基于等保2.0標準的高校內(nèi)網(wǎng)安全防護的探究

◆仇靜

基于等保2.0標準的高校內(nèi)網(wǎng)安全防護的探究

◆仇靜

（南京工程學院 江蘇 211167）

等保2.0標準發(fā)布以來，高校信息安全態(tài)勢面臨新的挑戰(zhàn)。為更好地應對新的形勢和風險，本文通過對新標準中的要求進行簡要分析，結(jié)合高校內(nèi)網(wǎng)安全現(xiàn)狀，對內(nèi)網(wǎng)安全防護提出新的思考，為后續(xù)高校信息化建設中網(wǎng)絡安全保障工作提供參考。

等保2.0；高校信息化；內(nèi)網(wǎng)防護

在網(wǎng)絡和信息技術(shù)飛速發(fā)展的今天，各行各業(yè)的信息化進程日新月異，網(wǎng)絡安全形勢越來越嚴峻，高校在信息化建設進程中也面臨著多種多樣的網(wǎng)絡安全問題。2019年，網(wǎng)絡安全等級保護2.0標準的發(fā)布對高校網(wǎng)絡安全建設提出了新的要求。為了應對愈演愈烈的網(wǎng)絡安全風險，提升高校網(wǎng)絡安全防護水平，本文分析等保2.0標準下，高校內(nèi)網(wǎng)防護存在的常見問題，提出高校內(nèi)網(wǎng)安全防護相關(guān)策略。

1 高校校園內(nèi)網(wǎng)安全現(xiàn)狀

目前國內(nèi)高校校園網(wǎng)采用的網(wǎng)絡安全防護策略通常是以防備外網(wǎng)的主動攻擊為主要工作內(nèi)容，而對內(nèi)網(wǎng)終端默認為信任或者安全狀態(tài)。有些高校將內(nèi)網(wǎng)與互聯(lián)網(wǎng)進行物理隔離，并讓內(nèi)網(wǎng)用戶統(tǒng)一通過網(wǎng)關(guān)訪問互聯(lián)網(wǎng)。雖然采用了許多安全措施，網(wǎng)絡安全事件依然在不斷發(fā)生。內(nèi)網(wǎng)一臺主機出現(xiàn)威脅網(wǎng)絡安全行為，其他主機將大概率會遭殃[1]。究其原因：

1.1 校園內(nèi)網(wǎng)邏輯邊界不清晰

校園內(nèi)網(wǎng)實現(xiàn)資料共享、網(wǎng)絡互通，則必須將內(nèi)網(wǎng)主機之間建立互信關(guān)系。一方面，借智能手機為支撐的移動計算技術(shù)，傳統(tǒng)的工作方式從固定計算機辦公轉(zhuǎn)變?yōu)橐苿踊霓k公方式，一些系統(tǒng)需隨時隨地進行數(shù)據(jù)訪問；學校分工與對外協(xié)作越來越復雜，外部的人員也將對校內(nèi)數(shù)據(jù)進行訪問。另一方面，大部分高校采用了云計算和大數(shù)據(jù)技術(shù)，將大量業(yè)務和數(shù)據(jù)遷移到公有云上，這些集中數(shù)據(jù)的集中，也導致了這些內(nèi)網(wǎng)數(shù)據(jù)邏輯邊界的不清晰。

1.2 校園內(nèi)網(wǎng)終端漏洞沒有及時修復

目前國產(chǎn)操作系統(tǒng)還不成熟，計算機及服務器主要采用微軟公司的Windows系統(tǒng)，根據(jù)網(wǎng)絡安全調(diào)查結(jié)果顯示，全球大約 80%以上的病毒都是基于Windows系統(tǒng)的漏洞而進行攻擊的。雖然微軟公司不斷推出各種補丁，但對于高校，內(nèi)網(wǎng)管理面積達，主機數(shù)量多，管理人員有限，如果漏洞沒有得到及時修復，導致被黑客利用，對內(nèi)網(wǎng)中的其他終端主機產(chǎn)生巨大威脅，嚴重時可導致整個內(nèi)網(wǎng)癱瘓。

1.3 缺乏對虛擬網(wǎng)絡的安全防護措施

傳統(tǒng)數(shù)據(jù)中心的三層架構(gòu)無法滿足海量虛擬機的配置和不斷擴大的業(yè)務需求，越來越多的高校在數(shù)據(jù)中心設計中采用虛擬化技術(shù)。服務器虛擬化導致在物理服務器內(nèi)部存在多臺虛擬機，每臺虛擬機承載不同的應用，同時，在物理服務器內(nèi)引入了虛擬交換機，這樣在同一物理服務器中的虛擬機之間的通訊不需要經(jīng)過物理網(wǎng)卡而是在虛擬交換機中直接通過鏈路轉(zhuǎn)發(fā)，因而也不會通過外部的防火墻等安全防護設備，原有的安全防護機制變得無效[2]。加強東西流量安全防護，是目前虛擬化網(wǎng)絡安全領域亟待解決的問題。

