繆松琴
【摘要】? ? 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確提出了我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。等級(jí)保護(hù)2.0對(duì)當(dāng)前高校信息系統(tǒng)安全提出了更高的要求,本文詳細(xì)解讀了等級(jí)保護(hù)2.0的新要求,對(duì)高校信息系統(tǒng)安全如何落實(shí)等保2.0進(jìn)行了研究與分析。
【關(guān)鍵詞】? ? 等級(jí)保護(hù)? ? 等級(jí)保護(hù)2.0? ? 網(wǎng)絡(luò)安全? ? 信息系統(tǒng)安全
引言:
2019年公安部實(shí)施了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,等級(jí)保護(hù)進(jìn)入2.0時(shí)代,對(duì)我國(guó)網(wǎng)絡(luò)安全工作提出了新要求。
隨著社會(huì)互聯(lián)網(wǎng)化程度不斷加深,高校智慧化校園建設(shè)不斷推進(jìn),高校的各類應(yīng)用和業(yè)務(wù)系統(tǒng)不斷增加,但是由于高校特殊的網(wǎng)絡(luò)環(huán)境,未能全面重視系統(tǒng)的網(wǎng)絡(luò)安全防護(hù),校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日益增加,導(dǎo)致高校的網(wǎng)絡(luò)容易被黑客攻擊,造成師生的信息泄露和網(wǎng)頁(yè)被篡改等安全事件。高校的信息網(wǎng)絡(luò)安全建設(shè)應(yīng)以等保2.0為抓手,進(jìn)一步提高網(wǎng)絡(luò)安全防范措施,保障高校信息網(wǎng)絡(luò)安全。
一、等保2.0與等保1.0的主要區(qū)別
等保2.0的基本要求相對(duì)于1.0有了很大的改變,本文主要從以下四個(gè)方面論述[1]。
1.1等保2.0要求名稱的變化
2017年實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確提出了我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。在等保2.0標(biāo)準(zhǔn)中名稱由等保1.0中的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》變更為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[2][3]。
1.2等保2.0定級(jí)對(duì)象的變化
等保1.0中的定級(jí)對(duì)象是信息系統(tǒng),等保2.0中定級(jí)對(duì)象變更為等級(jí)保護(hù)對(duì)象,包含信息系統(tǒng)(傳統(tǒng)信息系統(tǒng)、云計(jì)算平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等),通信網(wǎng)絡(luò)設(shè)施(電信網(wǎng)、廣播電視傳輸網(wǎng)等通信網(wǎng)絡(luò)設(shè)施)和數(shù)據(jù)資源(大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng))。
1.3等保2.0技術(shù)和管理要求的變化
等保2.0在技術(shù)和管理上相對(duì)于等保1.0有較大改變,等保1.0主要從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)方面作出要求,而等保2.0主要從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心作出要求。等保2.0以一個(gè)中心,三重防護(hù)為技術(shù)管理思想,將等級(jí)保護(hù)由被動(dòng)防御帶入主動(dòng)防御的時(shí)代。三重防護(hù)包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計(jì)算環(huán)境,一個(gè)中心是增加的安全管理中心。
1.4等保2.0安全要求的變化
等保2.0在等保1.0通用安全要求的基礎(chǔ)上增加了安全擴(kuò)展要求。擴(kuò)展要求主要包含了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)安全擴(kuò)展要求。
二、等保2.0要求下高校信息系統(tǒng)安全防護(hù)措施
在新的標(biāo)準(zhǔn)要求下,高校信息系統(tǒng)落實(shí)等保2.0首先應(yīng)該對(duì)照標(biāo)準(zhǔn),理清高校的網(wǎng)絡(luò)結(jié)構(gòu),按照等保2.0的要求逐一夯實(shí)防護(hù)措施。
2.1按照等級(jí)保護(hù)2.0標(biāo)準(zhǔn),梳理需要定級(jí)的對(duì)象
在新的標(biāo)準(zhǔn)要求中,參照定級(jí)對(duì)象的要求,我們需要對(duì)信息系統(tǒng),通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源進(jìn)行梳理,以連云港師范高等??茖W(xué)校信息系統(tǒng)為例,我校主要選擇如下定級(jí)對(duì)象:
