论文部分内容阅读
摘要:随着校园信息化建设的迅速发展,网络中潜藏的不安全的因素逐渐威胁着高校网络安全,对此我们将对高校信息系统等级保护工作现状进行分析,并提出相应的建议,希望对创建稳定的校园网络环境有所帮助。
關键词:信息安全;等级保护;现状分析
近年来,由于教学、科研和管理的需要,高校对网络基础架构和信息安全逐渐提出了更高层次的要求,网络安全等级保护受到越来越多的高校管理者的关注。本文结合高校网络架构和特点,根据信息安全等级保护制定标准及相关法律法规,对高校信息安全等级保护现状进行分析,根据需求给出相应的建议。
1 信息安全等級保护的现状分析
信息安全等级保护工作是按照系统资源所具有的实际安全需求及资源的重要程度对信息系统进行分级保护,对不同类别信息系统给以不同指导,对系统分阶段实施,确保信息系统安全稳定运行。2003年,国家明确指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,07年颁布的《信息系统安全的等级保护基本要求》 明确指出了我国在开展等保工作的过程中应遵循的基本技术和安全管理要求,是等级测评的一个基本“标尺”。
从信息安全等级保护发展现状来看,我国信息系统安全研究还处于初级阶段。现阶段,越来越多的高校开始着手等保预测评,部分高校对信息安全等保工作持观望的态度,还有小部分高校不了解也不关注等保工作。据某高校对信息安全等级保护预测评的研究中,不完全符合的测评指标占比都高达60%,预测评的信息系统无论是技术方面还是管理方面都严重缺失,因而,开展高校信息安全等保工作具有非常重要的意义。
2 信息安全等级保护测评流程
流程一:信息系统定级。我国信息安全等级保护分为五级,高校将选择合理等级进行定级,一般涉及学校师生的信息系统(如教务管理、财务管理等系统)确定为二级,涉及国家、政府与政党的信息系统上升为三级,拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审。
流程二:风险评估。以相应的政策、标准为基准,对等保体系进行风险测评,从三者综合作用角度对信息资产面临的威胁、存在的弱点、造成的影响、以及三者综合作用而带来风险的可能性评估,分析信息系统的等保体系是否达标,风险评估完成后出具《评估报告》和《整改意见》。风险评估是确定信息安全需求的一个重要途径、需请相应级别、具有资质的测评中心进行风险评估。
流程三:等保方案设计与安全体系部署。等级保护设计对安全现状和基本要求进行差异性分析,做到以需求为主导、突出重点、整体规划,达到物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复各项指标要求,以满足政策要求,满足标准要求,满足高校自身要求。等保体系整体架构分为通信网络、区域边界、计算环境。
流程四:等保体系测评。等保体系测评的特点:确保安全,统一规划,分步实施;全局管理、统一标准、适度安全、减少影响。进行专家论证,项目组织实施并进行内部验收工作。
流程五:等保整改建设完成。需请相应级别、具有资质的测评中心进行等保测评;等保测评完成后出具《测评报告》和《整改意见》。等保体系整改建设完成,构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。
3 高校等保存在的重点难点问题
3.1 学校领导重视度和关注度普遍不高
部分高校对信息安全系统等保工作认识不到位,认为信息系统没必要定级或者认为定级太高会提高管理成本,造成不必要的麻烦。因而部分学校不进行系统定级,或是将信息系统定级较低。
3.2 资金问题
存在长期闲置的资金,未合理调整使用方向,未能切实提高公共资金使用效益。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,然而在网络安全方面的资金投入不足,使得等级保护工作整改不到位。
3.3 未建立相应的安全管理机制
在建设信息系统安全体系时,许多设备处于系统默认配置而且没有配备安全管理员角色,不能起到安全作用。部分高校没有建立有效的安全管理制度,并且一些过旧的管理制度已经不能满足当前系统安全管理的需求。[1]
4 高校信息安全等级保护改进方案
