高校信息系统安全等级保护测评实施研究与分析

吕美敬

（中央财经大学网络信息中心， 北京 100081）

1 引言

随着网络信息时代的飞速发展，智慧校园的智能化程度也越来越高，高校信息系统数量也越来越多，高校工作者及学生对各类业务信息系统的依赖不断加深，信息安全工作显得愈加重要，但随着各类业务应用与服务不断深入，当前各高校和部门的信息安全防护水平依然不能满足信息化快速发展对安全保障的需要。高校信息化建设在给教学、科研、管理、学习带来便捷的同时，成为不法分子利用网络传播非法信息的重要途径。

《中华人民共和国网络安全法》和《信息安全等级保护管理办法》已正式颁布实施，按照国家信息安全等级保护相关制度的要求，等级保护测评变得有法可依、有据可循。信息系统安全等级保护是针对不同信息系统进行分级保护而开展的，是网络安全工作的重要组成部分。为加强高校校园网络和信息系统安全，高校必须高度重视并主动推进等级保护工作，为高校师生创造一个安全可靠的网络环境。

2 信息安全等级保护测评概述

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护测评就是有资质的测评机构对非涉密的信息系统按照不同等级要求对这些系统进行安全测评，出具相应的信息系统测评报告。

根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为信息系统定级、信息系统备案（定级备案）、信息系统等级测评、信息系统安全整改、定期监督检查，如图1所示。

图1 等级保护工作五个阶段

（1）信息系统定级。信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。信息安全等级保护的五个等级如表1所示。

（2）信息系统备案。二级及以上信息系统的定级需用户单位到单位所在地设区的市级以上公安机关办理系统备案手续。

（3）等级保护测评。信息系统建设完成后，系统运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评并出具信息系统测评报告。

（4）信息系统安全整改。测评完成之后需根据测评过程中发现的安全问题及时进行安全整改，特别是存在高危风险的信息系统。测评的结论分为不符合、基本符合、符合。

（5）定期监督检查。信息安全监管部门依据信息安全等级保护的管理规范及《网络安全法》相关条款，监督检查用户单位开展等级保护工作情况，定期对信息系统进行安全大检查。

3 高校开展信息安全等级保护工作的重要性

高校校园网是高校信息化建设的基础，随着智慧校园的智能化及普及，高校信息系统的数量也急剧增加。高校网站和信息系统一直是社会关注的重点，影响面大，也是黑客的重点关注对象。高校需要开展等级保护工作主要有五个方面的原因。

（1）落实《教育部关于加强教育行业网络与信息安全工作的指导意见》（教技〔2014〕4号）、《教育部公安部关于全面推进教育行业信息安全等保工作的通知》（教技〔2015〕2号）、《教育部办公厅关于组织开展部属单位信息安全等级保护工作的通知》（教技厅函〔2015〕68号）等国家政策文件的要求，履行《中华人民共和国网络安全法》和《信息安全等级保护管理办法》等法律法规及相关制度关于开展等级保护测评的网络安全义务。

（2）高校可以通过信息安全等级保护工作及时发现学校业务信息系统存在的安全隐患和不足，依据测评结论进行安全整改之后，有效提高应用系统的安全防护能力，降低信息系统被非法分子攻击的风险，维护学校的声誉和形象。

（3）高校按照网络安全等级保护制度的要求进行等级保护测评工作，是切实履行网络安全义务，避免网络受到非法干扰、破坏或者未经授权的侵入，避免网络数据遭受泄露或者网站页面被窃取或篡改。

（4）信息安全等级保护工作是网络安全工作的基础，只有做好等级保护测评工作，才能更好地开展安全整改建设。高校管理者及网络安全工作人员可以通过等级保护测评工作了解整个学校网络安全工作的成果，是否存在风险点，了解风险点产生的原因，并根据可能产生的破坏和后果，合理处置风险点，并在以后的信息化建设工作过程中针对薄弱点加强建设。

（5）提高高校信息化建设工作者的网络安全意识，强化等级保护工作在信息化安全工作过程中的重要性，确保信息系统各项安全保障措施满足最新的安全形势需要。

表1 信息安全等级保护的五个等级

4 以中央财经大学就业信息系统为例的等级保护测评项目实施研究

中央财经大学就业信息系统主要帮助学校提高学生就业的工作效率，极为方便地对就业的有关数据进行管理、输入、输出、查找等有关操作，为用人单位、学生、教师、校友等四类用户提供服务。中央财经大学就业信息系统是为学校师生及企业提供就业信息及管理的平台，业务信息主要包含企业基本信息数据、企业发布招聘信息数据、学生基本信息数据、学生就业派遣信息等。下面就等级保护工作的五个阶段，对中央财经大学就业信息系统的等级保护测评工作进行详细介绍。

