高校网络安全等级保护建设研究

张小林 鲁雷 罗汉云

摘要：随着物联网、云计算、大数据、智能终端的快速发展，各行各业对信息化的需求也越来越强烈，信息系统大量涌现在各个行业，这些系统的开发技术参差不齐，存在很大的安全隐患。尤其是在高校，有大量的信息系统以及重要的数据信息，为加强信息系统的安全防护，只有落实等级保护制度，完善网络安全等级保护体系建设。论文从网络安全等级保护建设的必要性、重要性，提出了等级保护系统建设方案。并根据整改建议书，从技术和管理两个方面提出了详细的整改方案，最终达到相应的等级保护要求。

关键词：信息系统;网络安全;等级保护;安全整改;制度建设

中图分类号：TP393.09 文献标识码：A

文章编号：1009-3044（2020）22-0071-03

开放科学（资源服务）标识码（OSID）：

1 引言

随着物联网、云计算、大数据、智能终端的快速发展，各行各业對信息化的要求也是越来越多，也越来越依赖，促使了信息系统和智能终端APP的大量涌现。国家也在提倡让数据多跑路，可以通过网络解决的，尽量不用到现场，伴随4G、6G的快速推广和应用，手机终端APP给人们的工作生活带来了很多的便利，但是也随之而来产生了很多网络安全问题，如个人隐私泄露等。在高校也面临着同样的问题，随着国家对教育信息化的不断重视，高校拥有着大量的应用信息系统，如何安全、稳定的保障这些信息系统的运行，必须尽快开展落实等级保护建设工作[1]。

2 落实网络安全等级保护的必要性

网络安全又称为第五空间，国家建设、交通运行、科研学习、生活购物等等都离不开网络。近几年，随着智慧城市、智慧校园、智慧社区等等的兴起，5G的推广应用带到了物联网的快速发展，这些迫切需要提供一个安全稳定的网络。2017年6月1日，国家正式颁布《中华人民共和国网络安全法》，在网络安全法中明确地指出网络安全和信息化发展并重原则以及国家实行网络安全等级保护制度[2]。实施网络安全等级保护制度，主要目的是提前分析如果信息系统遭受到破坏，从受众面上来判断对国家、社会秩序和公共利益造成的影响程度来进行等级划分。网络安全等级保护的保护对象，除了传统的基础信息网络和信息系统外，还将国家关键基础设施和重要信息系统、网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护监管对象[3]。

3 落实网络安全等级保护的重要性

高校信息化发展很快，在经历了数字化校园建设过程中，建设完成了大量的信息系统，在给用户带来便捷的同时也给学校的管理者增加了一种管理手段，极大地提高了工作效率。高校作为一个群体，有着相同的特性，信息系统主要有教务系统、一卡通系统、校园门户网站等等。但数字化校园建设初期，由于各种原因，很多信息系统都是由相关的业务部门自行采购、管理维护，这样就导致后期的一种通病，轻安全、轻管理，对网络安全没有引起足够的重视，随着现在攻击手段的不断丰富、病毒、木马的泛滥、黑客的低门槛等等，造成数据丢失、重要信息泄露、网站被挂链等。这些安全隐患对学校的正常工作的开展以及学校的形象造成很大的影响。因此，落实网络安全等级保护制度，不仅是法律的要求，更重要的是保障业务数据的安全、业务系统稳定安全运行的一个保障[4][5]。

4 网络安全等级测评项目实施

在初步确定信息系统安全等级保护等级后，为了保证定级合理、准确，可以聘请公安部门和各地公安机关组织成立专家组进行评审，并出具专家评审意见。目前，国家等级保护分为五级。一级为最低级要求，五级为最高的等级保护要求。

落实网络安全等级保护制度，可依据网络安全等级保护定级指南对信息系统进行初步定级，定级完成后需要到当地公安机关进行备案。备案完成后，需要对信息系统相关的网络环境、信息系统软件等观测点，按照等级保护的建设要求，进行安全建设、整改。通过技术和管理两个方面的建设，达到相应的等级，由具有等级测评的专业机构对信息系统进行网络安全等级测评。测评机构到达现场从管理人员到机房环境、网络设备、操作系统、应用软件等进行一系列的技术手段，获取相应的测评指标，然后根据要求出具完整的信息系统测评报告。当测评报告给出的测评分达不到要求，则根据整改要求进行整改，最终达到等级的要求，并将最终的测评报告送交当地的备案公安机关，公安机关则对信息系统进行监督检查。

