浅议高校信息系统安全等级保护工作的必要性

摘 要：随着信息技术的高速发展和网络应用的迅速普及，网络信息安全越来越受到社会的广泛关注。原因在于，网络信息安全所涉及领域关乎公共利益、社会稳定、乃至国家安全。其中，高校作为网络信息普及应用的主阵地，网络信息安全工作更加不容忽视。然而，目前大多数高校信息安全保障工作尚处于起步阶段，信息安全意识和信息系统安全防范能力相对薄弱，导致信息系统被破坏事件频发。对此，我们从保障高校信息系统安全角度，对高校信息系统安全等级保护工作的必要性进行研究，以达到促进高校信息系统安全水平和能力提升的目的。

关键词：信息系统；安全；等级保护；必要性

一、信息系统安全等级保护概述

信息系统安全等级保护是按照信息系统重要性进行划分，实行分级管理、分级保护的一项工作。划分等级所依据的标准是信息系统在国家安全和社会生活中的重要程度以及对国家安全、社会秩序、公共利益等方面的危害程度进行确定。按照等级保护分类标准，信息系统安全等级被划分为五个安全等级，实行分级保护、分级响应处置。

二、高校信息系统安全现状分析

（一）信息系统被攻击和破坏的现象频发

由于高校信息系统自身存在安全漏洞以及高校网站在搜索引擎中普遍占据较高权重等原因，高校的信息系统、网站常常遭受到黑客的入侵和攻击。常见的攻击行为有网站被挂马、挂链；服务器被控制；后台数据被篡改等。高校网站最易遭受到来自网络游戏、招生咨询、信贷理财等内容的挂马、挂链；高校教务系统、学工系统是遭受数据篡改的重灾区，黑客入侵系统后会肆意窃取用户的个人信息，篡改学生成绩以及奖惩助贷等信息数据。

（二）信息系统一旦遭到破坏危害程度巨大

一般来说，高校信息系统遭受破坏后造成的危害程度大于中小学校信息系统；“985工程”院校和“211工程”院校造成的危害程度大于一般高校。承載教学教务管理的信息系统较承载一般业务的信息系统受到攻击破坏后造成的危害程度严重；承载教学教务管理的信息系统涵盖学籍和学历管理、考试和成绩管理、学工管理、招生管理等。再者，涉及到学校重要数据和机密的信息系统一旦遭到攻击和破坏后，危害程度会更加严重。

（三）信息系统自身存在安全漏洞风险

信息系统自身存在安全漏洞问题是信息系统遭受攻击和破坏的主要因素。据最新数据统计，近几年高校信息系统安全漏洞在数量和种类上都呈现出上升趋势。信息系统安全漏洞种类繁多，比较常见的有敏感信息泄露、弱口令、SQL盲注、XSS跨站脚本等。例如，攻击者利用XSS跨站漏洞插入任意HTML/JavaScript代码到页面中，获取用户会话cookie、用户访问URL、用户浏览器及操作系统版本等信息，插入伪造的登录页面进行钓鱼，或者对页面进行挂马；信息系统存在弱口令漏洞，使攻击者能够利用密码暴力破解等手段，达到破坏用户账户安全乃至整个服务器安全的目的。

（四）信息系统在管理和制度层面存在缺位

高校网络和信息系统管理人员普遍存在对保障信息系统安全的认识不足、管理责任不明确、管控和应急响应不到位等问题。在制度建设层面，缺乏相配套的管理制度，例如系统安全管理制度、日常运维管理制度、应急响应处置制度、安全培训制度等。管理和制度上的不健全是诱发信息系统不稳定、不安全的又一重要因素。

三、实施信息系统安全等级保护工作的意义

（一）国家法律法规的制度性要求

根据《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。高校作为教育信息化建设的重要领域，实施信息系统安全等级保护尤为重要。

（二）对信息系统的检验和差距分析

对照信息系统安全等级保护制度的要求，分别从技术和管理两个层面对信息系统进行一次全面的检验和问题隐患排查。技术层面侧重对物理环境和设备安全、主机和应用安全以及数据库安全等方面进行测查；管理层面则侧重从系统建设和运维管理、安全管理制度、应急响应处置等方面进行测查。通过全面梳理和检验，查找出问题和差距，为信息系统下一步整改工作提供依据。

（三）对信息系统的问题整改和完善

根据测评报告和整改建议，对前期测查出存在安全问题的信息系统进行针对性整改，以使其符合等级保护标准要求。一般来说，主要是对信息系统存在的漏洞风险、物理设备安全、主机和应用安全、数据安全以及管理制度方面进行整改完善。待整改完毕后，会对存在的安全问题进行复测复评，若安全风险仍然存在，将继续进行整改，直到重要问题风险被有效解决。

四、结语

高校信息系统所暴露出的安全问题日趋严重，信息系统遭受攻击的破坏程度和社会影响力也逐渐增大，倒逼高校信息系统管理人员必须重视信息系统安全等级保护工作，保障信息系统安全稳定运行。按照信息系统安全等级保护体系规范要求，对所辖信息系统进行等级保护，通过实施排查安全漏洞隐患、对照目标找差距、完善问题整改等一系列过程，帮助高校信息系统提升安全防范能力和水平。

参考文献：

[1]刘泽华.高校信息系统安全等级保护研究[J].2016（04）.

[2]王强民.高校信息系统安全等级保护工作的现状分析[J].2013（06）.

[3]肖国煜.信息系统等级保护测评实践[J].2011（07）.

作者简介：潘文杰（1986-），男，江苏淮安人，本科，助理工程师，研究方向：计算机网络技术。