基于等保2.0高校網絡安全治理研究*

陜西警官職業學院 胥素芳 郭拴岐

等級保護制度的實施有利于高校信息化建設有效進行，有利于完善網絡安全防護措施。文章闡述了等級保護1.0到2.0的主要變化，以及基于等級保護2.0擴展要求項高校面臨的網絡安全風險和相應的防治策略，通過部署網絡安全態勢感知平臺實現校園網絡的動態、立體防護。

高校信息化發展有內在和外在的切實需求，一方面隨著信息技術的快速發展和普及，高校必須緊跟科學技術發展的步伐，在應用實踐中探索教育教學的新思路、新手段、新模式，努力探索培養具有計算思維和科技創新精神的人才；另一方面為了適應新生代學生學習習慣的變化，開展個性化教學，順應現代化教育的發展，需要不斷深化信息化應用和建設；同時，高校為了實現教學、科研、校園管理信息化、智能化，精準科學的服務學生，這些工作的開展都離不開網絡和信息技術的支撐，網絡的安全性和穩定性成為高校信息化發展的重要保障[1]。高校在信息化建設中嚴格落實等級保護工作，有利于完善網絡安全防護措施，實現高效的信息化和智慧化發展。

1 等保1.0到2.0的變化

1.1 政策法規的變化

等保1.0核心依據是行政條例和規章，而網絡安全等級保護制度2.0（簡稱等保2.0）的核心依據是網絡安全法。2017年6月1號開始實施的《網絡安全法》規定了等級保護制度安全措施的基線要求并賦予強制力，同時要求關鍵信息基礎設施必須落實國家安全等級保護制度，突出保護重點。不開展等級保護等于違法。2019年12月1日開始實施等保2.0，標志著等級保護工作正式步入新的階段。

1.2 保護對象的變化

等保2.0在1.0信息系統的基礎信息網絡保護基礎上，增加了擴展要求，涉及到云計算、大數據、物聯網、移動互聯網和工業控制信息系統。

1.3 結構上的調整

采用“一個中心，三重防護”的理念，通過實施三重防護主動防御框架達到安全防護效果。

1.4 防御理念發生變化

從原來的被動防御變為主動防御，依照等級保護制度可以做到整體防御、分區隔離；積極防護、內外兼防；自身防御、主動免疫；縱深防御、技管并重。

1.5 等保工作內容持續擴展

在原有等級保護規定動作基礎上，2.0時代風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等這些與網絡安全密切相關的措施都將全部納入等級保護制度并加以實施。

1.6 流程管控更加嚴格

關于網絡運營者如何進行網絡安全等級保護的相關工作，《等保條例》規定了包括網絡定級、定級評審、定級備案、備案審核、上線測試、等級測評、安全整改、自查等一系列工作流程。

1.7 評測結果發生變化

等保2.0的測評結論由1.0時代的符合、基本符合、不符合，改為2.0時代的優、良、中、差四個等級，評測要求從60提升到75分。

2 基于等保2.0新增項的安全防護

2.1 大數據安全

高校是一個微社會，里面匯聚了大量的信息，就個人信息而言，包括：姓名、年齡、性別、職業、家庭、財產、個體特征、消費記錄、住宿生活信息、借閱圖書、學習信息、門禁信息、資產信息、無線連接使用信息等，這些數據被信息系統和大數據平臺采集、記錄和分析，為學校的科學管理和服務提供數據支撐。在大數據給我們帶來便利的同時，我們每個人在網絡空間也變得越來越透明。這些重要的甚至關于個人隱私的數據被采集和使用的同時，面臨被黑客攻擊，數據泄露（丟失）、濫用、違規使用和被篡改的風險。因此，高校教師、學生個人隱私信息的泄露是不容忽視的安全問題。

