论文部分内容阅读
摘要:随着智慧校园建设步伐的加快,智能化程度越来越高,高校信息系统数量也随之增多。但信息系统的安全建设并未同步发展,信息系统安全事件层出不穷。等级保护是提高信息系统安全防护的重要手段。通过分析信息系统等级保护工作的流程、特点,结合当前网络和信息系统安全的现状,提出高校进行信息系统安全等级保护工作的必要性并对开展等级工作的策略进行研究。
关键词:网络;信息系统;安全;等级保护
中图分类号:TP393.08 文献标识码:A 文章编号:1009-3044(2018)23-0077-02
Abstract: With the further development of wisdom campus construction, the intelligence is increased greatly. The number of university information systems is also increasing. However, the security construction had not developed simultaneously, which leaded to the frequent security incidents. The classified protection is an important means to improve information system security. By analyzing the process and characteristics of classified protection, we proposed that it’s unavoidable to launch the security classified protection work of information system combining the network and information system security situation. Finally, the working strategy was probed.
Key words:network; information system; security; classified protection
1 引言
网络信息化的快速发展,使得信息系统在各个领域普及开来[1]。由于网络环境的复杂性、信息系统的脆弱性,信息安全事件不断发生,严重危害公民利益和社会秩序[2]。信息系统承载着各领域、各行业的重要功能和数据,一旦遭到攻击,将产生不可估量的后果。习近平总书记强调“没有网络安全就没有国家安全”。《中华人民共和国网络安全法》和《信息安全等级保护管理办法》的正式实施,使网络安全和信息系统安全工作有法可依、有章可循。
信息系統安全等级保护是针对不同信息系统进行分级保护而开展的,是网络安全工作的重要组成部分。高校必须高度重视此项工作并主动推进[3],进一步加强校园网和信息系统的安全,给师生提供一个安全可靠的网络环境,从而更好地学习和生活。
2 信息系统等级保护工作概述
信息系统是指由计算机及其相关配套的设备、网络构成对相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统[4]。信息系统等级保护是指对信息系统分等级实施安全保护,对使用的安全产品按等级管理,并对所发生的安全事件分等级相应、处置的综合性工作[5]。该项工作包含以下五个步骤:定级、备案、测评、建设整改和监督审查。其中,定级是等级保护工作的第一步,需要依据信息系统受到破坏时所侵害的客体以及客体受侵害的程度确定的信息系统安全等级;备案指对已定级的信息系统到公安机关进行在册登记;测评是由第三方公司对已经定级备案的信息系统进行“体检”,出具测评报告,并提出整改建议;信息系统主管部门再针对等级测评中检测出来的问题进行整改;在整个等级保护工作过程中公安机关对具有监督审查的权利,以确保该工作的顺利进行。
信息系统安全等级保护工作具有以下特点:
(1)强制性。《中华人民共和国网络安全法》规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务[6]。不做等级保护工作就违反了第(五)规定,触犯了法律。目前我国已经有单位因此受到处罚,如未按照要求定级备案、未按照文件规定进行等级测评、未留存网络日志、或安全保护技术措施不到位等[7]。在当前网络环境日益复杂的情况下,等级保护工作一定要及时主动去做,不要观望等待。
