繆松琴

【摘要】? ? 《中華人民共和國網(wǎng)絡(luò)安全法》明確提出了我國實行網(wǎng)絡(luò)安全等級保護制度。等級保護2.0對當前高校信息系統(tǒng)安全提出了更高的要求，本文詳細解讀了等級保護2.0的新要求，對高校信息系統(tǒng)安全如何落實等保2.0進行了研究與分析。

【關(guān)鍵詞】? ? 等級保護? ? 等級保護2.0? ? 網(wǎng)絡(luò)安全? ? 信息系統(tǒng)安全

引言：

2019年公安部實施了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，等級保護進入2.0時代，對我國網(wǎng)絡(luò)安全工作提出了新要求。

隨著社會互聯(lián)網(wǎng)化程度不斷加深，高校智慧化校園建設(shè)不斷推進，高校的各類應(yīng)用和業(yè)務(wù)系統(tǒng)不斷增加，但是由于高校特殊的網(wǎng)絡(luò)環(huán)境，未能全面重視系統(tǒng)的網(wǎng)絡(luò)安全防護，校園網(wǎng)絡(luò)安全風(fēng)險日益增加，導(dǎo)致高校的網(wǎng)絡(luò)容易被黑客攻擊，造成師生的信息泄露和網(wǎng)頁被篡改等安全事件。高校的信息網(wǎng)絡(luò)安全建設(shè)應(yīng)以等保2.0為抓手，進一步提高網(wǎng)絡(luò)安全防范措施，保障高校信息網(wǎng)絡(luò)安全。

一、等保2.0與等保1.0的主要區(qū)別

等保2.0的基本要求相對于1.0有了很大的改變，本文主要從以下四個方面論述[1]。

1.1等保2.0要求名稱的變化

2017年實施的《中華人民共和國網(wǎng)絡(luò)安全法》明確提出了我國實行網(wǎng)絡(luò)安全等級保護制度。在等保2.0標準中名稱由等保1.0中的《信息系統(tǒng)安全等級保護基本要求》變更為《網(wǎng)絡(luò)安全等級保護基本要求》[2][3]。

1.2等保2.0定級對象的變化

等保1.0中的定級對象是信息系統(tǒng)，等保2.0中定級對象變更為等級保護對象，包含信息系統(tǒng)（傳統(tǒng)信息系統(tǒng)、云計算平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等），通信網(wǎng)絡(luò)設(shè)施（電信網(wǎng)、廣播電視傳輸網(wǎng)等通信網(wǎng)絡(luò)設(shè)施）和數(shù)據(jù)資源（大數(shù)據(jù)、大數(shù)據(jù)平臺/系統(tǒng)）。

1.3等保2.0技術(shù)和管理要求的變化

等保2.0在技術(shù)和管理上相對于等保1.0有較大改變，等保1.0主要從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全五個方面作出要求，而等保2.0主要從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心作出要求。等保2.0以一個中心，三重防護為技術(shù)管理思想，將等級保護由被動防御帶入主動防御的時代。三重防護包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計算環(huán)境，一個中心是增加的安全管理中心。

1.4等保2.0安全要求的變化

等保2.0在等保1.0通用安全要求的基礎(chǔ)上增加了安全擴展要求。擴展要求主要包含了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)安全擴展要求。

二、等保2.0要求下高校信息系統(tǒng)安全防護措施

在新的標準要求下，高校信息系統(tǒng)落實等保2.0首先應(yīng)該對照標準，理清高校的網(wǎng)絡(luò)結(jié)構(gòu)，按照等保2.0的要求逐一夯實防護措施。

2.1按照等級保護2.0標準，梳理需要定級的對象

在新的標準要求中，參照定級對象的要求，我們需要對信息系統(tǒng)，通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源進行梳理，以連云港師范高等?？茖W(xué)校信息系統(tǒng)為例，我校主要選擇如下定級對象：

1.校園基礎(chǔ)網(wǎng)絡(luò)，包含有線和無線網(wǎng)絡(luò)。

2.校園網(wǎng)站群平臺，包含多個子網(wǎng)站。

3.校園云平臺，對云平臺的主機、存儲和管理平臺等定級。

4.校園移動APP，包含辦公自動化OA等系統(tǒng)。

5.校園大數(shù)據(jù)平臺中心系統(tǒng)，包含數(shù)據(jù)中心服務(wù)器和數(shù)據(jù)庫系統(tǒng)。

2.2開展等級保護2.0的測評

按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》等文件要求，等級保護分為定級評審，備案審核，測評，安全建設(shè)整改和自查/監(jiān)督檢查五個階段[4]。

2.2.1定級評審

根據(jù)相關(guān)標準確定等級保護對象的等級，等級保護定級工作需要根據(jù)等級保護對象在國家安全、社會秩序的重要程度，根據(jù)其在被破壞后對國家安全、社會秩序和公共利益，法人和公民合法權(quán)益的危害程度等，由低到高劃分為五個安全保護等級。具體劃分如表1所示。

高校等級保護對象的定級需要以《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南（GB/T 22240-2020）》為指導(dǎo)，根據(jù)學(xué)校規(guī)模，社會影響力和業(yè)務(wù)類型三個方面受到破壞后的嚴重程度來確定定級的等級[5][6]。

為確保高校信息系統(tǒng)項目質(zhì)量，高校信息系統(tǒng)應(yīng)在立項階段確定安全保護等級，對建設(shè)方案進行單獨的安全論證和等級評審。

2.2.2備案

根據(jù)《信息安全等級保護備案實施細則》（公信安〔2007〕1360號），等級保護對象定級二級以上的需要進行備案，二級以上信息系統(tǒng)需要其主管單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理相關(guān)備案手續(xù)。

