等保2.0標準下高職院校信息安全工作探討

馬朝霞

摘? 要 新時期隨著互聯(lián)網(wǎng)技術和信息化水平的日益發(fā)展與提高，面臨的網(wǎng)絡安全風險也日益突出，特別是對于高職院校教育信息化發(fā)展有較高要求的前提下，其信息化安全方面的管理能力還相對薄弱，完全達到等保2.0標準還存在一定差距，需要進一步探究信息安全存在的問題和找到有效的改進措施，加快推進高職安全等級保護測評工作。結合等保2.0要求，以建設實施信息安全等保工作為例，深入了解高職院校具體情況，為高職院校信息安全建設提供參考。

關鍵詞 等保2.0;高職院校;信息安全;教育信息化

中圖分類號：TP393? ? 文獻標識碼：B

文章編號：1671-489X（2021）11-0010-03

0? 引言

在高職院校邁入“雙高”時代的大環(huán)境下，各高職院校都處在加快啟動中國特色高水平高職學校和專業(yè)建設的關鍵時期，教育信息化建設和發(fā)展作為有效促進“雙高”建設的重要考核指標，對高職院校信息化建設水平提出較高要求。目前，高職教育信息化應用普及率較高，建設有大量業(yè)務管理信息系統(tǒng)、網(wǎng)站及基于互聯(lián)網(wǎng)的移動應用，面臨學校范圍內(nèi)網(wǎng)絡信息應用范圍廣、師生人員較多、產(chǎn)生數(shù)據(jù)量大、網(wǎng)絡信息關注度較高的現(xiàn)實特點，網(wǎng)絡安全方面的影響力也越來越大?！吨腥A人民共和國網(wǎng)絡安全法》的實施順應了新時代當前形勢下的網(wǎng)絡安全等級保護工作，對各單位重視網(wǎng)絡安全，推進等保測評工作是十分有利的。高職院校在等級保護方面對照國家等保2.0標準還存在一定差距，需要借助等保實施過程進一步改進和加強自身安全管理和建設能力。

1? 等級保護2.0標準新要求

等保2.0中“安全通用要求包括安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理”[1]這幾個方面的重要內(nèi)容，同時在云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和移動互聯(lián)安全等安全方面也作出明確要求。

1.1? 技術方面

首先是物理環(huán)境，要求機房應配置電子門禁系統(tǒng)、安防系統(tǒng)、視頻監(jiān)控系統(tǒng)等;機房劃分區(qū)域進行管理，要配備防雷、電設施設備，電力電纜線路設置冗余或并行，針對突然斷電的情況要有備用供電措施和應急預案;應有智能感知和采集系統(tǒng)，實現(xiàn)機房對煙霧、溫度、濕度等環(huán)境情況的感應和遠程報警。通信網(wǎng)絡要求網(wǎng)絡設備和帶寬應該滿足業(yè)務需求，提供滿足師生教學和科研使用的校園網(wǎng)絡接入條件，網(wǎng)絡接入覆蓋校內(nèi)所有區(qū)域，確保通信數(shù)據(jù)安全性、完整性和保密性。保證非授權設備、無線網(wǎng)絡接入內(nèi)部網(wǎng)絡時通過邊界設備受控，對遠程訪問、應用程序執(zhí)行過程進行訪問控制。計算環(huán)境要求具有數(shù)據(jù)存儲、容災備份能力，用戶身份認證應具備密碼技術確認等多種鑒別技術，加強審計進程中未授權管理，重要節(jié)點應進行入侵檢測，要有惡意代碼攻擊的技術防范措施，具有高可靠性、高可用性，能夠保障學校網(wǎng)絡應用的數(shù)據(jù)中心。要加強網(wǎng)絡設備、服務器、網(wǎng)絡鏈路、網(wǎng)絡安全事件等方面的安全管理。

1.2? 管理方面

在管理上應建立健全安全管理制度體系，設立專門的安全管理機構和配備專業(yè)管理人員隊伍。定期對軟硬件設施設備進行安全檢查、登記備案，對管理人員權限要嚴格審查，特殊崗位應簽訂保密協(xié)議和責任書。在運維管理中對遠程運維、運維變更、日常監(jiān)測、外部授權和配置信息變更都要嚴格控制管理，建立申報審批程序，登記備案。外包運維服務也應在協(xié)議中明確具備等級保護技術和管理上的要求。

2? 開展等級保護工作的必要性

開展安全等級保護工作是落實國家信息安全管理的重要任務，符合國家信息安全管理和行業(yè)要求，是對目前互聯(lián)網(wǎng)環(huán)境下高職院校落實信息安全管理的有效推動，是保障教育信息化發(fā)展和維護信息安全的重要舉措。學校在開展安全等級保護測評的過程中有利于提高信息系統(tǒng)安全建設水平，同步完善在信息安全基礎設施、信息安全與信息化建設管理中的薄弱環(huán)節(jié)，能夠在信息安全資源配置和優(yōu)化、信息系統(tǒng)分級分類保護、關鍵基礎信息網(wǎng)絡和設施安全方面給予科學、系統(tǒng)的指導，降低安全風險，預防安全事故發(fā)生，針對存在的問題提供有效可行的解決辦法，進一步落實信息安全責任管理，確保信息系統(tǒng)安全穩(wěn)定運行，促進信息安全和教育信息化發(fā)展。

