覃仲宇

摘? 要： 根據(jù)網(wǎng)絡(luò)安全法、等保2.0和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例等法律法規(guī)要求，結(jié)合高校網(wǎng)絡(luò)安全現(xiàn)狀，從安全意識(shí)教育、制度及責(zé)任體系、安全框架模型、安全技術(shù)框架、安全合規(guī)和網(wǎng)絡(luò)安全隊(duì)伍建設(shè)等方面，探討了高校網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的思路，以期為同類院校提供參考。

關(guān)鍵詞： 網(wǎng)絡(luò)安全法; 等保2.0; 關(guān)鍵信息基礎(chǔ)設(shè)施; 高校網(wǎng)絡(luò)安全; 防護(hù)體系

中圖分類號(hào)：G647? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1006-8228（2021）03-26-03

Thoughts on the construction of network security protection system in colleges

and universities under the new security situation

Qin Zhongyu

（Guangzhou Institute of Railway Technology， Guangzhou， Guangdong 510430， China）

Abstract： According to the requirements of "The Cyber Security Law of the People's Republic of China"， "Classified Protection of Information Security 2.0" and "Regulations on the Protection of Critical Information Infrastructure" and other laws and regulations， combining with the current status of cyber security in colleges and universities， the construction of network security protection system in colleges and universities is discussed with the dimensions on security awareness education， system and responsibility system， security framework model， security technical frameworks， security compliance and construction of cyber security teams etc.

Key words： cyber security law; classified protection of information security 2.0; critical information infrastructure; network security in colleges and universities; protection system

0 引言

隨著《教育信息化2.0行動(dòng)計(jì)劃》、《教育信息化“十三五”規(guī)劃》等相關(guān)國(guó)家政策文件的出臺(tái)，各個(gè)高校加快了信息化建設(shè)的步伐。然而在信息化建設(shè)過程中還普遍存在“重建設(shè)輕安全”的現(xiàn)象，校園網(wǎng)絡(luò)安全仍然存在不同程度的問題?！毒W(wǎng)絡(luò)安全法》、等保2.0和《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等相關(guān)國(guó)家文件的相繼出臺(tái)和實(shí)施，對(duì)網(wǎng)絡(luò)安全建設(shè)提出了新的要求。因此，高校應(yīng)該按照網(wǎng)絡(luò)安全相關(guān)法律法規(guī)要求，將網(wǎng)絡(luò)安全建設(shè)貫穿于信息化建設(shè)全過程中，才能有效保障高校網(wǎng)絡(luò)安全、穩(wěn)定、持續(xù)運(yùn)行。

1 安全新形勢(shì)下網(wǎng)絡(luò)安全發(fā)展的特點(diǎn)

1.1 網(wǎng)絡(luò)安全上升至法律層面

2017年6月1號(hào)，《網(wǎng)絡(luò)安全法》正式頒布實(shí)施[1]。《網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益[2]，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展而制定的法律。

《網(wǎng)絡(luò)安全法》的正式實(shí)施，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了合規(guī)建設(shè)義務(wù)，即安全保護(hù)義務(wù)、要求用戶提供真實(shí)身份信息的義務(wù)、保障用戶信息和個(gè)人信息安全的義務(wù)、管理用戶發(fā)布的信息的義務(wù)和協(xié)助、配合公安機(jī)關(guān)工作的義務(wù)等。高校作為網(wǎng)絡(luò)運(yùn)營(yíng)者，在網(wǎng)絡(luò)建設(shè)過程中必須遵循《網(wǎng)絡(luò)安全法》的合規(guī)要求。

1.2 等級(jí)保護(hù)工作進(jìn)入2.0時(shí)代

網(wǎng)絡(luò)安全等級(jí)保護(hù)，是國(guó)家信息安全保障的一項(xiàng)基本制度[3]，國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)[4]。《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定：“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”[5]，要求所有網(wǎng)絡(luò)運(yùn)營(yíng)者有義務(wù)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求對(duì)系統(tǒng)進(jìn)行安全保護(hù)。隨著2019年5月13日《GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)的正式發(fā)布，標(biāo)志著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入2.0時(shí)代[6]。等保2.0的出臺(tái)，給高校網(wǎng)絡(luò)安全建設(shè)提出了新的要求，也指明了方向。

