程五生

(合肥經(jīng)濟學(xué)院，安徽 合肥 230012)

0 引言

隨著互聯(lián)網(wǎng)的高速發(fā)展，高校信息化水平的不斷提升，高校的教研和日常管理工作對網(wǎng)絡(luò)信息系統(tǒng)的依賴性越來越高，但同時也導(dǎo)致網(wǎng)絡(luò)信息系統(tǒng)面臨的風(fēng)險越來越大[1]。因此，要在遵守法律、法規(guī)及相關(guān)文件要求的基礎(chǔ)上，結(jié)合各自的信息化建設(shè)實際，盡快制定網(wǎng)絡(luò)信息安全保護的措施并嚴格落實。網(wǎng)絡(luò)信息安全是指利用各種技術(shù)手段和安全保護措施，保障網(wǎng)絡(luò)信息系統(tǒng)正常、穩(wěn)定地運行，避免因偶然或惡意等原因，使網(wǎng)絡(luò)信息系統(tǒng)軟、硬件遭到破壞以及數(shù)據(jù)資源遭到泄露[2]，從而確保數(shù)據(jù)資源的完整、可用和保密。高校肩負著傳承文化、培養(yǎng)人才的重要責(zé)任，網(wǎng)絡(luò)信息安全管理體系建設(shè)刻不容緩，尤其是近年來黑客活動更加頻繁，新型惡性網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)信息釣魚威脅和網(wǎng)絡(luò)惡意程序后門等新型攻擊越發(fā)嚴重，高校網(wǎng)絡(luò)安全面臨著新的挑戰(zhàn)[3]。目前，我國各地高校網(wǎng)絡(luò)安全信息化平臺建設(shè)正處于向縱深發(fā)展推進的關(guān)鍵重要階段，如何著力提升高校網(wǎng)絡(luò)信息與安全體系防護技術(shù)能力，構(gòu)建一套完善有序的高校網(wǎng)絡(luò)信息及安全保護管理信息化體系等，已成為目前各類型高校網(wǎng)絡(luò)信息化能力建設(shè)中的發(fā)展重點，具有較強的實際意義。

近些年，高校網(wǎng)絡(luò)信息安全已經(jīng)取得了顯著的進步，但是在防護方面仍有很多不完善之處，需要加強信息化建設(shè)。2019年5月10日，由中華人民共和國國家市場監(jiān)督管理總局、中國國家標(biāo)準(zhǔn)化管理委員會制訂的國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239—2019)[4]的發(fā)布(簡稱等保2.0標(biāo)準(zhǔn))，并于2019年12月1日起正式實施，要求高校網(wǎng)絡(luò)信息安全體系建設(shè)要朝著新標(biāo)準(zhǔn)靠攏，嚴格落實等級保護工作。

1 等保2.0標(biāo)準(zhǔn)

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，新技術(shù)在各種系統(tǒng)中大量出現(xiàn)，原有的注重被動防御的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)已無法應(yīng)對新的安全風(fēng)險所帶來的威脅，也無法滿足當(dāng)前技術(shù)發(fā)展的要求。2019年5月，等保2.0標(biāo)準(zhǔn)適時而出，在法律法規(guī)、安全體系、標(biāo)準(zhǔn)要求和實施等多個方面都發(fā)生了變化，并于2019年12月1日正式實施，這也意味著等保2.0標(biāo)準(zhǔn)時代的來臨[5]。等保2.0標(biāo)準(zhǔn)是在前一個標(biāo)準(zhǔn)的基礎(chǔ)上，聚焦新問題、新威脅和新技術(shù)，強調(diào)綜合、縱深和主動防御，注重從事前、事中到事后全流程的安全和審計，基于各種新技術(shù)和新應(yīng)用領(lǐng)域的不同安全保護需求，提出了新要求，也制定了更高等級的標(biāo)準(zhǔn)，等保2.0標(biāo)準(zhǔn)的具體結(jié)構(gòu)如圖1所示。