1.校園基礎(chǔ)網(wǎng)絡(luò),包含有線和無(wú)線網(wǎng)絡(luò)。
2.校園網(wǎng)站群平臺(tái),包含多個(gè)子網(wǎng)站。
3.校園云平臺(tái),對(duì)云平臺(tái)的主機(jī)、存儲(chǔ)和管理平臺(tái)等定級(jí)。
4.校園移動(dòng)APP,包含辦公自動(dòng)化OA等系統(tǒng)。
5.校園大數(shù)據(jù)平臺(tái)中心系統(tǒng),包含數(shù)據(jù)中心服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)。
2.2開展等級(jí)保護(hù)2.0的測(cè)評(píng)
按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等文件要求,等級(jí)保護(hù)分為定級(jí)評(píng)審,備案審核,測(cè)評(píng),安全建設(shè)整改和自查/監(jiān)督檢查五個(gè)階段[4]。
2.2.1定級(jí)評(píng)審
根據(jù)相關(guān)標(biāo)準(zhǔn)確定等級(jí)保護(hù)對(duì)象的等級(jí),等級(jí)保護(hù)定級(jí)工作需要根據(jù)等級(jí)保護(hù)對(duì)象在國(guó)家安全、社會(huì)秩序的重要程度,根據(jù)其在被破壞后對(duì)國(guó)家安全、社會(huì)秩序和公共利益,法人和公民合法權(quán)益的危害程度等,由低到高劃分為五個(gè)安全保護(hù)等級(jí)。具體劃分如表1所示。
高校等級(jí)保護(hù)對(duì)象的定級(jí)需要以《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2020)》為指導(dǎo),根據(jù)學(xué)校規(guī)模,社會(huì)影響力和業(yè)務(wù)類型三個(gè)方面受到破壞后的嚴(yán)重程度來(lái)確定定級(jí)的等級(jí)[5][6]。
為確保高校信息系統(tǒng)項(xiàng)目質(zhì)量,高校信息系統(tǒng)應(yīng)在立項(xiàng)階段確定安全保護(hù)等級(jí),對(duì)建設(shè)方案進(jìn)行單獨(dú)的安全論證和等級(jí)評(píng)審。
2.2.2備案
根據(jù)《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》(公信安〔2007〕1360號(hào)),等級(jí)保護(hù)對(duì)象定級(jí)二級(jí)以上的需要進(jìn)行備案,二級(jí)以上信息系統(tǒng)需要其主管單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理相關(guān)備案手續(xù)。
2.2.3測(cè)評(píng)
參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)》[S]、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T 28448-2019)》[S]、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(GB∕T28449-2018)》[S]等標(biāo)準(zhǔn),開展等保2.0 測(cè)評(píng)工作測(cè)評(píng)。高校二級(jí)信息系統(tǒng)每?jī)赡赀M(jìn)行一次測(cè)評(píng),三級(jí)信息系統(tǒng)每年進(jìn)行一次測(cè)評(píng),四級(jí)信息系統(tǒng)應(yīng)每半年進(jìn)行一次測(cè)評(píng),五級(jí)信息系統(tǒng)依據(jù)特殊安全需求測(cè)評(píng)。
2.2.4安全建設(shè)整改
根據(jù)測(cè)評(píng)報(bào)告和整改建議,及時(shí)整改漏洞、隱患和安全問(wèn)題。
2.2.5自查/監(jiān)督檢查
按照“自主定級(jí)、自主保護(hù)”的原則,高校信息系統(tǒng)安全等級(jí)保護(hù)的責(zé)任主體是高校相關(guān)建設(shè)單位,高校需要定期進(jìn)行安全自查,并接受公安機(jī)關(guān)部門監(jiān)督檢查。
2.3落實(shí)等保2.0,完善高校網(wǎng)絡(luò)安全防護(hù)
結(jié)合等級(jí)保護(hù)2.0的管理和技術(shù)要求,完善高校信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)體系,從資產(chǎn),制度和技術(shù)三維角度將等保2.0落實(shí),將高校網(wǎng)絡(luò)安全防護(hù)常態(tài)化。
2.3.1建立信息資產(chǎn)動(dòng)態(tài)清單
隨著高校數(shù)字化校園建設(shè)不斷推進(jìn),各類應(yīng)用和業(yè)務(wù)系統(tǒng)不斷增加,高校應(yīng)當(dāng)及時(shí)建立信息資產(chǎn)清單,并且做到實(shí)時(shí)更新,為梳理定級(jí)對(duì)象夯實(shí)基礎(chǔ)。
2.3.2建立安全管理制度
