等保2.0下高校網絡安全主動防御體系建設方向探析

孔垂煜

等保2.0下高校網絡安全主動防御體系建設方向探析

孔垂煜

（福建莆田學院，福建 莆田 351100）

伴隨著物聯網、人工智能、云計算、大數據等互聯網技術的飛躍式發展，舊標準也已經難以滿足如今日新月異的網絡環境下的安全要求，高校所面臨的網絡環境愈發曲折多變，隨之而來的是網絡安全形勢也愈發復雜嚴峻。論文介紹了互聯網安全等級保護不斷完善進步的發展歷程，解析討論了等保2.0標準相對于1.0的差異改變，最后以互聯網安全等級保護2.0的新要求為基礎，深入分析了未來高校網絡安全主動防御體系的發展前景和建設方向。

網絡安全；主動防御；建設方向

自2015年始，為了逐步滿足物聯網、移動互聯、云計算等互聯網新應用、新業務的安全防護要求，我國開始著手制定互聯網安全等級保護的2.0要求標準。相較于以前使用的1.0標準中的被動防御，如今應用的2.0標準采取的是主動防御的模式來進行系統防護。下文就等保2.0下的高校網絡安全主動防御體系發展前景和建設方向進行了探討。

一 互聯網安全等級保護2.0

（一）互聯網安全等級保護的發展歷程

在世界互聯網技術的飛躍式變革發展的科技背景下，我們必須對愈加嚴峻的互聯網安全問題予以高度的重視、規范和防護。針對此種現狀，西方部分發達國家及時展開了行動，為了達到對各行各業的互聯網信息安全工作都進行科學指導和嚴格管理的目的，西方各國針對互聯網安全等級保護的實際要求，根據各行各業互聯網信息系統的重要程度，將其分為不同的安全等級，最后制定了一整套針對互聯網安全等級保護的網絡政策和防護標準。考慮到我國當前的網絡安全形勢和實際網絡環境，緊隨其后，在1994年，國務院簽署下發了《中華人民共和國計算機信息系統安全保護條例》，該基本條例為我國互聯網信息安全保護工作的開展提供了綱領性和決定性的指導。隨后在經歷了十幾年的互聯網環境的探索和剖析之后，我國又相繼制定了一整套從計算機系統的定級再到互聯網安全等級保護的測評的從中央到地方的網絡法規政策，在這些法規條例的規范下，我國的網絡安全工作正向著積極健康的方向穩步發展。

伴隨著《中華人民共和國網絡安全法》在網絡生活中的推進實施，以及各類互聯網安全等級保護相關標準規定的出臺，全國各行各業的互聯網部門及網絡監管部門積極響應國家政策，按照國家出臺的標準要求各行業的網絡安全系統實行先定級后測評的操作流程，建立、健全各行業的網絡信息安全管理制度，迅速響應落實國家要求的各項安全保護技術措施，主動開展各行各業信息系統的互聯網安全等級保護工作，維護好互聯網信息安全環境。

（二）互聯網安全等級保護標準2.0與1.0的區別

1.標準名稱的變化。為了與《中華人民共和國網絡安全法》中的相關法律法規名稱保持相同，互聯網安全等級保護標準2.0改為《信息安全技術網絡安全等級保護基本要求》，而舊標準等保1.0被稱為《信息安全技術信息系統安全等級保護基本要求》。

2.標準內容的變化。過去的互聯網安全等級保護1.0標準要求使用IDS、防火墻、殺病毒來被動防御，而最新版本的等保2.0標準要求系統防護要由主動防御替代被動防護。為了逐步滿足物聯網、移動互聯、云計算等互聯網新應用、新業務對當前互聯網環境的安全防護要求，互聯網安全等級保護2.0標準要求在安全擴展和安全通用這兩方面有所革新。在這之中，安全擴展的要求可以分為移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求和云計算安全擴展要求這幾類，注重在移動互聯、物聯網、工業控制和云計算這幾個新領域、新環境應用的個性化需求，而安全通用則注重的是共性的互聯網安全保護需求這一部分。

3.控制措施分類結構的變化。在技術要求和管理要求層面上，過去的互聯網安全等級保護1.0標準的控制措施可以分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理十類，相較之下，等保2.0標準的控制措施縮減調整為物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、安全策略和管理制度、安全管理機構和人員、安全建設管理和安全運維管理八類。

4.標準控制點和要求項的變化。同過去的互聯網安全等級保護1.0標準比較，等保2.0標準在控制點要求上沒有發生太多改變，反而在經過對舊標準中幾項相關要求的整理合并后，新標準的控制點和要求項在數量上反而有所縮減，如等保2.0新標準的三級控制點就由73個縮減為71個，三級要求點則由290個縮減為231個。

