基于等級(jí)保護(hù)2.0的高校信息系統(tǒng)安全研究與分析

繆松琴

【摘要】? ? 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確提出了我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。等級(jí)保護(hù)2.0對(duì)當(dāng)前高校信息系統(tǒng)安全提出了更高的要求，本文詳細(xì)解讀了等級(jí)保護(hù)2.0的新要求，對(duì)高校信息系統(tǒng)安全如何落實(shí)等保2.0進(jìn)行了研究與分析。

【關(guān)鍵詞】? ? 等級(jí)保護(hù)? ? 等級(jí)保護(hù)2.0? ? 網(wǎng)絡(luò)安全? ? 信息系統(tǒng)安全

引言：

2019年公安部實(shí)施了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，等級(jí)保護(hù)進(jìn)入2.0時(shí)代，對(duì)我國(guó)網(wǎng)絡(luò)安全工作提出了新要求。

隨著社會(huì)互聯(lián)網(wǎng)化程度不斷加深，高校智慧化校園建設(shè)不斷推進(jìn)，高校的各類應(yīng)用和業(yè)務(wù)系統(tǒng)不斷增加，但是由于高校特殊的網(wǎng)絡(luò)環(huán)境，未能全面重視系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日益增加，導(dǎo)致高校的網(wǎng)絡(luò)容易被黑客攻擊，造成師生的信息泄露和網(wǎng)頁(yè)被篡改等安全事件。高校的信息網(wǎng)絡(luò)安全建設(shè)應(yīng)以等保2.0為抓手，進(jìn)一步提高網(wǎng)絡(luò)安全防范措施，保障高校信息網(wǎng)絡(luò)安全。

一、等保2.0與等保1.0的主要區(qū)別

等保2.0的基本要求相對(duì)于1.0有了很大的改變，本文主要從以下四個(gè)方面論述[1]。

1.1等保2.0要求名稱的變化

2017年實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確提出了我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。在等保2.0標(biāo)準(zhǔn)中名稱由等保1.0中的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》變更為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[2][3]。

1.2等保2.0定級(jí)對(duì)象的變化

等保1.0中的定級(jí)對(duì)象是信息系統(tǒng)，等保2.0中定級(jí)對(duì)象變更為等級(jí)保護(hù)對(duì)象，包含信息系統(tǒng)（傳統(tǒng)信息系統(tǒng)、云計(jì)算平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等），通信網(wǎng)絡(luò)設(shè)施（電信網(wǎng)、廣播電視傳輸網(wǎng)等通信網(wǎng)絡(luò)設(shè)施）和數(shù)據(jù)資源（大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng)）。

1.3等保2.0技術(shù)和管理要求的變化

等保2.0在技術(shù)和管理上相對(duì)于等保1.0有較大改變，等保1.0主要從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)方面作出要求，而等保2.0主要從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心作出要求。等保2.0以一個(gè)中心，三重防護(hù)為技術(shù)管理思想，將等級(jí)保護(hù)由被動(dòng)防御帶入主動(dòng)防御的時(shí)代。三重防護(hù)包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計(jì)算環(huán)境，一個(gè)中心是增加的安全管理中心。

1.4等保2.0安全要求的變化

等保2.0在等保1.0通用安全要求的基礎(chǔ)上增加了安全擴(kuò)展要求。擴(kuò)展要求主要包含了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

二、等保2.0要求下高校信息系統(tǒng)安全防護(hù)措施

在新的標(biāo)準(zhǔn)要求下，高校信息系統(tǒng)落實(shí)等保2.0首先應(yīng)該對(duì)照標(biāo)準(zhǔn)，理清高校的網(wǎng)絡(luò)結(jié)構(gòu)，按照等保2.0的要求逐一夯實(shí)防護(hù)措施。

2.1按照等級(jí)保護(hù)2.0標(biāo)準(zhǔn)，梳理需要定級(jí)的對(duì)象

在新的標(biāo)準(zhǔn)要求中，參照定級(jí)對(duì)象的要求，我們需要對(duì)信息系統(tǒng)，通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源進(jìn)行梳理，以連云港師范高等?？茖W(xué)校信息系統(tǒng)為例，我校主要選擇如下定級(jí)對(duì)象：

