摘要：新標準的《網絡安全等級保護》于2019年12月1日正式實施。與此同時，各地政府紛紛推出政務云開始啟用公共服務云服務，要求各單位將公共服務系統(tǒng)逐步遷移到政務云上。面對新的標準、新的環(huán)境，院校等保工作還要不要做、怎么做？本文對此進行了探討，提出了建設方案。

關鍵詞：等級保護;信息安全;政務網;校園網

一、等級保護建設的必要性與等保2.0建設步驟

（一）網絡安全法要求必須進行等級保護建設

2017年6月開始施行的《中華人民共和國網絡安全法》第21條明確規(guī)定了“國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度要求，履行安全保護義務”。電信、移動、聯通、廣電這些傳統(tǒng)的網絡運營商肯定是網絡運營者。學校建設有校園網，為廣大師生提供互聯網接入服務，包括提供無網接入服務。建有網站、同時有許多應用系統(tǒng)，有些應用部署在互聯網上，有些部署在校園網上。學校算不算網絡運營者？《網絡安全法》第七十六條明確指出：網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。學校既是網絡的所有者、管理者也是網絡服務提供者，肯定屬于網絡運營，因此，必須進行《網絡安全等級保護》建設。

（二）等級保護2.0建設流程

等級保護建設流程一般分為5個步驟：定級、備案、整改（建設）、測評、監(jiān)督檢查。

1.系統(tǒng)定級

信息系統(tǒng)分為涉密與非涉密。涉密系統(tǒng)國家有專門規(guī)定（分保建設），這里不進行討論。以下所指信息系統(tǒng)除特別說明，皆指非涉密信息系統(tǒng)。對非涉密系統(tǒng)，根據系統(tǒng)的重要性和遭受損壞后所造成的危害性分成5個安全保護等級。一級防護水平最低，最高為五級。一級至五級分別是：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級。需要注意的是，一家單位一般擁有多個信息系統(tǒng)，這些系統(tǒng)的安全等級可能不同，我們一般是按照其中最高等級要求來進行等級保護建設工作。一級系統(tǒng)遭受損壞后，所造成影響較小，只對公民、法人和其他組織造成損壞，不損害國家安全、社會秩序和公共利益。一般適用于中小學及小型企業(yè)或個人。二級系統(tǒng)遭受損壞后，所造成影響較大，對公民、法人和其他組織造成嚴重損害，或對社會秩序和公共利益造成損害，但不損害國家安全。一般適用地市級以上國家機關、企事業(yè)單位內部一般的信息系統(tǒng)。三級及三級以上信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重（四級及以上造成特別嚴重）損害，或者對國家安全造成損害（四級嚴重損害、五級特別嚴重損害）。

各單位就根據信息系統(tǒng)定級的原則：“自主定級、專家評審、主管部門審批、公安機關審核”，進行定級。一般的地市級黨校（院校）應該定為二級或三級。

2.備案

定級為二級以上的信息系統(tǒng)，由使用單位信息安全負責人填寫《信息系統(tǒng)安全等級保護備案表》，單位蓋章后到所在地設區(qū)的市級以上公安網安部門辦理備案手續(xù)。

3.整改（建設）

根據網絡安全法及相關文件要求，網絡安全與信息化建設必須“統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施”。也就是說信息系統(tǒng)（包括系統(tǒng)的安全測評在內）的安全建設必須與信息系統(tǒng)同步設計、同步建設、同步開通。但實際許多單位前期并沒有嚴格按照此規(guī)定執(zhí)行。往往是網絡（系統(tǒng)）建設在先，安全建設在后。甚至有許多單位由于對信息安全重視不夠，同時缺少資金，網絡（系統(tǒng)）開通運營幾年后，網絡（系統(tǒng)）安全建設還沒有完成，這是極不規(guī)范的，容易出現重大網絡安全事故。當一個單位的安全等級確定后，必須根據相關法律法規(guī)及相關標準對照檢查，開展安全建設整改。有許多同志認識上存在誤區(qū)，一是錯誤地認為系統(tǒng)遷移到政務云上后，系統(tǒng)安全由云端負責，而云端一般是已經通過等保三級測評的，因此對系統(tǒng)的安全業(yè)主可以不必承擔責任。二是錯誤地認為學校因為只剩下為數不多的系統(tǒng)，極端情況下可能只剩下接入網。因此，只要做一些訪問策略防護即可，沒有必須進行等保建設。

政務云是通過了等保三級測評，但是測評是對云及其網絡環(huán)境所進行的。云端只負責云及相關網絡的安全。在云端部署的系統(tǒng)的安全責任仍由系統(tǒng)所屬單位負責。如，學校將學校網站遷移到云端后，網站所用虛擬服務器、操作系統(tǒng)、網絡的安全由云端負責。但網站本身的安全包括內容安全、網頁防篡改、后臺訪問等一系列安全問題仍由學校負責。而且這些安全實施起來和傳統(tǒng)的不同，涉及的技術將更加復雜。

