高校信息安全等级保护研究
2018-10-13王炜
王炜
摘 要:建立计算机信息系统安全等级保护,是我国计算机信息系统安全保护工作中的一项重要工作,它直接关系到高校的计算机信息系统建设和管理,为高校的信息系统安全建设工作提供了重要的基础支撑。
关键词:等级保护;信息系统安全
2017年6月1日,《中华人民共和国网络安全法》正式实施,网络安全已成为我国一项非常重要的国家安全战略,“没有网络安全就没有国家安全”。作为中国教育体系的重要组成部分,高校信息安全是网络安全法定义的关键基础设施行业之一,为高校的网络安全保障工作提出了更高的要求。
近几年高校在信息化方面的投入力度不断加大,特别在大数据支撑、智慧校园等方面取得了很大突破,同时使得校园网络在支撑业务系统运行和发展中所面临的安全威胁不断增加,如何保障业务系统的信息完整性、信息保密性和系统可用性是信息安全体系的重要支撑,是高校信息化必须重视的问题。而等级保护工作作为高校信息安全工作的一个重要支撑,发挥着越来越重要的作用。
一、等级保护相关依据
《中华人民共和国网络安全法》第21条规定国家实行网络安全等级保护制度。网络运营者应按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。
教育部办公厅在2009年发布了《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80号),随后,教育部办公厅多次发文,要求全国教育行业按照国家信息安全等级保护制度的要求开展等保工作。高校应以信息安全等级保护工作为抓手,建立完善的网络信息安全保障体系,提升高等教育信息系统安全水平,保障教育信息化的持续健康稳定发展。在积极推进等级保护的同时,进一步健全信息安全保障体系,使等级保护真正成为提高安全保障能力、维护行业稳定、保障信息化发展的一项基本制度。
二、等级保护工作环节
(一)调查摸底
信息安全等级保护工作是高校一项重要工作,可由信息化部门组织实施该项工作。各信息系统主管部门、运营使用部门组织开展对所屬信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用,或服务范围、系统结构,以及系统建设规划等基本情况,为开展信息安全等级保护工作打下基础。
(二)确定等级
按照“谁主管、谁负责”原则,各信息系统主管部门按照《信息系统安全等级保护定级指南》,确定定级对象的安全保护等级。就目前高校工作实践来看,重要信息系统(如招生系统、门户系统、一卡通等)一般定为三级,其他基本定为一级或二级。
(三)安全建设整改
由于高校信息化建设时间较早,系统较多,要区别对待新老系统。各信息系统主管部门根据确定的安全保护等级,对已有的老信息系统按照等级保护的管理规范和技术标准,采购和使用相应等级要求的信息安全产品,落实安全技术措施,完成系统整改。新系统在立项建设环节就考虑等保要求,参照《信息系统安全等级保护基本要求》,在上线前新增应用安全、数据安全以及部分主机安全部分的单元测评,推动实现等级保护所应达到的防护要求。
(四) 组织测评
信息系统建设完成后,信息系统主管部门应当依照《信息安全等级保护管理办法》选择符合要求的测评机构进行测评。已投入运行信息系统在完成系统整改后也应当进行测评。经测评,信息系统安全状况未达到安全保护等级要求的,主管部门应当联合信息化部门,制定方案进行整改。
(五)履行备案手续
信息系统安全保护等级为第二级以上的信息系统主管部门,应当在系统投入运行后(新建系统)或确定等级后(已运营的系统)30 日内到地(市)及以上公安机关网监部门办理备案手续;跨地区、跨省(市)或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局网监部门备案。
(六)健全长效工作机制
在信息安全等级保护职能部门、信息系统主管部门间建立畅通的联络机制,建立职能部门、主管部门对信息系统的定期监督检查机制。信息化部门组织开展教育培训工作,加强对安全专业技术人员的培训,提高信息系统主管部门人员的技术和法律知识水平。
三、信息安全等级保护测评
信息安全等级保护测评是高校信息安全等保工作中最重要的一环,高校通过实施信息系统安全等级保护测评,能够准确把握信息系统安全状况,帮助高校按照标准进行安全建设、整改和管理运行。
(一)等级保护测评目的和依据
信息安全等级保护测评,是根据国家等级保护相关政策、法律法规、等级保护工作的相关标准,测评客户定级的信息系统是否符合《信息系统安全等级保护基本要求》中对信息系统采取相应等级安全保护措施的要求,还可以全面、完整地了解信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,为委托方进一步完善被评估系统安全管理策略、采取适当的安全保障措施提供依据。
(二)等级保护测评内容
等级保护测评内容包含安全技术测评和安全管理测评方式:
安全技术测评包括:物理安全、网络安全、主机安全、应用安全、数据安全;
安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
(三)等级保护测评方法
具体在测评环节,采用以下三种方法:
1.访谈。访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
2.检查。检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
3.测试。测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
例如,物理安全测评中,对“物理位置的选择”一项,访谈内容为机房具有防震、防雨和防风能力,并提供机房设计和验收证明;检查内容为查看机房是否建在高层或地下室。网络安全测评中,对“边界完整性检查”一项,访谈内容为外网接入内网行为监控、内网私自联到外网行为监控,并进行阻断处理;测试内容为查看外网接入内网行为和内网私自联到外网行为进行监控的配置。安全管理制度测评中,对“管理制度”一项,访谈内容为制定总体方针和安全策略、建立操作规程;检查内容为查部门、岗位职责文件,信息安全方针、安全策略文件;查各类安全管理制度文件;形成安全管理制度体系。
(三)测评综合分析
对保护状况进行检测评估后,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
符合程度:综合分析具体指标符合性判断,给出抽象指标符合性判断结果,汇总所有抽象指标符合判断,给出安全等级满足与否的结论;
安全等级结论:结合受测系统符合性程度,判断受测系统是否满足所定安全等级的结论;
安全整改建议:提出安全整改建議,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。
四、结束语
建立计算机信息系统安全等级保护制度,是我国计算机信息系统安全保护工作中的一件大事,它直接关系到高校的计算机信息系统建设和管理,为高校的信息系统安全建设工作提供了重要的基础支撑。
参考文献:
[1]《国家信息化领导小组关于加强信息安全保障工作的意见》.
[2]《信息安全等级保护管理办法》.
[3]刘泽华.高校信息系统安全等级保护研究,中国管理信息化,2016(08).
[4]张文勇,李维华,唐作其.信息安全等级保护测评中网络安全现场测评方法研究,电子科学技术,2016(03).
[5]Implementation and Design of Security Configuration Check Toolkit for Classified Evaluation of Information System,Information Technology and Computer Science—Proceedings of 2012 National Conference on Information Technology and Computer Science,2012.