5.等保2.0技術部分變化簡析。為了更好地滿足物聯網、移動互聯、云計算等互聯網新應用、新業務對當前互聯網環境的安全防護要求，相較于著重于安全防護的等保1.0舊標準，互聯網安全等級保護2.0標準針對快速響應、持續監測以及威脅情報這幾類的要求進行深入剖析，給出了具體的指導思路和詳盡的防御執行措施。

與舊標準進行各方面的分析比對，互聯網安全等級保護2.0標準更加適用于當前迅猛發展的新型復雜的網絡應用環境，并為此給出了實用、周密、全面的指導思路和切實可用的網絡安全建設標準，我們可以自豪地說新標準的改革創新在各方面都相當顯著。為此，我們應當把網絡安全等級保護標準落實成為重要的指導思路和建設依據，在滿足《中華人民共和國網絡安全法》相關法律條文要求的基礎上，主動建立網絡安全等級保護的防御制度，在應用中鍛煉互聯網信息系統的網絡安全綜合防御能力，構建出一系列求全完備的網絡安全防御體系。

二 高校網絡安全主動防御體系建設

作為最傳統有效的網絡防護安全設備，網絡版殺毒軟件和防火墻都提供著最基本的網絡安全防護，對于高校網絡環境來說它們是不可或缺的。網絡版殺毒軟件在保護計算機不受蠕蟲、病毒、木馬等入侵干擾的同時，對其它網絡病毒的入侵干預也具有一定程度上的安全防御能力。防火墻部署在高校的公共網與專用網之間、廣域網和局域網之間的邊界上，可以有效避免非法用戶入侵內部網絡。傳統的安全設備作為互聯網主動防御安全體系的堅實基礎，高校千萬不能對傳統基礎棄之不顧。除此之外，防毒墻也具有過濾病毒，掃描網關傳輸數據流，阻止病毒借由網絡傳輸過程由網關處入侵內部網絡的重要作用，因此，除了網絡版殺毒軟件和防火墻之外，高校在網絡安全主動防御體系的建設中，設置防毒墻也是很有必要的。

（一）主動阻斷攻擊

學校的網絡安全防護部門都希望一旦檢測到病毒入侵攻擊就能立刻阻斷網絡傳輸以避免造成更大的損失，難以忍受等到關鍵的網絡信息系統遭受到病毒攻擊，產生難以彌補的損失后再來進行收效甚微的事后補救。針對這種實際需求，高校網絡安全主動防御體系建設要求在網絡入侵防護這一方面，能夠在發現病毒入侵的同一時刻，及時主動地有所響應反應并立刻隔離阻止入侵過程。作為一項極為高瞻遠矚的安全防御機制，入侵防御系統完美順應了網絡安全保障體系中安全功能融合的主流趨勢，它不是在網絡流量活動傳輸惡意數據的同一時間或者在此之后，簡單地做出警報應對，而是可以檢測出日常網絡流量中傳輸的惡意數據流、前瞻性地主動攔截可能發起攻擊的惡意流量、阻止入侵病毒的肆虐活動。在互聯網安全等級保護2.0標準的背景下，入侵防御系統作為高校網絡安全主動防御的關鍵技術，已經成為了主動防御安全體系不可或缺的重要組成部分。但我們不得不承認的是，目前各大高校網絡安全主動防御體系中的入侵防御系統依然存在著很多不足之處，諸如誤報率高這一問題就會嚴重影響到學校日常的網絡業務運行。誤報率過高會阻隔后續運行過程中的數據包正常傳輸，最后不管數據量正常還是異常，都會直接導致后續的服務被拒。因此各大高校應當結合學校需要的網絡業務的實際情況，從實際情況出發對防護策略進行合理的配置和優化，盡最大可能來降低IPS的數據誤報率。

（二）明確接入系統的人員身份

在互聯網安全等級保護2.0新標準的背景下，高校網絡安全主動防御體系建設中的準入系統也發揮著非常重要的作用。該系統要求了解接入系統的人員身份，不管是學生、老師，還是安全系統維護人員，要對接入人員的身份有著準確的認知，避免學校內網中違規的對外聯絡的事件發生，以此種方式來保證高校后續網絡防御工作的安全措施及安全運行維護能夠正常開展。高校網絡安全主動防御體系建設中的準入系統落實到日常的工作開展中，應當以部署安全設備，諸如堡壘機和雙重因素認證等作為基礎，對接入人員的身份采用高可靠性和高安全性的準入身份認證模式進行認證，以此確認接入網絡用戶身份的可靠性，同時也確保了唯一的網絡出口，嚴格控制了高校內網越權訪問及非法訪問的事件發生。

