高校信息系統(tǒng)安全等級保護工作的必要性

1、高校信息系統(tǒng)安全等級保護工作的必要性摘 要：隨著信息技術的高速發(fā)展和網(wǎng)絡應用的迅速普及，網(wǎng)絡信息安全越來越受到社會的廣泛關注。原因在于，網(wǎng)絡信息安全所涉及領域關乎公共利益、社會穩(wěn)定、乃至國家安全。其中，高校作為網(wǎng)絡信息普及應用的主陣地，網(wǎng)絡信息安全工作更加不容忽視。然而，目前大多數(shù)高校信息安全保障工作尚處于起步階段，信息安全意識和信息系統(tǒng)安全防范能力相對薄弱，導致信息系統(tǒng)被破壞事件頻發(fā)。對此，我們從保障高校信息系統(tǒng)安全角度，對高校信息系統(tǒng)安全等級保護工作的必要性進行研究，以達到促進高校信息系統(tǒng)安全水平和能力提升的目的。關鍵詞：信息系統(tǒng)；安全；等級保護；必要性目 錄 TOC o 1-3 h z

2、u HYPERLINK l _Toc15158323 一、信息系統(tǒng)安全等級保護概述 PAGEREF _Toc15158323 h 3 HYPERLINK l _Toc15158324 二、高校信息系統(tǒng)安全現(xiàn)狀分析 PAGEREF _Toc15158324 h 3 HYPERLINK l _Toc15158325 （一）信息系統(tǒng)被攻擊和破壞的現(xiàn)象頻發(fā) PAGEREF _Toc15158325 h 3 HYPERLINK l _Toc15158326 （二）信息系統(tǒng)一旦遭到破壞危害程度巨大 PAGEREF _Toc15158326 h 3 HYPERLINK l _Toc15158327 （三）信

3、息系統(tǒng)自身存在安全漏洞風險 PAGEREF _Toc15158327 h 4 HYPERLINK l _Toc15158328 （四）信息系統(tǒng)在管理和制度層面存在缺位 PAGEREF _Toc15158328 h 4 HYPERLINK l _Toc15158329 三、實施信息系統(tǒng)安全等級保護工作的意義 PAGEREF _Toc15158329 h 4 HYPERLINK l _Toc15158330 （一）國家法律法規(guī)的制度性要求 PAGEREF _Toc15158330 h 4 HYPERLINK l _Toc15158331 （二）對信息系統(tǒng)的檢驗和差距分析 PAGEREF _Toc1

4、5158331 h 5 HYPERLINK l _Toc15158332 （三）對信息系統(tǒng)的問題整改和完善 PAGEREF _Toc15158332 h 5 HYPERLINK l _Toc15158333 四、結(jié)語 PAGEREF _Toc15158333 h 5一、信息系統(tǒng)安全等級保護概述信息系統(tǒng)安全等級保護是按照信息系統(tǒng)重要性進行劃分， 實行分級管理、分級保護的一項工作。劃分等級所依據(jù)的標準 是信息系統(tǒng)在國家安全和社會生活中的重要程度以及對國家安全、社會秩序、公共利益等方面的危害程度進行確定。按照 等級保護分類標準，信息系統(tǒng)安全等級被劃分為五個安全等級，實行分級保護、分級響應處置。二、高

5、校信息系統(tǒng)安全現(xiàn)狀分析（一）信息系統(tǒng)被攻擊和破壞的現(xiàn)象頻發(fā)由千高校信息系統(tǒng)自身存在安全漏洞以及高校網(wǎng)站在搜索引擎中普遍占據(jù)較高權(quán)重等原因，高校的信息系統(tǒng)、網(wǎng)站常 常遭受到黑客的入侵和攻擊。常見的攻擊行為有網(wǎng)站被掛馬、 掛鏈；服務器被控制；后臺數(shù)據(jù)被篡改等。高校網(wǎng)站最易遭受 到來自網(wǎng)絡游戲、招生咨詢、信貸理財?shù)葍?nèi)容的掛馬、掛鏈；高校教務系統(tǒng)、學工系統(tǒng)是遭受數(shù)據(jù)篡改的重災區(qū)，黑客入侵系 統(tǒng)后會肆意竊取用戶的個人信息，篡改學生成績以及獎懲助貸 等信息數(shù)據(jù)。（二）信息系統(tǒng)一旦遭到破壞危害程度巨大一般來說，高校信息系統(tǒng)遭受破壞后造成的危害程度大于 中小學校信息系統(tǒng)；985 工程” 院校和211 工程”