2021年9月1日國家出臺《中華人民共和國數據安全法》簡稱《數據安全法》，2021年11月1日《中華人民共和國個人信息保護法》簡稱《個人信息保護法》正式生效實施。《數據安全法》是數據領域的基礎性法律，也是國家安全領域的一部重要法律。《數據安全法》的頒布實施體現數據安全已經上升到了國家層面，進一步建立健全數據安全治理體系，使數據安全治理有法可依。

在大數據安全領域既需要法律制度作為前提和基礎，又需要安全技術和產品有力保障數據安全的實現。在數據安全方面，可以采用的技術手段有：加強身份核驗，增加認證的強度；對數據進行加密處理，包括存儲加密和傳輸階段的加密；對數據進行分類分級處理，對核心敏感數據進行識別、風險評估、數據脫敏和數據水印技術等提高數據安全性[2]。可用的數據安全防護設備有數據庫防火墻、堡壘機、數據庫審計系統。通過數據安全治理平臺監測數據，自動梳理網絡數據資源，快速構建數據資源臺賬；監控數據流轉風險；實現風險監測，實時數據安全風險態勢呈現，事件分析、取證。數據庫防火墻通過實現控制外部非法操作、限制內部違規操作、攔截數據庫攻擊，實時對數據庫的運行狀態進行監控，實現風險可預判，行為可審計。數據庫審計設備實現對風險監控掃描，事中審計，事后追溯，多種方式告警提示等，實現對數據操作進行跟蹤，預警及審計。單一的一種技術和設備不能滿足全方位數據安全防護的要求，現在大多采用多種技術手段相結合的方式來實現數據安全。

2.2 云計算安全

云計算的本質是虛擬化技術，對IT基礎設施提供的物理計算、存儲資源進行整合、池化，實現資源隨需調配和回收的應用模式。云計算可以提供更快計算能力、更高響應能力和更強的業務支持能力，可以適應智慧課堂、新興課程對基礎資源的要求。當前的云平臺包括私有云、公有云和混合云。基于數據存儲方式、維護模式、費用、數據安全性和靈活性的不同，目前大部分高校選擇私有云。涉及到高校核心業務和核心敏感數據采用私有云，實現對數據的完全控制，相比較公有云更安全。為了實現教育資源的公平化，開放更多優質的教學資源，擴大對外交流，實現個性化的學習。基于高校的開放性，對安全性要求不高的資源可以采用公有云[3]。公有云的可擴展性、提供業務多樣，部署靈活，有專業的安全團隊進行維護等優勢，也受到一些高校的青睞，未來將是私有云和公有云相結合的混合模式。

無論是公有云還是私有云最終都通過校園網絡向師生提供服務，隨著網絡攻擊手段的不斷發展，數據中心隨時都可能面臨黑客攻擊、數據泄露風險。僅僅依靠網絡出口側的安全防護設備和系統已經不再能夠滿足當下校園網云架構下數據中心開放、共享環境下的網絡和數據安全。目前校園網云化數據中心的流量主要以東西向流量為主（虛擬機到虛擬機），流量訪問在云平臺或虛擬化平臺內部已完成數據的交互和訪問，為解決云化環境下的網絡安全問題，可以通過部署NFV(Network Functions Virtualization網絡功能虛擬化)安全產品進行網絡安全防護。NFV通過將傳統的CT業務（Communication Technology通信業務）部署到云平臺上，從而實現軟硬件解耦合。同時通過使用訪問控制策略和身份鑒別機制，實現不同虛擬機之間的通信監控和安全隔離，并設計策略控制用戶對系統及相關資源的訪問。針對重要的數據要定期進行備份，承載核心業務的設備要實現冗余，避免單點故障。可用的安全防產品與傳統網絡安全產品一致。如防火墻、入侵防御系統、Web防火墻、VPN網關、抗DDoS系統等。只是將原有軟件或硬件形態的防護設備改造為基于云原生架構的NFV軟件，直接部署于云平臺或虛擬化平臺之上，實現虛擬機級的數據安全防護。