4.1信息系统定级、备案

根据行业定级指南，按照定级规范流程，通过专家论证，完成定级后，将定级报告和信息系统安全等级保护备案表，提交到当地的市级公安机关，待通过后，获得备案证明。

4.2 信息系统安全整改

根据测评机构在预测评中发现的问题，给出《信息安全整改建议书》，对比整改建议书以及测评要求，通过部署相应的网络安全产品、安全策略的调整、主机的系统安全加固等方式，解决存在的问题，提高信息系统的整体安全。整改的思路如图2所示。

4.2.1安全技术整改思路

以安庆师范大学网站群系统为例，通过定级，备案，定为二级等级保护系统，通过测评后，收到信息系统安全等级测评报告，根据测评报告，提出信息系统安全保障建设的基本思路是：以保护信息系统为核心，从多个层面进行建设，主要从网络层面、系统层面、应用层面和数据层面的安全需求，建成后的信息安全保障体系将充分符合国家标准，能够为重要的业务开展提供有力保障。主要从以下四个方面进行设计。

（1）构建分域的控制体系

信息安全等级保护解决方案，在总体架构上按照分域保护思路进行，通过将信息系统从结构上划分为不同的安全区域，以安全区域为单位进行安全防御技术措施的建设，各个安全区域内部还根据安全需求的不同进一步划分了子安全域，子安全域的边界也采用了与一级安全域相同的边界安全防护措施，从而构成了分域的安全控制体系。

（2）构建纵深的防御体系

根据等级保护测评的观测点要求，从网络环境、网络设备安全、主机服务器安全、应用系统安全、数据安全以及备份容灾恢复等方面进行安全技术和措施的设计，实现业务应用的CIA特性，并通过各种安全技术组合提高综合防护能力，从外到内形成一个纵深的安全防御体系。

（3）保证一致的安全强度

通过将信息系统划分在不同的子域，在相同子域的信息系统将采用同样强度的安全措施，统一的防护策略，也为后期增加新的应用系统提供了快速部署的能力。

（4）实现集中的安全管理

三分技术七分管理，技术层面很容易实现，通过部署安全设备就可以实现，但是管理方面需要制度化、精细化等。首先通过建设集中的安全管理平台，收集来自网络安全设备的安全日志、系统日志、安全事件、信息资产的录入或自动发现等的统一分析与监管，通过这些事件、日志等信息进行关联技术分析，让管理者通過此平台能够及时、快速的发现问题，有效应对安全事件的发生。