圖1 等保2.0標(biāo)準(zhǔn)結(jié)構(gòu)圖

在高校，等保2.0是建設(shè)網(wǎng)絡(luò)安全管理體系的最新標(biāo)準(zhǔn)，也是今后建設(shè)網(wǎng)絡(luò)信息安全的主要依據(jù)和參考。對當(dāng)前網(wǎng)絡(luò)信息安全管理體系建設(shè)中的問題，高校要對標(biāo)等保2.0標(biāo)準(zhǔn)，總結(jié)分析，對于存在的問題要及時修正并加以完善，以便與等保2.0標(biāo)準(zhǔn)相適應(yīng)。

2 高校網(wǎng)絡(luò)信息安全現(xiàn)狀

2.1 安全管理方面

目前，部分高校存在網(wǎng)絡(luò)建設(shè)安全及管理應(yīng)用水平整體較低的現(xiàn)狀。究其原因主要在于，高校在開展教育信息化網(wǎng)絡(luò)建設(shè)項目的籌備初期沒有足夠重視信息化教育應(yīng)用開發(fā)和網(wǎng)絡(luò)基礎(chǔ)安全體系建設(shè)的同步組織規(guī)劃部署與建設(shè)實施。網(wǎng)絡(luò)環(huán)境安全的管理制度并不太完善[6]。在高校中，網(wǎng)絡(luò)基礎(chǔ)環(huán)境大部分是由信息化管理部門負責(zé)，二級單位只是根據(jù)安全需求，開展信息安全系統(tǒng)建設(shè)，但在開展運維工作時，未能將相關(guān)安全管理責(zé)任落實到位；另外，有些師生的網(wǎng)絡(luò)安全防范意識比較薄弱，這和網(wǎng)絡(luò)信息安全知識的宣傳不到位有關(guān)，例如密碼設(shè)置保護、不明網(wǎng)絡(luò)鏈接、病毒防護等網(wǎng)絡(luò)安全操作的意識淡薄，常出現(xiàn)非法接入和非法訪問等行為，導(dǎo)致個人信息泄露，計算機和網(wǎng)絡(luò)信息系統(tǒng)很容易受到攻擊，甚至?xí)?dǎo)致數(shù)據(jù)資源的泄露和丟失；網(wǎng)絡(luò)安全技術(shù)專業(yè)人才缺乏，很多人員尚未接受過系統(tǒng)的專業(yè)培訓(xùn)，其素養(yǎng)和專業(yè)技術(shù)水平較低。

2.2 基礎(chǔ)網(wǎng)絡(luò)安全方面

近些年，很多高校在網(wǎng)絡(luò)信息基礎(chǔ)上開始部署大量先進的各類軟、硬件網(wǎng)絡(luò)安全保障設(shè)備，如入侵防御系統(tǒng)、各種應(yīng)用防火墻、審計系統(tǒng)等，由此看出，高校逐漸意識到重視網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施安全技術(shù)的整體管理的重要性。但對于這些安全設(shè)備的部署，現(xiàn)實情況基本都是各類安全設(shè)備的堆疊，深度防御和相互保護尚未形成體系，缺乏完善的網(wǎng)絡(luò)安全防護體系。參照等保2.0標(biāo)準(zhǔn)，大多數(shù)高校在安全管理、邊界防護、信息隱私防護、日志審計等方面都存在不完善之處。

很多高校對網(wǎng)絡(luò)信息安全建設(shè)規(guī)劃不清晰，忽視了安全管理中心的重要性。等保2.0標(biāo)準(zhǔn)非常重視安全管理中心的作用，若要符合此標(biāo)準(zhǔn)，需要有與安全運維中心類似的流程化管理，同時需要有集中監(jiān)控、審計以及集中管理等平臺作為技術(shù)支撐。目前各高校在這些層面的管理水平差距較大，有的高校尚未使用安全管理類、安全運維類、審計類等軟件；有的高校雖然使用了相關(guān)軟件，但都處于零散化狀態(tài)；還有的高校雖已具有完整的軟件和設(shè)備，但未能做到統(tǒng)一運營、集中管理。