1.校園基礎(chǔ)網(wǎng)絡(luò)，包含有線和無(wú)線網(wǎng)絡(luò)。

2.校園網(wǎng)站群平臺(tái)，包含多個(gè)子網(wǎng)站。

3.校園云平臺(tái)，對(duì)云平臺(tái)的主機(jī)、存儲(chǔ)和管理平臺(tái)等定級(jí)。

4.校園移動(dòng)APP，包含辦公自動(dòng)化OA等系統(tǒng)。

5.校園大數(shù)據(jù)平臺(tái)中心系統(tǒng)，包含數(shù)據(jù)中心服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)。

2.2開展等級(jí)保護(hù)2.0的測(cè)評(píng)

按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等文件要求，等級(jí)保護(hù)分為定級(jí)評(píng)審，備案審核，測(cè)評(píng)，安全建設(shè)整改和自查/監(jiān)督檢查五個(gè)階段[4]。

2.2.1定級(jí)評(píng)審

根據(jù)相關(guān)標(biāo)準(zhǔn)確定等級(jí)保護(hù)對(duì)象的等級(jí)，等級(jí)保護(hù)定級(jí)工作需要根據(jù)等級(jí)保護(hù)對(duì)象在國(guó)家安全、社會(huì)秩序的重要程度，根據(jù)其在被破壞后對(duì)國(guó)家安全、社會(huì)秩序和公共利益，法人和公民合法權(quán)益的危害程度等，由低到高劃分為五個(gè)安全保護(hù)等級(jí)。具體劃分如表1所示。

高校等級(jí)保護(hù)對(duì)象的定級(jí)需要以《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-2020）》為指導(dǎo)，根據(jù)學(xué)校規(guī)模，社會(huì)影響力和業(yè)務(wù)類型三個(gè)方面受到破壞后的嚴(yán)重程度來(lái)確定定級(jí)的等級(jí)[5][6]。

為確保高校信息系統(tǒng)項(xiàng)目質(zhì)量，高校信息系統(tǒng)應(yīng)在立項(xiàng)階段確定安全保護(hù)等級(jí)，對(duì)建設(shè)方案進(jìn)行單獨(dú)的安全論證和等級(jí)評(píng)審。

2.2.2備案

根據(jù)《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安〔2007〕1360號(hào)），等級(jí)保護(hù)對(duì)象定級(jí)二級(jí)以上的需要進(jìn)行備案，二級(jí)以上信息系統(tǒng)需要其主管單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理相關(guān)備案手續(xù)。

2.2.3測(cè)評(píng)

參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）》[S]、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T 28448-2019）》[S]、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南（GB∕T28449-2018）》[S]等標(biāo)準(zhǔn)，開展等保2.0 測(cè)評(píng)工作測(cè)評(píng)。高校二級(jí)信息系統(tǒng)每?jī)赡赀M(jìn)行一次測(cè)評(píng)，三級(jí)信息系統(tǒng)每年進(jìn)行一次測(cè)評(píng)，四級(jí)信息系統(tǒng)應(yīng)每半年進(jìn)行一次測(cè)評(píng)，五級(jí)信息系統(tǒng)依據(jù)特殊安全需求測(cè)評(píng)。

2.2.4安全建設(shè)整改

根據(jù)測(cè)評(píng)報(bào)告和整改建議，及時(shí)整改漏洞、隱患和安全問(wèn)題。

2.2.5自查/監(jiān)督檢查

按照“自主定級(jí)、自主保護(hù)”的原則，高校信息系統(tǒng)安全等級(jí)保護(hù)的責(zé)任主體是高校相關(guān)建設(shè)單位，高校需要定期進(jìn)行安全自查，并接受公安機(jī)關(guān)部門監(jiān)督檢查。

2.3落實(shí)等保2.0，完善高校網(wǎng)絡(luò)安全防護(hù)

結(jié)合等級(jí)保護(hù)2.0的管理和技術(shù)要求，完善高校信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)體系，從資產(chǎn)，制度和技術(shù)三維角度將等保2.0落實(shí)，將高校網(wǎng)絡(luò)安全防護(hù)常態(tài)化。

2.3.1建立信息資產(chǎn)動(dòng)態(tài)清單

隨著高校數(shù)字化校園建設(shè)不斷推進(jìn)，各類應(yīng)用和業(yè)務(wù)系統(tǒng)不斷增加，高校應(yīng)當(dāng)及時(shí)建立信息資產(chǎn)清單，并且做到實(shí)時(shí)更新，為梳理定級(jí)對(duì)象夯實(shí)基礎(chǔ)。