2.3 移動安全

等級保護2.0中的移動互聯技術安全防護重點主要針對移動設備、移動應用和無線網絡。因為無線和移動網絡可以滿足大家隨時在線，隨時隨地接入網絡的需求，高校在有線網絡的基礎上，大都已經部署了無線和移動網絡。

無線網絡部署簡單、靈活，易于擴展，是傳統網絡的延伸。在無線網絡部署接入便利的同時，也破壞了原有內部網絡的私密性。無線網絡的接入設備缺乏監管，容易受到非法入侵，導致數據被監聽，造成隱私泄露。對接入無線網絡的用戶進行安全評估，從源頭上控制風險，可以通過提高身份認證技術，防止非法人員進入無線通信網絡，通過加密技術對通信信息進行保護，防止信息竊聽或篡改。

移動網絡隨時隨地都可接入，信息量大，監管難度大。高校個別學生思想不穩定，容易受到外部不良信息的引導。更有甚者，出現校園網絡霸凌，對他人造成傷害。所以要避免突發性的、負面的輿論無界限的傳播，增強對網絡輿情的監測和研判。

移動安全另一個不可忽視的技術革新就是5G。以5G技術為代表的最新前沿技術擁有非常巨大的技術潛力，有望變革傳統數字校園的各類應用場景。5G技術與教育深度融合，將促進智慧校園發生重大變革，對傳統的教與學帶來顯著沖擊，同時帶來新的安全隱患。由于5G技術的三大核心技術特點：高帶寬、低時延、大連接。5G的應用會大量采集到師生個人和學校的私有數據，如高帶寬帶來實時AR/VR教學的應用，高清視頻遠程教學的應用，有可能帶來地理信息或個人隱私的泄露。大連接技術可以為電子圍欄、無接觸智能門禁等終端的廣泛分布提供技術支撐，但也有可能被偽基站監控，被不法分子利用來實施精準電信詐騙等。低時延場景帶來各類實驗設備或課程的遠程操作體驗成為可能，但非法用戶操作，實驗數據泄露等也成為了5G低時延技術面臨的考驗。

針對無線校園網和5G技術的不斷發展，目前還沒有一個權威標準的解決方案，但可以通過上網行為管理與審計、校園輿情檢測系統、偽基站防護系統等進行移動安全防護。上網行為管理及審計，通過對校園網內用戶上網數據的統計、分析，同時針對重點敏感詞匯的監控防范，實現對App、論壇、郵件、即時通信類移動終端常見的訪問方式精準監控和防護；校園輿情檢測系統，通過對上網行為數據的歸類分析，找到不同師生之間的互動，及時發現校園內的不良輿情態勢，及早接入管理，避免校園內外的安全事件發生。

2.4 物聯網

工信部印發的《物聯網基礎安全標準體系建設指南（2021版）》明確了物聯網終端、網關、平臺等關鍵基礎環節安全要求，推動了物聯網標準體系的建立，促進了各行業物聯網安全能力的提升。

在高校，物聯網技術使“感知校園”“智慧校園”成為可能。物聯網技術的應用在高校已經很普遍，比如我們已經很熟悉的RFID門禁、考勤系統、一卡通、資產管理系統、安防系統等，還有現在智慧校園建設中的廢物垃圾處理、污水處理檢測系統、水控系統、照明系統、空調等電器的監測系統等。從設備管理、人員管理、安全管理到環境管理都涉及到物聯網的應用。在物聯網技術的支持下，改變了原有的教學模式，電子黑板、電子桌面、語音、視頻設備實時聯網，教學資源云端獲取，教學和現代科技手段相結合，豐富課堂教學形式，提高學生學習興趣。物聯網的應用正在改變著校園的管理和服務模式，使校園管理更加信息化、科學化、智能化，提高了管理效率。在未來平安校園、智慧校園、感知校園、綠色校園的進一步發展建設中，物聯網將會發揮越來越重要的作用。

