基于等保2.0標準的高校網絡信息安全管理體系研究與實踐

程五生

(合肥經濟學院，安徽 合肥 230012)

0 引言

隨著互聯網的高速發展，高校信息化水平的不斷提升，高校的教研和日常管理工作對網絡信息系統的依賴性越來越高，但同時也導致網絡信息系統面臨的風險越來越大[1]。因此，要在遵守法律、法規及相關文件要求的基礎上，結合各自的信息化建設實際，盡快制定網絡信息安全保護的措施并嚴格落實。網絡信息安全是指利用各種技術手段和安全保護措施，保障網絡信息系統正常、穩定地運行，避免因偶然或惡意等原因，使網絡信息系統軟、硬件遭到破壞以及數據資源遭到泄露[2]，從而確保數據資源的完整、可用和保密。高校肩負著傳承文化、培養人才的重要責任，網絡信息安全管理體系建設刻不容緩，尤其是近年來黑客活動更加頻繁，新型惡性網絡病毒、網絡信息釣魚威脅和網絡惡意程序后門等新型攻擊越發嚴重，高校網絡安全面臨著新的挑戰[3]。目前，我國各地高校網絡安全信息化平臺建設正處于向縱深發展推進的關鍵重要階段，如何著力提升高校網絡信息與安全體系防護技術能力，構建一套完善有序的高校網絡信息及安全保護管理信息化體系等，已成為目前各類型高校網絡信息化能力建設中的發展重點，具有較強的實際意義。

近些年，高校網絡信息安全已經取得了顯著的進步，但是在防護方面仍有很多不完善之處，需要加強信息化建設。2019年5月10日，由中華人民共和國國家市場監督管理總局、中國國家標準化管理委員會制訂的國家標準《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239—2019)[4]的發布(簡稱等保2.0標準)，并于2019年12月1日起正式實施，要求高校網絡信息安全體系建設要朝著新標準靠攏，嚴格落實等級保護工作。

1 等保2.0標準

隨著網絡信息技術的快速發展，新技術在各種系統中大量出現，原有的注重被動防御的網絡安全標準已無法應對新的安全風險所帶來的威脅，也無法滿足當前技術發展的要求。2019年5月，等保2.0標準適時而出，在法律法規、安全體系、標準要求和實施等多個方面都發生了變化，并于2019年12月1日正式實施，這也意味著等保2.0標準時代的來臨[5]。等保2.0標準是在前一個標準的基礎上，聚焦新問題、新威脅和新技術，強調綜合、縱深和主動防御，注重從事前、事中到事后全流程的安全和審計，基于各種新技術和新應用領域的不同安全保護需求，提出了新要求，也制定了更高等級的標準，等保2.0標準的具體結構如圖1所示。

圖1 等保2.0標準結構圖

在高校，等保2.0是建設網絡安全管理體系的最新標準，也是今后建設網絡信息安全的主要依據和參考。對當前網絡信息安全管理體系建設中的問題，高校要對標等保2.0標準，總結分析，對于存在的問題要及時修正并加以完善，以便與等保2.0標準相適應。

2 高校網絡信息安全現狀

2.1 安全管理方面

目前，部分高校存在網絡建設安全及管理應用水平整體較低的現狀。究其原因主要在于，高校在開展教育信息化網絡建設項目的籌備初期沒有足夠重視信息化教育應用開發和網絡基礎安全體系建設的同步組織規劃部署與建設實施。網絡環境安全的管理制度并不太完善[6]。在高校中，網絡基礎環境大部分是由信息化管理部門負責，二級單位只是根據安全需求，開展信息安全系統建設，但在開展運維工作時，未能將相關安全管理責任落實到位；另外，有些師生的網絡安全防范意識比較薄弱，這和網絡信息安全知識的宣傳不到位有關，例如密碼設置保護、不明網絡鏈接、病毒防護等網絡安全操作的意識淡薄，常出現非法接入和非法訪問等行為，導致個人信息泄露，計算機和網絡信息系統很容易受到攻擊，甚至會導致數據資源的泄露和丟失；網絡安全技術專業人才缺乏，很多人員尚未接受過系統的專業培訓，其素養和專業技術水平較低。