针对上述高校信息安全等级保护工作中出现的问题,我们将以下几个方面加以改进。
4.1 加大宣传,转变观念
信息安全等级保护管理部门应加大信息安全等级保护工作的宣传力度,定期召开由高校有关信息部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校积极转变观念,使高校充分认识校园网络安全对于学校安全和稳定的重要性以及产生的积极作用。[1]
4.2 建立安全管理机构、健全安全管理制度
多年前的安全管理旧制度,已经不能满足日益成熟的安全系统管理需要,需再建立一些新的管理制度来逐渐完善。建立专门的网络管理部门和专业的网络管理队伍,配备专业的网络安全管理人员,健全工作制度,做好日志记录工作,制定安全可靠的应急处理预案。[2]
4.3 做好技术和管理两方面的工作
在信息系统采取某些安全技术的同时,建立配套的安全管理制度。做好网络硬件设备安全建设工作重点做好环境安全、设备安全与介质安全三个方面的工作;做好软件方面安全建设工作,重点在于数据安全、应用安全、网络软件环境安全与主机软件环境。[3]
4.4 构建符合信息系统等保要求的安全体系结构
建设适合的网络安全模式、调整网络安全架构,以适应等级保护的体系架构的要求,制作信息等级保护实施方案,做好构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。
5 结语
互联网的快速发展推动了校园数字化建设,如何更好地开展高校信息系统安全等级保护工作和制定科学的校园网络防范体系成为营造高校安全、稳定网络环境的基础。本文开展对高校信息安全等级保护工作的探究,希望对各地高校等保工作提供一定的借鉴作用。
参考文献:
[1]王强民.高校信息系统安全等级保护工作的现状分析[J].第二届全国信息安全等级保护技术大会会议论文集,2013(06).
[2]刘泽华.高校信息系统安全等级保护研究[J].中国管理信息化[J].2016(04).
[3]崔玉华.对”信息安全等级保护”的探讨[J].Netinfo Security,2005:7274.
作者简介:袁丽媛(1996),女,汉族,济南人,本科,山东中医药大学;宋佳霏(1996),女,汉族,济南人,本科,山东中医药大学。
關键词:信息安全;等级保护;现状分析
近年来,由于教学、科研和管理的需要,高校对网络基础架构和信息安全逐渐提出了更高层次的要求,网络安全等级保护受到越来越多的高校管理者的关注。本文结合高校网络架构和特点,根据信息安全等级保护制定标准及相关法律法规,对高校信息安全等级保护现状进行分析,根据需求给出相应的建议。
1 信息安全等級保护的现状分析
信息安全等级保护工作是按照系统资源所具有的实际安全需求及资源的重要程度对信息系统进行分级保护,对不同类别信息系统给以不同指导,对系统分阶段实施,确保信息系统安全稳定运行。2003年,国家明确指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,07年颁布的《信息系统安全的等级保护基本要求》 明确指出了我国在开展等保工作的过程中应遵循的基本技术和安全管理要求,是等级测评的一个基本“标尺”。
从信息安全等级保护发展现状来看,我国信息系统安全研究还处于初级阶段。现阶段,越来越多的高校开始着手等保预测评,部分高校对信息安全等保工作持观望的态度,还有小部分高校不了解也不关注等保工作。据某高校对信息安全等级保护预测评的研究中,不完全符合的测评指标占比都高达60%,预测评的信息系统无论是技术方面还是管理方面都严重缺失,因而,开展高校信息安全等保工作具有非常重要的意义。
2 信息安全等级保护测评流程
流程一:信息系统定级。我国信息安全等级保护分为五级,高校将选择合理等级进行定级,一般涉及学校师生的信息系统(如教务管理、财务管理等系统)确定为二级,涉及国家、政府与政党的信息系统上升为三级,拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审。
流程二:风险评估。以相应的政策、标准为基准,对等保体系进行风险测评,从三者综合作用角度对信息资产面临的威胁、存在的弱点、造成的影响、以及三者综合作用而带来风险的可能性评估,分析信息系统的等保体系是否达标,风险评估完成后出具《评估报告》和《整改意见》。风险评估是确定信息安全需求的一个重要途径、需请相应级别、具有资质的测评中心进行风险评估。