等保2.0標(biāo)準(zhǔn)非常注重對網(wǎng)絡(luò)邊界的防護，強調(diào)區(qū)域防護對網(wǎng)絡(luò)信息安全體系的重要性，要求在網(wǎng)絡(luò)安全區(qū)域邊界對訪問進行實時控制，并對入侵進行實時檢測。但是，目前多數(shù)高校設(shè)置的網(wǎng)絡(luò)邊界防護僅為對外部的整體防御，仍未對邊界進行細致劃分，少數(shù)高校即使對邊界和功能區(qū)域進行了細致劃分，但對應(yīng)的防護措施卻仍未跟上。

目前，云服務(wù)及虛擬化技術(shù)在很多高校應(yīng)用廣泛，云服務(wù)和虛擬化技術(shù)的運用，不但使得軟、硬件資源的利用率大幅提高，而且也使得業(yè)務(wù)系統(tǒng)的可靠性大大提升，但是同時也產(chǎn)生了一系列的網(wǎng)絡(luò)安全問題，如何安全隔離虛擬機、如何控制橫向流量已成為各高校在信息化建設(shè)過程中面臨的新挑戰(zhàn)。

2.3 應(yīng)用系統(tǒng)安全方面

隨著智慧校園的發(fā)展，我國高校大多已實現(xiàn)校園網(wǎng)絡(luò)全覆蓋，建成初具規(guī)模的教務(wù)和科研系統(tǒng)以及門戶平臺、一卡通平臺等業(yè)務(wù)信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)規(guī)模龐大，各種APP和小程序的應(yīng)用廣泛，很多信息系統(tǒng)對互聯(lián)網(wǎng)開放，這導(dǎo)致一系列安全問題的出現(xiàn)。比如有些程序在部署和運維時，采用默認設(shè)置，應(yīng)用程序不更新，安全隱患比較明顯；有的系統(tǒng)認證方式單一，有的系統(tǒng)未經(jīng)過任何安全檢測就上線，這些都會引發(fā)安全問題。

2.4 主機安全方面

部分高校在信息化建設(shè)和運維過程中，采用靜默模式，服務(wù)器或終端系統(tǒng)基本不升級，漏洞補丁更新不及時；有的系統(tǒng)雖安裝了殺毒軟件，但病毒庫很少更新，有的系統(tǒng)甚至未安裝殺毒軟件；還有的系統(tǒng)登錄的口令較弱，這些安全隱患使目前流行的勒索病毒有機可乘。

3 基于等保2.0標(biāo)準(zhǔn)的高校網(wǎng)絡(luò)信息安全技術(shù)體系構(gòu)建

目前，高校建成的校園網(wǎng)集成了各類辦公系統(tǒng)、教學(xué)平臺以及課程中心等，這是高校展示數(shù)字化校園的重要平臺，也是整合學(xué)校各類系統(tǒng)服務(wù)的集成平臺，在教學(xué)、科研、人事、財務(wù)、后勤保障等方面發(fā)揮了重要的支撐作用。目前，我國高校基本上都具有網(wǎng)絡(luò)安全設(shè)備，對高校網(wǎng)絡(luò)信息安全起到了一定的保障作用，但是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和新的網(wǎng)絡(luò)攻擊方式的不斷出現(xiàn)，大多數(shù)高?，F(xiàn)有的防護設(shè)備已不足以抵抗新型的網(wǎng)絡(luò)安全威脅，與現(xiàn)有的等保2.0標(biāo)準(zhǔn)多項技術(shù)要求不符。

合肥經(jīng)濟學(xué)院校園網(wǎng)日常運行教學(xué)、科研、郵件系統(tǒng)等各類業(yè)務(wù)系統(tǒng)，而且新的應(yīng)用系統(tǒng)不斷上線，基于上述網(wǎng)絡(luò)信息安全問題，學(xué)?；诘缺?.0相關(guān)技術(shù)標(biāo)準(zhǔn)和主管部門政策，緊密結(jié)合校園網(wǎng)的實際情況，同時參照已有的研究成果[7-8]對校內(nèi)網(wǎng)絡(luò)信息安全體系進行全面的排查、改造和升級，保障學(xué)校內(nèi)各種應(yīng)用系統(tǒng)安全穩(wěn)定運行。