2.2 基礎網絡安全方面

近些年，很多高校在網絡信息基礎上開始部署大量先進的各類軟、硬件網絡安全保障設備，如入侵防御系統、各種應用防火墻、審計系統等，由此看出，高校逐漸意識到重視網絡信息基礎設施安全技術的整體管理的重要性。但對于這些安全設備的部署，現實情況基本都是各類安全設備的堆疊，深度防御和相互保護尚未形成體系，缺乏完善的網絡安全防護體系。參照等保2.0標準，大多數高校在安全管理、邊界防護、信息隱私防護、日志審計等方面都存在不完善之處。

很多高校對網絡信息安全建設規劃不清晰，忽視了安全管理中心的重要性。等保2.0標準非常重視安全管理中心的作用，若要符合此標準，需要有與安全運維中心類似的流程化管理，同時需要有集中監控、審計以及集中管理等平臺作為技術支撐。目前各高校在這些層面的管理水平差距較大，有的高校尚未使用安全管理類、安全運維類、審計類等軟件；有的高校雖然使用了相關軟件，但都處于零散化狀態；還有的高校雖已具有完整的軟件和設備，但未能做到統一運營、集中管理。

等保2.0標準非常注重對網絡邊界的防護，強調區域防護對網絡信息安全體系的重要性，要求在網絡安全區域邊界對訪問進行實時控制，并對入侵進行實時檢測。但是，目前多數高校設置的網絡邊界防護僅為對外部的整體防御，仍未對邊界進行細致劃分，少數高校即使對邊界和功能區域進行了細致劃分，但對應的防護措施卻仍未跟上。

目前，云服務及虛擬化技術在很多高校應用廣泛，云服務和虛擬化技術的運用，不但使得軟、硬件資源的利用率大幅提高，而且也使得業務系統的可靠性大大提升，但是同時也產生了一系列的網絡安全問題，如何安全隔離虛擬機、如何控制橫向流量已成為各高校在信息化建設過程中面臨的新挑戰。

2.3 應用系統安全方面

隨著智慧校園的發展，我國高校大多已實現校園網絡全覆蓋，建成初具規模的教務和科研系統以及門戶平臺、一卡通平臺等業務信息系統，網絡設備和信息系統規模龐大，各種APP和小程序的應用廣泛，很多信息系統對互聯網開放，這導致一系列安全問題的出現。比如有些程序在部署和運維時，采用默認設置，應用程序不更新，安全隱患比較明顯；有的系統認證方式單一，有的系統未經過任何安全檢測就上線，這些都會引發安全問題。

2.4 主機安全方面

部分高校在信息化建設和運維過程中，采用靜默模式，服務器或終端系統基本不升級，漏洞補丁更新不及時；有的系統雖安裝了殺毒軟件，但病毒庫很少更新，有的系統甚至未安裝殺毒軟件；還有的系統登錄的口令較弱，這些安全隱患使目前流行的勒索病毒有機可乘。

3 基于等保2.0標準的高校網絡信息安全技術體系構建

目前，高校建成的校園網集成了各類辦公系統、教學平臺以及課程中心等，這是高校展示數字化校園的重要平臺，也是整合學校各類系統服務的集成平臺，在教學、科研、人事、財務、后勤保障等方面發揮了重要的支撐作用。目前，我國高校基本上都具有網絡安全設備，對高校網絡信息安全起到了一定的保障作用，但是隨著互聯網技術的發展和新的網絡攻擊方式的不斷出現，大多數高校現有的防護設備已不足以抵抗新型的網絡安全威脅，與現有的等保2.0標準多項技術要求不符。

合肥經濟學院校園網日常運行教學、科研、郵件系統等各類業務系統，而且新的應用系統不斷上線，基于上述網絡信息安全問題，學校基于等保2.0相關技術標準和主管部門政策，緊密結合校園網的實際情況，同時參照已有的研究成果[7-8]對校內網絡信息安全體系進行全面的排查、改造和升級，保障學校內各種應用系統安全穩定運行。

