高校信息系统安全等级保护工作的必要性

1、高校信息系统安全等级保护工作的必要性摘 要：随着信息技术的高速发展和网络应用的迅速普及，网络信息安全越来越受到社会的广泛关注。原因在于，网络信息安全所涉及领域关乎公共利益、社会稳定、乃至国家安全。其中，高校作为网络信息普及应用的主阵地，网络信息安全工作更加不容忽视。然而，目前大多数高校信息安全保障工作尚处于起步阶段，信息安全意识和信息系统安全防范能力相对薄弱，导致信息系统被破坏事件频发。对此，我们从保障高校信息系统安全角度，对高校信息系统安全等级保护工作的必要性进行研究，以达到促进高校信息系统安全水平和能力提升的目的。关键词：信息系统；安全；等级保护；必要性目 录 TOC o 1-3 h z

2、u HYPERLINK l _Toc15158323 一、信息系统安全等级保护概述 PAGEREF _Toc15158323 h 3 HYPERLINK l _Toc15158324 二、高校信息系统安全现状分析 PAGEREF _Toc15158324 h 3 HYPERLINK l _Toc15158325 （一）信息系统被攻击和破坏的现象频发 PAGEREF _Toc15158325 h 3 HYPERLINK l _Toc15158326 （二）信息系统一旦遭到破坏危害程度巨大 PAGEREF _Toc15158326 h 3 HYPERLINK l _Toc15158327 （三）信

3、息系统自身存在安全漏洞风险 PAGEREF _Toc15158327 h 4 HYPERLINK l _Toc15158328 （四）信息系统在管理和制度层面存在缺位 PAGEREF _Toc15158328 h 4 HYPERLINK l _Toc15158329 三、实施信息系统安全等级保护工作的意义 PAGEREF _Toc15158329 h 4 HYPERLINK l _Toc15158330 （一）国家法律法规的制度性要求 PAGEREF _Toc15158330 h 4 HYPERLINK l _Toc15158331 （二）对信息系统的检验和差距分析 PAGEREF _Toc1

4、5158331 h 5 HYPERLINK l _Toc15158332 （三）对信息系统的问题整改和完善 PAGEREF _Toc15158332 h 5 HYPERLINK l _Toc15158333 四、结语 PAGEREF _Toc15158333 h 5一、信息系统安全等级保护概述信息系统安全等级保护是按照信息系统重要性进行划分， 实行分级管理、分级保护的一项工作。划分等级所依据的标准 是信息系统在国家安全和社会生活中的重要程度以及对国家安全、社会秩序、公共利益等方面的危害程度进行确定。按照 等级保护分类标准，信息系统安全等级被划分为五个安全等级，实行分级保护、分级响应处置。二、高

5、校信息系统安全现状分析（一）信息系统被攻击和破坏的现象频发由千高校信息系统自身存在安全漏洞以及高校网站在搜索引擎中普遍占据较高权重等原因，高校的信息系统、网站常 常遭受到黑客的入侵和攻击。常见的攻击行为有网站被挂马、 挂链；服务器被控制；后台数据被篡改等。高校网站最易遭受 到来自网络游戏、招生咨询、信贷理财等内容的挂马、挂链；高校教务系统、学工系统是遭受数据篡改的重灾区，黑客入侵系 统后会肆意窃取用户的个人信息，篡改学生成绩以及奖惩助贷 等信息数据。（二）信息系统一旦遭到破坏危害程度巨大一般来说，高校信息系统遭受破坏后造成的危害程度大于 中小学校信息系统；985 工程” 院校和211 工程”

6、院校造成的危害程度大于一般高校。承载教学教务管理的信息系统较承载一般业务的信息系统受到攻击破坏后造成的危害程度严重； 承载教学教务管理的信息系统涵盖学籍和学历管理、考试和成 绩管理、学工管理、招生管理等。再者，涉及到学校重要数据和机密的信息系统一且遭到攻击和破坏后，危害程度会更加严重（三）信息系统自身存在安全漏洞风险信息系统自身存在安全漏洞问题是信息系统遭受攻击和破坏的主要因素。据最新数据统计，近几年高校信息系统安全 漏洞在数篮和种类上都呈现出上升趋势。信息系统安全漏洞种类繁多，比较常见的有敏感信息泄露、弱口令、SQL盲注、XSS 跨站脚本等。例如， 攻击者利用 xss 跨站漏洞插入任意HTM

7、L/JavaScript 代码到页面中，获取用户会话 cookie、用户访问URL、用户浏览器及操作系统版本等信息，插入伪造的登录页面进行钓鱼，或者对页面进行挂马；信息系统存在弱口令漏 涧，使攻击者能够利用密码暴力破解等手段，达到破坏用户账 户安全乃至整个服务器安全的目的。（四）信息系统在管理和制度层面存在缺位高校网络和信息系统管理人员普遍存在对保障信息系统安全的认识不足、管理责任不明确、管控和应急响应不到位等 问题。在制度建设层面，缺乏相配套的管理制度，例如系统安 全管理制度、日常运维管理制度、应急响应处置制度、安全培训制度等。管理和制度上的不健全是诱发信息系统不稳定、不安 全的又一重要因素

8、。三、实施信息系统安全等级保护工作的意义（一）国家法律法规的制度性要求根据中华人民共和国网络安全法第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡 改。高校作为教育信息化建设的重要领域，实施信息系统安全 等级保护尤为重要。（二）对信息系统的检验和差距分析对照信息系统安全等级保护制度的要求，分别从技术和管理两个层面对信息系统进行一次全面的检验和间题隐患排查。技术层面侧重对物理环境和设备安全、主机和应用安全以及数据库安全等方面进行测查；管理层面则侧重从系统建设和运维

9、管理、安全管理制度、应急响应处肯等方面进行测查。通过全面梳理和检验，查找出问题和差距，为信息系统下一步整改工作提供依据。（三）对信息系统的问题整改和完善根据测评报告和整改建议，对前期测查出存在安全问题的 信息系统进行针对性整改，以使其符合等级保护标准要求。一 般来说，主要是对信息系统存在的涌洞风险、物理设备安全、主机和应用安全、数据安全以及管理制度方面进行整改完善。待 整改完毕后，会对存在的安全问题进行复测复评，若安全风险 仍然存在，将继续进行整改，直到重要问题风险被有效解决。四、结语高校信息系统所暴露出的安全问题日趋严重，信息系统遭 受攻击的破坏程度和社会影响力也逐渐增大，倒逼高校信息系 统管理人员必须重视信息系统安全等级保护工作，保障信息系 统安全稳定运行。按照信息系统安全等级保护体系规范要求， 对所辖信息系统进行等级保护