等保2.0框架下高校網(wǎng)絡(luò)安全體系建設(shè)

朱圣才

摘 ? 要：網(wǎng)絡(luò)安全等級保護2.0制度（以下簡稱等級保護2.0）已于2019年12月1日開始實施，為我國網(wǎng)絡(luò)安全等級保護工作提供新的指南，是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度。相比等級保護1.0時代，等級保護2.0時代更加注重主動防御，在安全通用要求基礎(chǔ)上對云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)提出了安全擴展的要求，覆蓋度更加全面。文章基于等級保護2.0的防護框架，以高校信息化建設(shè)挑戰(zhàn)為出發(fā)點，建設(shè)高校網(wǎng)絡(luò)安全防護體系，是解決目前高校網(wǎng)絡(luò)安全等級保護覆蓋率低、推進高校信息化建設(shè)的重要途經(jīng)，是落實高校網(wǎng)絡(luò)安全建設(shè)的重要組成部分。

關(guān)鍵詞：等級保護;網(wǎng)絡(luò)安全;信息化;模型;體系建設(shè)

中圖分類號： TP393.08 ? ? ? ? ?文獻標識碼：A

Abstract： The Cybersecurity Classified Protection 2.0 system has been formally implemented on December 1， 2019， which provides new guidance for the work of Cybersecurity Classified Protection in China. It is the basic national policy and basic system in the field of Cybersecurity. Compared with the 1.0 era， the 2.0 era pays more attention to active defense. On the basis of general security requirements， it puts forward security expansion requirements for cloud computing， Internet of things， mobile Internet， industrial control and big data， with more comprehensive coverage. Based on the protection framework of Classified Protection of Cybersecurity 2.0 and the challenge of information construction in Colleges and universities， the paper constructs the Cybersecurity protection system in Colleges and universities to solve the low coverage of Classified Protection of Cybersecurity 2.0. It is an important way to promote the information construction and an important part of the implementation of Cybersecurity construction in Colleges and universities.

Key words： classified protection; cybersecurity; informatization; model; system construction

1 引言

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）為網(wǎng)絡(luò)安全等級保護制度的落地實施提供了基本的保護要求清單，網(wǎng)絡(luò)安全等級保護系列標準的正式發(fā)布標志著網(wǎng)絡(luò)安全等級保護由1.0時代邁入2.0時代，由此明確等級保護2.0時代的工作要求。高校作為各自網(wǎng)絡(luò)安全等級保護的責(zé)任主體，有落實網(wǎng)絡(luò)安全等級保護2.0的義務(wù)。因此，構(gòu)建高校網(wǎng)絡(luò)安全等級保護2.0框架下的高校網(wǎng)絡(luò)安全體系，是構(gòu)建完善的高校防御體系，賦予專業(yè)的運維管理、建立安全保護制度、落實安全責(zé)任的重要途經(jīng)。

2 等級保護2.0

等級保護1.0時代，《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）為我國信息安全等級保護制度的推進與落實提供了指導(dǎo)，在等級保護1.0時代的10年里，《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）為各行業(yè)、各領(lǐng)域開展信息系統(tǒng)安全等級保護的建設(shè)、整改、測評提供了指導(dǎo)。隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、移動應(yīng)用等新興技術(shù)的發(fā)展，《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）在易用性、普適性、可操作性上需要進一步完善，適應(yīng)新技術(shù)、新環(huán)境、新時代的需求。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》（本文簡稱《網(wǎng)絡(luò)安全法》）正式實施，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度”，至此網(wǎng)絡(luò)安全等級保護工作正式進入法治時代;2019年12月1日，網(wǎng)絡(luò)安全等級保護2.0正式實施，標志著《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）正式實施。網(wǎng)絡(luò)安全等級保護2.0時代就此落地。相比等級保護1.0時代，網(wǎng)絡(luò)安全等級保護2.0具有四點優(yōu)勢。

（1）適合《網(wǎng)絡(luò)安全法》中的專業(yè)表述?！缎畔踩夹g(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調(diào)信息系統(tǒng)安全等級保護;《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）中強調(diào)網(wǎng)絡(luò)安全等級保護，信息系統(tǒng)安全等級保護到網(wǎng)絡(luò)安全等級保護是落實《網(wǎng)絡(luò)安全法》中國家實行網(wǎng)絡(luò)安全等級保護制度的核心措施之一，是完善新時代網(wǎng)絡(luò)安全工作法治化的有效手段。