（三）及時發現并修補漏洞

由于互聯網系統自身就存在著許多缺陷漏洞，這些缺陷漏洞很容易就可以被病毒捕捉和利用，因此我們的網絡會經常性地受到攻擊入侵。但對于學校而言，網絡系統上存在的絕大多數的缺陷漏洞不光是易于病毒捕捉，我們也可以事先知曉。為此高校可以預先采取主動防御措施，定時更新網絡漏洞庫，利用漏洞掃描器有規律地定時掃描網絡及網絡中的網絡設備和網絡終端，及時識別出最新型的網絡漏洞并對其進行修復防護。

（四）數據庫主動防護

在互聯網安全等級保護2.0新標準背景下，高校網絡安全主動防御體系建設中最后一個提到的基礎設施是數據庫防火墻。數據庫防火墻作為最為基礎、直接、高效的數據庫防御工事，已經逐漸受到了各大高校的關注。等保1.0舊標準應用操作審計、被動類型的設備，與之對應的方案是配備日志庫審計、數據審計類設備，而這些設備，顯而易見的，已經不符合等保2.0標準下安全防護模式所制定的主動防御的要求。數據庫防火墻基于數據庫協議分析與控制技術，應當部署在數據庫服務器前，采用主動防御的安全防護機制，利用語句攔截和中斷會話兩種方式來實現高校網絡安全中的威脅防御。

（五）定期的安全服務

除了部署主動防御的安全設備這種基礎性措施以外，高校網絡安全主動防御體系的建設也需要很多定期定時的安全服務，從服務類型上主要可以分為以下三類：

1.滲透測試服務。該安全服務是由學校的網絡安全維護人員扮演模擬黑客行為，站在黑客攻擊學校網絡的角度，采用可能的漏洞發現技術和攻擊技術來入侵攻擊學校網絡安全防御體系，以主動攻擊的方式深入探尋測試目標系統在黑客打擊下的高校網絡安全防護能力能否經得起考驗，以滲透測試的服務方式探測出目標系統整套高校安全防護過程中較為薄弱和易于打擊入侵的環節，排查出學校網絡中存在的缺陷漏洞。

2.安全測試服務。該安全服務是在系統運行正式的業務之前，對高校運營的信息系統進行深層次、多角度、全方位的安全測試，以此種方式找尋學校網絡安全主動防御體系開發和程序設計過程中沒有考慮到或者是無意中忽略的安全問題和隱患，安全測試服務能夠有效地控制系統上線自帶病毒隱患的安全風險。

3.安全運維服務。互聯網信息系統在運行的過程中總是會遇到許多新型的復雜多變的安全威脅，與此同時，安全系統自身的脆弱性也不斷遭受著檢驗，隨著高校信息系統的運行時刻發生著改變。因此在系統運行的期間里，高校安全運維服務應當時刻注意目標網絡及信息系統，對其進行定期的代碼安全審計、安全加固、脆弱性檢查、安全巡檢、漏洞掃描、策略檢查等防御檢測措施，及時查缺補漏，力求掃描出潛在的安全隱患，同時安全運維服務也要加強安全策略的優化制定，采取合理高效的安全技術主動防御措施，以實際的眼光考察學校內網信息系統安全的防御能力，考慮到檢測、防護和恢復三個方面，組合起良性的閉環系統，并以此建立起高效的安全防護機制，為高校網絡信息系統的數據、業務和網絡提供不間斷的可靠的安全保障。

除了以上提到的三種安全服務之外，對于高校的網絡系統管理，我們建議采用諸如三權分立這種安全、可靠、穩妥的管理策略，預先多重授權多個用戶，防止設立超級管理員權限所造成的其在重要操作上的一家獨大問題。

三 結 語

歷經了長時期、多方面、多層次的千錘百煉，各大高校的網絡安全等級保護制度已經在等保2.0標準下成長起來。目前來講，各大高校網絡運營人員的任務就是要深入剖析理解網絡安全法的國家標準，同時把理論與實際相結合，立足于實際網絡環境和學校情況，通過建設一整套本文所述的網絡安全主動防御體系，認真做好學校內部的網絡安全防御工作。

[1]楊超.等保2.0下網絡安全主動防御體系建設方向探析[A].中國新聞技術工作者聯合會.中國新聞技術工作者聯合會2019年學術年會論文集[C].中國新聞技術工作者聯合會, 2019:98-103.

[2]朱圣才.等保2.0框架下高校網絡安全體系建設[J].網絡空間安全,2020(4):14-18.

[3]裴建廷,于謙,孫斌,王金民.基于等保2.0高校網絡安全主動防御體系建設探析[J].信息通信,2020(2):166-167.

G201

A

1673-2219（2021）02-0066-03

2020－10－30

孔垂煜（1982－），男，福建莆田人，福建莆田學院實驗師，研究方向為計算機網絡。

（責任編校：張京華）