關于等保2.0高職院校建設智慧校園網絡安全體系研究

摘要：新形勢下，網絡安全在國家發展中至關重要，高職院校信息化建設已經邁入智慧校園建設階段，對智慧校園系統的等級保護可以有效提高信息化水平，同時具有系統龐大、涉及范圍廣、數據多、影響大等特點，由此看來構建網絡安全保障體系至關重要，基于網絡安全等級保護2.0，結合智慧校園建設標準，通過分析目前高職院校信息安全的現狀，圍繞網絡安全等級保護2.0體系化建設進行探討，分析高職院校等保2.0體系建設思路及框架。

關鍵詞：等保2.0；智慧校園；網絡安全

一、前言

隨著大數據、云計算、移動互聯網、物聯網、人工智能、5G等技術與高職教育深度融合，使得以創新為動力的教育教學改革和以需求為導向的教育理念實現具備了信息化支撐，高職教育數字化校園建設已逐步走向智慧校園建設新階段。尤其是隨著5G技術發展成熟，遠程教育將會在各級各類學校中得到深度規模應用，實現校園智慧化服務和管理是現階段智慧校園建設的目標，構建一體化“互聯網+教育”大平臺，建設智能安全的信息化應用支撐環境，進而推進信息技術與教育教學等多方面相結合。而在校園及其信息系統逐漸增速發展的道路上，一些偽基站、木馬注入等網絡攻擊時有發生，對校園網絡安全和師生個人信息安全構成極大的威脅。因此，保障校園網絡信息系統的安全，創建相應的等級保護措施，是所有信息化高職院校面臨的重要問題[1]。

二、高職院校信息安全現狀

校園網絡是建設智慧校園、保證其正常運行的基礎，在建設過程中，大量的信息系統新建或系統升級改造，網絡和應用規模更加龐大，系統結構更加復雜，校園網絡面臨著全新的安全隱患，無論是學校內部還是外部網絡都面臨著嚴峻的信息安全挑戰。

（1）校園網絡結構存在安全問題。高職院校校園網絡大多存在分期建設的情況，缺乏長遠考慮，安全設備多是后期通過打補丁的方式進行整改和新增，有線、無線傳感器的接入，設備部署分散、管理復雜，難于協同管理。隨著智慧校園建設工作的推進，不同部門不同類別的信息系統數量眾多，難以做到統一管理，信息系統大多數沒有進行檢測評估，安全防護等級和保密防護要求不明確。

（2）應用防御手段尚需加強。隨著智慧校園建設的不斷深化，新增業務系統不斷增多，大多數都沒有開展檢測評估工作，同時需求變得更復雜，應用功能多樣，維護和管理難度增大，缺少針對性強的安全防護策略，網絡安全隱患不斷增加。

（3）新技術應用給校園網絡安全帶來全新挑戰。智慧校園是一種全新的校園信息化形態，物聯網、云計算、虛擬化技術、移動互聯網、數據挖掘、數據交換、應用集成等前沿信息技術已廣泛應用到智慧校園中。但是云數據中心、云平臺、虛擬機架構缺乏立體安全防護，云平臺下虛擬機東西向流量的安全也往往被忽視。而智慧校園建設中移動應用、虛擬現實和人工智能技術的應用，也離不開校園網絡的發展，要求高職院校的網絡更加安全和智能。

（4）安全管理制度仍需完善。智慧校園建設中，網絡用戶群體復雜，有學校管理人員、教師、在校學生，還有大量的設備廠商開發和運維人員等，難以制定統一的控制策略，校園網用戶的網絡操作技能參差不齊。學校業務應用系統種類繁多，大多數管理員不是專業人員，盡管采取日常培訓但仍缺乏安全意識，安全措施不到位[2]。

三、網絡安全等級保護制度

早在2008年，我國公安部即頒布《信息安全技術信息系統安全等級保護基本要求（GB/T22239-2008）》（以下簡稱等保1.0）。根據標準，高校作為信息系統的建設者和運營者，應對其進行定級并實施分級保護。

2019年12月1日，《信息安全技術網絡安全等級保護基本要求（GB/T22239-2019）》（以下簡稱等保2.0）的正式實施標志著我國的信息安全等級保護工作已從1.0時代跨入2.0時代。等保2.0在等保1.0的基礎上進行了優化和調整，擴大了等級保護對象的范圍，由單個信息系統擴充至基礎信息網絡、信息系統、云計算平臺、大數據應用、物聯網和工業控制系統等，變被動防御為主動防御。提出了由傳統的分層防護向綜合防控和集中防護轉變，明確了“一個中心，三重防護”的防護體系[3]。

