| 标题 | 高校信息安全等级保护的研究与实践 |
| 范文 | 汤其妹 摘要:由于信息系统自身的特点和网络环境的复杂性,网络安全事件日趋频繁,高校信息系统安全威胁愈演愈烈。为保障高校信息系统安全平稳地运行,提高教学、管理效率,该文阐述了信息系统等级保护的背景,研究了高校信息安全等级保护的内容,并以安徽医科大学为例给出详细的设计方案和实施流程。切实保障了学校的信息安全,为其他高校建立自己的信息安全防范体系提供参考。 关键词:信息化;信息安全;等级保护;高校 中图分类号:TP393? ? ? ? 文献标识码:A? ? ? ? 文章编号:1009-3044(2019)03-0053-03 Abstract: Due to the characteristics of the information system and the complexity of the network environment, network security incidents are becoming more frequent, and the threat of university information system security is becoming more and more serious. In order to ensure the operation of the information system of university safely and smoothly, and improve the efficiency of teaching and management, this paper expounds the background of the rank protection, studies the content of the information security rank protection in university, and gives the detailed design scheme and the implementation process by taking Anhui Medical University as an example. It effectively safeguards the information security, and provides reference for other universities to establish their own information security system. Key words: information; information security; rank protection; colleges and universities 1 引言 近年來,信息科技飞速发展,信息系统在各个领域得到广泛应用。随之而来的信息安全问题成为人们关注的焦点。高校作为学术研究的重要阵地,信息化建设高速开展,智慧校园加速推进[1][2]。高校信息系统遭受非法入侵、非法攻击和大规模网络计算机病毒攻击等安全事件的数量急剧增多,安全威胁和安全风险逐年增大[3],信息安全尤其重要。2017年6月1日,《网络安全法》正式颁布并实施,法规的颁布使得过去许多处于边界的做法变成违法行为,从管理和技术上要求高校正视网络安全的现状,积极建设网络安全防护体系[4]。本文主要分析高校信息安全存在的问题,探讨解决方法,探究信息安全等级保护的建设方案,以安徽医科大学为例展开详细的阐述。 2 信息安全等级保护的背景 2003年9月颁发的《关于加强信息安全保障工作的意见》中指出:“要重点保护基础信息网络和关系国家安全、社会稳定、经济命脉等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的技术指南和管理办法”。2004年11月签署的《关于信息安全等级保护工作的实施意见》中强调信息安全等级保护制度是国家在社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。2007年7月四部委会签关于印发《信息安全等级保护管理办法的通知》公通字[2007]43号。2016年11月十二届全国人大第二十一次三次审议表决通过了网络安全法,这部我国网络领域的基础性法律于2017年6月1日正式实施。《网络安全法》第二十一条明确国家实行网络安全等级保护制度。网络运营者需按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或被窃取、篡改等。2017 年是网络安全大事件频发的一年。从1月开始就出现波及全球的网络安全攻击事件,5月,勒索病毒蔓延全球,一时间人人自危。勒索病毒是一很有代表性的网络攻击事件,揭示了漏洞将成为未来网络安全中的重要战略因素[4]。 随着我校医疗教学业务不断拓展、生源数量不断上升,对学校后端信息化支撑的要求越来越高,“教务系统、科研管理系统、数字图书馆、一卡通系统、招生考试系统、学籍查询系统、网站群系统、email系统”等在支撑校园信息化安全可靠的运行中起到越来越重要的作用,但是由于大部分运行的系统具有开放性,面向教师、学生、各附属医院等,在提供服务的同时也面临着各种安全风险,诸如对学校网站web应用的非法扫描、SQL注入、挂马、网页篡改、DDOS攻击,对一卡通系统的非法访问、入侵、数据库数据非法篡改等都可能给学校安全运行造成实质性破坏和影响[5]。 所以对我校核心网络进行统一安全规划,合理布局,加强网络安全,降低整体安全风险的工作势在必行。 3 信息安全等级保护的建设 安徽医科大学经过多年的数字化校园建设发展,信息化应用水平不断提高,信息化建设成效显著。