6、院校造成的危害程度大于一般高校。承載教學教務管理的信息系統(tǒng)較承載一般業(yè)務的信息系統(tǒng)受到攻擊破壞后造成的危害程度嚴重； 承載教學教務管理的信息系統(tǒng)涵蓋學籍和學歷管理、考試和成 績管理、學工管理、招生管理等。再者，涉及到學校重要數(shù)據(jù)和機密的信息系統(tǒng)一且遭到攻擊和破壞后，危害程度會更加嚴重（三）信息系統(tǒng)自身存在安全漏洞風險信息系統(tǒng)自身存在安全漏洞問題是信息系統(tǒng)遭受攻擊和破壞的主要因素。據(jù)最新數(shù)據(jù)統(tǒng)計，近幾年高校信息系統(tǒng)安全 漏洞在數(shù)籃和種類上都呈現(xiàn)出上升趨勢。信息系統(tǒng)安全漏洞種類繁多，比較常見的有敏感信息泄露、弱口令、SQL盲注、XSS 跨站腳本等。例如， 攻擊者利用 xss 跨站漏洞插入任意HTM

7、L/JavaScript 代碼到頁面中，獲取用戶會話 cookie、用戶訪問URL、用戶瀏覽器及操作系統(tǒng)版本等信息，插入偽造的登錄頁面進行釣魚，或者對頁面進行掛馬；信息系統(tǒng)存在弱口令漏 澗，使攻擊者能夠利用密碼暴力破解等手段，達到破壞用戶賬 戶安全乃至整個服務器安全的目的。（四）信息系統(tǒng)在管理和制度層面存在缺位高校網(wǎng)絡和信息系統(tǒng)管理人員普遍存在對保障信息系統(tǒng)安全的認識不足、管理責任不明確、管控和應急響應不到位等 問題。在制度建設層面，缺乏相配套的管理制度，例如系統(tǒng)安 全管理制度、日常運維管理制度、應急響應處置制度、安全培訓制度等。管理和制度上的不健全是誘發(fā)信息系統(tǒng)不穩(wěn)定、不安 全的又一重要因素

8、。三、實施信息系統(tǒng)安全等級保護工作的意義（一）國家法律法規(guī)的制度性要求根據(jù)中華人民共和國網(wǎng)絡安全法第二十一條規(guī)定，國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡 改。高校作為教育信息化建設的重要領域，實施信息系統(tǒng)安全 等級保護尤為重要。（二）對信息系統(tǒng)的檢驗和差距分析對照信息系統(tǒng)安全等級保護制度的要求，分別從技術和管理兩個層面對信息系統(tǒng)進行一次全面的檢驗和間題隱患排查。技術層面?zhèn)戎貙ξ锢憝h(huán)境和設備安全、主機和應用安全以及數(shù)據(jù)庫安全等方面進行測查；管理層面則側(cè)重從系統(tǒng)建設和運維

9、管理、安全管理制度、應急響應處肯等方面進行測查。通過全面梳理和檢驗，查找出問題和差距，為信息系統(tǒng)下一步整改工作提供依據(jù)。（三）對信息系統(tǒng)的問題整改和完善根據(jù)測評報告和整改建議，對前期測查出存在安全問題的 信息系統(tǒng)進行針對性整改，以使其符合等級保護標準要求。一 般來說，主要是對信息系統(tǒng)存在的涌洞風險、物理設備安全、主機和應用安全、數(shù)據(jù)安全以及管理制度方面進行整改完善。待 整改完畢后，會對存在的安全問題進行復測復評，若安全風險 仍然存在，將繼續(xù)進行整改，直到重要問題風險被有效解決。四、結(jié)語高校信息系統(tǒng)所暴露出的安全問題日趨嚴重，信息系統(tǒng)遭 受攻擊的破壞程度和社會影響力也逐漸增大，倒逼高校信息系 統(tǒng)管理人員必須重視信息系統(tǒng)安全等級保護工作，保障信息系 統(tǒng)安全穩(wěn)定運行。按照信息系統(tǒng)安全等級保護體系規(guī)范要求， 對所轄信息系統(tǒng)進行等級保護