郭 璞,聶永剛,董紹鵬

(山西警察學(xué)院,山西 太原 030401)

1 等級(jí)保護(hù)2.0

1.1 等級(jí)保護(hù)2.0 概述

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定,國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù)。 等級(jí)保護(hù)2.0 比之前的1.0 更注重主動(dòng)防御,從被動(dòng)防御到事件全流程的可靠、感知、審計(jì),進(jìn)行了一系列的優(yōu)化改進(jìn),尤其是在物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新型產(chǎn)業(yè)中提供了安全可靠的建設(shè)標(biāo)準(zhǔn)。 在此安全形勢(shì)下,新的安全要求被提出,使用這些新技術(shù)的同時(shí),“通用要求”以及“安全擴(kuò)展”要求必須被同時(shí)滿足。

1.2 等級(jí)保護(hù)2.0 的新要求標(biāo)準(zhǔn)

1.2.1 覆蓋范圍變化

等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)基于等級(jí)保護(hù)1.0 標(biāo)準(zhǔn)對(duì)覆蓋范圍進(jìn)行擴(kuò)充。 首先是全社會(huì)覆蓋,即金融、電力、醫(yī)療、教育等各行各業(yè)的全方位覆蓋。 其次是保護(hù)對(duì)象全面覆蓋,即在傳統(tǒng)信息系統(tǒng)的基礎(chǔ)上增加對(duì)信息網(wǎng)絡(luò)、云計(jì)算、工控系統(tǒng)、大數(shù)據(jù)、移動(dòng)互聯(lián)和物聯(lián)網(wǎng)等的全覆蓋。 對(duì)于使用新技術(shù)的信息系統(tǒng),在滿足通用安全要求的同時(shí)還需保證安全擴(kuò)展要求。

1.2.2 技術(shù)要求變化

等級(jí)保護(hù)2.0 對(duì)技術(shù)要求進(jìn)行了優(yōu)化精煉,由原來的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全改進(jìn)為安全物理環(huán)境、安全通行網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心。 最大的特點(diǎn)是把可信計(jì)算當(dāng)做核心防御技術(shù),一級(jí)到四級(jí)全部提出了可信驗(yàn)證空間,即這所有計(jì)算節(jié)點(diǎn)都應(yīng)基于可信根,實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動(dòng),再到應(yīng)用程序啟動(dòng)的可信驗(yàn)證,并將驗(yàn)證結(jié)果形成審計(jì)記錄,極大推廣可信計(jì)算及密碼技術(shù)的應(yīng)用。

1.3 等級(jí)保護(hù)2.0 對(duì)高校網(wǎng)絡(luò)安全建設(shè)的要求

2018 年4 月,《教育信息化2.0 行動(dòng)計(jì)劃》提出了到2022 年基本實(shí)現(xiàn)“三全兩高一大”的發(fā)展目標(biāo),將教育信息化發(fā)展水平在1.0 階段的基礎(chǔ)上提升至更高的層次。 在這個(gè)過程中,網(wǎng)絡(luò)安全工作始終貫穿于整個(gè)教育信息化建設(shè)。

等級(jí)保護(hù)2.0 對(duì)高校網(wǎng)絡(luò)安全工作提出的新要求有增強(qiáng)網(wǎng)信工作能力;落實(shí)網(wǎng)絡(luò)安全責(zé)任制度和等級(jí)保護(hù)制度;加強(qiáng)網(wǎng)絡(luò)安全教育培訓(xùn);提升安全防護(hù)能力;開展安全監(jiān)測(cè)和應(yīng)急演練;重要時(shí)期加強(qiáng)統(tǒng)籌部署。