3.1 劃分安全域

基于等保2.0標準，根據網絡服務器、網絡設備和應用程序等相關屬性，以同一安全域的劃分原則，將學校的網絡系統劃分為外聯出口域、核心交換域、安全運維管理域、數據中心域4個安全域(圖2)，并實施對應的安全策略。外聯出口域出口處共設置3條ISP鏈路，同時利用鏈路負載均衡設備保證3條ISP鏈路負載的均衡。在外聯出口域、核心交換域的邊界設置了防火墻，對邊界起到防護作用；同時還設置了防病毒網關、入侵防護設備(IPS)，分別用于病毒防護和入侵防護。為了給教師和學生在校外訪問校園網提供方便，系統還專門設置了2套虛擬專用網絡(IPsec VPN)系統，分別用于教師、學生的遠程接入。

圖2 安全域劃分

數據中心域主要放置很多類型服務器。學校網站群系統的網絡結構模式為B/S架構，用戶對網站的訪問由校園網提供服務。為了對學校的網站、數據等進行全方位的防護，數據中心域還部署了數據中心防火墻、Web防火墻、數據庫備份和數據庫審計系統。

根據等保2.0標準的要求，按照事前預防、事中控制和事后審計的原則,安全運維管理域部署了安全管理平臺、防病毒服務器、運維管理系統(堡壘機)、漏洞掃描系統、日志審計系統等，實現了運維審計、日志管理分析和漏洞掃描等集中管理。

3.2 安全設計具體措施

3.2.1 網絡環境安全防護措施

(1)部署校園網防火墻：根據各應用系統網絡安全實際需求，制定基于安全域、IP地址和服務/應用等多種元素的訪問控制動態調整策略。部署校園網防火墻，減少網絡安全威脅，保障校園整體網絡安全。(2)部署Web應用防火墻云模式防護系統：通過Web應用防護系統(WAF)，利用防火墻云等技術實現集中式和分布式的訪問控制，內對外、外對內精細化訪問控制以及優化內對內的策略，校園網絡安全性得到大幅提升。(3)部署校園網絡信息安全威脅分析系統：網絡攻擊對校園網絡安全的破壞影響比較大，對于校園網內、外部的攻擊，高校信息化管理部門要部署校園網安全威脅分析系統，及時準確發現并處理內部不受控制的主機及相關聯的威脅。(4)部署堡壘機監督審計系統：堡壘機可對授權人員的操作進行詳細記錄，因此基于等保2.0標準,部署堡壘機監督審計系統。高校運維人員在使用管理系統之前，必須要登錄堡壘機獲得授權后才可對相應的授權管理系統進行管理，切實做到事前預防、事中控制和事后審計。

3.2.2 應用安全防護措施

(1)應用VPN技術：高校在建設校園網過程中引入VPN技術，以進一步提升校園網的安全性。對于不同的網絡資源，采用不同的訪問控制方法，如應用SSL VPN技術，可方便快捷地對高校的食堂收費系統、圖書館的資源系統，教務處的教務系統等進行安全訪問。(2)定期對校園網進行安全掃描：隨著時間的推移，系統會出現各種漏洞，學校信息化行政管理部門應定期掃描應用系統，以便及時準確發現系統的安全漏洞，對掃描結果進行科學分析、論證和評估，并按規定及時總結，提出專項整改實施意見。確保文件及時下發至二級管理單位，要求限期進行有效整改，降低信息系統的風險。(3)統一身份認證：教師和學生應統一身份認證，僅需一套用戶名和密碼就可登錄被授權的信息系統。另外，為提高系統訪問的安全性，在統一身份認證的同時還可以結合動態口令和PIN碼相結合的雙因素認證，使教師和學生在訪問系統時密碼是隨機動態變化的。