(2)持续性。按照《信息安全等级保护管理办法》的规定,信息系统建设完成后,运营、使用单位或者其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并开展等级测评。高校教育行业的二级信息系统明确要求每两年自查并做一次等级测评,三级信息系统要求每年自查并进行一次等级测评,四级信息系统至少半年进行一次等级测评,五级系统则是根据安全需求进行测评[8]。因此等保测评工作具有周期性、持续性。
3 高校网络安全工作
网络安全事件的频发以及《网络安全法》的实施,各高校对网络安全都引起了较高的重视,并相继采取了一些措施,但仍存在问题:
(1)重建设,轻等保:智慧校园建设的大背景下,智能化程度越来越高,高校信息系统数量也随之增多,但信息系统的主管部门只是积极主动地建系统,而网络安全方面的投入还不够,等级保护工作开展不积极。
(2)重运维,轻防护:信息系统运营单位大都侧重于系统使用和维护,对防范网络安全风险、应急处置和综合防护方面能力不足,难以适应情况复杂多变的网络环境。 (3)重使用,轻培训:在高校,各部门的信息系统只是推广使用,但是只有网络中心或信息中心有专门的网络安全技术人员,而其他部门的信息系统网络管理人员并非本专业,只能简单地管理、维护信息系统,绝大部分管理人员并没有接受系统的网络安全技能培训,安全防范意识和防护能力都比较差。
针对高校存在的上述网络安全问题,提出以下建议:
(1)建立健全网络安全教育培训机制:建立以网络中心网络安全工作人员为主,其他部门工作在网络安全一线的人员(如网络安全员、网站管理员和系统管理员)为辅的培训机制,定期或不定期地举行网络教育专题讲座,使更多的网络安全人员接受系统的网络安全教育培训,从而提高网络安全意识。
(2)定期演练,加强网络安全应急保障体系:在每年的网络宣传周举办各类网络安全知识竞赛、应急演练等活动,一方面加强各部门的安全意识,另一方面提高应急处置能力。演练过程中,及时总结并发现问题,不断改进,增强网络的安全性和信息系统的健壮性。
(3)加快统一数据中心的建设:不同部门的数据实现共享,统一部署安全防护措施和安全设备,提高安全防范能力。
(4)加快等级保护工作的进程:加大人力、财力的投入,尤其是等级测评工作,尽早发现问题,进行整改。
4 高校信息系统安全等级保护工作策略探究
等级保护作为提高信息系统安全的重要手段,是必须进行的。但高校信息系统等级保护工作处于起步阶段,大部分高校对该项工作只是进行了一部分,如只进行定级备案,等级测评工作只是进行一部分或者尚未进行,因此存在很大的安全隐患。目前,高校等级保护工作面临的主要问题有:
(1)财力不足:缺乏信息安全甚至等级保护工作的专项资金。
(2)资金到位但工作难开展:等级保护工作涉及高校所有的信息系统,而这些信息系统分散在学校各二级部门,如教务处、财务处、人事处、科研处、网络中心等,网络中心作为学校的教学辅助部门,难以协调其他部门配合进行等级保护工作。
根据高校信息系统等级保护工作的现状,对开展等级保护工作策略进行探究:
(1)不买系统,只买应用,如不购买邮件系统,从已经备案的邮件系统服务商购买邮件用户数,为师生间接提供邮件服务。
(2)争取多方面的资金,如与银行、运营商合作,并要求系统建设、配套安全设备建设和等级保护工作同时进行。
(3)建立并完善网络安全相关制度,注重落实。
(4)校领导主导,并督促等级保护工作开展情况。
5 结论
在信息化高速发展和智慧校园建设步伐日益加快的今天,信息系统的安全工作至关重要,对信息系统按照业务重要性、数据保密性等进行等级划分并分级别保护是十分必要的。高校要严格落实《网络安全法》和《信息安全等级保护管理办法》的相关规定,坚持网络安全、信息系统安全与智慧校园建设并重,坚持“三手抓,三手都要硬”,建设更加安全、智慧的网络环境。
参考文献:
[1] 刘泽华. 高校信息系统安全等级保护研究[J]. 中国管理信息化, 2016, 19(8):154-155.
[2] 王建華. 信息安全等级保护标准现状及其在网络安全法作用下的发展[J]. 中国金融电脑, 2018(3).
[3] 王强民, 张保稳, 张竞. 高校信息系统安全等级保护工作的现状分析[C]. 全国信息安全等级保护技术大会会议, 2013.
[4] 路萍, 翟跃. 信息安全等级保护备案在高等院校中的研究与实践[J]. 中国教育信息化, 2015(21):12-16.
[5] 龚文涛, 郎颖莹等. 基于高校信息系统的信息等级保护工作浅析[J]. 微型电脑应用, 2017(1):60-61.
[6] 中华人民共和国网络安全法[J]. 林业劳动安全, 2016, 29(4):10-16.
