等保2.0下的高校網絡安全治理探索

◆史蕊

等保2.0下的高校網絡安全治理探索

◆史蕊

（北京第二外國語學院 網絡與信息中心（圖書館） 北京 100024）

國家網絡安全法的頒布實施，為網絡安全治理提供了法律依據，等保2.0是高校網絡安全實踐的具體指導。依據等保2.0，對高校網絡和信息系統實施整體防護和管理，同時加強主動防御機制和能力建設，保障網絡安全法有效落地實施，應對各種網絡安全風險。

網絡安全法；等保2.0；安全治理

近年來，在新技術催化下，我國面臨的網絡安全態勢威脅發生了明顯變化，網絡攻擊手段和方式更隱蔽、復雜，各種攻擊、篡改、數據竊取、后門、網絡詐騙等快速增長，網絡安全事件呈現波及范圍廣、破壞力強、影響惡劣的特征。高校業務部門網站和信息系統建設中安全意識不強，防護措施不到位，缺乏日常管理，服務器漏洞普遍，維護團隊技術有限等，是網絡安全中存在的問題。

2017年6月1日起，大數據時代的個人信息安全挑戰與機遇，維護網絡空間主權、安全和發展利益的法治保障——《中華人民共和國網絡安全法》正式施行。新冠疫情下，全球經濟惡化，社會環境不確定性加劇，網絡安全形勢更加嚴峻。如何有效保障網絡安全法在高校落地實施，加強信息網絡法治建設，加強總體國家安全觀下的網絡安全，塑造以科學的網絡安全觀營造清朗的校園網絡空間，維護校園網絡安全秩序至為重要。

1 國家網絡安全法與等級保護制度

1.1 國家網絡安全法

《中華人民共和國網絡安全法》是我國第一部保障網絡空間安全和安全管理的基礎性法律，它包括《網絡安全法》基本原則，明確了網絡空間的治理目標及法制中的權責和監管。在網安法中強化了網絡運行安全及關鍵信息基礎設施的重點保護，在保護網絡信息安全的同時，也將監測預警與應急處置法制化。有了相關配套法律的支撐，重大事件網上輿論引導、網絡安全專業建設與人才培養，教育網絡安全建設和管理，在實際應用中就有法可依，有據可依。網絡安全工作就更易實施，威脅網絡安全的事件處理也更加科學、高效。

1.2 等保制度與校園網安全

根據網絡安全法規定，國家實行網絡安全等級保護制度。為適應現階段網絡安全的新形勢、新變化以及新技術、新應用發展的要求，國家已將物聯網、云計算、大數據、移動互聯網等新興系統和應用納入了等級保護范疇，對原有等保制度修改和完善，增加漏洞和風險管理，提出等保2.0。高校網絡安全以等保2.0為主要依據，通過對校園網信息系統實行分等級安全保護、對校園網信息安全產品實行按等級管理、對校園網安全事件實行分等級響應和處置，有效提升高校信息系統的安全水平[1]。

2 以等保2.0為依據的網絡安全技術防護和管理措施

高校網絡安全建設管理中，落實網絡安全法，以等保2.0為依據，需要從整體上構筑動態、有彈性的立體防護網，科學地構建高校立體網絡安全防護體系。

2.1 以等保2.0為基礎構建校園整體技術防護

（1）按照等保2.0要求實施技術防護。以智慧校園平臺（含app）和門戶網站作為評測對象，落實等保2.0。涵蓋機房及基礎設施安全的物理環境，保障校園有線、無線網絡具備安全的通信網絡；邊界區域使用防火墻、劃分不同用途的VLan隔離網段，對互聯網區、內網區、DMZ區等實現分區隔離管理。加強網絡設備、認證網關、專業安全設備的管理；對智慧校園平臺、Web、應用系統、數據庫，中間件、移動APP應用等構筑安全的計算環境；加強集中管控平臺、網管監控平臺等的管理。

（2）重點保障關鍵基礎信息設施、關鍵設備安全。保障路由器、交換機的通信安全，服務器、數據存儲等設備安全，保障防火墻、WAF、IDS、IPS、網閘，反垃圾郵件產品、日志系統等專用安全設備運行安全。實行網絡身份鑒定，加強用戶訪問控制和行為審計。對包含操作系統、數據庫的信息系統進行病毒防御和入侵檢測；對系統上線前、上線后定期開展系統漏洞掃描、滲透掃描，健全系統生命周期安全管理；做好數據容災備份和恢復，保障數據安全；維護系統內容安全。建設安全的管理區，應用堡壘機、VPN網關、WAF保護服務器、PC安全，實時監測預警和應急響應。

（3）構建主動防御機制，增強主動防御能力。通過網絡安全態勢感知，構建實時彈性防御體系，避免、轉移、降低信息系統面臨的風險。根據IP、端口、網絡協議等進行主動防御，通過網絡協議、軟件、接口等形成動態防護；通過網管系統、主機監控、網安監控等數據采集，通過流量、日志、漏掃等識別惡意代碼和IP、事件分析處理，自動阻斷。外部聯合WAF、態勢感知及其他網絡監控多級設備聯動，而內網系統通過堡壘機，對異常自動進行切斷[2]?；赪eb監測、流量監測、安全漏洞、入侵事件、設施故障等單點威脅信息動態調整監測、防御策略，檢查內部資產，修復漏洞，下線釣魚網站，清除僵尸網絡，完善監測能力，全天候監測。