（2）提出安全通用要求和安全擴展要求概念模型?！缎畔踩夹g(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調(diào)各個級別的安全要求;《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）中強調(diào)安全通用要求和安全擴展要求，安全通用要求具有較強的普適性，安全擴展要求具有較強的可擴展性，包括云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等。

（3）等級保護對象不再限定?！缎畔踩夹g(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調(diào)信息系統(tǒng)安全等級保護的對象為單個的信息系統(tǒng);《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）中強調(diào)網(wǎng)絡(luò)安全等級保護的對象為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動互聯(lián)技術(shù)的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。

（4）基本要求控制層面更加完善。《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調(diào)技術(shù)層面的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和備份與恢復(fù)，管理層面的安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理;《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）中強調(diào)技術(shù)層面的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心，管理層面的安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。

3 等級保護2.0挑戰(zhàn)高校信息化建設(shè)

網(wǎng)絡(luò)安全等級保護2.0時代，相比1.0時代的“自主定級、自主保護、監(jiān)督指導(dǎo)”轉(zhuǎn)為“明確等級、增強保護、常態(tài)監(jiān)管”的安全體系建設(shè)。同時，等級保護2.0時代還突出風(fēng)險評估、安全監(jiān)測、通報預(yù)警、應(yīng)急響應(yīng)與應(yīng)急處置。構(gòu)建一體化的網(wǎng)絡(luò)安全綜合防控體系是目前高校信息化建設(shè)遇到的主要挑戰(zhàn)。

（1）數(shù)據(jù)中心網(wǎng)絡(luò)安全等級保護2.0建設(shè)尚未落實。等級保護1.0時代，信息化建設(shè)以信息系統(tǒng)為基本單位，等級保護以信息系統(tǒng)為基本單位進行定級、備案、測評、整改?；诟咝Ｐ畔⑾到y(tǒng)基數(shù)較高，互聯(lián)網(wǎng)訪問的信息系統(tǒng)數(shù)量以千為數(shù)量級的不在少數(shù)，以等級保護1.0的機制處理這類問題，存在工作量大、體制機制不完善、人員經(jīng)費不配套等一系列問題。網(wǎng)絡(luò)安全等級保護2.0為該項工作提供了一種較好的處理方案，以學(xué)校數(shù)據(jù)中心為等級保護對象，對數(shù)據(jù)中心進行定級、備案、測評、整改工作，其他服務(wù)以數(shù)據(jù)中心為底層架構(gòu)，依附于學(xué)校數(shù)據(jù)中心，減少等級保護的工作量。然而，等級保護2.0啟動處于初始階段，高校數(shù)據(jù)中心網(wǎng)絡(luò)安全等級保護建設(shè)尚未落實，還需一定的時間進行完善。

（2）事前監(jiān)測預(yù)警工作尚未取得成效。網(wǎng)絡(luò)安全等級保護2.0明確提出網(wǎng)絡(luò)安全監(jiān)測預(yù)警工作，包括態(tài)勢感知、流量監(jiān)控、APT攻擊等，高校信息化建設(shè)是服務(wù)于學(xué)校的教學(xué)、科研和管理。信息化角色更多的體現(xiàn)在服務(wù)上，類似的態(tài)勢感知、APT攻擊都是基于網(wǎng)絡(luò)安全防控體系的構(gòu)建，需要大量的經(jīng)費和人力支撐，目前尚未有高校有比較成熟的網(wǎng)絡(luò)安全監(jiān)測預(yù)警方案。多數(shù)高校采用購買服務(wù)的形式與監(jiān)測預(yù)警進行關(guān)聯(lián)，這種工作模式尚未真正達到事前監(jiān)測預(yù)警的目的，成效不顯著。

（3）網(wǎng)絡(luò)安全綜合防控體系尚未建成。網(wǎng)絡(luò)安全綜合防控體系是等級保護2.0時代和網(wǎng)絡(luò)安全法治時代對網(wǎng)絡(luò)安全工作的建設(shè)要求，網(wǎng)絡(luò)安全綜合防控體系最典型、最顯著的一個成效就是365×24的監(jiān)控體系的建成。例如，國家重要網(wǎng)絡(luò)安全保障時段、各省份重要網(wǎng)絡(luò)安全保障時段、各高校寒暑假時段等，如何應(yīng)對此類時間段的365×24的網(wǎng)絡(luò)安全保障。目前尚未有較為成型或者參考的方案，各高校網(wǎng)絡(luò)安全綜合防控體系尚未建成。