[7] 中国网络安全等级保护网. 关于检查《网络安全法》《关于加强网络信息保护的决定》实施情况的报告[EB/OL]. http://www.djbh.net/webdev/web/PolicyStandardsAction.do?p=getGlgf
关键词:网络;信息系统;安全;等级保护
中图分类号:TP393.08 文献标识码:A 文章编号:1009-3044(2018)23-0077-02
Abstract: With the further development of wisdom campus construction, the intelligence is increased greatly. The number of university information systems is also increasing. However, the security construction had not developed simultaneously, which leaded to the frequent security incidents. The classified protection is an important means to improve information system security. By analyzing the process and characteristics of classified protection, we proposed that it’s unavoidable to launch the security classified protection work of information system combining the network and information system security situation. Finally, the working strategy was probed.
Key words:network; information system; security; classified protection
1 引言
网络信息化的快速发展,使得信息系统在各个领域普及开来[1]。由于网络环境的复杂性、信息系统的脆弱性,信息安全事件不断发生,严重危害公民利益和社会秩序[2]。信息系统承载着各领域、各行业的重要功能和数据,一旦遭到攻击,将产生不可估量的后果。习近平总书记强调“没有网络安全就没有国家安全”。《中华人民共和国网络安全法》和《信息安全等级保护管理办法》的正式实施,使网络安全和信息系统安全工作有法可依、有章可循。
信息系統安全等级保护是针对不同信息系统进行分级保护而开展的,是网络安全工作的重要组成部分。高校必须高度重视此项工作并主动推进[3],进一步加强校园网和信息系统的安全,给师生提供一个安全可靠的网络环境,从而更好地学习和生活。
2 信息系统等级保护工作概述
信息系统是指由计算机及其相关配套的设备、网络构成对相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统[4]。信息系统等级保护是指对信息系统分等级实施安全保护,对使用的安全产品按等级管理,并对所发生的安全事件分等级相应、处置的综合性工作[5]。该项工作包含以下五个步骤:定级、备案、测评、建设整改和监督审查。其中,定级是等级保护工作的第一步,需要依据信息系统受到破坏时所侵害的客体以及客体受侵害的程度确定的信息系统安全等级;备案指对已定级的信息系统到公安机关进行在册登记;测评是由第三方公司对已经定级备案的信息系统进行“体检”,出具测评报告,并提出整改建议;信息系统主管部门再针对等级测评中检测出来的问题进行整改;在整个等级保护工作过程中公安机关对具有监督审查的权利,以确保该工作的顺利进行。
信息系统安全等级保护工作具有以下特点:
(1)强制性。《中华人民共和国网络安全法》规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务[6]。不做等级保护工作就违反了第(五)规定,触犯了法律。目前我国已经有单位因此受到处罚,如未按照要求定级备案、未按照文件规定进行等级测评、未留存网络日志、或安全保护技术措施不到位等[7]。在当前网络环境日益复杂的情况下,等级保护工作一定要及时主动去做,不要观望等待。
(2)持续性。按照《信息安全等级保护管理办法》的规定,信息系统建设完成后,运营、使用单位或者其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并开展等级测评。高校教育行业的二级信息系统明确要求每两年自查并做一次等级测评,三级信息系统要求每年自查并进行一次等级测评,四级信息系统至少半年进行一次等级测评,五级系统则是根据安全需求进行测评[8]。因此等保测评工作具有周期性、持续性。