1.4 等級(jí)保護(hù)2.0 下的網(wǎng)絡(luò)安全防護(hù)工作

隨著新時(shí)代互聯(lián)網(wǎng)的快速發(fā)展,物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新興技術(shù)不斷涌現(xiàn),等級(jí)保護(hù)制度對(duì)于新技術(shù)的出現(xiàn)提出了更高的防護(hù)要求。 等級(jí)保護(hù)2.0 按照“一個(gè)中心,三重防護(hù)”的要求對(duì)新興技術(shù)實(shí)施安全維護(hù)。 一個(gè)中心是指安全管理中心,把安全管理、安全監(jiān)測(cè)、安全審計(jì)等各類設(shè)備和應(yīng)用平臺(tái)集中管控的體現(xiàn),三重防護(hù)是指安全通信環(huán)境、安全區(qū)域邊界和安全計(jì)算環(huán)境。

2 等級(jí)保護(hù)2.0 下的物聯(lián)網(wǎng)安全

2.1 物聯(lián)網(wǎng)技術(shù)在高校網(wǎng)絡(luò)中的現(xiàn)狀

校園網(wǎng)中結(jié)合物聯(lián)網(wǎng)進(jìn)行教學(xué),不僅使學(xué)生學(xué)習(xí)更加方便,還使教師的教學(xué)更加智能化。 物聯(lián)網(wǎng)技術(shù)在課堂管理中,主要利用物聯(lián)網(wǎng)技術(shù)的識(shí)別功能做到學(xué)習(xí)情況智能化簽到,減少教師工作量的同時(shí)也有效保證學(xué)生的出勤率。 物聯(lián)網(wǎng)技術(shù)在學(xué)校的圖書管理網(wǎng)絡(luò)中,主要通過將書、設(shè)備和人進(jìn)行有效的連接來實(shí)現(xiàn)書籍的智能識(shí)別和定位,不僅能減少管理工作的負(fù)擔(dān),還能大幅提高工作效率。 物聯(lián)網(wǎng)技術(shù)在校園的資源管理中,通過安裝感應(yīng)器實(shí)現(xiàn)智能照明,在沒有人的時(shí)候關(guān)閉,減少資源的浪費(fèi)。 物聯(lián)網(wǎng)技術(shù)在校園的防衛(wèi)工作中,在校園人力防衛(wèi)基礎(chǔ)上增設(shè)出入口智能識(shí)別系統(tǒng),自動(dòng)識(shí)別在校人員與車輛,防止外來人員隨意出入。 總之,物聯(lián)網(wǎng)技術(shù)在目前校園網(wǎng)中的應(yīng)用已比較常見。

2.2 等級(jí)保護(hù)2.0 對(duì)物聯(lián)網(wǎng)的要求

隨著物聯(lián)網(wǎng)應(yīng)用逐漸普及,節(jié)點(diǎn)數(shù)據(jù)與終端設(shè)備規(guī)模驟增。 等級(jí)保護(hù)2.0 對(duì)物聯(lián)網(wǎng)提出了針對(duì)性的要求,其中包括通用安全和其他擴(kuò)展的相關(guān)技術(shù)要求。

等級(jí)保護(hù)2.0 對(duì)物聯(lián)網(wǎng)的要求:保證只有授權(quán)感知節(jié)點(diǎn)能夠訪問,并限制與可感知節(jié)點(diǎn)通信的目的地址、與網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行通信的目的地址。

對(duì)應(yīng)的物聯(lián)網(wǎng)安全解決方案:為所有感知節(jié)點(diǎn)燒制安全標(biāo)識(shí),并統(tǒng)一管理標(biāo)識(shí)狀態(tài),切實(shí)從身份認(rèn)證角度實(shí)現(xiàn)接入控制;利用物聯(lián)網(wǎng)安全網(wǎng)關(guān)產(chǎn)品,實(shí)現(xiàn)對(duì)知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)通信目標(biāo)地址的限制。