3.1 劃分安全域

基于等保2.0標(biāo)準(zhǔn)，根據(jù)網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用程序等相關(guān)屬性，以同一安全域的劃分原則，將學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為外聯(lián)出口域、核心交換域、安全運維管理域、數(shù)據(jù)中心域4個安全域(圖2)，并實施對應(yīng)的安全策略。外聯(lián)出口域出口處共設(shè)置3條ISP鏈路，同時利用鏈路負載均衡設(shè)備保證3條ISP鏈路負載的均衡。在外聯(lián)出口域、核心交換域的邊界設(shè)置了防火墻，對邊界起到防護作用；同時還設(shè)置了防病毒網(wǎng)關(guān)、入侵防護設(shè)備(IPS)，分別用于病毒防護和入侵防護。為了給教師和學(xué)生在校外訪問校園網(wǎng)提供方便，系統(tǒng)還專門設(shè)置了2套虛擬專用網(wǎng)絡(luò)(IPsec VPN)系統(tǒng)，分別用于教師、學(xué)生的遠程接入。

圖2 安全域劃分

數(shù)據(jù)中心域主要放置很多類型服務(wù)器。學(xué)校網(wǎng)站群系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)模式為B/S架構(gòu)，用戶對網(wǎng)站的訪問由校園網(wǎng)提供服務(wù)。為了對學(xué)校的網(wǎng)站、數(shù)據(jù)等進行全方位的防護，數(shù)據(jù)中心域還部署了數(shù)據(jù)中心防火墻、Web防火墻、數(shù)據(jù)庫備份和數(shù)據(jù)庫審計系統(tǒng)。

根據(jù)等保2.0標(biāo)準(zhǔn)的要求，按照事前預(yù)防、事中控制和事后審計的原則,安全運維管理域部署了安全管理平臺、防病毒服務(wù)器、運維管理系統(tǒng)(堡壘機)、漏洞掃描系統(tǒng)、日志審計系統(tǒng)等，實現(xiàn)了運維審計、日志管理分析和漏洞掃描等集中管理。

3.2 安全設(shè)計具體措施

3.2.1 網(wǎng)絡(luò)環(huán)境安全防護措施

(1)部署校園網(wǎng)防火墻：根據(jù)各應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全實際需求，制定基于安全域、IP地址和服務(wù)/應(yīng)用等多種元素的訪問控制動態(tài)調(diào)整策略。部署校園網(wǎng)防火墻，減少網(wǎng)絡(luò)安全威脅，保障校園整體網(wǎng)絡(luò)安全。(2)部署Web應(yīng)用防火墻云模式防護系統(tǒng)：通過Web應(yīng)用防護系統(tǒng)(WAF)，利用防火墻云等技術(shù)實現(xiàn)集中式和分布式的訪問控制，內(nèi)對外、外對內(nèi)精細化訪問控制以及優(yōu)化內(nèi)對內(nèi)的策略，校園網(wǎng)絡(luò)安全性得到大幅提升。(3)部署校園網(wǎng)絡(luò)信息安全威脅分析系統(tǒng)：網(wǎng)絡(luò)攻擊對校園網(wǎng)絡(luò)安全的破壞影響比較大，對于校園網(wǎng)內(nèi)、外部的攻擊，高校信息化管理部門要部署校園網(wǎng)安全威脅分析系統(tǒng)，及時準(zhǔn)確發(fā)現(xiàn)并處理內(nèi)部不受控制的主機及相關(guān)聯(lián)的威脅。(4)部署堡壘機監(jiān)督審計系統(tǒng)：堡壘機可對授權(quán)人員的操作進行詳細記錄，因此基于等保2.0標(biāo)準(zhǔn),部署堡壘機監(jiān)督審計系統(tǒng)。高校運維人員在使用管理系統(tǒng)之前，必須要登錄堡壘機獲得授權(quán)后才可對相應(yīng)的授權(quán)管理系統(tǒng)進行管理，切實做到事前預(yù)防、事中控制和事后審計。