1.3 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》被納入立法計(jì)劃

近日，《國(guó)務(wù)院2020年立法工作計(jì)劃》公布，其中，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》被納入立法計(jì)劃。此次《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》被納入2020年立法規(guī)劃，將從制度機(jī)制、標(biāo)準(zhǔn)規(guī)范、教育培訓(xùn)、手段建設(shè)、技術(shù)創(chuàng)新等方面提升關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位的安全保護(hù)能力。明確關(guān)鍵信息基礎(chǔ)設(shè)施范圍，規(guī)定運(yùn)營(yíng)者安全保護(hù)的權(quán)利和義務(wù)及其負(fù)責(zé)人的職責(zé)，要求建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系和信息通報(bào)制度，違反本條例將會(huì)受到行政處罰、判處罰金甚至要承擔(dān)刑事責(zé)任?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》對(duì)運(yùn)營(yíng)者履行的安全保護(hù)義務(wù)主要范圍給出了具體的要求，為高校開展關(guān)基保護(hù)提供較為具體的指引規(guī)范。

2 高校網(wǎng)絡(luò)安全現(xiàn)狀及問題

當(dāng)前，高校在信息化建設(shè)中取得了較為突出的成效，然而在網(wǎng)絡(luò)安全建設(shè)上的投入力度遠(yuǎn)遠(yuǎn)不夠，普遍存在制度不完善、制度執(zhí)行不到位和網(wǎng)絡(luò)安全人才缺失等問題：

2.1 制度不完善且無法有效執(zhí)行

部分高校的規(guī)章制度沒有從頂層設(shè)計(jì)，不系統(tǒng)、不完善，在網(wǎng)絡(luò)安全管理過程中因人而異，沒有做到依規(guī)管理。有的規(guī)章制度是因?yàn)樯霞?jí)要求而制定的，照搬上級(jí)文件，沒有針對(duì)性，可操作性不強(qiáng);有的規(guī)章制度更新不及時(shí)，無法適應(yīng)網(wǎng)絡(luò)安全的快速發(fā)展。網(wǎng)絡(luò)安全制度無法有效執(zhí)行，無法落地。

2.2 從上至下網(wǎng)絡(luò)安全意識(shí)淡薄

高校網(wǎng)絡(luò)用戶群體復(fù)雜、人員眾多，有教學(xué)人員、管理人員、科研人員和各層次的學(xué)生等，校園網(wǎng)用戶水平參差不齊，大部分校園網(wǎng)用戶存在“網(wǎng)絡(luò)安全問題事不關(guān)己”、“出現(xiàn)網(wǎng)絡(luò)安全問題不解決”和“網(wǎng)絡(luò)安全防護(hù)意識(shí)差”等現(xiàn)象，給校園網(wǎng)帶來了較大的安全隱患。

2.3 缺乏有效的內(nèi)部威脅防范措施

以往的網(wǎng)絡(luò)安全建設(shè)中，往往重點(diǎn)關(guān)注校外的網(wǎng)絡(luò)安全威脅，對(duì)校內(nèi)網(wǎng)絡(luò)安全威脅不夠重視甚至忽視，一般只是通過管理規(guī)定進(jìn)行約束來實(shí)現(xiàn)網(wǎng)絡(luò)安全需求，一旦內(nèi)網(wǎng)某臺(tái)主機(jī)被攻陷，整個(gè)校園網(wǎng)就會(huì)失去防護(hù)能力，這也是近幾年教育行業(yè)成為網(wǎng)絡(luò)安全重災(zāi)區(qū)的原因之一。

2.4 信息部門技術(shù)力量薄弱[7]，缺乏信息安全專崗

相對(duì)于系統(tǒng)工程師、程序員和網(wǎng)絡(luò)工程師等，網(wǎng)絡(luò)安全人員的要求相對(duì)較高，需要跨多專業(yè)的知識(shí)廣度，譬如CISP、CISSP認(rèn)證需要掌握法律法規(guī)、信息資產(chǎn)生命周期、密碼學(xué)、物理安全、通訊安全、身份安全、安全評(píng)估與測(cè)試、安全運(yùn)營(yíng)和軟件開發(fā)安全等近九個(gè)領(lǐng)域的知識(shí)。高校受制于編制數(shù)，往往沒有信息安全專員，大多數(shù)都是由網(wǎng)絡(luò)工程師等崗位人員兼任，導(dǎo)致信息部門技術(shù)力量薄弱。