4.1 信息系统定级

中央财经大学就业信息系统服务受到非法破坏后，会导致用人单位和学生无法通过系统办理招聘和就业手续，影响学生处就业工作人员的工作效率，使中央财经大学就业工作无法正常开展。因此，受到影响的客体是公民、法人和其他组织的合法权益，侵害程度为严重侵害，如表1所示，该系统的安全等级保护可以定为二级。自主定级完成后，系统管理人员形成《中央财经大学就业信息系统安全等级保护定级报告》和《中央财经大学就业信息系统安全等级保护备案表》。

4.2 信息系统备案

中央财经大学就业信息系统定级之后需要到中央财经大学所在地海淀区公安部门备案，将《中央财经大学就业信息系统安全等级保护定级报告》和《中央财经大学就业信息系统安全等级保护备案表》等定级材料打印两份，首页盖章，电子档准备一份送至海淀区公安局内保局定级备案，形成带备案公安机关公章的中央财经大学就业信息系统安全等级保护备案证明以及盖章的中央财经大学就业信息系统定级报告和备案表。

4.3 等级保护测评工作

根据等级保护基本要求，委托第三方测评机构测评。测评机构一定是有测评资质且已在用户所在地公安网安部门备案。等级保护测评工作包括物理环境、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等方面的测评，并分析其与等级保护基本要求之间的差距，按照信息安全等级保护制度建设要求提出安全整改建议，形成《信息安全整改建议书》和《网络设备、安全设备、操作系统、数据库安全技术策略规范》。

测评工具：扫描工具、渗透测试工具集等。

测评方法：访谈、检查、测试。

测评对象：机房、网络设备、安全设备、服务器设备、数据库管理系统、业务应用软件、访谈人员、安全管理文档。

根据测评项权重，以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的 5分制得分。

控制点得分，n为同一控制点下的测评项数，不含不适用的控制点和测评项。根据公式和各层面的测评结果，得到各层面的安全得分如图2所示。

图2 安全层面得分比较

根据测评与风险分析结果，计算中央财经大学招生就业信息系统的综合得分为 87.70，且系统不存在高风险安全问题，因此测评结论为基本符合。

4.4 信息系统安全整改

根据测评中发现的问题，结合《信息安全整改建议书》，采购部署安全产品、进行系统改造和加固、落实安全管理体系，针对有漏洞的信息系统，通知应用厂商，进行漏洞修复。整改完成之后，测评机构再依据《信息系统安全等级保护基本要求》（GB/T 22239-2008）进行验证，验证安全整改结果，最终出具《信息系统安全等级测评报告》。由于涉及到校就业信息系统的安全性，仅仅罗列部分测评过程中发现的问题，部分数据的安全整改信息如表2所示。

测评结束后，用户单位具备加盖过主管部门的公章的《中央财经大学就业信息系统安全等级保护定级报告》《中央财经大学就业信息系统安全等级保护备案表》、中央财经大学就业信息系统备案证明以及加盖过测评机构公章及测评专用章的《中央财经大学就业信息系统测评报告》，以此可以证明中央财经大学就业信息管理系统已经完成二级系统的定级及等级保护测评工作。

4.5 定期监督检查

信息安全监管部门依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。检查内容主要包括是否制定内部安全管理制度和操作规程，落实网络安全管理制度，建立网络安全防护技术措施、记录检测网络运行状态，网络日志留存不少于六个月，是否采取数据分类、重要数据备份和加密措施等。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

通过此次等级保护测评工作的实施，我们及时发现了就业信息系统与国家安全标准之间存在的差距，明确了目前就业系统存在的安全隐患和不足，并及时进行安全整改，通过整改提高了信息系统的信息安全防护能力，降低了系统被各种非法分子攻击的可能性。合理的规避了物理层面、网络层面、主机层面、应用层面、数据安全及备份恢复等方面可能存在的风险，完善了相关的安全管理制度，让就业信息系统更安全便捷的服务广大师生。

表2 安全整改问题及反馈示例

5 结束语

本文从高校的角度解读了教育行业等级保护测评的相关政策，并以学校就业系统为实例，详细阐述了等级保护测评工作，对高校信息系统的测评工作具有一定的现实指导意义。随着等保信息化2.0时代的到来，等级保护工作必将更加规范严格。为加强高校校园网络和信息系统安全，高校必须高度重视等级保护工作的开展并主动推进，给高校师生提供一个安全可靠的网络环境。现状分析[A].第二届全国信息安全等级保护技术大会会议论文集, 2013.