，能够促进学校整体信息化安全建设水平，能引领整个校园信息化网络安全的建设规范和标准，能够提升广大信息化管理人员的安全意识和安全保障技术水平。

二是政策要落地注重实效，整改措施要找对象保障安全：信息等级保护是一项落地工程，最终是要为强化信息系统的安全工作发挥实效，信息系统建设和管理部门及负责单位要以等级评估中的问题待改进的薄弱环节为切入点，针对性提升信息系统的安全防护水平。

三是管理与技术并重，打好网络信息安全组合拳：技术日新月异，不能够仅依托技术解决所有问题，加强安全制度建设，配套实施技术手段，构建一套涵盖科学规范管理制度、出台配套的涵盖应急预防的安全技术方案，并构建长期规范的后期反馈与考核体系，确保等级保护工作持续性和有效性。

2.2 高校等级保护需要强化环节

针对高校信息等级保护中的若干关键点，结合高校信息等级保护工作具体开展来看，取得一些成绩，同时也看到了诸多不足之处，主要体现以下几个方面：

一是信息等级保护工作效率偏低，协同工作制度有待梳理：信息化建设工作是一个体系复杂的系统工作，需要涉及到信息系统建设部门、信息系统管理部门、网络管理部门5、学校行政管理部门、二级院系等诸多部门，对信息业务的管理流程规范性和灵活性提出新要求，而网络信息安全的实际技术支撑单位和牵头单位一般是网络信息中心，其管理执行力缺乏，导致有些其他二级单位协同配合力度不够，信息等级保护的各项协同工作配合力度还不够，导致信息等级保护工作推进力度不够。

二是信息等级保护是常态化工作，需要持久投入与付出：信息化建设单位不仅要承担着学校各种信息系统建设任务，还承载网络信息建设规划及运维工作，甚至有的还要承担学校核心交换机、汇聚交换机、数据中心交换机、存储、刀片服务器、虚拟服务器、及各项专网等应用繁杂的运维任务，成规模的校园网络用户节点数以万计，需要维护的交换机及服务器近千台，而核心业务信息化建设部门人员不过十人，正常的业务工作就要耗费大量精力和时间，在人员紧缺前提下，缺乏人力和物力做好常态化信息等级保护工作。

三是信息等级保护专业技能要求高，需要加强培训和学习：信息技术发展日新月异，技术革新迭代速度快，对信息安全网络等相关知识和技能要求高，信息等级保护涉及到计算机安全、信息安全、传输安全、存储安全、机房环境安全等诸多领域知识，是一项跨多学科、涵盖管理制度与防护技术于一体的系统工作，需要掌握网络安全、信息安全等领域的诸多技能，而传统的信息化岗位缺乏专业培训和教育，要做好信息化环境下的等级保护工作，必须定期组织培训和学习，组建一个专职运维团队来加强学习和运维。

3 总结

本文分析和总结等级保护工作的意义、评价流程和评价标准，结合学校的信息系统业务对象、建设的应用系统的功能分类，总结和调研等级保护工作的各项注意事项，最终针对性提出加强信息等级保护工作的各项建议，总结出高校等级保护需要强化的诸多环节。

[1] 杨智,金舒原,段毅,方滨兴.多级安全中敏感标记的最优化挖掘[J]. 软件学报， 2011(5)．

[2] 马力,毕马宁,任卫红.安全保护模型与等级保护安全要求关系的研究[J]. 信息网络安全， 2011(6)．

[3] 王超,卢志刚,刘宝旭.面向等级保护的漏洞扫描系统的设计与实现[J]. 核电子学与探测技术， 2010(7)．

[4] 张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J]. 计算机安全， 2010(4).

[5] 张旭.面向大型企业科研生产信息系统的等级保护建设方案的研究与实践[D]. 北京邮电大学， 2012.

The Analysis of Information Level Protection Based on the University Information System

Gong Wentao1,Lang Yingying2

(1. Internet and Education Technology Center,China University of Petroleum (East China),Qingdao 266580,China;2. Education Development Center,China University of Petroleum (East China),Qingdao 266580,China)

Along with the continuous deepening of information construction of colleges and universities, there are more and more colleges and universities information application systems, seculity trouble is more and more big. How to ensure the security of information system becomes a research hotspot. With the help of information security level protection for strengthening the information security platform, the paper analyses the process and the core elements of the information level of protection. By combining work steps of the live grade given protection work, the methods of strengthening the information security level protection were analyzed and summarized.

Information system; Security level; Information

龚文涛(1984-)，男，潜江市人，中国石油大学(华东)网络及教育技术中心，工程师，工学硕士，研究方向：访问控制和网络安全、青岛 266580； 郎颖莹(1983-)，女，青岛市人，中国石油大学(华东)教育发展中心，工程师，工学硕士，研究方向：在线教育、系统研发和网络安全、青岛 266580

1007-757X(2017)01-0060-03

TP393

A

2016.06.30)