建立完善的安全管理制度,明確學(xué)校安全工作領(lǐng)導(dǎo)小組,制定高校安全管理辦法,明確各部門工作要求,落實(shí)安全責(zé)任,提升防范化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)能力,構(gòu)建可信、可控、可查的網(wǎng)絡(luò)安全環(huán)境。積極落實(shí)《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》、《教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等文件要求,規(guī)范網(wǎng)絡(luò)安全事件工作流程,提高網(wǎng)絡(luò)安全應(yīng)急處置能力,預(yù)防和減少網(wǎng)絡(luò)安全事件造成的危害,切實(shí)維護(hù)高校網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定。
2.3.3 強(qiáng)化網(wǎng)絡(luò)安全技術(shù)防護(hù)
技術(shù)是網(wǎng)絡(luò)安全防護(hù)的重要保障,等保2.0要求下,網(wǎng)絡(luò)安全防護(hù)要以技術(shù)為抓手,以一個(gè)中心,三重防護(hù)為防護(hù)技術(shù)思想,更好地落實(shí)等保2.0要求。
傳統(tǒng)的防護(hù)產(chǎn)品中,一般是在校園信息系統(tǒng)中安裝邊界防火墻、入侵檢測(cè)系統(tǒng)、WAF防火墻、校園VPN設(shè)備、堡壘機(jī)和上網(wǎng)行為管理系統(tǒng)等安全設(shè)備。
等保2.0要求實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可識(shí)別、可控制、可記錄和可分析,可以通過(guò)部署入侵防范、惡意代碼防范實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可識(shí)別,利用身份認(rèn)證、訪問(wèn)控制實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可控制,通過(guò)安全審計(jì)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可記錄,集中管理中心可實(shí)現(xiàn)安全風(fēng)險(xiǎn)的分析。
基于校園信息系統(tǒng)內(nèi)外網(wǎng)的特殊性,所有的外網(wǎng)管理需要通過(guò)堡壘機(jī)進(jìn)行配置,設(shè)置源 IP 地址和賬戶配置,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的可控性。精確開放需要的端口,屏蔽不需要對(duì)外開放的端口,避免校外惡意攻擊者對(duì)校內(nèi)服務(wù)器進(jìn)行攻擊。校外訪問(wèn)校內(nèi)資源采用VPN授權(quán)用戶訪問(wèn),控制業(yè)務(wù)系統(tǒng)的內(nèi)、外網(wǎng)訪問(wèn)安全問(wèn)題。在等保2.0的要求中,可以進(jìn)一步部署新的防護(hù)產(chǎn)品如態(tài)勢(shì)感知系統(tǒng)、增加基于密碼學(xué)的身份認(rèn)證、數(shù)據(jù)加密和簽名技術(shù),可信免疫技術(shù)和個(gè)人信息保護(hù)技術(shù)的防護(hù)產(chǎn)品,使校園信息系統(tǒng)在多重防御下良好、穩(wěn)定地運(yùn)行。
三、結(jié)束語(yǔ)
我國(guó)網(wǎng)絡(luò)安全防護(hù)以等級(jí)保護(hù)為主,等保2.0為高校開展網(wǎng)絡(luò)安全防護(hù)提出了基本要求和指導(dǎo),新要求對(duì)關(guān)鍵基礎(chǔ)信息設(shè)施實(shí)施重點(diǎn)保護(hù),更要加強(qiáng)移動(dòng)APP、數(shù)據(jù)平臺(tái)、個(gè)人信息安全保護(hù)。本文根據(jù)高校的特殊網(wǎng)絡(luò)環(huán)境,研究了等級(jí)保護(hù)2.0要求下的等級(jí)保護(hù)測(cè)評(píng)工作,為高校如何做好網(wǎng)絡(luò)安全防護(hù)提出了建議,高校應(yīng)當(dāng)結(jié)合校園信息系統(tǒng)的特殊性,開展更有針對(duì)性的防護(hù)。
參? 考? 文? 獻(xiàn)
[1]何占博,王穎,劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2019,38( 3) : 9- 14,19.
[2] GB/T22239-2008,信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].
[3] GB/T22239-2019,信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].
[4] GB/T28448-2019,信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].
[5]教育部辦公廳.教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)[Z].2014-10-29.
[6] GB/T22240-2020,信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南[S].