等保2.0從技術和管理兩大方面對網絡與信息系統安全保障進行了全面描述與規范，其是一部完整的以技術保障為基礎、以管理運營為抓手、以監測預警為核心、以協同響應為目標的網絡安全防御體系框架性指導標準與規劃建設指南。

四、等級保護2.0挑戰高職院校信息化建設

網絡安全等級保護2.0時代，相比1.0時代的“自主定級、自主保護、監督指導”轉為“明確等級、增強保護、常態監管”的安全體系建設。同時，等級保護2.0時代還突出風險評估、安全監測、通報預警、應急響應與應急處置。構建一體化的網絡安全綜合防控體系是目前高校信息化建設遇到的主要挑戰。

（1）數據中心網絡安全等級保護 2.0 建設尚未落實。網絡安全等級保護 2.0 為該項工作提供了一種較好的處理方案，以學校數據中心為等級保護對象，對數據中心進行定級、備案、測評、整改工作，其他服務以數據中心為底層架構，依附于學校數據中心，減少等級保護的工作量。然而，等級保護2.0啟動處于初始階段，高校數據中心網絡安全等級保護建設尚未落實，還需一定的時間進行完善。

（2）事前監測預警工作尚未取得成效。網絡安全等級保護 2.0 明確提出網絡安全監測預警工作，包括態勢感知、流量監控、APT攻擊等，高校信息化建設是服務于學校的教學、科研和管理。多數高校采用購買服務的形式與監測預警進行關聯，這種工作模式尚未真正達到事前監測預警的目的，成效不顯著。

（3）網絡安全綜合防控體系尚未建成。網絡安全綜合防控體系是等級保護2.0時代和網絡安全法治時代對網絡安全工作的建設要求，網絡安全綜合防控體系最典型、最顯著的一個成效就是365×24的監控體系的建成。目前尚未有較為成型或者參考的方案，各高校網絡安全綜合防控體系尚未建成。

（4）網絡安全執法檢查力度進一步加強?！毒W絡安全法》正式實施，為網絡安全等級保護工作的執法檢查提供了明確的法律支撐。然而高校網絡安全建設與信息化建設未落實“同步規劃、同步實施”的原則，網絡安全建設遠遠滯后于信息化建設。

（5）移動互聯應用尚未納入等保工作范疇。隨著移動 APP 的發展，各高校都建設有自己的官方移動 APP 、教學 APP 、科研 APP等，但這類移動 APP 的建設工作尚未納入網絡安全等級保護工作要求。移動互聯應用未完成網絡安全等級保護備案、互聯網信息服務備案、教育移動應用程序備案等一系列規范化的工作[4]。

五、高職院校等保2.0體系建設思路

高職院校等保2.0建設應以自身整體信息安全為目標，以業務需求為主導，構建和業務需求相匹配的網絡安全保障體系，通過建設“1個中心”管理下的“3重防護”體系，分別對通信網絡、區域邊界、計算環境進行管理，實施多層隔離和保護措施，建立預警、防護、檢測、響應自適應閉環的安全防護體系，提升整體安全防御能力，構建單位可信、可控、可管的安全防護體系。

依托等保2.0及網絡安全相關法律法規建設標準，高職院校網絡安全整體框架如圖1所示，分為相關依據、安全管理體系、安全技術體系。

（一）相關依據

設計依據是高校網絡安全方案的基礎和出發點，包括網絡安全相關法律法規、等保2.0標準、監管部門要求、上級主管部門要求和學校黨組（黨委）網絡安全工作責任制五個部分。

（二）安全管理體系

安全管理體系是安全方案中的管理部分，也是安全方案具體實現的途徑。安全管理體系分為機構、人員和安全制度三部分。機構對應等保2.0中的安全管理機構，人員對應安全管理人員，安全制度對應安全管理制度和安全建設管理。

該部分從制度建設、人員管理、運維等多方面進行統籌化設計與規劃，重點內容包括安全管理機構的組建，安全策略、管理制度、操作規程、記錄表單等內容的安全管理制度體系的補充和完善，安全相關人員的錄用、培訓、授權和離崗管理，圍繞信息系統全生命周期安全的安全建設和安全運維管理。

（三）安全技術體系

安全技術體系包含機房設施、基礎網絡、邊界設備、設備及軟件、安全管理中心五部分。

高職院校機房設施除除特殊應用場景要求外，高校內各信息系統均應集中部署于數據中心機房，實現物理環境標準的統一。按照等保2.0要求，機房應滿足設置在抗震、防風、防雨、防雷擊，且建筑材料耐火等級在B2級以上的建筑物一層；機房配備電子門禁、視頻監控設備、防雷保安器、自動消防系統、新風換氣、動力環境監測系統、專用空調、接地系統和UPS；機房放置防靜電手環供運維人員使用；機房劃分網絡設備、安全設備、業務服務器等區域，并設置隔離防火措施；同時機房應配置雙路供電，實現電源冗余。