3.2.2 應(yīng)用安全防護措施

(1)應(yīng)用VPN技術(shù)：高校在建設(shè)校園網(wǎng)過程中引入VPN技術(shù)，以進一步提升校園網(wǎng)的安全性。對于不同的網(wǎng)絡(luò)資源，采用不同的訪問控制方法，如應(yīng)用SSL VPN技術(shù)，可方便快捷地對高校的食堂收費系統(tǒng)、圖書館的資源系統(tǒng)，教務(wù)處的教務(wù)系統(tǒng)等進行安全訪問。(2)定期對校園網(wǎng)進行安全掃描：隨著時間的推移，系統(tǒng)會出現(xiàn)各種漏洞，學(xué)校信息化行政管理部門應(yīng)定期掃描應(yīng)用系統(tǒng)，以便及時準(zhǔn)確發(fā)現(xiàn)系統(tǒng)的安全漏洞，對掃描結(jié)果進行科學(xué)分析、論證和評估，并按規(guī)定及時總結(jié)，提出專項整改實施意見。確保文件及時下發(fā)至二級管理單位，要求限期進行有效整改，降低信息系統(tǒng)的風(fēng)險。(3)統(tǒng)一身份認證：教師和學(xué)生應(yīng)統(tǒng)一身份認證，僅需一套用戶名和密碼就可登錄被授權(quán)的信息系統(tǒng)。另外，為提高系統(tǒng)訪問的安全性，在統(tǒng)一身份認證的同時還可以結(jié)合動態(tài)口令和PIN碼相結(jié)合的雙因素認證，使教師和學(xué)生在訪問系統(tǒng)時密碼是隨機動態(tài)變化的。

3.2.3 主機安全防護措施

(1)部署主機安全配置核查系統(tǒng)：主機安全配置主要有身份鑒別策略、數(shù)據(jù)備份策略、訪問控制策略、審計策略、日志策略等，通過自查能發(fā)現(xiàn)主機安全配置存在的問題，自查結(jié)果會生成分析報告，便于管理人員分析，降低安全隱患。(2)部署主機安全防護系統(tǒng)：部署防護系統(tǒng)，整合梳理主機信息，建立統(tǒng)一管理的資產(chǎn)庫，對校園網(wǎng)內(nèi)的相應(yīng)主機進行分析， 將識別出的信息與漏洞數(shù)據(jù)庫進行比較，根據(jù)比較結(jié)果查找漏洞并進行及時修復(fù)更新。此外，配置訪問控制列表(ACL)策略，對相應(yīng)主機的訪問行為、流量和注冊表變更等行為實時監(jiān)控，從多個層面識別、判斷主機風(fēng)險，管理人員可根據(jù)分析結(jié)果及時調(diào)整防護措施，提高防護效率。

4 基于等保2.0標(biāo)準(zhǔn)的高校網(wǎng)絡(luò)信息安全管理體系的建設(shè)措施

4.1 健全完善計算機網(wǎng)絡(luò)信息和安全技術(shù)管理工作制度

鑒于目前網(wǎng)絡(luò)信息安全保障管理現(xiàn)狀，學(xué)校管理層應(yīng)盡快組建一、二級單位聯(lián)合的安全保障小組，制定全面完善的網(wǎng)絡(luò)安全管理工作制度，將網(wǎng)絡(luò)信息安全工作放在第一位，建立第一主要責(zé)任人的崗位負責(zé)制，明確網(wǎng)絡(luò)安全管理人員的崗位職責(zé)。在學(xué)校網(wǎng)絡(luò)信息安全保障工作領(lǐng)導(dǎo)小組組織下,高校與各二級單位網(wǎng)絡(luò)信息安全管理第一責(zé)任人和相應(yīng)崗位負責(zé)人及第三方簽訂協(xié)議,明確各方責(zé)任，將學(xué)校網(wǎng)絡(luò)信息和安全技術(shù)管理工作落實到位,確保達到等保2.0標(biāo)準(zhǔn)。