3 安全新形勢(shì)下高校網(wǎng)絡(luò)安全防護(hù)體系建設(shè)思路

基于安全新形勢(shì)的要求，結(jié)合高校校園網(wǎng)自身特點(diǎn)，建設(shè)符合高校特性的網(wǎng)絡(luò)安全防護(hù)體系，可通過以下幾個(gè)方面進(jìn)行。

3.1 持續(xù)開展網(wǎng)絡(luò)安全意識(shí)教育，確保安全意識(shí)到位

加強(qiáng)全校師生安全意識(shí)，這是構(gòu)建安全體系的第一步。安全意識(shí)教育可分兩個(gè)維度來進(jìn)行，一是培訓(xùn)對(duì)象維度，二是培訓(xùn)內(nèi)容維度。面向校領(lǐng)導(dǎo)開展安全動(dòng)態(tài)、安全風(fēng)險(xiǎn)、安全價(jià)值、安全事件和法律法規(guī)動(dòng)態(tài)等培訓(xùn)內(nèi)容;面向全校師生開展安全意識(shí)、基礎(chǔ)安全技能和安全制度及處罰等培訓(xùn)內(nèi)容;面向技術(shù)全員開展深度安全意識(shí)、安全識(shí)別能力、安全基礎(chǔ)操作能力和基礎(chǔ)應(yīng)急響應(yīng)等培訓(xùn)內(nèi)容;面向開發(fā)人員開展漏洞及風(fēng)險(xiǎn)原理、代碼基礎(chǔ)安全能力和安全設(shè)計(jì)標(biāo)準(zhǔn)等培訓(xùn)內(nèi)容。

3.2 建章立制，構(gòu)建三級(jí)責(zé)任體系

網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全管理的核心，不能因?yàn)閷?duì)制度落地期望低或?qū)嵤┬Ч疃芙^建立制度，制度的建立是正視安全工作的第一步。網(wǎng)絡(luò)安全管理不僅僅限于規(guī)定網(wǎng)絡(luò)安全部門的人員配置、工作職責(zé)和流程制度，更重要的是要有相應(yīng)的學(xué)校層面的組織保障，落實(shí)領(lǐng)導(dǎo)責(zé)任制，明確一名主管校長(zhǎng)，負(fù)責(zé)學(xué)校網(wǎng)絡(luò)安全管理工作，這是制定安全標(biāo)準(zhǔn)、流程的依據(jù)，是實(shí)施網(wǎng)絡(luò)安全技術(shù)架構(gòu)的基礎(chǔ)，更是網(wǎng)絡(luò)安全有效運(yùn)營(yíng)的核心。

構(gòu)建三級(jí)責(zé)任體系。第一級(jí)為分管網(wǎng)絡(luò)安全的學(xué)校主要領(lǐng)導(dǎo)，即網(wǎng)絡(luò)安全第一責(zé)任人，研究制定學(xué)校網(wǎng)絡(luò)安全工作規(guī)劃、年度計(jì)劃和政策措施，協(xié)調(diào)推進(jìn)學(xué)校網(wǎng)絡(luò)安全應(yīng)急機(jī)制和工作體系建設(shè);第二級(jí)為負(fù)責(zé)網(wǎng)絡(luò)安全工作的部門負(fù)責(zé)人，即總體安全策略計(jì)劃制定者，負(fù)責(zé)制訂網(wǎng)絡(luò)安全的技術(shù)方案，檢查、指導(dǎo)和督促各單位的網(wǎng)絡(luò)安全工作;第三級(jí)為網(wǎng)絡(luò)安全攻防團(tuán)隊(duì)，負(fù)責(zé)PDCA（Plan、Do、Check、Action）執(zhí)行，使安全策略有效運(yùn)行和落地。三者缺一不可，相輔相成。

