基于等保2.0高校校園網(wǎng)信息安全防御體系建設(shè)探究

尹珧人，唐 玲

（1沈陽音樂學(xué)院 遼寧 沈陽 110041）

（2沈陽城市學(xué)院 遼寧 沈陽 110041）

1 信息安全等級保護(hù)1.0和2.0的主要區(qū)別

1.1 定級對象不同

1.0時代只針對信息系統(tǒng)，2.0時代定級對象有了較大范圍的擴(kuò)大，包括各類信息系統(tǒng)、云計(jì)算平臺、基礎(chǔ)信息網(wǎng)絡(luò)、物聯(lián)網(wǎng)系統(tǒng)、大數(shù)據(jù)平臺、應(yīng)用了移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等。

1.2 管理和技術(shù)上發(fā)生了變化

與1.0版本相比2.0版本在管理上將人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理分別調(diào)整為安全管理人員、安全建設(shè)管理、安全運(yùn)維管理；在技術(shù)上將網(wǎng)絡(luò)安全、物理安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、變更為安全通信網(wǎng)絡(luò)、安全物理環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。

1.3 法律名稱改變

2.0版本將1.0版本的《信息安全等級保護(hù)基本要求》和《信息安全等級保護(hù)管理辦法》融合為《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GBT22239-2019》。

1.4 增加了新內(nèi)容

2.0版本在1.0版本規(guī)定的定級、備案、建設(shè)整改、等級評測和監(jiān)督檢測等五項(xiàng)內(nèi)容的基礎(chǔ)上增加了安全監(jiān)測、風(fēng)險評估、數(shù)據(jù)防護(hù)、通報預(yù)警、災(zāi)難備份、案事件調(diào)查、應(yīng)急處理等新的安全要求。

1.5 基本要求有了變化

與1.0版本相比2.0版本的基本要求，由安全要求變革為安全通用要求與安全擴(kuò)展要求。

1.6 法律效力不同

與1.0版本相比2.0版本將落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度上升為了法律義務(wù)。

2 高校校園網(wǎng)信息安全現(xiàn)狀

高校校園網(wǎng)信息安全建設(shè)標(biāo)準(zhǔn)由1.0升級為2.0，需要高校在人員、資金、技術(shù)等各方面進(jìn)行加強(qiáng)，但由于資金、技術(shù)等因素的限制，往往還存在一些隱患[1-2]。

2.1 在制度上缺乏頂層設(shè)計(jì)

絕大多數(shù)高校的校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)僅有一部分簡單的安全制度，缺乏頂層設(shè)計(jì)，高校內(nèi)部各信息系統(tǒng)使用部門，缺乏協(xié)調(diào)統(tǒng)一的使用機(jī)制，很多制度形同虛設(shè)，執(zhí)行程度參差不齊。另外大部分制度都是按照上級文件要求建立的，缺乏針對性，可操作性不強(qiáng)，距離“等保1.0”的要求尚且存在距離，更是遠(yuǎn)遠(yuǎn)達(dá)不到“等保2.0”的要求。

2.2 信息安全意識薄弱

高校校園網(wǎng)用戶囊括了學(xué)生、教師、管理人員、工勤人員等，信息安全防護(hù)水平參差不齊，校園網(wǎng)中存在著大量的弱口令密碼、未安裝殺毒軟件、不給系統(tǒng)及時升級補(bǔ)丁、不對重要數(shù)據(jù)定期進(jìn)行備份、不關(guān)閉guest賬戶等行為。由于安全意識薄弱，很多人認(rèn)為信息安全僅僅是校園網(wǎng)安全管理人員的工作，因此給了黑客很多可乘之機(jī)，安全隱患巨大。

2.3 缺乏有效的內(nèi)網(wǎng)信息安全防范措施

一般來講為了有效防御來自校園網(wǎng)外部的攻擊，各高校往往購買了大量的網(wǎng)絡(luò)安全設(shè)備，可以抵御大部分來自互聯(lián)網(wǎng)的威脅，但由于安全制度建設(shè)不全面或在執(zhí)行層面出了問題，導(dǎo)致在校園網(wǎng)內(nèi)部存在著大量的木馬病毒，一旦內(nèi)網(wǎng)某臺主機(jī)通過郵件、U盤、下載等方式被攻破，整個校園網(wǎng)安全體系就會陷入癱瘓。

2.4 安全防護(hù)體系缺乏頂層設(shè)計(jì)

很多高校由于技術(shù)力量薄弱，往往籌集資金購買大量網(wǎng)絡(luò)安全設(shè)備，主要依靠“技防”忽視了“人防”和制度建設(shè)，整個校園網(wǎng)缺乏安全架構(gòu)頂層設(shè)計(jì)，難以將各種安全防御要素進(jìn)行有效整合發(fā)揮合力。

3 基于“等保2.0”校園網(wǎng)信息安全防御體系建設(shè)

基于“等保2.0”的具體要求，結(jié)合高校自身實(shí)際，從以下幾個方面構(gòu)建校園網(wǎng)信息安全防御體系[3-4]。

3.1 對校園網(wǎng)信息安全進(jìn)行頂層設(shè)計(jì)

依據(jù)“等保2.0”的具體要求，結(jié)合高校自身實(shí)際，從軟硬件設(shè)施、規(guī)章制度的執(zhí)行監(jiān)督、安全突發(fā)事件的應(yīng)急響應(yīng)，網(wǎng)絡(luò)安全意識的宣傳教育等各個維度綜合考慮對校園網(wǎng)信息安全進(jìn)行頂層設(shè)計(jì)。發(fā)揮“人防”+“技防”+“完善的規(guī)章制度”+“制度執(zhí)行監(jiān)督”的合力，構(gòu)建校園網(wǎng)信息安全體系。

3.2 建立三級防御體系

建立個人防御、校園網(wǎng)防御、運(yùn)營商防御三級信息安全防護(hù)體系。第一級提高校園網(wǎng)個人用戶的信息安全意識與防護(hù)能力，第二級提高校園綜合防護(hù)能力，充分利用漏掃、IPS等安全設(shè)備將各種安全隱患扼殺在萌芽階段，第三級充分利用運(yùn)營商提供的安全防護(hù)措施將攻擊源頭進(jìn)行阻斷。

3.3 建立安全防御聯(lián)動體系

按照“等保2.0”“一個中心，三重防護(hù)”的要求，加強(qiáng)WAF、下一代防火墻、態(tài)勢感知設(shè)備、防毒墻、防DDOS攻擊設(shè)備、IPS設(shè)備在校園網(wǎng)入口處的部署。加強(qiáng)數(shù)據(jù)庫審計(jì)、服務(wù)器日志審計(jì)、終端準(zhǔn)入設(shè)備在核心服務(wù)器區(qū)的部署。利用運(yùn)維軟件系統(tǒng)將上述安全設(shè)備聯(lián)動使用，使其發(fā)揮1+1＞2的效果。

3.4 推動正版化軟件普及

在校園網(wǎng)用戶中積極推動正版化軟件普及使用，有效消除各類盜版軟件附帶的各種后門、病毒以及木馬程序。

3.5 通過模擬攻防演練查找漏洞，提高處理突發(fā)事件的能力

定期、不定期開展網(wǎng)絡(luò)攻防演練，通過攻防演練查找校園網(wǎng)中存在的安全漏洞，及時消除安全隱患，同時通過攻防演練提升信息安全人員的技能，改進(jìn)信息安全突發(fā)事件響應(yīng)流程，確保校園網(wǎng)能夠有效防御來自校園網(wǎng)內(nèi)部和外部的各種安全威脅[5]。