學校將系統(tǒng)遷移到云端后，學校仍有一部分系統(tǒng)無法遷移，至少存在接入網絡。等保建設不但涉及系統(tǒng)，新的2.0標準將網絡（包括接入網絡）也納入了測評范圍。同時，等保還涉及大量軟環(huán)境的建設，包括安全組織、制度等等。

因此，系統(tǒng)遷移到云端后，等保建設照樣要進行。同時，由于涉及多方，建設的復雜性可能更高，所投入資金也不一定就會更少。

4.測評

由業(yè)主單位聘請有測評資質的單位依據《信息系統(tǒng)安全等級保護基本要求》等技術標準，開展等級保護測評。實際操作時，因測評是按測評的系統(tǒng)數量進行收費的，一般選取單位2—3個重要或有代表性的系統(tǒng)進行測評。三級及以上系統(tǒng)每年必須測評一次。

5.監(jiān)督檢查

公安機關會定期開展監(jiān)督、檢查、指導。業(yè)主單位也應該按照安全要求加強信息系統(tǒng)的運行管理與監(jiān)控。

（三）等保2.0的一些新特點

1.名稱發(fā)生變化。原來等保的全稱叫“信息系統(tǒng)安全等級保護”，現在稱為“網絡安全等級保護”，這樣的叫法和“網絡安全法”中的相關條文相一致。

2.新標準在內容有增加。特別強調了云計算、移動互聯、物聯網和工業(yè)控制系統(tǒng)安全擴展要求。

3.新標準的控制措施分類調整為8個（舊標準為10個）。

4.新標準在控制點和要求項上也有所縮減。

5.新標準在技術部分提出了更具體措施。

二、原環(huán)境下的網絡結構與等保方案

（一）原校園網絡結構

原校園網一般是以核心交換機為中心，向下通過光纖連接匯聚交換機，再通過接入交換機連接各終端。向上（外）通過路由器經專線連接至Internet。同時，學校還通過專有線路接入政務內網（與互聯網物理隔離）。網絡拓撲結構如圖1。

（二）原網絡結構等級保護需重點考慮的區(qū)域

在原網絡結構下，等保建設時主要考慮以下區(qū)域：

1.有線接入區(qū)

一般的在有線接入區(qū)邊界部署1臺下一代防火墻進行網絡邊界的安全防護。主要實現：（1）邊界防護：保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;（2）訪問控制：①在網絡邊界或區(qū)域之間根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信;②刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數量最小化;③對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出;④根據會話狀態(tài)信息為進出數據流提供明確的允許/拒絕訪問的能力;⑤對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。（3）入侵防范：①在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為;②在關鍵網絡節(jié)點處檢測、防止或限制從內部發(fā)起的網絡攻擊行為;③當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。（4）惡意代碼防范：在網絡邊界處對惡意代碼進行檢測和清除;維護惡意代碼庫的升級和檢測系統(tǒng)的更新。

2.無線接入區(qū)

同樣的在無線接入邊界也部署1臺防火墻，實現無線網絡的安全，同時需要部署無線認證系統(tǒng)，通常通過短信認證的方式實現。

3.內網服務器區(qū)

在內網服務器區(qū)邊界部署1臺數據中心防火墻，能夠防御來自內外部的Web威脅。防止各類入侵攻擊手段，防止針對Web服務的例如SQL注入，跨站腳本攻擊，網頁篡改等攻擊。能夠監(jiān)控網絡內的Web業(yè)務的安全運行，全面把握安全狀態(tài)，以便于及時的發(fā)現安全攻擊，防止安全事件的發(fā)生。在內網服務器區(qū)部署終端檢測響應系統(tǒng)，并在各個終端、服務器上安裝輕量級的代理客戶端，能夠對病毒軟件進行管控，同時實現對于主機安全-惡意代碼防范的要求?？梢蕴峁╆P于病毒威脅和事件的監(jiān)控、審計日志，為全網的病毒防護管理提供必要的信息，保障終端、服務器的安全。

4.運維管理區(qū)

在進行等保建設時一般會增加一個專門的安全運維管理理區(qū)。通過部署日志審計系統(tǒng)、運維堡壘機、數據庫審計系統(tǒng)、漏洞掃描系統(tǒng)等滿足等保合規(guī)類要求。其中日志審計主要實現：（1）審計管理：①對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計;②通過審計管理員對審計記錄應進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。（2）集中管理：對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求。

三、新環(huán)境下的網絡結構與等保方案

新環(huán)境指的是系統(tǒng)遷移到云后的網絡環(huán)境。

（一）新環(huán)境下的網絡拓撲結構

新環(huán)境下，院校至少應有兩張網。一張政務內網（辦公網），其與互聯網要求物理隔離。另一張為傳統(tǒng)的校園網。

首先根據相關文件要求，各單位的辦公電腦（辦公網）必須與互聯網物理隔離。一般的政務內網（政府辦公網）提供有功能強大的OA。業(yè)主單位可以將辦公網接入政務內網，利用他們的OA組建自己的辦公系統(tǒng)，無需部署單獨的OA系統(tǒng)。