物聯網技術歸根到底仍然要基于基礎物理網絡，通過大量部署前端設備進行信息采集，通過網絡傳輸數據到業務處理中心系統。大量的感應器分散嵌入到無人值守的環境下，存在安全風險，黑客會趁虛而入，進而通過滲透進入網絡，最終破壞核心業務的運行，導致信息泄露，危害信息網絡安全。因此，對入網設備和資產進行嚴格的管控機制是保證物聯網安全的重要一步。部署物聯網安全防護設備，對設備安全準入進行監管和限制，通過主動掃描、被動監聽和手動設置等手段采集視頻專網中的攝像頭、PC、網絡視頻錄像機等接入設備的資產信息，并進行分類統計，建立統一的資產庫，解決多安防廠家并存的情況下接入資產難以統一監管的問題。可通過MAC地址、IP地址、設備指紋等設備認證方式對網絡接入設備進行管控，只有通過認證的設備才允許接入到網絡中，防止前端設備的非法替換接入。對傳輸數據進行應用級控制，采用支持基于協議特征的識別的安全產品，只放行合法應用數據，其他非法數據全部阻斷，有效阻隔非法掃描、DDoS攻擊等。對數據進行識別控制和設備認證功能同時開啟，對整個網絡接入設備和傳輸流量進行精確控制，達到專網專用的效果。可實時對數據的源地址、目的地址以及應用層協議進行全方位的檢測，一旦發現非法流量即可實時阻斷。

3 構筑立體、主動的防護體系

隨著高校信息化的發展和安全意識的提高，很多高校已經初具成體系、成系統的信息安全防護系統。但由于多為分批、分階段建設，并且多以解決各類網絡安全事件處理能力為目標，大量的安全設備都是各自為戰，以被動防護方式為主，缺乏能夠將現有安全防護能力拉通，主動進行安全事件防御的能力。2019年實施的等級保護2.0中也要求要由被動防御轉變為主動防御、動態防御，建立全面的集中監控，以滿足安全管理中心的要求。

3.1 技術層面

傳統的防護依靠單個設備的能力，缺少整體協同，依靠人工分析海量的安全信息，效率低、響應慢，已經無法滿足當前不斷變化的網絡攻擊和網絡威脅，需要高效的方式來自動采集、分析、處置系統漏洞和攻擊信息等。網絡態勢感知技術可以通過機器學習、大數據分析技術，通過對網域內引發安全態勢變化的多種因素進行分析處理，實現實時監控網絡運行狀況，識別網絡異常入侵，對安全威脅事件進行預測和判斷，并建立有效的威脅信息共享機制，確保網絡系統運行的安全穩定[4]。網絡安全態勢感知是一個綜合性平臺，整個系統核心競爭力是具備AI安全分析能力，基于安全大數據，以及下一代防火墻、數據安全保護、安全網關和云安全等關鍵技術，形成從組件、模塊、平臺的完整解決方案，為態勢感知平臺提供端到端服務。網絡態勢感知系統架構包括：

3.1.1 數據采集層

數據采集層主要負責對安全設備如防火墻、入侵檢測設備和關鍵主機的日志信息進行采集，還會對設備存在的安全漏洞信息、流量分析信息和威脅情報信息等進行采集分析。對不同的數據格式進行歸一化處理，去除冗余及噪聲數據。

3.1.2 計算存儲層

采用和ElasticSearch+ClickhouseSpark構建大數據計算、存儲平臺。態勢感知需要的海量日志存儲和處理離不開大數據存儲的支撐。大數據的快速處理為高速網絡流量的深度安全分析提供了技術支持，為高智能模型算法提供計算資源。

3.1.3 業務能力層

通過沙箱功能、Web安全功能、安全分析功能和智能學習協同工作，通過融合、歸并和關聯底層多個檢測設備提供的安全事件信息，從整體上動態反映網絡安全情況，并對網絡安全的發展趨勢進行預測和預警。