流程三:等保方案设计与安全体系部署。等级保护设计对安全现状和基本要求进行差异性分析,做到以需求为主导、突出重点、整体规划,达到物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复各项指标要求,以满足政策要求,满足标准要求,满足高校自身要求。等保体系整体架构分为通信网络、区域边界、计算环境。
流程四:等保体系测评。等保体系测评的特点:确保安全,统一规划,分步实施;全局管理、统一标准、适度安全、减少影响。进行专家论证,项目组织实施并进行内部验收工作。
流程五:等保整改建设完成。需请相应级别、具有资质的测评中心进行等保测评;等保测评完成后出具《测评报告》和《整改意见》。等保体系整改建设完成,构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。
3 高校等保存在的重点难点问题
3.1 学校领导重视度和关注度普遍不高
部分高校对信息安全系统等保工作认识不到位,认为信息系统没必要定级或者认为定级太高会提高管理成本,造成不必要的麻烦。因而部分学校不进行系统定级,或是将信息系统定级较低。
3.2 资金问题
存在长期闲置的资金,未合理调整使用方向,未能切实提高公共资金使用效益。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,然而在网络安全方面的资金投入不足,使得等级保护工作整改不到位。
3.3 未建立相应的安全管理机制
在建设信息系统安全体系时,许多设备处于系统默认配置而且没有配备安全管理员角色,不能起到安全作用。部分高校没有建立有效的安全管理制度,并且一些过旧的管理制度已经不能满足当前系统安全管理的需求。[1]
4 高校信息安全等级保护改进方案
针对上述高校信息安全等级保护工作中出现的问题,我们将以下几个方面加以改进。
4.1 加大宣传,转变观念
信息安全等级保护管理部门应加大信息安全等级保护工作的宣传力度,定期召开由高校有关信息部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校积极转变观念,使高校充分认识校园网络安全对于学校安全和稳定的重要性以及产生的积极作用。[1]
4.2 建立安全管理机构、健全安全管理制度
多年前的安全管理旧制度,已经不能满足日益成熟的安全系统管理需要,需再建立一些新的管理制度来逐渐完善。建立专门的网络管理部门和专业的网络管理队伍,配备专业的网络安全管理人员,健全工作制度,做好日志记录工作,制定安全可靠的应急处理预案。[2]
4.3 做好技术和管理两方面的工作
在信息系统采取某些安全技术的同时,建立配套的安全管理制度。做好网络硬件设备安全建设工作重点做好环境安全、设备安全与介质安全三个方面的工作;做好软件方面安全建设工作,重点在于数据安全、应用安全、网络软件环境安全与主机软件环境。[3]
4.4 构建符合信息系统等保要求的安全体系结构
建设适合的网络安全模式、调整网络安全架构,以适应等级保护的体系架构的要求,制作信息等级保护实施方案,做好构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。
5 结语
互联网的快速发展推动了校园数字化建设,如何更好地开展高校信息系统安全等级保护工作和制定科学的校园网络防范体系成为营造高校安全、稳定网络环境的基础。本文开展对高校信息安全等级保护工作的探究,希望对各地高校等保工作提供一定的借鉴作用。
参考文献:
[1]王强民.高校信息系统安全等级保护工作的现状分析[J].第二届全国信息安全等级保护技术大会会议论文集,2013(06).
[2]刘泽华.高校信息系统安全等级保护研究[J].中国管理信息化[J].2016(04).
[3]崔玉华.对”信息安全等级保护”的探讨[J].Netinfo Security,2005:7274.
作者简介:袁丽媛(1996),女,汉族,济南人,本科,山东中医药大学;宋佳霏(1996),女,汉族,济南人,本科,山东中医药大学。