2.2.3測評

參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求（GB/T 22239-2019）》[S]、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求（GB/T 28448-2019）》[S]、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南（GB∕T28449-2018）》[S]等標準，開展等保2.0 測評工作測評。高校二級信息系統(tǒng)每兩年進行一次測評，三級信息系統(tǒng)每年進行一次測評，四級信息系統(tǒng)應(yīng)每半年進行一次測評，五級信息系統(tǒng)依據(jù)特殊安全需求測評。

2.2.4安全建設(shè)整改

根據(jù)測評報告和整改建議，及時整改漏洞、隱患和安全問題。

2.2.5自查/監(jiān)督檢查

按照“自主定級、自主保護”的原則，高校信息系統(tǒng)安全等級保護的責(zé)任主體是高校相關(guān)建設(shè)單位，高校需要定期進行安全自查，并接受公安機關(guān)部門監(jiān)督檢查。

2.3落實等保2.0，完善高校網(wǎng)絡(luò)安全防護

結(jié)合等級保護2.0的管理和技術(shù)要求，完善高校信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險防護體系，從資產(chǎn)，制度和技術(shù)三維角度將等保2.0落實，將高校網(wǎng)絡(luò)安全防護常態(tài)化。

2.3.1建立信息資產(chǎn)動態(tài)清單

隨著高校數(shù)字化校園建設(shè)不斷推進，各類應(yīng)用和業(yè)務(wù)系統(tǒng)不斷增加，高校應(yīng)當及時建立信息資產(chǎn)清單，并且做到實時更新，為梳理定級對象夯實基礎(chǔ)。

2.3.2建立安全管理制度

建立完善的安全管理制度，明確學(xué)校安全工作領(lǐng)導(dǎo)小組，制定高校安全管理辦法，明確各部門工作要求，落實安全責(zé)任，提升防范化解網(wǎng)絡(luò)安全風(fēng)險能力，構(gòu)建可信、可控、可查的網(wǎng)絡(luò)安全環(huán)境。積極落實《教育部關(guān)于加強教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》、《教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等文件要求，規(guī)范網(wǎng)絡(luò)安全事件工作流程，提高網(wǎng)絡(luò)安全應(yīng)急處置能力，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的危害，切實維護高校網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定。

2.3.3 強化網(wǎng)絡(luò)安全技術(shù)防護

技術(shù)是網(wǎng)絡(luò)安全防護的重要保障，等保2.0要求下，網(wǎng)絡(luò)安全防護要以技術(shù)為抓手，以一個中心，三重防護為防護技術(shù)思想，更好地落實等保2.0要求。

傳統(tǒng)的防護產(chǎn)品中，一般是在校園信息系統(tǒng)中安裝邊界防火墻、入侵檢測系統(tǒng)、WAF防火墻、校園VPN設(shè)備、堡壘機和上網(wǎng)行為管理系統(tǒng)等安全設(shè)備。

等保2.0要求實現(xiàn)安全風(fēng)險的可識別、可控制、可記錄和可分析，可以通過部署入侵防范、惡意代碼防范實現(xiàn)安全風(fēng)險的可識別，利用身份認證、訪問控制實現(xiàn)安全風(fēng)險的可控制，通過安全審計實現(xiàn)安全風(fēng)險的可記錄，集中管理中心可實現(xiàn)安全風(fēng)險的分析。

基于校園信息系統(tǒng)內(nèi)外網(wǎng)的特殊性，所有的外網(wǎng)管理需要通過堡壘機進行配置，設(shè)置源 IP 地址和賬戶配置，實現(xiàn)業(yè)務(wù)系統(tǒng)的可控性。精確開放需要的端口，屏蔽不需要對外開放的端口，避免校外惡意攻擊者對校內(nèi)服務(wù)器進行攻擊。校外訪問校內(nèi)資源采用VPN授權(quán)用戶訪問，控制業(yè)務(wù)系統(tǒng)的內(nèi)、外網(wǎng)訪問安全問題。在等保2.0的要求中，可以進一步部署新的防護產(chǎn)品如態(tài)勢感知系統(tǒng)、增加基于密碼學(xué)的身份認證、數(shù)據(jù)加密和簽名技術(shù)，可信免疫技術(shù)和個人信息保護技術(shù)的防護產(chǎn)品，使校園信息系統(tǒng)在多重防御下良好、穩(wěn)定地運行。

三、結(jié)束語

我國網(wǎng)絡(luò)安全防護以等級保護為主，等保2.0為高校開展網(wǎng)絡(luò)安全防護提出了基本要求和指導(dǎo)，新要求對關(guān)鍵基礎(chǔ)信息設(shè)施實施重點保護，更要加強移動APP、數(shù)據(jù)平臺、個人信息安全保護。本文根據(jù)高校的特殊網(wǎng)絡(luò)環(huán)境，研究了等級保護2.0要求下的等級保護測評工作，為高校如何做好網(wǎng)絡(luò)安全防護提出了建議，高校應(yīng)當結(jié)合校園信息系統(tǒng)的特殊性，開展更有針對性的防護。

參? 考? 文? 獻

[1]何占博，王穎，劉軍.我國網(wǎng)絡(luò)安全等級保護現(xiàn)狀與2.0標準體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（ 3） ： 9- 14，19.

[2] GB/T22239-2008，信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S].

[3] GB/T22239-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[S].

[4] GB/T28448-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求[S].

[5]教育部辦公廳.教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）[Z].2014-10-29.

[6] GB/T22240-2020，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南[S].