2.3 疫情下物聯(lián)網(wǎng)技術(shù)在校園網(wǎng)絡(luò)中的提升

學(xué)生以及教職工返校期間,疫情頻頻爆發(fā),為了確保師生安全,有效防控疫情,許多高校都在利用物聯(lián)網(wǎng)對(duì)校園人員定位跟蹤以及緊急通知系統(tǒng)做出改進(jìn)。 其中,某些高校對(duì)學(xué)生、老師等的ID 卡進(jìn)行升級(jí),使得校園ID 卡成了校園人員追蹤的一項(xiàng)重要設(shè)備,學(xué)校的工作人員可以通過升級(jí)后的ID 卡實(shí)時(shí)關(guān)注師生的活動(dòng)軌跡,通過數(shù)據(jù)及時(shí)做出疫情應(yīng)急措施。

疫情流行的最主要原因之一就是社交距離不當(dāng)導(dǎo)致人群密集接觸。 因此,在疫情防控常態(tài)化背景下,保持安全距離是疫情防控工作中的重要公共衛(wèi)生舉措。在防疫階段,物聯(lián)網(wǎng)在校園內(nèi)人流密集的區(qū)域就做到了相當(dāng)有力的防護(hù)措施,通過在公共場(chǎng)合安裝物聯(lián)網(wǎng)傳感器,當(dāng)某區(qū)域密集時(shí)就會(huì)發(fā)出警報(bào),確保師生能夠嚴(yán)格遵守社交距離的規(guī)定。 物聯(lián)網(wǎng)在校園中的運(yùn)用使得校園網(wǎng)更加安全可靠便捷。

2.4 物聯(lián)網(wǎng)技術(shù)的防護(hù)要求

2.4.1 安全區(qū)域邊界

設(shè)置安全區(qū)域邊界可避免陌生區(qū)域的接入以及外部的不合法攻擊行為,以免擾亂物聯(lián)網(wǎng)感知區(qū)域的有序性和穩(wěn)定性,因此只有規(guī)定范圍內(nèi)的感知節(jié)點(diǎn)才可以接入使用。

2.4.2 安全運(yùn)維管理

當(dāng)物聯(lián)網(wǎng)出現(xiàn)異常時(shí),管理人員應(yīng)實(shí)時(shí)檢測(cè)、維護(hù)、檢修物聯(lián)網(wǎng)感知設(shè)備接入的安全性,并記錄維修過程和方法,為日后的突發(fā)情況提供數(shù)據(jù)支撐。

3 等級(jí)保護(hù)2.0 下的云計(jì)算安全

等級(jí)保護(hù)2.0 是網(wǎng)絡(luò)安全的一次重大升級(jí),等級(jí)保護(hù)對(duì)象范圍也在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)大,其中云計(jì)算對(duì)等級(jí)保護(hù)制度也提出了新的要求,要明確云計(jì)算環(huán)境中的安全責(zé)任,對(duì)系統(tǒng)的定級(jí)、云計(jì)算平臺(tái)的結(jié)構(gòu)、平臺(tái)安全、資源隔離、訪問控制、數(shù)據(jù)安全、審計(jì)與監(jiān)控等提出了新的要求。

3.1 系統(tǒng)的結(jié)構(gòu)

根據(jù)等級(jí)保護(hù)2.0 規(guī)定,云計(jì)算的結(jié)構(gòu)既包含對(duì)于云計(jì)算平臺(tái)的技術(shù)要求,也包括對(duì)其的管理要求,具體如下所示:

3.1.1 技術(shù)要求

(1)物理和環(huán)境安全。

(2)網(wǎng)絡(luò)和通信安全。

(3)設(shè)備和計(jì)算安全。

(4)應(yīng)用和數(shù)據(jù)安全。

3.1.2 管理要求

(1)安全策略和管理制度。

(2)安全管理機(jī)構(gòu)和人員。

(3)系統(tǒng)安全建設(shè)管理。

(4)系統(tǒng)安全運(yùn)維管理。

3.2 平臺(tái)安全

等級(jí)保護(hù)2.0 對(duì)于平臺(tái)安全提出了新的要求:登錄云管理平臺(tái)的管理用戶進(jìn)行相應(yīng)等級(jí)身份鑒別。 在進(jìn)行遠(yuǎn)程管理時(shí),管理終端和云平臺(tái)邊界設(shè)備之間應(yīng)建立雙向身份驗(yàn)證機(jī)制,具備對(duì)異常流量的識(shí)別、監(jiān)控和處理能力,對(duì)發(fā)布到互聯(lián)網(wǎng)的有害信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)和告警。 網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備(或設(shè)備代理)之間雙向認(rèn)證、數(shù)據(jù)加密傳輸[1]。

3.3 數(shù)據(jù)安全

等級(jí)保護(hù)2.0 對(duì)于數(shù)據(jù)安全提出了新的要求:應(yīng)提供查詢?cè)品?wù)客戶數(shù)據(jù)及備份存儲(chǔ)位置的方式,保證虛擬機(jī)遷移過程中重要數(shù)據(jù)的完整性和保密性,提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能,防止虛擬機(jī)鏡像被惡意篡改,對(duì)虛擬機(jī)快照中的敏感信息進(jìn)行加密保護(hù),支持云服務(wù)客戶部署密鑰管理解決方案,確保云服務(wù)客戶自行實(shí)現(xiàn)數(shù)據(jù)的加解密過程[2]。

4 云計(jì)算技術(shù)防護(hù)要求

4.1 基礎(chǔ)設(shè)施安全要求

保護(hù)對(duì)象主要為校園機(jī)房和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,避免遭受環(huán)境、天氣、人為等不良影響。 在建設(shè)過程中,應(yīng)考慮地理位置、環(huán)境因素,為校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供最基本的安全保障。

4.2 設(shè)備使用安全要求

利用云計(jì)算技術(shù)為校園網(wǎng)絡(luò)的設(shè)備使用提供一個(gè)安全平臺(tái),可利用訪問控制、入侵防范、安全審計(jì)等要求對(duì)校園網(wǎng)絡(luò)進(jìn)行保護(hù),合理部署訪問控制機(jī)制,合理設(shè)置入侵防范體系,分級(jí)分步多重管理。

5 等級(jí)保護(hù)2.0 下的大數(shù)據(jù)安全

等級(jí)保護(hù)2.0 明確指出,網(wǎng)絡(luò)運(yùn)營者應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)及其他級(jí)別保護(hù)對(duì)象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)[3]。 各高校校園網(wǎng)絡(luò)安全體系均依賴于國家出臺(tái)的各項(xiàng)網(wǎng)絡(luò)安全法律法規(guī),以支撐利用校園網(wǎng)絡(luò)進(jìn)行的各項(xiàng)校園教學(xué)、科研及教務(wù)管理。 高校校園網(wǎng)絡(luò)體系建設(shè)涵蓋信息管理、教學(xué)應(yīng)用、生活服務(wù)等各個(gè)方面,會(huì)涉及大量的數(shù)據(jù)管理與統(tǒng)計(jì),因此借助大數(shù)據(jù)存儲(chǔ)量大、處理速度快等優(yōu)勢(shì),推進(jìn)大數(shù)據(jù)技術(shù)在校園網(wǎng)絡(luò)建設(shè)中的深度應(yīng)用。

5.1 等級(jí)保護(hù)2.0 中的大數(shù)據(jù)需求

在等級(jí)保護(hù)2.0 新標(biāo)準(zhǔn)中,針對(duì)大數(shù)據(jù)安全提出了新的擴(kuò)展需求,包括:流量分離;大數(shù)據(jù)授權(quán)管理;分類別、級(jí)別管理;大數(shù)據(jù)入侵防御;大數(shù)據(jù)應(yīng)用系統(tǒng)安全如圖1 所示。