3? 高職院校等級保護現(xiàn)狀及存在問題

高職院校網(wǎng)絡安全意識有所提高，但各級領導在安全等級保護方面仍缺乏一定認識和了解，在信息安全管理過程中仍舊面臨諸多問題，比如完全依賴網(wǎng)絡技術部門，以為在信息安全軟硬件方面投入足夠經(jīng)費就能對抗網(wǎng)絡安全威脅，而校園網(wǎng)絡來自外部的網(wǎng)絡攻擊行為時有發(fā)生，針對網(wǎng)絡攻擊不能及時響應，應急策略和能力較弱。對安全等級測評重視程度也不夠，校園網(wǎng)絡安全管理制度已建立但不完善，安全管理機制不健全，具體落實監(jiān)管不到位等，具體表現(xiàn)在以下幾個方面。

3.1? 日常運維管理

各類安全管理制度不完善，特別是在日常運維、系統(tǒng)安全、應急響應、安全培訓等方面。在安全運維管理中，部分安全運維工作沒有落實到位，以前制定的制度不能根據(jù)實際需要及時更新，無法構成完整的信息安全管理體系。

3.2? 系統(tǒng)安全技術防護

3.2.1? 物理安全方面? 機房建設滿足物理環(huán)境基本要求，能夠按照標準機房建設標準合理選擇機房位置，配備防雷、防火、備用電力保障等設備，安裝電子門禁和視頻監(jiān)控系統(tǒng)。但有些學校對機房管理要求不嚴，沒有建立嚴格的訪問控制管理制度，來訪人員獲得口頭許可便可進出機房，且沒有進行來訪人員的出入登記，也沒有安排專人陪同監(jiān)督來訪人員進行技術操作并記錄備案。另外，對機房要求配備精密空調(diào)也不能達標，無法實現(xiàn)智能調(diào)節(jié)室內(nèi)溫濕度，無法防止結露、凝水等現(xiàn)象和故障預警。

3.2.2? 主機安全方面? 主機身份鑒別、訪問控制、安全審計等存在默認的策略配置。操作系統(tǒng)和數(shù)據(jù)庫賬號密碼配置具有一定的復雜度和長度，但沒有配置密碼復雜度和非法登錄次數(shù)限制策略。系統(tǒng)重要文件訪問控制不嚴格，常常主用服務器已經(jīng)及時更新了操作系統(tǒng)安全補丁，而備用服務器沒有及時更新操作系統(tǒng)安全補丁等。

3.2.3? 應用安全方面? 提供基于賬號密碼的身份鑒別方式，對用戶登錄失敗次數(shù)進行了限制，但沒有提供用戶密碼復雜度檢查功能，存在較多弱密碼用戶賬號，甚至有些用戶的賬號密碼還處于原始默認狀態(tài)，信息安全意識不強。

3.2.4? 在網(wǎng)絡安全方面? 部署了上網(wǎng)行為管理、防火墻、Web應用防火墻、數(shù)據(jù)庫審計和運維安全審計等安全設備，但由于安全防護策略配置不嚴格、不合理，存在訪問控制策略不嚴格，沒有實現(xiàn)對掃描類攻擊行為進行檢測并阻斷，Web應用防火墻未對管理后臺進行防護，防控非法外聯(lián)措施不足，存在無認證Wi-Fi接入點，接入后可直接與服務器網(wǎng)段通信，降低了系統(tǒng)的安全性。

3.3? 安全建設經(jīng)費和人員

部分學校雖在教育信息化方面投入經(jīng)費較大，但在信息安全方面專項經(jīng)費不足，所占整個信息化建設資金比重較小，不能滿足網(wǎng)絡安全建設基本保障。網(wǎng)絡安全專業(yè)技術人才缺乏，專業(yè)管理人員配置不足，無法滿足現(xiàn)有安全管理和技術需求。

4? 針對相關問題的改進措施和建議

4.1? 加強安全管理

建立重要操作的審批流程，保存審批記錄。日常巡檢、安全檢查記錄備案。加強人員安全管理，制訂安全教育培訓計劃，每年對信息安全工作人員進行崗位技能培訓和考核。制訂或完善安全設計方案，定期聘請第三方機構對系統(tǒng)安全性進行檢測。建議每年進行應急預案的演練和培訓。完善相應的安全管理制度，落實安全運維管理工作，定期對安全防護設備、操作系統(tǒng)、數(shù)據(jù)庫的日志進行分析，根據(jù)安全防護設備、主機、數(shù)據(jù)庫的日志分析結果，出具運維報告或安全事件處置報告。建立信息安全工作的總體方針和安全策略，要及時梳理現(xiàn)有管理制度，根據(jù)實際管理作出修訂和更新制度內(nèi)容，廢除已經(jīng)不適用的管理制度。