3.1.4 系統服務層

通過安全態勢感知和情報中心感知網絡狀態、受攻擊情況、攻擊來源，掌握網絡安全狀況和發展趨勢，制定有預見性的應急預案，做好相應的防范準備。

網絡安全態勢感知實現對網絡安全威脅的持續性監測和可視化展示，讓安全可見、可控、可管、可預測，準確直觀的展示網絡安全風險威脅。網絡安全管理者從網絡安全態勢中了解網絡的安全狀態和發展趨勢，制定有預見性的應急預案。

在校園網場景下，大部分師生沒有深厚的網絡安全知識體系積累，學生在使用校園網的過程中也明顯表現出需求多樣，訪問各類網站、資源分散的特點。在校園網中各類安全事件也遠多于其他互聯網訪問需求單一的行業。因此在校園網中部署態勢感知平臺就顯得更加重要。

高校的網絡安全大多是分階段分批建設的，技術和網絡設備在當時是領先的，但經過十多年發展，有些設備已經老舊，需要重新梳理校園網絡空間資產，利用態勢感知平臺中的資產評估子系統進行資產風險動態評估，評估和驗證資產存在的漏洞、脆弱性。對內部的資產以及漏洞進行統計，便于管理員了解學校內部資產及漏洞情況；能夠發現網絡和應用中存在的配置缺陷、管理漏洞，提升網絡和應用系統的安全強度；通過漏洞與安全事件的關聯分析，可以統計出當前被成功利用的漏洞類型、次數以及造成的危害程度，為漏洞修復工作計劃提供參考依據，并對漏洞的消除進行全生命周期的跟蹤閉環。

高校目前的安全防護設備大多是通過各廠家的攻擊、病毒、行為特征庫來提供安全防御能力。針對0Day等還沒披露或最新披露的病毒和攻擊往往沒有防護能力，教育行業又是對新知識、新應用發布比較敏感的行業，也是最新攻擊和病毒的重災區。如果師生在校園網內使用最新的軟件或訪問相關最新資源時，傳統的安全防護設備很難起到應有的防護效果。通過態勢感知系統全天候、全方位監測校園網絡關鍵節點（如核心交換機）流量信息，對多源、異構數據進行清洗和歸一化處理，主動分析各類安全告警數據，借助平臺內置的攻擊鏈模型及AI威脅識別引擎，快速發現、定位安全攻擊，對攻擊進行綜合研判，一旦確認攻擊事件，系統可聯動防護設備自動處置，及時防止威脅擴散、風險升級，實現網絡安全事件告警、安全預警、追蹤溯源等。

在態勢感知平臺發現、確定網絡攻擊事件后，態勢感知平臺的聯動處置子系統對態勢感知平臺支持聯動的安全設備（如防火墻、入侵防御系統、Web防火墻等）進行統一管理、更新防護配置。將態勢發現的安全攻擊或病毒手動自動添加到傳統的安全防護設備上，提高校園網現有各類安全設備的識別、防護成功率。態勢感知平臺還可通過聯動處置子系統對告警的安全事件進行一鍵處置，提升管理員在緊急時期對安全事件的處置效率。

由于校園網日常訪問流量大，每日就可生成海量的訪問日志和安全防護日志。傳統校園網的日志存儲設備或系統很難在海量的數據中提取、歸類出有價值的記錄信息。態勢感知平臺中的追溯取證系統采用分布式存儲技術，通過對關鍵業務流量進行全包解析存儲及元數據提取，實現流量分析、數據鉆取、威脅溯源及審計取證等功能，支持自定義解析存儲策略，存儲與違規行為相關的解析流量。多維度展示網絡中的流量組成和網絡行為。提供端到端的全流量行為、性能的可視化分析能力，提升管理員對網絡與應用的可視化管理能力，為網絡調整提供可信的決策依據。