政務云與互聯網邏輯隔離，各單位一般通過政府外網專線接入政務云。政務云一般分有三個區(qū)：互聯網區(qū)、專網區(qū)、公共區(qū)。

互聯網區(qū)主要部署面向公眾的應用系統(tǒng)。普通公眾通過互聯網進行訪問。典型的如網站，網站可以有自己獨立的域名。

專網區(qū)主要部署本單位的應用系統(tǒng)。只有本單位特定用戶才能訪問，普通用戶是無法訪問的?？梢酝ㄟ^VPN或專網進行連接。典型的應用，如校園的錄播系統(tǒng)，只允許校內用戶訪問。

公共區(qū)主要部署幾個單位共用的應用系統(tǒng)。只有特定單位的特定用戶才能訪問。一般通過政務專網進行連接。典型應用如院校的教務系統(tǒng)，除了校內用戶訪問外，組織部的相關科室也能夠訪問。

有些應用較為復雜，如，培訓管理。其中有些功能需要開放給普通用戶，如網上報名。有些功能只開放給管理者，如，教學安排等。這樣的應用可能要部署在多個區(qū)，多區(qū)之間可以通過防火墻、網閘等安全設備進行邏輯隔離。新的網絡結構如下：

1.政務內網（辦公網）

其拓撲結構見圖2。

2.校園網

其網絡結構見圖3。

（二）等保建設需重點考慮的幾個區(qū)域

1.政務內網接入區(qū)

此區(qū)要求與互聯網物理隔離。電腦接入此區(qū)后，不得搬移到互聯網在使用。此區(qū)的安全主要要防止非法接入。

2.校園網互聯網接入區(qū)

此區(qū)就是原來校園網的互聯網接入區(qū)，應按照原來的安全要求進行等保建設，最少必須配備上網認證系統(tǒng)、上網行為管理、防病毒系統(tǒng)及防火墻等。

3.校園網服務器區(qū)

主要為不能遷移的應用系統(tǒng)而保留。它的建設標準和原來校園網的服務器區(qū)是一致的。

4.管理控制區(qū)

此區(qū)主要用于政務云上各系統(tǒng)的后臺操作與管理控制。安全主要是解決準入問題。

5.云端

系統(tǒng)部署上云后，仍然需要進行等保建設。如，數據庫審計、網頁防篡改等。但其配置與部署和傳統(tǒng)安全建設不同，基本為虛擬機，由云端提供。

四、幾個需要注意的問題

（一）地址劃分問題

一般政務云服務分配給各單位的地址段為10.*.*.*。為避免地址沖突帶來的問題，各單位網址地址最好采用192或172地址段。如果發(fā)生地址沖突，需進行地址轉換，網絡維護量將大大增加。

（二）接入線路與帶寬問題

接入線路一般由各大電信運營商提供，但不可能免費。因此，需要考慮帶寬問題。一方面要考慮業(yè)務需要，另一方面要考慮經濟成本。

（三）專用系統(tǒng)是否遷移問題

有些系統(tǒng)的應用只限于院校。對于這些系統(tǒng)是否遷移需要綜合考慮。首先要考慮技術上是否可行，有些系統(tǒng)可能不能運行在云的環(huán)境，這類系統(tǒng)就無法遷移。其次，遷移到云端省下了服務器的費用（包括服務器運維費用），但管理較為不方便，同時需要支付云端租賃服務費。另一方面，有些應用系統(tǒng)特別是視頻服務類的，需要很大的帶寬，如果遷移到云端，每月的通信傳輸費用將會是一筆不小的負擔。

五、結語

計算機信息安全責任重大，單位領導是第一責任人。國家高度重視信息安全，《網絡安全法》明確規(guī)定必須實行網絡安全等級保護。網絡安全等級保護是一項投入較大、技術較為復雜的工程。另外，信息安全是相對的，不存在絕對的信息安全。單位領導、安全負責人、技術人員必須按網絡安全等級標準，在資金投入、安全要求、使用便捷、信息共享等方面尋求平衡，制定出符合本單位實際的信息安全方針、策略及具體實施辦法以確保本單位的信息安全。

參考文獻：

[1] GB-T 22239-2019《信息安全技術網絡安全等級保護基本要求》.

[2] GB/T 28448-2019 《信息安全技術網絡安全等級保護測評要求》.

[3]付永鋼，洪玉玲，曹煦暉，陳杰，劉年生.計算機信息安全技術（第2版）[M].北京：清華大學出版社，2017.

[4]王昌明.如何開展信息系統(tǒng)網絡安全等級保護工作[N].中國信息化周報，2020-07-27.

[5]邢東旭，曹永寧.電子政務信息系統(tǒng)安全防護架構分析[J.]內蒙古科技與經濟，2020（6）.

作者簡介：童長衛(wèi)（1965—），男，漢族，福建永定人，工程師，本科，主要從事計算機網絡與計算機安全研究。