3.3 構(gòu)建具有高校特性的安全框架模型

安全不能脫離于具體業(yè)務(wù)，需要與業(yè)務(wù)場(chǎng)景高度耦合，這個(gè)耦合的過程實(shí)際上就是框架建設(shè)的過程。好的規(guī)劃和設(shè)計(jì)，對(duì)日后整體資源投入和能力構(gòu)建都是有較好的戰(zhàn)略指引性作用，一個(gè)基本的安全策略框架可以包括：安全策略方針、安全組織架構(gòu)、安全技術(shù)體系、數(shù)據(jù)安全體系、安全合規(guī)體系、人員安全管理、外部安全管理和安全資質(zhì)認(rèn)證等方面構(gòu)成，如圖1所示。

3.4 構(gòu)建符合高校自身特性的安全技術(shù)框架

基礎(chǔ)安全具有通用型，但是不同行業(yè)都有行業(yè)的業(yè)務(wù)特性，在行業(yè)業(yè)務(wù)模式和數(shù)據(jù)流轉(zhuǎn)流程的差異化之下，運(yùn)營(yíng)、管理和策略等都有很大的區(qū)別。通過梳理高校現(xiàn)狀，建設(shè)具有高校特性的安全技術(shù)框架，是高校網(wǎng)絡(luò)安全防護(hù)體系建設(shè)中重要的環(huán)節(jié)?？蓞⒖紙D2進(jìn)行建設(shè)。

3.5 安全合規(guī)建設(shè)

安全合規(guī)要求主要包含基礎(chǔ)安全能力要求、用戶權(quán)益保障、業(yè)務(wù)合規(guī)性要求、用戶協(xié)議和網(wǎng)絡(luò)安全義務(wù)等方面。從國(guó)家層面來看，網(wǎng)絡(luò)安全法奠定了安全基礎(chǔ)，提出了“等級(jí)保護(hù)制度”的要求，各個(gè)行業(yè)也先后出臺(tái)了相關(guān)制度。對(duì)于高校而言，除了滿足等級(jí)保護(hù)制度中的要求之外，還應(yīng)滿足《GB/T35273個(gè)人信息安全規(guī)范》、《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本規(guī)范》和《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》等相關(guān)文件規(guī)范要求。

3.6 網(wǎng)絡(luò)安全隊(duì)伍建設(shè)

成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，下設(shè)網(wǎng)絡(luò)安全與信息化工作小組、技術(shù)支持人員和專家?guī)?。其中網(wǎng)絡(luò)安全與信息化工作小組由黨政部門、宣傳部門、信息中心、教務(wù)處和各職能部門組成;技術(shù)支持人員由信息中心技術(shù)人員、學(xué)生安全團(tuán)隊(duì)、第三方安服團(tuán)隊(duì)和安全廠家組成;專家?guī)煊山逃鐚＜?、企業(yè)及行業(yè)專家組成。

4 結(jié)束語

通過以上幾方面的建設(shè)，可以有效構(gòu)建高校網(wǎng)絡(luò)安全防護(hù)體系。網(wǎng)絡(luò)安全保障除了科學(xué)的體系建設(shè)之外，還需要大量的實(shí)踐管理工作作為支撐，而后者應(yīng)作為高校逐步積累、不斷探索的長(zhǎng)期工作之一。

參考文獻(xiàn)（References）：

[1] 肖偉.《網(wǎng)絡(luò)安全法解讀》——從高校視角出發(fā)[J].電腦知識(shí)與技術(shù)，2017.8（23）：39-40

[2] 王春暉.《網(wǎng)絡(luò)安全法》六大法律制度解析[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2017.3（1）：1-13

[3] 王大川，王永書，林紅.淺議計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)[J].中國(guó)公共安全（學(xué)術(shù)版），2009.3（3）：4-10

[4] 戴宗坤.信息安全管理指南[M].重慶大學(xué)出版社，2008.

[5] 王斌.基于等級(jí)保護(hù)體系下信息安全整改的設(shè)計(jì)[J].信息技術(shù)與信息化，2017.6：42-44

[6] 何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019.3：9-14，19

[7] 馬金紅，馬男男.基層稅務(wù)機(jī)關(guān)日常信息安全管理體系探析[J].天津經(jīng)濟(jì)，2018.10：33-38