4.2? 加固技術防護

4.2.1? 在物理安全方面? 建立機房出入管理審批流程，填寫出入登記表，內(nèi)容包含出入人員、攜帶設備、審批人員、出入時間等。外來人員進行機房作業(yè)時，機房管理員應全程陪同。

4.2.2? 在網(wǎng)絡安全方面? 根據(jù)不同的系統(tǒng)劃分不同的子網(wǎng)，啟用訪問控制功能對不同的系統(tǒng)之間不必要的互訪數(shù)據(jù)進行阻斷，細化訪問控制規(guī)則。部署終端安全管控系統(tǒng)，對內(nèi)部用戶非法連接外部網(wǎng)絡的行為進行檢查、定位、阻斷，關閉無認證的Wi-Fi接入點。應提高網(wǎng)絡系統(tǒng)的安全性能，及時調(diào)整防火墻端口防護參數(shù)，啟用防火墻日志管理功能。加強管理員分配賬號和權限、密碼管理。

4.2.3? 在主機安全方面? 在服務器操作系統(tǒng)安全策略中配置密碼復雜度策略、非法登錄次數(shù)限制策略，并定期更改操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)賬號的密碼。配置僅允許通過堡壘機訪問服務器，不允許其他IP地址直接遠程訪問服務器。開啟操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全審計功能，對用戶管理、權限管理、重要命令操作和系統(tǒng)異常等進行安全審計，以彌補審計功能的不足，并部署日志服務器對安全審計日志進行存儲和保護，防止日志丟失。及時更新數(shù)據(jù)庫服務器操作系統(tǒng)安全補丁，配置終端會話超時鎖定或結束會話功能。

4.2.4? 在應用安全方面? 增加系統(tǒng)相應的口令復雜度安全策略，細分管理員賬戶權限。重要操作進行采用HTTPS

協(xié)議進行通信，保證系統(tǒng)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?。系統(tǒng)配置會話超時功能，對系統(tǒng)的最大并發(fā)連接會話數(shù)進行合理配置。

4.2.5? 數(shù)據(jù)安全及備份恢復? 對系統(tǒng)重要數(shù)據(jù)要進行完整性檢測，保證重要系統(tǒng)數(shù)據(jù)和應用數(shù)據(jù)、操作系統(tǒng)和網(wǎng)絡設備等數(shù)據(jù)的安全，同時具備完整性受損時能夠及時采取數(shù)據(jù)恢復措施，還要確保數(shù)據(jù)在傳輸過程中的保密性。做好數(shù)據(jù)本地和異地備份，提供重要信息、數(shù)據(jù)的恢復功能。建議在條件允許的情況下，考慮對重要的安全設備進行硬件冗余，通信鏈路采用冗余技術設計，提高網(wǎng)絡系統(tǒng)可靠性。

4.3? 加大經(jīng)費和人員保障

應該加強重視等級保護工作，加大在網(wǎng)絡安全建設方面的專項經(jīng)費，納入年度信息化經(jīng)費項目，保障?？顚Ｓ谩Ｖ匾暰W(wǎng)絡安全技術高級人才引進，保障技術人員培訓和繼續(xù)教育，建立科學合理的績效考評機制，促進網(wǎng)絡信息安全技術人才隊伍培養(yǎng)和建設。

5? 結語

習近平總書記在全國網(wǎng)絡安全和信息化工作會議上指出：“沒有網(wǎng)絡安全就沒有國家安全。”高職院校做好網(wǎng)絡信息安全工作，需要從思想上進一步重視，在組織機構、人員配置、資金支持、技術設施等方面準備到位，有準備有計劃地推動落實。要根據(jù)辦學規(guī)模和業(yè)務范圍、社會影響力等因素做好前期安全評估，明確系統(tǒng)定級備案等工作，制訂實施方案，重點要結合實際高標準、嚴要求，總結經(jīng)驗，進一步完善信息安全防護體系，提升整體安全防護能力。

參考文獻

[1]馬力，祝國邦，陸磊.《網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019）標準解讀[J].信息網(wǎng)絡安全，2019（2）：77-84.

[2]張旭剛，謝宗曉.網(wǎng)絡安全等級保護及其相關標準介紹[J].中國質量與標準導報，2019（9）：12-15.

[3]張建剛.網(wǎng)絡安全管理與網(wǎng)絡安全等級保護制度探究[J].現(xiàn)代信息科技，2019（11）：163-164.

[4]袁慧.網(wǎng)絡安全等級保護2.0制度的研究和探討[J].信息與電腦（理論版），2020（1）：223-224.