2.2 綜合提升網絡安全管理措施

在管理制度、機構、人員，建設管理和系統運維中落實安全管理。加強網絡安全保障機制建設，增強網絡安全領導、管理和執行能力。

（1）高校網絡安全管理中，籌建以黨委（黨組）安全責任制為指導的網絡安全管理機制，加強制度建設頂層設計，制定網絡與信息化、網絡安全管理相關制度和辦法等。落實網絡安全責任，簽訂網絡安全責任書，將責任落實到人；落實上網實名認證，簽訂教職工、學生用戶網絡使用協議書。加強網絡行為審計，保證對上網用戶可管可控，對不良上網行為審計，對網絡和不良郵件信息及時封堵，避免傳播。增強法律意識，認真履行法定義務，樹立底線思維。

（2）加強風險管理和應急響應，完善網絡應急管理和指揮能力建設。管理中以問題為導向，事件驅動，爭取主動先機，著力安全預警與信息通報；運用監督檢查和考核評價手段，遏制各種安全風險，防患于未然。建立多部門協同聯防聯控的網絡安全應急響應、應急管理機制，建立和落實信息安全上報制度，對網絡安全事件進行分級分類管理。事前做好應急預案，開展應急演練；事中快速響應，通過包括安全檢測、信息共享、第三方、現場通報等多渠道獲悉安全信息，降低風險；事后總結經驗教訓，查找根源，避免再次發生，并汲取經驗教訓，持續對后續風險監測評估。

（3）加大網絡安全培訓和教育工作，加強安全隊伍的建設，建立各級多部門專業和管理人員網絡安全共同體，形成有效的聯防聯控。從管理、技術、監控、輿情方面加強人員安全培訓，明確個人崗位職責，不定期組織專業網絡安全培訓，提高專業技術能力。同時組織開展校內二級單位安全管理員和責任人網絡安全培訓，建立和完善高校長效的網絡安全機制[3]。面向校內師生廣泛深入開展網絡安全培訓，進行常態、持續宣傳普及教育。

3 問題與展望

隨著技術的發展，網絡空間的動態開放和長期性，IPV6的應用、軟件定義網絡、網絡虛擬化、大數據等新技術的涌現，為生活帶來便利的同時，也帶來新的挑戰。

（1）IPv6有效地解決了IPv4技術網絡地址不足的問題，但IPv6網絡尚在建設和推廣中，很多高校設備與終端不支持IPv6，未能全面升級更換，存在兼容問題；IPv6對應的網絡安全設備尚未普遍應用，黑客利用IPv6協議繞過傳統安全防護，技術保障措施不到位等使IPV6應用中產生了新問題[4]。

（2）大數據收集數據過程中，信息和數據被惡意篡改、破壞、損失、惡意利用等；移動終端、5G網絡多終端多設備接入，復雜的終端設備接入、移動邊緣計算、網絡切片技術等，開放網絡下5G網絡潛在攻擊侵入對象增多[5]。以5G、人工智能、區塊鏈等為代表的新技術發展應用對網絡安全工作提出了新要求。

貫徹落實網絡安全法，嚴格執行網絡等級保護制度，要加強信息基礎設施網絡安全防護，建立積極主動的動態防御機制，統籌網絡安全信息機制、手段、平臺管理，強化網絡安全事件應急指揮能力建設，普及網絡安全宣傳教育，做到關口前移，防患于未然。依法嚴厲各種網絡犯罪，持續形成高壓態勢，維護高校師生合法權益。

網絡應用是相對、動態的，而安全風險是絕對的、永恒、可知的。網絡又具有相對整體性，通過建立各級部門網絡安全命運共同體，形成有效的聯防聯控，進而持續投入以獲得相應的安全保障。同時要持續開展網絡安全技術研究和探索，為新技術搭建可信的網絡技術設施環境，解決新的網絡環境帶來的安全風險。

[1]吳添君，唐川，楊岳湘.國防科技大學：校園網風險管理實踐[J/OL].中國教育網絡,http://www.edu.cn/info/media/jsgl/wlaq/202103/t20210305_2081191.shtml.

[2]孫佳煒，戴然，闞沁怡，冷佳瑩.基于態勢感知設備安全事件的主動防御技術應用[J].網絡安全技術與應用，2021（02）：105-107.

[3]魯學亮，劉臻.高校分級分類的網絡安全防護體系研究[J].電腦知識與技術，2018，14（31）：43-44+48.

[4]袁偉，劉佳琳，譚振江.IPv6雙棧技術在智慧校園中的應用研究[J].數字技術與應用，2020，38（11）：47-49.

[5]張帆.“互聯網+”背景下網絡安全及防御技術探究[J].數字通信世界，2021（01）：135-136.