新时期高校信息安全等级保护研讨
摘要:鉴于目前复杂性的网络环境与信息系统固有的特点,针对高校信息安全的隐患威胁愈以突出,网络不良形势越发令人堪忧。基此,文章结合信息安全等级界定、高校信息安全现状、等级保护应对策略三个层次,系统展开新时期高校信息安全等级保护探讨研究。
关键词:网络安全;高校信息保护;安全等级;探讨研究
伴随网络计算机信息技术的全面普及,各行业领域对信息系统的应用也变得更加广泛。高校校园文化作为学术理论研究的阵地前沿,信息化系统发展建设更加迅猛。但就在云计算、大数据以及“互联网+”技术新革命风起云涌的同时,一些类似DDOS攻击、BIOS后门、伪基站等各类型网络攻击也见缝插针,触目惊心,网络保障以及信息安全问题,已经成为新时期高校信息建设发展的头等要务,迫在眉睫。
1走出网络深水区:信息安全保护的等级界定
就全球化形势而言,信息网络安全问题变得异常严峻,由于敞开门户,任何任何网络平台都面临着全球化的恶意攻击,防护不当都将沦陷身份被假冒、数据被窃取的网络深水区。纵观信息安全的系统设置,重在完整化、机密化以及可用化三大建设环节,成为安全保护的焦点话题。现有的信息信安全保护大致分为五个等级:信息系统遭受破坏,造成公民、企业法人及商业组织合法权益一定的损害,但并未损害公共秧序、社会利益以及国家安全的,此为第一等级;信息系统遭受破坏,由此带来公民、企业法人以及商业组织合法权益严重损害的,或导致公共秩序与社会利益受到侵害,但并危害国家安全的,列为第二等级;信息系统遭受破坏,导致公共秩序与社会利益变到严重侵害,或者导致国家安全受到损害的,列为第三等级;信息系统遭受破坏,导致公共秩序与社会利益遭受较为严重损害的,或者导致国家安全受到严重损害的,列为第四等级;信息系统遭受破坏,导致国家安全遭受特别严重侵害的,列为第五等级。
2摆查问题旧症结:高校信息安全系统的运行现状
就目前而言,受网络大环境不良因素的影响,高校信息安全等级保护工作问题不少,纠结不断。
2.1观念意识不到位
不少高校尚未将信息安全等级防护摆到重要议事日程,普遍认为有效的资金难以支撑过多的管理成本,信息安全定级过高势必要增加管理成本,相比之下,同样的投入却得不到应有的回报。
2.2专项资金难落实
相当部分高等院校办学经费紧张,信息化建设的主要经费全部投入到网络基础设施上,尚欠不足,导致信息安全专项资金难以落实,安全等级保护工作举步维艰。
2.3技术力量难到位
相应来说,高校作为新时期教研工作的桥头堡,专业师资力量均较为雄厚,但大部分忙碌于日常教学工作,真正能扑下身来致力技术防护工作的少之又少,致使高校网络安全保护长期处于空白地带,究其根本还是制度落实的问题,管理不到位的问题。2.4制度衔接不得力部分的二级单位与本校主干信息渠道、网站底数理不清,缺乏协作精神,各自为政,热衷唱“独角戏”,导致网络衔接不力,安全防护难统一。同时,还存在一些教研机构搞校外开发,替外单位开展校内系统运营的问题。
3提升安全新高度:高校信息等级保护的应对策略
3.1促规范,以实施标准化流程为要
概括而论,高校信息安全等级保护工作的实施重点,在于建章立制,在于严格遵循主管部门以及公安机关的安全规范要求,严格履行标准化的网络安全八大规则流程。一是认清形势,明确安全责任的主体意识。将信息安全主管单位定责为定级工作主体,系统负责网络使用、网络运行及维护单位的系统安全定级组织工作;二是运筹帷幄,推动自主定级的普及工作。首先针对安主等级保护要求,将管理工作自主准确入位,必须明确自主定级原则,落实自主保护意识;三是专业评审,请专家现身说法。主管单位在自主定级全面完成后,要走出去、请进来,聘请安全等级相关专家进行现场说法,进一步评审自主定级的信息系统安全情况,形成专业评审意见,全面落实安全定级的准确性;四是稳扎稳打,严格主管审批关。由主管单位审批完成后,组织归纳专家对信息系统的评审意见,认真填写相关的定级报告及备案,最终报送直属主管教育部门审批,并由主管上级出具最终定级意见;五是规范有序,系统报请公安部门备案。凡定级到二级以上者(含二级),相关高校必须将信息系统备案当地安保网监部门审核并备案待查;六是拾遗补缺,全面展开差距测评。在完成系统定级备案之后,相关高校应积极引入第三方参与比较评测,借助第三方熟悉业界教育的优势,进一步完善规范标准,对照差距评测结果整体进行整改规范;七是整改到位,借力验收测评促保障。完成差距评测整改后,相关高校应马不停蹄,委托专业资质较强的第三方机构(必级对教育特别熟悉),依据行业要求与安全保护标准,系统而详细地进行验收测评,出具验收评价结果,送达安保部门备案,进而整体完成等级评定工作。
3.2多策略,以全面加强安全保障为重
立说贵在力行,制度规范到位,关键要看保障措施到位与否。因此,要系统落实高校网络系统安全保护工作,应重在多策并举的行动上。首先,要未雨绸缪,安全意识先行。必须全面加大信息安全的宣传力度,实行网络安全例会制,建立安全保护领导机制,将安全保护建设系统纳入校园文化体系当中,自上而下整体形成良好的舆论氛围;其次,要不懈进取,团队力量当行。高校信息安全保护,离不开得力的技术团队支撑。因此,技术团队得力与否,直接关乎安全等级保护整体工作的成败,各大高等院校必须充分认识到这个问题,务必要把建设精干的专业队伍建设摆到重要议事日程上来,要善于两条腿走路,既要广纳贤才,又要致力现有力量的综合素质培养;另外,要建章立制,进一步完善管理制度,健全安全管理组织。制度不应当只是上墙的面子工程,而应当是鞭策规范、落实到行动中的不二法则,不仅执行有度,更要为安全保护专项预算做保障。因此,高校信息管理的当务之急,应保证安全制度的权威性,并结合本校实际系统完善落实有关保护等级工作的新制度、新措施,稳扎稳打落实好专项资金投入,为新时期高校网络安全保护工作献计献策,多做一些积极的实际努力。
参考文献
[1]胡铮.网络与信息安全[M].北京:清华大学出版社,2006.
[2]许桂芳.浅谈局域网安全防范[J].农业网络信息,2007(02):62-66.
[3]翁小兰.VLAN技术在校园网中的应用[J].网管员世界,2005(04):72-73.
作者:罗九久 单位:广西昊华科技股份有限公司