基礎網絡安全是在網絡通信過程中，保證信息的機密性、完整性，特別是對定級系統安全計算環境之間各類信息傳輸過程實施防護?；A網絡安全包括安全審計、數據傳輸完整性保護、數據傳輸保密性保護、可信接入保護。

安全區域邊界主要在互聯網邊界以及安全計算環境與安全通信網絡之間實現雙向網絡攻擊的檢測、告警和阻斷。安全區域邊界包括區域邊界訪問控制、區域邊界包過濾、區域邊界安全審計、區域邊界完整性保護。

安全管理中心是安全技術體系中的重要組成部分，等保2.0中要求網絡運營者劃分出獨立的網絡區域，建立安全傳輸信道，用于安全管理中心對網絡設備、安全設備等進行集中管控。安全管理中心的主要功能是實現系統管理、審計管理、安全管理和集中管控。一般來講，典型的高校安全管理中心包含堡壘機、網絡安全大數據平臺、惡意代碼防護軟件管理中心和操作系統補丁服務器[5]。

高職院校仍需建立安全防護機制，切實有效進行網絡安全防御，形成常態化機制。

（1）組建攻擊阻斷系統。目前很多高職院校已經意識到在智慧校園建設中組建攻擊阻斷系統已經迫在眉睫，有效地對攻擊進行阻斷，避免出現不必要的損失，引入以等保2.0為基準的網絡入侵防護系統，在發現攻擊行為的同時可以主動地作出相應，并對其進行阻斷處理，同時考慮到系統前瞻性這一特點，可在日常的網絡系統運行中實時檢測網絡入侵行為，如惡意數據包、惡意入侵行為等，實時有效地對其進行阻斷，同時還能主動性地對該攻擊性行為進行攔截，并非只是單純簡單地在發現惡意攻擊行為后作出報警[6]。

（2）及時檢測并修補漏洞。目前多數校園網絡遭到非法入侵和攻擊的原因就是系統存有漏洞，被不法分子所利用，在此情況下，高校就應該重視漏洞的監測和修補，基于等保2.0合理的引進漏洞掃描器和相關技術，在網絡系統運行和操作的過程中，及時性的掃描漏洞，合理的修補處理。在此期間可以在系統之內設置漏洞庫，實時性的進行更新處理，便于將最新的漏洞掃描出來，開展自動化的修補和修復處理。主動性進行數據庫系統的防護。對于高校網絡中的數據庫系統來講，其中存儲著大量的數據信息，一旦泄露或是被篡改，將會出現嚴重的后果。因此，高校在等保 2.0 時代背景下，應轉變之前的數據庫審計等防護方式，利用主動防御的措施，在服務器前端設置防火墻，采用協議分析技術與控制技術進行處理，在發現有威脅之后利用終端會話的形式、語句攔截的形式等有效進行防御。除此之外，還應該借助安全測試服務、安全維護服務等方式，主動性的進行網絡安全測試和維護，避免出現校園網絡的安全隱患問題[7]。

六、結語

在智慧校園建設中落實網絡安全等級保護制度已經成為當前高校信息化建設的一種趨勢。以等保2.0標準為依托和抓手，通過對學校網絡安全、應用安全、數據安全、管理安全等各方面進行規劃設計建設，部署相應的安全產品并進行相應的安全配置，結合安全服務體系的構建，建立起校園網絡安全保障體系，提高高職院校信息安全防護水平及能力，為智慧校園各項應用保駕護航。

參考文獻

[1]孫尊濤.高校網絡與信息安全體系構建——評《計算機網絡信息安全》[J].中國科技論文，2021（2）：247.

[2]莫民，曹璞.等保2.0下高職院校智慧校園網絡安全體系建設研究——以深圳職業技術學院為例[J].網絡安全技術與應用，2021（7）：94-97.

[3]胡鵬，王暉.基于等級保護2.0的政務信息系統安全保障體系設計思路[J].辦公自動化，2021，26（04）：15-17.

[4]朱圣才.等保2.0框架下高校網絡安全體系建設[J].網絡空間安全，2020（4）：14-16.

[5]綠盟科技.安全建設實踐案例四連發（一）如何讓安全建設更輕松？[EB/OL].2021[2021-09-02].https：//www.nsfocus.com.cn/2021/21_0513/942.html.

[6]王文梁.基于等保2.0標準的高校網絡安全解決方案：以閩南理工學院為例[J].信息技術與信息化，2020（10）：160-162.

[7]郭亭亭，趙勃.大數據在高校網絡系統安全及防護中的應用[J].大眾標準化，2020（20）：187-188.

（作者單位：沈陽職業技術學院信息化工作處）