3 高校网络安全工作
网络安全事件的频发以及《网络安全法》的实施,各高校对网络安全都引起了较高的重视,并相继采取了一些措施,但仍存在问题:
(1)重建设,轻等保:智慧校园建设的大背景下,智能化程度越来越高,高校信息系统数量也随之增多,但信息系统的主管部门只是积极主动地建系统,而网络安全方面的投入还不够,等级保护工作开展不积极。
(2)重运维,轻防护:信息系统运营单位大都侧重于系统使用和维护,对防范网络安全风险、应急处置和综合防护方面能力不足,难以适应情况复杂多变的网络环境。 (3)重使用,轻培训:在高校,各部门的信息系统只是推广使用,但是只有网络中心或信息中心有专门的网络安全技术人员,而其他部门的信息系统网络管理人员并非本专业,只能简单地管理、维护信息系统,绝大部分管理人员并没有接受系统的网络安全技能培训,安全防范意识和防护能力都比较差。
针对高校存在的上述网络安全问题,提出以下建议:
(1)建立健全网络安全教育培训机制:建立以网络中心网络安全工作人员为主,其他部门工作在网络安全一线的人员(如网络安全员、网站管理员和系统管理员)为辅的培训机制,定期或不定期地举行网络教育专题讲座,使更多的网络安全人员接受系统的网络安全教育培训,从而提高网络安全意识。
(2)定期演练,加强网络安全应急保障体系:在每年的网络宣传周举办各类网络安全知识竞赛、应急演练等活动,一方面加强各部门的安全意识,另一方面提高应急处置能力。演练过程中,及时总结并发现问题,不断改进,增强网络的安全性和信息系统的健壮性。
(3)加快统一数据中心的建设:不同部门的数据实现共享,统一部署安全防护措施和安全设备,提高安全防范能力。
(4)加快等级保护工作的进程:加大人力、财力的投入,尤其是等级测评工作,尽早发现问题,进行整改。
4 高校信息系统安全等级保护工作策略探究
等级保护作为提高信息系统安全的重要手段,是必须进行的。但高校信息系统等级保护工作处于起步阶段,大部分高校对该项工作只是进行了一部分,如只进行定级备案,等级测评工作只是进行一部分或者尚未进行,因此存在很大的安全隐患。目前,高校等级保护工作面临的主要问题有:
(1)财力不足:缺乏信息安全甚至等级保护工作的专项资金。
(2)资金到位但工作难开展:等级保护工作涉及高校所有的信息系统,而这些信息系统分散在学校各二级部门,如教务处、财务处、人事处、科研处、网络中心等,网络中心作为学校的教学辅助部门,难以协调其他部门配合进行等级保护工作。
根据高校信息系统等级保护工作的现状,对开展等级保护工作策略进行探究:
(1)不买系统,只买应用,如不购买邮件系统,从已经备案的邮件系统服务商购买邮件用户数,为师生间接提供邮件服务。
(2)争取多方面的资金,如与银行、运营商合作,并要求系统建设、配套安全设备建设和等级保护工作同时进行。
(3)建立并完善网络安全相关制度,注重落实。
(4)校领导主导,并督促等级保护工作开展情况。
5 结论
在信息化高速发展和智慧校园建设步伐日益加快的今天,信息系统的安全工作至关重要,对信息系统按照业务重要性、数据保密性等进行等级划分并分级别保护是十分必要的。高校要严格落实《网络安全法》和《信息安全等级保护管理办法》的相关规定,坚持网络安全、信息系统安全与智慧校园建设并重,坚持“三手抓,三手都要硬”,建设更加安全、智慧的网络环境。
参考文献:
[1] 刘泽华. 高校信息系统安全等级保护研究[J]. 中国管理信息化, 2016, 19(8):154-155.
[2] 王建華. 信息安全等级保护标准现状及其在网络安全法作用下的发展[J]. 中国金融电脑, 2018(3).
[3] 王强民, 张保稳, 张竞. 高校信息系统安全等级保护工作的现状分析[C]. 全国信息安全等级保护技术大会会议, 2013.
[4] 路萍, 翟跃. 信息安全等级保护备案在高等院校中的研究与实践[J]. 中国教育信息化, 2015(21):12-16.
[5] 龚文涛, 郎颖莹等. 基于高校信息系统的信息等级保护工作浅析[J]. 微型电脑应用, 2017(1):60-61.
[6] 中华人民共和国网络安全法[J]. 林业劳动安全, 2016, 29(4):10-16.
[7] 中国网络安全等级保护网. 关于检查《网络安全法》《关于加强网络信息保护的决定》实施情况的报告[EB/OL]. http://www.djbh.net/webdev/web/PolicyStandardsAction.do?p=getGlgf