3.2.3 主機安全防護措施

(1)部署主機安全配置核查系統：主機安全配置主要有身份鑒別策略、數據備份策略、訪問控制策略、審計策略、日志策略等，通過自查能發現主機安全配置存在的問題，自查結果會生成分析報告，便于管理人員分析，降低安全隱患。(2)部署主機安全防護系統：部署防護系統，整合梳理主機信息，建立統一管理的資產庫，對校園網內的相應主機進行分析， 將識別出的信息與漏洞數據庫進行比較，根據比較結果查找漏洞并進行及時修復更新。此外，配置訪問控制列表(ACL)策略，對相應主機的訪問行為、流量和注冊表變更等行為實時監控，從多個層面識別、判斷主機風險，管理人員可根據分析結果及時調整防護措施，提高防護效率。

4 基于等保2.0標準的高校網絡信息安全管理體系的建設措施

4.1 健全完善計算機網絡信息和安全技術管理工作制度

鑒于目前網絡信息安全保障管理現狀，學校管理層應盡快組建一、二級單位聯合的安全保障小組，制定全面完善的網絡安全管理工作制度，將網絡信息安全工作放在第一位，建立第一主要責任人的崗位負責制，明確網絡安全管理人員的崗位職責。在學校網絡信息安全保障工作領導小組組織下,高校與各二級單位網絡信息安全管理第一責任人和相應崗位負責人及第三方簽訂協議,明確各方責任，將學校網絡信息和安全技術管理工作落實到位,確保達到等保2.0標準。

4.2 加強信息系統(網站)監督管理

為了有效統一信息系統監督管理，學校信息化管理部門應加強對各種應用系統的整合和優化，將學校各種類型的信息系統遷移至中心機房統一管理，對不便遷移的系統可以加強安全防護；對無人管理的、損壞的、長時間不使用的、硬件老舊無升級的、軟件很少更新的信息系統(網站)要及時發現，并做進一步的處理，關閉或限制訪問，也可進行整合，以便對資源的回收利用；對于作對資產的信息系統，要進行嚴格的資產備案登記，定期進行摸底和排查，及時更新信息化資產臺賬；對于信息系統的使用和建設，必須嚴格按照流程進行申請。

4.3 對標等保2.0標準開展等級保護

等保2.0標準對安全管理體系尤為重視，為高校網絡信息安全的發展指明了方向。高校在信息化系統建設或整改過程中要嚴格落實等保2.0標準的相關要求，嚴格按照工作步驟對系統進行網絡安全等級定級，向公安機關進行備案，按照等級保護建設要求進行整改和升級，接受公安機關的監督和檢查。學校信息化管理部門每年要對新建的信息系統做好信息化項目專家技術水平評審工作,并報上級主管部門審批；等級保護整改包含技術層面整改和管理層面整改；根據等保2.0標準，開展風險等級的測評工作，根據風險測評分析報告要求及時整改，消除可能存在的潛在高危風險，新建系統必須通過測評后才可以上線；對公安機關不定期檢查中提出的問題要進行積極改進，將等保工作納入日常工作中。

4.4 提升師生的網絡信息安全素養

提升師生網絡安全素養,首先需提升信息化管理人員的技術水平，信息化管理人員應定期參加技能培訓，做到持證上崗，規范管理。其次，針對校內各職能部門的行政人員，要在校內定期組織網絡安全技術及應用等安全技能培訓。最后，對于校內廣大師生，可以通過公眾號、海報、視頻、專家講座等多種校園網絡安全知識的宣傳，強調網絡信息安全工作的重要性，提高大家的網絡信息安全意識。此外，信息化管理部門要切實做好網絡信息安全通報工作，及時發布各種防范措施，讓師生主動地學習網絡信息安全知識，提高網絡風險的防范意識和安全素養。

5 結語

網絡帶來的便利已滲入各行各業，作為擁有大量網絡用戶的高校，在教育教學和日常管理中，越來越依賴于網絡，因此高校面臨的網絡風險也越來越大。如何保障高校網絡信息安全已成為亟待解決的問題。因此，應基于等保2.0標準，緊扣教育主管部門的要求，結合學校校園網實際情況，整合網絡信息資源，使科研、教學等信息系統建設對標等保2.0標準，升級網絡安全標準，用新標準、新的安全等級來保護高校網絡信息安全，為學校信息化建設提供保障。