淺議高校信息系統(tǒng)安全等級(jí)保護(hù)工作的必要性

摘 要：隨著信息技術(shù)的高速發(fā)展和網(wǎng)絡(luò)應(yīng)用的迅速普及，網(wǎng)絡(luò)信息安全越來(lái)越受到社會(huì)的廣泛關(guān)注。原因在于，網(wǎng)絡(luò)信息安全所涉及領(lǐng)域關(guān)乎公共利益、社會(huì)穩(wěn)定、乃至國(guó)家安全。其中，高校作為網(wǎng)絡(luò)信息普及應(yīng)用的主陣地，網(wǎng)絡(luò)信息安全工作更加不容忽視。然而，目前大多數(shù)高校信息安全保障工作尚處于起步階段，信息安全意識(shí)和信息系統(tǒng)安全防范能力相對(duì)薄弱，導(dǎo)致信息系統(tǒng)被破壞事件頻發(fā)。對(duì)此，我們從保障高校信息系統(tǒng)安全角度，對(duì)高校信息系統(tǒng)安全等級(jí)保護(hù)工作的必要性進(jìn)行研究，以達(dá)到促進(jìn)高校信息系統(tǒng)安全水平和能力提升的目的。

關(guān)鍵詞：信息系統(tǒng)；安全；等級(jí)保護(hù)；必要性

一、信息系統(tǒng)安全等級(jí)保護(hù)概述

信息系統(tǒng)安全等級(jí)保護(hù)是按照信息系統(tǒng)重要性進(jìn)行劃分，實(shí)行分級(jí)管理、分級(jí)保護(hù)的一項(xiàng)工作。劃分等級(jí)所依據(jù)的標(biāo)準(zhǔn)是信息系統(tǒng)在國(guó)家安全和社會(huì)生活中的重要程度以及對(duì)國(guó)家安全、社會(huì)秩序、公共利益等方面的危害程度進(jìn)行確定。按照等級(jí)保護(hù)分類標(biāo)準(zhǔn)，信息系統(tǒng)安全等級(jí)被劃分為五個(gè)安全等級(jí)，實(shí)行分級(jí)保護(hù)、分級(jí)響應(yīng)處置。

二、高校信息系統(tǒng)安全現(xiàn)狀分析

（一）信息系統(tǒng)被攻擊和破壞的現(xiàn)象頻發(fā)

由于高校信息系統(tǒng)自身存在安全漏洞以及高校網(wǎng)站在搜索引擎中普遍占據(jù)較高權(quán)重等原因，高校的信息系統(tǒng)、網(wǎng)站常常遭受到黑客的入侵和攻擊。常見的攻擊行為有網(wǎng)站被掛馬、掛鏈；服務(wù)器被控制；后臺(tái)數(shù)據(jù)被篡改等。高校網(wǎng)站最易遭受到來(lái)自網(wǎng)絡(luò)游戲、招生咨詢、信貸理財(cái)?shù)葍?nèi)容的掛馬、掛鏈；高校教務(wù)系統(tǒng)、學(xué)工系統(tǒng)是遭受數(shù)據(jù)篡改的重災(zāi)區(qū)，黑客入侵系統(tǒng)后會(huì)肆意竊取用戶的個(gè)人信息，篡改學(xué)生成績(jī)以及獎(jiǎng)懲助貸等信息數(shù)據(jù)。

（二）信息系統(tǒng)一旦遭到破壞危害程度巨大

一般來(lái)說(shuō)，高校信息系統(tǒng)遭受破壞后造成的危害程度大于中小學(xué)校信息系統(tǒng)；“985工程”院校和“211工程”院校造成的危害程度大于一般高校。承載教學(xué)教務(wù)管理的信息系統(tǒng)較承載一般業(yè)務(wù)的信息系統(tǒng)受到攻擊破壞后造成的危害程度嚴(yán)重；承載教學(xué)教務(wù)管理的信息系統(tǒng)涵蓋學(xué)籍和學(xué)歷管理、考試和成績(jī)管理、學(xué)工管理、招生管理等。再者，涉及到學(xué)校重要數(shù)據(jù)和機(jī)密的信息系統(tǒng)一旦遭到攻擊和破壞后，危害程度會(huì)更加嚴(yán)重。

（三）信息系統(tǒng)自身存在安全漏洞風(fēng)險(xiǎn)