4.2 加強信息系統(tǒng)(網(wǎng)站)監(jiān)督管理

為了有效統(tǒng)一信息系統(tǒng)監(jiān)督管理，學(xué)校信息化管理部門應(yīng)加強對各種應(yīng)用系統(tǒng)的整合和優(yōu)化，將學(xué)校各種類型的信息系統(tǒng)遷移至中心機房統(tǒng)一管理，對不便遷移的系統(tǒng)可以加強安全防護；對無人管理的、損壞的、長時間不使用的、硬件老舊無升級的、軟件很少更新的信息系統(tǒng)(網(wǎng)站)要及時發(fā)現(xiàn)，并做進一步的處理，關(guān)閉或限制訪問，也可進行整合，以便對資源的回收利用；對于作對資產(chǎn)的信息系統(tǒng)，要進行嚴格的資產(chǎn)備案登記，定期進行摸底和排查，及時更新信息化資產(chǎn)臺賬；對于信息系統(tǒng)的使用和建設(shè)，必須嚴格按照流程進行申請。

4.3 對標(biāo)等保2.0標(biāo)準(zhǔn)開展等級保護

等保2.0標(biāo)準(zhǔn)對安全管理體系尤為重視，為高校網(wǎng)絡(luò)信息安全的發(fā)展指明了方向。高校在信息化系統(tǒng)建設(shè)或整改過程中要嚴格落實等保2.0標(biāo)準(zhǔn)的相關(guān)要求，嚴格按照工作步驟對系統(tǒng)進行網(wǎng)絡(luò)安全等級定級，向公安機關(guān)進行備案，按照等級保護建設(shè)要求進行整改和升級，接受公安機關(guān)的監(jiān)督和檢查。學(xué)校信息化管理部門每年要對新建的信息系統(tǒng)做好信息化項目專家技術(shù)水平評審工作,并報上級主管部門審批；等級保護整改包含技術(shù)層面整改和管理層面整改；根據(jù)等保2.0標(biāo)準(zhǔn)，開展風(fēng)險等級的測評工作，根據(jù)風(fēng)險測評分析報告要求及時整改，消除可能存在的潛在高危風(fēng)險，新建系統(tǒng)必須通過測評后才可以上線；對公安機關(guān)不定期檢查中提出的問題要進行積極改進，將等保工作納入日常工作中。

4.4 提升師生的網(wǎng)絡(luò)信息安全素養(yǎng)

提升師生網(wǎng)絡(luò)安全素養(yǎng),首先需提升信息化管理人員的技術(shù)水平，信息化管理人員應(yīng)定期參加技能培訓(xùn)，做到持證上崗，規(guī)范管理。其次，針對校內(nèi)各職能部門的行政人員，要在校內(nèi)定期組織網(wǎng)絡(luò)安全技術(shù)及應(yīng)用等安全技能培訓(xùn)。最后，對于校內(nèi)廣大師生，可以通過公眾號、海報、視頻、專家講座等多種校園網(wǎng)絡(luò)安全知識的宣傳，強調(diào)網(wǎng)絡(luò)信息安全工作的重要性，提高大家的網(wǎng)絡(luò)信息安全意識。此外，信息化管理部門要切實做好網(wǎng)絡(luò)信息安全通報工作，及時發(fā)布各種防范措施，讓師生主動地學(xué)習(xí)網(wǎng)絡(luò)信息安全知識，提高網(wǎng)絡(luò)風(fēng)險的防范意識和安全素養(yǎng)。

5 結(jié)語

網(wǎng)絡(luò)帶來的便利已滲入各行各業(yè)，作為擁有大量網(wǎng)絡(luò)用戶的高校，在教育教學(xué)和日常管理中，越來越依賴于網(wǎng)絡(luò)，因此高校面臨的網(wǎng)絡(luò)風(fēng)險也越來越大。如何保障高校網(wǎng)絡(luò)信息安全已成為亟待解決的問題。因此，應(yīng)基于等保2.0標(biāo)準(zhǔn)，緊扣教育主管部門的要求，結(jié)合學(xué)校校園網(wǎng)實際情況，整合網(wǎng)絡(luò)信息資源，使科研、教學(xué)等信息系統(tǒng)建設(shè)對標(biāo)等保2.0標(biāo)準(zhǔn)，升級網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，用新標(biāo)準(zhǔn)、新的安全等級來保護高校網(wǎng)絡(luò)信息安全，為學(xué)校信息化建設(shè)提供保障。