2.3.2建立安全管理制度

建立完善的安全管理制度，明確學(xué)校安全工作領(lǐng)導(dǎo)小組，制定高校安全管理辦法，明確各部門工作要求，落實(shí)安全責(zé)任，提升防范化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)能力，構(gòu)建可信、可控、可查的網(wǎng)絡(luò)安全環(huán)境。積極落實(shí)《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》、《教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等文件要求，規(guī)范網(wǎng)絡(luò)安全事件工作流程，提高網(wǎng)絡(luò)安全應(yīng)急處置能力，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的危害，切實(shí)維護(hù)高校網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定。

2.3.3 強(qiáng)化網(wǎng)絡(luò)安全技術(shù)防護(hù)

技術(shù)是網(wǎng)絡(luò)安全防護(hù)的重要保障，等保2.0要求下，網(wǎng)絡(luò)安全防護(hù)要以技術(shù)為抓手，以一個(gè)中心，三重防護(hù)為防護(hù)技術(shù)思想，更好地落實(shí)等保2.0要求。

傳統(tǒng)的防護(hù)產(chǎn)品中，一般是在校園信息系統(tǒng)中安裝邊界防火墻、入侵檢測(cè)系統(tǒng)、WAF防火墻、校園VPN設(shè)備、堡壘機(jī)和上網(wǎng)行為管理系統(tǒng)等安全設(shè)備。

等保2.0要求實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可識(shí)別、可控制、可記錄和可分析，可以通過(guò)部署入侵防范、惡意代碼防范實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可識(shí)別，利用身份認(rèn)證、訪問(wèn)控制實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可控制，通過(guò)安全審計(jì)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可記錄，集中管理中心可實(shí)現(xiàn)安全風(fēng)險(xiǎn)的分析。

基于校園信息系統(tǒng)內(nèi)外網(wǎng)的特殊性，所有的外網(wǎng)管理需要通過(guò)堡壘機(jī)進(jìn)行配置，設(shè)置源 IP 地址和賬戶配置，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的可控性。精確開放需要的端口，屏蔽不需要對(duì)外開放的端口，避免校外惡意攻擊者對(duì)校內(nèi)服務(wù)器進(jìn)行攻擊。校外訪問(wèn)校內(nèi)資源采用VPN授權(quán)用戶訪問(wèn)，控制業(yè)務(wù)系統(tǒng)的內(nèi)、外網(wǎng)訪問(wèn)安全問(wèn)題。在等保2.0的要求中，可以進(jìn)一步部署新的防護(hù)產(chǎn)品如態(tài)勢(shì)感知系統(tǒng)、增加基于密碼學(xué)的身份認(rèn)證、數(shù)據(jù)加密和簽名技術(shù)，可信免疫技術(shù)和個(gè)人信息保護(hù)技術(shù)的防護(hù)產(chǎn)品，使校園信息系統(tǒng)在多重防御下良好、穩(wěn)定地運(yùn)行。

三、結(jié)束語(yǔ)

我國(guó)網(wǎng)絡(luò)安全防護(hù)以等級(jí)保護(hù)為主，等保2.0為高校開展網(wǎng)絡(luò)安全防護(hù)提出了基本要求和指導(dǎo)，新要求對(duì)關(guān)鍵基礎(chǔ)信息設(shè)施實(shí)施重點(diǎn)保護(hù)，更要加強(qiáng)移動(dòng)APP、數(shù)據(jù)平臺(tái)、個(gè)人信息安全保護(hù)。本文根據(jù)高校的特殊網(wǎng)絡(luò)環(huán)境，研究了等級(jí)保護(hù)2.0要求下的等級(jí)保護(hù)測(cè)評(píng)工作，為高校如何做好網(wǎng)絡(luò)安全防護(hù)提出了建議，高校應(yīng)當(dāng)結(jié)合校園信息系統(tǒng)的特殊性，開展更有針對(duì)性的防護(hù)。

參? 考? 文? 獻(xiàn)

[1]何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（ 3） ： 9- 14，19.

[2] GB/T22239-2008，信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[3] GB/T22239-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].

[4] GB/T28448-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].

[5]教育部辦公廳.教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）[Z].2014-10-29.

[6] GB/T22240-2020，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南[S].