1.4 資源訪問權(quán)限控制機制的缺失

目前高校的校園網(wǎng)用戶一旦接入內(nèi)網(wǎng)，就可以隨意訪問內(nèi)網(wǎng)公共資源，這也造成了許多的安全問題。在資源訪問權(quán)限未做分級管理的情況下，一些安全事故就在所難免。如果內(nèi)網(wǎng)建立資源訪問權(quán)限分級管理就能讓用戶在訪問內(nèi)網(wǎng)資源時變得可控，可管，那么就能減少一些網(wǎng)絡安全事故的發(fā)生。

1.5 網(wǎng)絡安全管理機制尚不健全

高校在校園網(wǎng)設計之初，普遍注重網(wǎng)絡的實用和高效，建設資金重點用在關(guān)鍵網(wǎng)絡、硬件設備和軟件系統(tǒng)的投入，而忽略網(wǎng)絡安全問題，目前很多高校網(wǎng)絡安全技術(shù)崗位都是由其他崗位人員兼任，致使網(wǎng)絡安全管理機制不健全，技術(shù)力量薄弱，難以高效率地預防和處理網(wǎng)絡安全問題。

2 網(wǎng)絡安全等級保護2.0的要求

2019 年 5 月，《網(wǎng)絡安全等級保護基本要求》（“等保 2.0”）正式發(fā)布，并于 2019 年 12月 1 日開始實施，網(wǎng)絡安全等級保護制度建設開始進入 2.0 時代。相比舊標準體系，等保2.0統(tǒng)一了基本要求與設計要求的安全框架（通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境），充分體現(xiàn)“一個中心，三重防護”的縱深防御思路，強化可信計算安全技術(shù)要求應用。等保2.0標準對通信網(wǎng)絡、網(wǎng)絡邊界、主機設備、應用和數(shù)據(jù)、以及云計算擴展、移動互聯(lián)擴展、物聯(lián)網(wǎng)擴展和工業(yè)控制擴展等方面都有新的要求[3]。

結(jié)合新標準，高校內(nèi)網(wǎng)安全防護時應該堅持以下原則：首先，需求和風險保持平衡。在選擇網(wǎng)絡保障的時候，要充分考慮可能存在的風險，根據(jù)學校信息化建設的實際需求制定合理的安全防范措施；其次，詳細分析不同安全措施在網(wǎng)絡安全防御中的具體作用，根據(jù)學校網(wǎng)絡建設的實際需求，統(tǒng)一規(guī)劃，全面改造、建設；再次，要堅持多重保護原則。隨著學校信息化建設的不斷推進，校園網(wǎng)業(yè)務越來越多，種類也越來越繁雜，單一的網(wǎng)絡邊界防護已經(jīng)無法滿足其安全需求，更為細致的網(wǎng)絡管理手段應該被考慮，并逐漸添加到安全管理中。最后，管理和技術(shù)并重。網(wǎng)絡安全措施需要專業(yè)工程師來進行評估與制定，而過于復雜的安全操作無疑是加大了管理的難度，怎么均衡技術(shù)與管理也需要思考。

3 高校內(nèi)網(wǎng)安全防護探究

通過對等保 2.0 標準的初步分析研究，結(jié)合日常網(wǎng)絡安全建設和運營管理實踐工作中發(fā)現(xiàn)的風險隱患，對照新標準的變化和技術(shù)要求要點，針對如何提高后續(xù)的技術(shù)防護能力，提出以下幾點實踐思考。

3.1 科學劃分區(qū)域，保障邊界安全

邊界區(qū)域的安全關(guān)乎網(wǎng)絡安全等級保護技術(shù)是否更好地運用[4]，所以高校的網(wǎng)絡安全管理機構(gòu)需要統(tǒng)籌規(guī)劃，通過梳理學校信息資產(chǎn)、設置外網(wǎng)訪問白名單等手段科學劃分內(nèi)外網(wǎng)區(qū)域；通過防火墻、入侵檢測等技術(shù)手段在校園網(wǎng)內(nèi)部和外部之間設置軟硬件手段，在確保合法用戶能夠正常訪問網(wǎng)絡的情況下，增加攻擊者的攻擊難度并對攻擊行為及時監(jiān)測響應。

3.2 增強安全意識，及時修補漏洞

內(nèi)網(wǎng)面臨的最大問題是不能及時修補漏洞，補丁更新不及時，對此，高校網(wǎng)絡管理機構(gòu)可以通過一些技術(shù)手段要求計算機終端實施統(tǒng)一的安全策略，例如在撥號軟件中提示用戶安裝防病毒軟件和更新病毒庫，并對不滿足安全條件的終端進行一定的聯(lián)網(wǎng)限制。另外，高校還需要定期對網(wǎng)絡中的設備和主機進行安全評估，及時處理具有安全隱患的計算機終端。最后，加強師生的網(wǎng)絡安全防范意識，將網(wǎng)絡安全知識教育納入入職教育和入學教育中，增加非計算機相關(guān)專業(yè)人員對及時修補漏洞等基本防護手段的必要認知，增強普通網(wǎng)絡用戶對網(wǎng)絡攻擊的基礎防護能力。