我國的網絡安全公司如360公司、H3C（新華三）、奇安信、綠盟科技、安恒科技等安全企業都推出了安全態勢感知系統，這些網絡安全態勢感知系統各有特色。在態勢感知系統中，數據分析能力是核心。由于各個公司的數據分析模型設計有所差異，對異常流量和異常行為的匹配規則不同，在風險、威脅和異常行為分析方面會有差異。威脅情報一方面來自于系統探針掃描檢測數據、日志分析數據，另一方面來自網絡安全公司搜集整理的情報，影響系統對威脅的準確判斷能力。在實際建設使用中，由于存在從基礎網絡安全設備采集的數據缺乏統一的數據對接接口，采集數據質量不高，導致數據分析難度增大。數據源格式的不一致，是進行數據統一的難點，所以目前國內主流安全廠家的數據接口對接是系統建設過程中的難點和重點。各廠家探針種類繁多，目前沒有統一的規范和接口，也是各廠家目前態勢感知平臺分析能力差距的體現，在系統建設規劃前期就需要深入與各廠家交流，確定相關產品功能特性是否吻合本校實際網絡安全建設的痛點。各廠家自動化處理能力不盡相同，可聯動的安全產品也各有側重，需在系統建設前進行充分的分析研究，盡可能減小不必要的重復投資，盡最大可能利用現有的安全防護設備。

3.2 管理方面

信息網絡安全從來不僅僅是技術的問題，在采用安全技術和產品的同時，應重視管理和技術人員培養。實現網絡安全管理既需要一套完整切實可行的安全管理制度，也需要專業的技術人員去跟進落實。制定校園網絡安全管理相關文件，做為校園網絡管理的實施依據，使網絡安全工作可操作、可監督，使管理趨于正規化、流程化[5]。設立專門的網絡安全管理崗位，對系統日常運行、數據備份、系統漏洞等定期進行檢查，及時發現潛在威脅。加強與外部溝通學習，與專業的網絡安全技術機構合作，為學校提供網絡安全技術支持服務。

3.3 網絡安全意識方面

培養樹立正確的網絡安全意識：(1)網絡安全涉及到學校組織的方方面面，是一項系統工程，需要技術與管理雙管齊下，安全永遠不僅僅是IT技術人員的事情，網絡安全關系到每一個人；(2)沒有一勞永逸的安全解決辦法，安全產品、安全技術會隨著攻擊手段的發展而不斷地升級，并且需要管理人員進行日常運營維護，因此唯一的長效安全機制就是安全的持續改進；(3)內部安全不容忽視，通常重點關注來自外部的安全威脅，如網絡滲透、黑客攻擊等，卻忽視來自內部的安全威脅，如人員操作失誤、內部病毒傳播等；(4)期望零風險，信息系統依賴的硬件、軟件等均存在大量的風險因素，風險客觀長期存在，信息系統安全管理的目標只能是將風險控制在可接受的范圍內，而不是實現絕對的安全。

高校有圍墻，但網絡沒有邊界，在互聯互通網絡世界，應加強教師和學生網絡安全意識教育，從源頭上降低安全風險，提高自身的免疫力來抵御不安全的因素。通過計算機基礎或信息化相關課程讓師生更多地了解網絡安全知識，培養網絡安全意識，養好良好的網絡使用習慣，對當前和未來的網絡安全狀況有一個客觀正確的認識。對于校園安全的管理者、實施者、監督者更應對安全負起責任，在搞好網絡安全建設的同時，注重網絡安全意識的宣傳和培養。

4 結語

網絡安全等級保護工作將是網絡安全的基礎性工作和常態化工作，參照網絡安全等級保護2.0的標準，通過落實網絡安全等級保護2.0要求，找到校園網絡的風險點進行加固，構筑安全的校園網絡屏障，保護重要的信息，搭建穩定、高速、健壯的網絡環境，為高校的教學發展提供基礎保障。沒有一勞永逸的網絡安全，我們一直在路上。