信息系統(tǒng)自身存在安全漏洞問(wèn)題是信息系統(tǒng)遭受攻擊和破壞的主要因素。據(jù)最新數(shù)據(jù)統(tǒng)計(jì)，近幾年高校信息系統(tǒng)安全漏洞在數(shù)量和種類上都呈現(xiàn)出上升趨勢(shì)。信息系統(tǒng)安全漏洞種類繁多，比較常見的有敏感信息泄露、弱口令、SQL盲注、XSS跨站腳本等。例如，攻擊者利用XSS跨站漏洞插入任意HTML/JavaScript代碼到頁(yè)面中，獲取用戶會(huì)話cookie、用戶訪問(wèn)URL、用戶瀏覽器及操作系統(tǒng)版本等信息，插入偽造的登錄頁(yè)面進(jìn)行釣魚，或者對(duì)頁(yè)面進(jìn)行掛馬；信息系統(tǒng)存在弱口令漏洞，使攻擊者能夠利用密碼暴力破解等手段，達(dá)到破壞用戶賬戶安全乃至整個(gè)服務(wù)器安全的目的。

（四）信息系統(tǒng)在管理和制度層面存在缺位

高校網(wǎng)絡(luò)和信息系統(tǒng)管理人員普遍存在對(duì)保障信息系統(tǒng)安全的認(rèn)識(shí)不足、管理責(zé)任不明確、管控和應(yīng)急響應(yīng)不到位等問(wèn)題。在制度建設(shè)層面，缺乏相配套的管理制度，例如系統(tǒng)安全管理制度、日常運(yùn)維管理制度、應(yīng)急響應(yīng)處置制度、安全培訓(xùn)制度等。管理和制度上的不健全是誘發(fā)信息系統(tǒng)不穩(wěn)定、不安全的又一重要因素。

三、實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)工作的意義

（一）國(guó)家法律法規(guī)的制度性要求

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。高校作為教育信息化建設(shè)的重要領(lǐng)域，實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)尤為重要。

（二）對(duì)信息系統(tǒng)的檢驗(yàn)和差距分析

對(duì)照信息系統(tǒng)安全等級(jí)保護(hù)制度的要求，分別從技術(shù)和管理兩個(gè)層面對(duì)信息系統(tǒng)進(jìn)行一次全面的檢驗(yàn)和問(wèn)題隱患排查。技術(shù)層面?zhèn)戎貙?duì)物理環(huán)境和設(shè)備安全、主機(jī)和應(yīng)用安全以及數(shù)據(jù)庫(kù)安全等方面進(jìn)行測(cè)查；管理層面則側(cè)重從系統(tǒng)建設(shè)和運(yùn)維管理、安全管理制度、應(yīng)急響應(yīng)處置等方面進(jìn)行測(cè)查。通過(guò)全面梳理和檢驗(yàn)，查找出問(wèn)題和差距，為信息系統(tǒng)下一步整改工作提供依據(jù)。

（三）對(duì)信息系統(tǒng)的問(wèn)題整改和完善

根據(jù)測(cè)評(píng)報(bào)告和整改建議，對(duì)前期測(cè)查出存在安全問(wèn)題的信息系統(tǒng)進(jìn)行針對(duì)性整改，以使其符合等級(jí)保護(hù)標(biāo)準(zhǔn)要求。一般來(lái)說(shuō)，主要是對(duì)信息系統(tǒng)存在的漏洞風(fēng)險(xiǎn)、物理設(shè)備安全、主機(jī)和應(yīng)用安全、數(shù)據(jù)安全以及管理制度方面進(jìn)行整改完善。待整改完畢后，會(huì)對(duì)存在的安全問(wèn)題進(jìn)行復(fù)測(cè)復(fù)評(píng)，若安全風(fēng)險(xiǎn)仍然存在，將繼續(xù)進(jìn)行整改，直到重要問(wèn)題風(fēng)險(xiǎn)被有效解決。

四、結(jié)語(yǔ)

高校信息系統(tǒng)所暴露出的安全問(wèn)題日趨嚴(yán)重，信息系統(tǒng)遭受攻擊的破壞程度和社會(huì)影響力也逐漸增大，倒逼高校信息系統(tǒng)管理人員必須重視信息系統(tǒng)安全等級(jí)保護(hù)工作，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。按照信息系統(tǒng)安全等級(jí)保護(hù)體系規(guī)范要求，對(duì)所轄信息系統(tǒng)進(jìn)行等級(jí)保護(hù)，通過(guò)實(shí)施排查安全漏洞隱患、對(duì)照目標(biāo)找差距、完善問(wèn)題整改等一系列過(guò)程，幫助高校信息系統(tǒng)提升安全防范能力和水平。

參考文獻(xiàn)：

[1]劉澤華.高校信息系統(tǒng)安全等級(jí)保護(hù)研究[J].2016（04）.

[2]王強(qiáng)民.高校信息系統(tǒng)安全等級(jí)保護(hù)工作的現(xiàn)狀分析[J].2013（06）.

[3]肖國(guó)煜.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[J].2011（07）.

作者簡(jiǎn)介：潘文杰（1986-），男，江蘇淮安人，本科，助理工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。