（4）網(wǎng)絡(luò)安全執(zhí)法檢查力度進一步加強?！毒W(wǎng)絡(luò)安全法》正式實施，為網(wǎng)絡(luò)安全等級保護工作的執(zhí)法檢查提供了明確的法律支撐。然而高校網(wǎng)絡(luò)安全建設(shè)與信息化建設(shè)未落實“同步規(guī)劃、同步實施”的原則，網(wǎng)絡(luò)安全建設(shè)遠遠滯后于信息化建設(shè)?；诖?，公安部門對高校的網(wǎng)絡(luò)安全執(zhí)法力度相對較頻繁，以華東師范大學(xué)為例，每年公安網(wǎng)絡(luò)安全等級保護執(zhí)法檢查2次。

（5）移動互聯(lián)應(yīng)用尚未納入等保工作范疇。隨著移動APP的發(fā)展，各高校都建設(shè)有自己的官方移動APP、教學(xué)APP、科研APP等，但這類移動APP的建設(shè)工作尚未納入網(wǎng)絡(luò)安全等級保護工作要求。移動互聯(lián)應(yīng)用未完成網(wǎng)絡(luò)安全等級保護備案、互聯(lián)網(wǎng)信息服務(wù)備案、教育移動應(yīng)用程序備案等一系列規(guī)范化的工作。

4 基于等級保護2.0框架下高校網(wǎng)絡(luò)安全建設(shè)模型

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）規(guī)定，網(wǎng)絡(luò)安全等級保護第一級到第四級的保護對象均按照安全通用要求和安全擴展要求構(gòu)成，即安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求、大數(shù)據(jù)安全擴展要求，建立“可信、可控、可管”的網(wǎng)絡(luò)安全防護體系。

（1）可信。即可信認證為基礎(chǔ)，構(gòu)建一個可信的業(yè)務(wù)系統(tǒng)執(zhí)行環(huán)境，即用戶、平臺、程序都是可信的，確保用戶無法被冒充、病毒無法執(zhí)行、入侵行為無法成功。可信的環(huán)境保證業(yè)務(wù)系統(tǒng)永遠都能夠按照設(shè)計的預(yù)期的方式執(zhí)行，不會出現(xiàn)非預(yù)期的流程，從而保障業(yè)務(wù)系統(tǒng)安全可信。

（2）可控。即以訪問控制技術(shù)為核心，實現(xiàn)主體對客體的受控訪問，保證所有的訪問行為均在可控范圍之內(nèi)進行，在防范內(nèi)部攻擊的同時有效地防止從外部發(fā)起的攻擊行為。對用戶訪問權(quán)限的控制可以確保系統(tǒng)中的用戶不會出現(xiàn)越權(quán)操作，永遠都按照系統(tǒng)設(shè)計的策略進行資源訪問，保證系統(tǒng)的信息安全可控。

（3）可管。即通過構(gòu)建集中管控、最小權(quán)限管理和三權(quán)分立的管理平臺，為管理員創(chuàng)建一個工作平臺，使其可以進行技術(shù)平臺支撐下的安全策略管理，從而保證信息系統(tǒng)安全可管。

網(wǎng)絡(luò)安全層面建立以結(jié)構(gòu)安全、訪問控制、安全審計、邊界安全檢查、入侵防范、惡意代碼防范、設(shè)備防護為主要控制點;主機安全層面建立以身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制為主要控制點;應(yīng)用層面建立以身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、防抵賴、軟件容錯、資源控制為主要控制點;數(shù)據(jù)安全層面建立以數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)為主要控制點。基于《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）的網(wǎng)絡(luò)安全等級保護技術(shù)體系。 結(jié)合高校信息化建設(shè)的現(xiàn)狀，以解決網(wǎng)絡(luò)安全等級保護2.0時代高校信息化建設(shè)的挑戰(zhàn)為目標，設(shè)計符合普適性、安全性、有效性并舉的高校網(wǎng)絡(luò)安全綜合防御體系是教育行業(yè)網(wǎng)絡(luò)安全工作者需要探索的課題。