为促进信息化安全发展,响应国家和上级要求,进一步落实等级保护,夯实等级保护作为国家信息安全国策的成果,我校计划参照《计算机信息系统安全等级保护划分准则》和《信息安全技术信息系统安全等级保护定级指南》要求,使“网站群系统、电子政务系统、教务系统、校园一卡通”四个应用系统达到国家信息安全等级保护二级要求(按照信息安全等级保护三级标准建设),按照信息系统安全等级保护基本要求完成4个系统二级等保建设。同时为提高全网安全防护能力,计划整网参照等保标准建设。 3.1等级保护建设的目标 在国家信息系统安全等级保护相关制度和标准的指导下,全面提升安徽医科大学信息系统的安全性,能面对当前和未来一段时期内的安全威胁,实现对全网状况的统一管理,全面提升信息系统安全防护水平,并使核心业务达到等保要求标准。 3.2 等级保护流程 等级保护的工作流程是系统定级、定级备案、建设整改、等级测评、安全检查[6],如图1所示。 按照等级保护定级流程将核心业务系统定为二级,按照三级标准来做。 3.3 等级保护内容 安徽医科大学网络主要由办公网、学生网、教学网、数据中心业务系统、VPN区域等组成。办公网用户通过接入层交换机接入到核心交换机中,数据中心的业务通过数据中心交换机接入到核心交换机上,防火墙串联到核心交换机上并接入四条外联线路,分别是电信、移动、联通、教育网,“网站群、电子政务系统、教务系统、校园一卡通”这四个业务系统都包含在数据中心区域内,数据区域后端采用虚拟化技术。 目前区域通过外网进行业务往来都仅仅受到防火墙进行简单防护。安徽医科大学网络拓扑图如图2所示。 针对我校信息中心信息系统进行风险差距分析,依据《信息系统安全等级保护基本要求》,三级要求包括技术部分和管理部分,如图3所示。 4 等级保护部署实施 进一步细化等级保护的操作流程如图4所示。 1)系统定级 对信息系统进行分析调查,确定定级对象,根据国家及行业要求和规范对定级对象进行分析,确定安全保护等级,定级结果经过专家(第三方及甲方或乙方相关人员)评审后,编写《信息系统等级保护定级报告》。 2)系统备案 填写《备案表》及相关资料,向主管部门进行备案。已运行的第二级以上信息系统,应当到所在地的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当到所在地的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地的市级以上公安机关备案。 3)差距评估 采用检查、人工审计、工具等方式对信息系统进行分析,查找与《信息系统等级保护基本要求》以及行业要求的差距,形成《差距评估报告》,从而提出安全整改建议。 4)整改建设方案 根据安全需求或整改建议对信息系统进行安全规划建设方案编写,方案可能是规划方案,也可能是整改建设落地方案。方案通过专家评审后,用于指导安全措施实施。 5)安全建设实施 安全建设实施是根据整改建设方案来细化具体安全产品部署和网络结构及安全域的改造,以及对各类系统或设备进行安全加固,同时对安全管理体系相关文档进行细化落地。 6)自查阶段 在安全技术和安全管理措施实施完成以后,参照基本要求和测评要求对信息系统进行一次安全检查,查看是否所有措施都已得到落实,以便及时发现问题,及时修补。 7)测评阶段 准备信息系统等级测评的相关材料,提交给等级保护测评机构进行测评。若测评未通过,需按测评意见进行整改,并等待進行二次测评。 安徽医科大学信息中心等保整改加固改造拓扑图如图5所示。 由拓扑图可以看出:出口区域部署两台链路负载均衡、两台防火墙、两台入侵防御系统、两台防病毒网关产品,运维管理区部署一台堡垒机设备、一套日志审计系统、一台网络审计系统、一台数据防泄漏(DLP)设备、一套准入系统产品、一台漏洞扫描设备、一套安全管理平台(SOC)产品、一台终端安全管理服务器、一台防病毒服务器,接入区域针对终端电脑安装专用杀毒软件产品及终端安全管理产品,虚拟化服务区部署虚拟化安全防护产品、web应用防火墙、数据库审计产品。 这些软硬件设备保障了整网的信息安全。 5 结束语 高校信息系统的安全非常重要,信息安全等级保护是保障信息安全的有效措施。每个高校都有自己的信息化组织、管理制度和办法,建设进程也不尽一致,具体要根据学校信息化建设情况、自身的特点,建设适合自己学校的信息安全体系,循序渐进地推进信息安全等级保护工作,扎实推进高校的信息化建设进程。 参考文献: [1] 路萍,翟跃.信息安全等级保护备案在高等院校中的研究与实践[J].中国教育信息化,2015(21):12-16. [2] 刘泽华.高校信息系统安全等级保护研究[J].中国管理信息化,2016,19(08):154-155. [3] 牟综磊,任彦龙.国内高校信息系统安全多维防护实践与研究[J].电子商务,2018(05):28-30. [4] 王左利.合力驱动下的“奋进”网络安全:高等教育机构要制定基于风险的安全策略,与安全威胁和挑战的发展保持同步[J].中国教育网络,2018(01). [5] 陆明燕.高校信息化建设中的信息安全问题与举措分析[J].信息通信,2018(02):291-292. [6] 龚文涛,郎颖莹.基于高校信息系统的信息等级保护工作浅析[J].微型电脑应用,2017,33(01):60-61+70. [7] 李旸.浅谈安徽省高校校园信息化建设中存在的安全威胁[J].蚌埠学院学报,2014,3(01):175-178. [8] 高薇,许浩,宁玉文,等.基于安全态势感知平台的高校网络SOC研究——以第四军医大学为例[J].计算机技术与发展,2018,28(01):150-154. 【通联编辑:代影】 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。