3.3 做好東西向防護，保障虛擬通信安全

為了提高資源利用率，數(shù)據(jù)中心虛擬化技術(shù)將物理資源轉(zhuǎn)化為邏輯資源，將一臺服務器劃分為多個邏輯上獨立的服務器。當其中一個虛擬機發(fā)生問題時，整個內(nèi)網(wǎng)就會淪陷，任由攻擊者宰割。針對虛擬網(wǎng)絡，國外的研究學者提出微隔離的概念，旨在對虛擬網(wǎng)絡內(nèi)部東西流量細粒度安全防護。虛擬機之間的有效隔離能使其他虛擬機正常進行服務。虛擬機的隔離包括基于硬件協(xié)助的隔離與基于訪問控制的邏輯隔離兩種機制，目前都能很好地實現(xiàn)各虛擬機的安全獨立服務。另外，還應該對虛擬機的運行進行實時監(jiān)控，保障虛擬機的安全。

3.4 制定新的認證架構(gòu)，向零信任轉(zhuǎn)型

為了保障學校網(wǎng)絡核心設備及數(shù)據(jù)資源的安全，降低內(nèi)網(wǎng)資源被惡意利用的風險，一些高校開始著手研究零信任技術(shù)體系。零信任是網(wǎng)絡中的一切實體都是不可信的，都需要驗證的理念。根據(jù)這種理念制定的策略，需要持續(xù)地監(jiān)測用戶的行為和環(huán)境的狀態(tài)，進而制定基于信任得分的動態(tài)訪問策略[5]。

雖然零信任提供了一種基于身份的更細粒度的訪問控制方法，但落地方式暫時還沒有標準的流程可依。零信任架構(gòu)應該以數(shù)據(jù)和應用的分類、改造為起點，以用戶和設備的識別為基礎，以 SDP 架構(gòu)為核心，以用戶角色為依據(jù)，以過渡白名單為保障，制定基于零信任網(wǎng)絡的高校網(wǎng)絡訪問模型，依照此模型來進行完整的權(quán)限校驗，訪問校園網(wǎng)的核心設備和數(shù)據(jù)資源。零信任是網(wǎng)絡安全中一種不斷發(fā)展的技術(shù)，零信任架構(gòu)是一種全新的網(wǎng)絡安全防護思路。

3.5 健全網(wǎng)絡安全管理機制，建設統(tǒng)一的安全運營中心

隨著國家網(wǎng)絡安全法的頒布和等保2.0的發(fā)布，高校對網(wǎng)絡安全問題越來越重視，很多走在信息化前列的高校開始考慮建設統(tǒng)一的網(wǎng)絡安全運營中心，用于全面監(jiān)控和管理學校網(wǎng)絡安全，為學校網(wǎng)絡安全建設提供強有力的支撐。在網(wǎng)絡安全管理機制的構(gòu)建中，應考慮規(guī)范的組織管理、日常管理和應急管理等多個方面，定期對學校師生進行網(wǎng)絡安全相關(guān)知識的宣傳教育，將安全防護真正應用到實際的管理之中。

4 結(jié)語

面對日益嚴峻的網(wǎng)絡安全態(tài)勢，網(wǎng)絡安全等級保護2.0標準其相關(guān)安全建設思想及體系要求對高校網(wǎng)絡安全建設具有積極的指導作用。本文主要通過對照等保2.0標準，結(jié)合高校校園內(nèi)網(wǎng)網(wǎng)絡安全的薄弱環(huán)節(jié)，給出一些網(wǎng)絡安全管理和網(wǎng)絡安全技術(shù)的建議，為保障高校信息化建設安全穩(wěn)定進行，打造安全校園提供一些可參考的思路。

[1]張紅梅.內(nèi)網(wǎng)終端安全防護管理系統(tǒng)研究[D]. 西安電子科技大學，2018.

[2]游益鋒.面向虛擬化環(huán)境的微隔離技術(shù)的研究[D].電子科技大學，2019.

[3]藺旭冉.等保2.0標準技術(shù)要求淺析與初步實踐思考[J]. 網(wǎng)絡安全技術(shù)與應用，2019（10）：12-14.

[4]鐘錫寶.網(wǎng)絡安全等級保護技術(shù)實現(xiàn)與分析[J]. 網(wǎng)絡安全技術(shù)與應用，2021（2）：173-174.

[5]秦益飛，張英濤，張曉東.零信任落地途徑研究 [J]. 信息安全與通信保密，2021（01）：84-91.