人員角色是以高校網(wǎng)絡(luò)安全與信息化團隊為核心，以高校信息化建設(shè)用戶為安全責(zé)任單位，以應(yīng)用系統(tǒng)開發(fā)商為運維的角色劃分。各司其職，完成“可信、可控、可管”體系中的可管。

分層設(shè)計是以高校數(shù)據(jù)中心建設(shè)為基礎(chǔ)，高校網(wǎng)絡(luò)安全與信息化團隊建立學(xué)校高質(zhì)量數(shù)據(jù)中心，對高校信息化建設(shè)用戶提供操作系統(tǒng)、存儲等部署環(huán)境。應(yīng)用系統(tǒng)開發(fā)商在現(xiàn)有環(huán)境下完成系統(tǒng)部署。高校網(wǎng)絡(luò)安全和信息化團隊對學(xué)校數(shù)據(jù)中心下的安全負責(zé)，高校信息化建設(shè)用戶對接收到的操作系統(tǒng)、存儲等部署環(huán)境負責(zé)，應(yīng)用系統(tǒng)開發(fā)商對應(yīng)用系統(tǒng)及所需的中間件安全負責(zé)。

分類等保是以高校數(shù)據(jù)中心為核心，首先完成高校數(shù)據(jù)中心的網(wǎng)絡(luò)安全等級保護定級、備案、測評、整改，由高校網(wǎng)絡(luò)安全與信息化團隊為主要責(zé)任單位落實;以各級應(yīng)用系統(tǒng)為子對象，以高校數(shù)據(jù)中心網(wǎng)絡(luò)安全等級保護材料為底層支撐，由各二級單位負責(zé)響應(yīng)子對象的網(wǎng)絡(luò)安全等級保護工作。

網(wǎng)絡(luò)分區(qū)是以數(shù)據(jù)中心核心區(qū)、有線網(wǎng)絡(luò)辦公區(qū)、無線網(wǎng)絡(luò)用戶區(qū)進行網(wǎng)絡(luò)策略管控，數(shù)據(jù)中心執(zhí)行最嚴格的網(wǎng)絡(luò)管控策略。

綜合上述，由此建立高校網(wǎng)絡(luò)安全綜合防御體系。

構(gòu)建基于網(wǎng)絡(luò)安全等級保護2.0框架下的高校網(wǎng)絡(luò)安全綜合防御體系，能夠進一步提高高校網(wǎng)絡(luò)安全防護能力，促進高校網(wǎng)絡(luò)安全穩(wěn)定運行，為網(wǎng)絡(luò)安全等級保護在高校進一步落地實施提供了方案。因此，該設(shè)計模型嚴格遵守網(wǎng)絡(luò)安全等級保護2.0系列標準原則，體系化設(shè)計，保障了網(wǎng)絡(luò)安全防護體系高效且可操作。

5 結(jié)束語

本文基于網(wǎng)絡(luò)安全等級保護2.0安全架構(gòu)防護體系和高校網(wǎng)絡(luò)安全現(xiàn)狀工作機制，建立基于等保2.0框架下的高校網(wǎng)絡(luò)安全體系建設(shè)模型，以《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）為安全保障依據(jù)，以高?，F(xiàn)有網(wǎng)絡(luò)安全環(huán)境為設(shè)計背景，以高校人員隊伍數(shù)量為前提，建立了等保2.0框架下的動態(tài)安全防護，實現(xiàn)高校網(wǎng)絡(luò)安全等級保護“一個中心，三重防御”的主動防御、動態(tài)防護的思想，讓“可信、可控、可管”策略在高校信息化建設(shè)中得以落地。

參考文獻

[1] 曲潔，范春玲，陳廣勇，等.新時代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路[J].信息網(wǎng)絡(luò)安全，2019，19（1）：83-87.

[2] GB/T 22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S].北京：中國標準出版社，2008.

[3] GB/T 28448-2012.信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求[S].北京：中國標準出版社，2012.

[4] 中華人民共和國網(wǎng)絡(luò)安全法[EB/OL].http：//www.npc.gov.cn/npc/，2016-11-7.

[5] 郭啟全.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護制度培訓(xùn)教程[M].北京：電子工業(yè)出版社，2018.

[6] 馬力，祝國邦，陸磊，等.《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J]. 信息網(wǎng)絡(luò)安全，2019，19（2）：77-84.

[7] GB/T 22239-2019.信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[S].北京：中國標準出版社，2019.