圖1 等級(jí)保護(hù)2.0 對(duì)大數(shù)據(jù)的新需求

5.2 等級(jí)保護(hù)2.0 下的智慧校園數(shù)據(jù)安全

大數(shù)據(jù)時(shí)代的到來,數(shù)字化、信息化建設(shè)應(yīng)用于各大高校。 教學(xué)、科研、校園管理、日常生活隨處都會(huì)產(chǎn)生大量數(shù)據(jù),那么大數(shù)據(jù)技術(shù)的產(chǎn)生不僅為校園網(wǎng)絡(luò)服務(wù)提供了一個(gè)安全、高效的技術(shù)支撐,而且還提高了校園網(wǎng)絡(luò)服務(wù)的精準(zhǔn)性以及校園網(wǎng)絡(luò)用戶的個(gè)人隱私性。 等級(jí)保護(hù)2.0 規(guī)定大數(shù)據(jù)安全保護(hù)等級(jí)不得低于三級(jí)標(biāo)準(zhǔn),而且明確指出相關(guān)于大數(shù)據(jù)設(shè)計(jì)技術(shù)要求:可信訪問控制、數(shù)據(jù)保密性保護(hù)、剩余信息保護(hù)[4]。

5.2.1 身份認(rèn)證技術(shù)

利用身份認(rèn)證技術(shù)來保障數(shù)據(jù)的安全性和保密性。 校園網(wǎng)絡(luò)應(yīng)用系統(tǒng)有教職工、學(xué)生、系統(tǒng)管理員等使用者。 其中,教職工和學(xué)生是校園網(wǎng)絡(luò)數(shù)據(jù)的生產(chǎn)者,系統(tǒng)管理員則負(fù)責(zé)校園網(wǎng)絡(luò)管理與后期維護(hù)工作,他們?cè)谑褂眯@網(wǎng)絡(luò)過程中有著不同的需求和權(quán)限,因而需要不同的身份認(rèn)證機(jī)制。

5.2.2 數(shù)據(jù)加密技術(shù)

在當(dāng)前高校校園網(wǎng)絡(luò)中,由于校園網(wǎng)絡(luò)安全體系不完善,個(gè)別用戶網(wǎng)絡(luò)安全意識(shí)不強(qiáng)以及校園用戶數(shù)量的龐大,常常會(huì)發(fā)生各種信息泄露問題。 國內(nèi)首例高校網(wǎng)絡(luò)安全違反案例:2017 年9 月,淮南某一高校因未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度以及未做好數(shù)據(jù)分類、備份和加密工作,導(dǎo)致校園網(wǎng)絡(luò)系統(tǒng)存在嚴(yán)重的漏洞問題,最終造成學(xué)生信息泄露。 信息數(shù)據(jù)泄露逐漸成為智慧校園的重大隱患,數(shù)據(jù)的加密顯得尤為重要。 在等級(jí)保護(hù)2.0 時(shí)代,采用對(duì)稱加密技術(shù)、非對(duì)稱加密技術(shù)、數(shù)字簽名、數(shù)字摘要、數(shù)字證書和公鑰基礎(chǔ)設(shè)施等技術(shù)來保障數(shù)據(jù)在存儲(chǔ)和傳輸過程中的機(jī)密性[5]。

6 結(jié)語

高校是當(dāng)前科研任務(wù)的重要載體,這就使得校園網(wǎng)絡(luò)成為新時(shí)期網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。 由此可見,提高校園網(wǎng)絡(luò)安全防護(hù)能力,強(qiáng)化校園網(wǎng)安全建設(shè)成了當(dāng)務(wù)之急。 本文從等級(jí)保護(hù)2.0 角度出發(fā),結(jié)合當(dāng)前校園網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了分析,并提出了一些關(guān)于智慧校園網(wǎng)絡(luò)安全新技術(shù)保障工作的建議。 此外,如何在使用新技術(shù)和安全之間找到一個(gè)平衡點(diǎn),也是今后需要研究的重要課題。