4.2.2 安全整改内容

具体实施过程，主要通过技术架构整改，具体措施如下：

（1）对业务区域进行梳理和确认，将不同重要程度的信息系统进行梳理，请确认相关访问流向和规则。

（2）网络结构改造：通过架构调整，对系统网络结构进行改造，根据业务划分不同的区域，实现安全架构。

（3）在区域划分的基础上，尽可能利用现有安全设备或VLan划分等方式，进行区域隔离。

（4）对现有过保安全设备，通过续保或者购买安全服务的方式，保证设备的充分利用。

（5）在安全防护基础上，增加检测和审计措施，建立全方位的安全保障体系。

（6）设备安全配置调整：协同系统集成商和设备厂家服务，根据改造后的网络架构，对系统现有及新增网络、安全设备进行全面的配置调整。

（7）服务器、数据库加固：对各信息系统的服务器、数据库进行安全加固，进行漏洞修补、打补丁、服务最小化等。

（8）部署终端接人管控、数据防泄露等机制，杜绝外来设备私接内部网络、终端电脑私连外网、私接无线设备、滥用移动存储和设备等行为。

（9）部署集中的态势感知平台，保证对全网数据流量分析，帮助学校看清业务、感知威胁、及时预警、快速响应。

（10）部署堡垒机，实现对第三方运维人员的管理和操作审计。

（11）进行信息安全等级测评，在改造后的网络架构基础上，对网络设备、安全设备、主机服务器、应用系统等进行核查，保证安全措施真正有效发挥作用。

4.2.3 安全管理制度体系建设

在完成技术方面的整改后，更重要的是管理制度的指定，根据等级保护相关文件的要求和整改报告的要求，建立和完善相应的规章制度。

（1）修订完善现有制度，建立体系化制度，并覆盖当前安庆师范大学相关工作内容。

（2）制定空缺的制度、操作规程等。

（3）信息安全日常运行维护和管理工作中依照相关制度和规程进行，并形成的相关记录和存档。

根据整改方案，从技术和管理两个方面进行整改。通过部署网络安全设备，调整网络架构，做好每台设备的安全策略，落实整改方案中的措施，保障重要信息系统的安全性。

4.3 信息系统等级保护测评

等级测评[6]工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估活动。

信息系统等级保护测评是针对应用系统，测评机构通过访谈、文件审查、配置检查、实地察看和工具测试等技术，主要是管理和技术两个大的方面进行综合测评。一个是管理方面，包括制度、机构、人员的管理，另外是从信息系统所在的物理环境、所处的网络环境、服务器安全、应用系统安全以及数据的备份容灾等方面进行综合测评。根据相应的定级标准对系统进行测评，最终出具信息系统安全等级测评报告，如果测评结果达不到定级要求，则还需要进行安全建设、整改，直到各项指标达到标准，将最终的安全等级测评报告上报给当地的公安机关，备案公安机关出具相应信息系统安全等级保护备案证明[7]。

5 结束语

根据专业的测评机构给出的《信息安全整改建议书》，对网络拓扑结构、关键业务数据流、信息系统等的访问权限等都进行了一个更加完整的梳理，按照要求对边界网络设备、交换机做到端口级防护，针对不同的应用服务在防火墙和交换机严格做到端口限制，对服务器等进行安全加固，增加安全策略和审计策略等，从而提高信息系统的网络安全防护。通过实施网络安全等级保护测评，让网络管理和维护人员摸清家底，对信息系统的部署、管理都有很大的提高，通过统一安全管理实现了快速发现、有效处理安全事件提供了强有力的平台。

参考文献：

[1]詹申平，陈建宏.等级保护下政府部门门户网站的安全管理措施的应用[Jl.科技创新与应用，2019（3）：195-196.

[2]刘强，王波.高校信息安全等级保护建设探讨——以凯里学院为例[J].凯里学院学报，2018，36（6）：99-101.

[3]潘文杰.浅议高校信息系统安全等级保护工作的必要性[J].科技风，2018（33）：61.

[4]吕美敬.高校信息系统安全等级保护测评实施研究与分析[J].网络空间安全，2018，9（8）：65-69.

[5]秦丽娜.基于等级保护的高校校园网络安全建设研究[J].电脑知识与技术，2019，15（13）：54-55.

[6]傅星.校园信息化背景下的信息安全[Jl.首都经济贸易大学学报，2010，12（4）：123-128.

[7]詹申平，陈建宏.等级保护下政府部门门户网站的安全管理措施的应用[J].科技创新与应用，2019（3）：195-196.

【通联编辑：代影】（上接第68页）

测试结果：

通过Host上测试，Host可以telnet登录到ISPI，telnet登录ISP2失败，Host可以Ping通ISP2的接口，telnet是基于TCP協议的应用，而Ping使用的是ICMP协议，转发路由策略生效。

路由器上测试，在R1上telnet登录ISP1和ISP2均可以正常登录，说明转发路由策略对路由器本身产生的TCP报文不产生效果。

（4）应用本地策略路由

[Rl]ip local policy-based-route tcp //应用本地策略路由

经测试：路由器上telnet登录ISPI正常，telnet登录ISP2失败，R1可以Ping通ISP2的接口，本地策略路由生效。

4 结语

通过HCL仿真测试策略路由，测试了转发策略路由和本地策略路由，策略路由可以根据协议、源IP或目的IP设置指定的下一跳和缺省的下一跳。可以根据企业用户的需求进行相应的设置，但策略路由的缺点是占用设备资源较多，只要配置了策略路由，路由器就要根据设定的规则检查数据包，会一直占用网络设备的资源，建议在真实网络环境中，尽量使用路由策略而减少使用策略路由来实现用户需求。

参考文献：

[1]朱麟，刘源.H3C路由与交换实践教程[M].北京：电子工业出版社，2018.

[2]彭伟.基于策略路由部署的网络多出口设计研究[J].湖南工程学院学报（自然科学版），2019，29（3）：48-52.

[3]龚文涛，郎颖莹.基于路由策略和策略路由的Web应用防护架构设计[Jl.计算技术与自动化，2018，37（2）：95-99.

【通联编辑：代影】

基金项目：安徽协达软件科技有限公司资助横向课题（合同编号：20170712）;安庆师范大学“四成”资助项目（项目编号：Scjy112018-12）;赛尔网络下一代互联网技术创新项目资助（项目编号：NGII20170511）

作者简介：张小林（1981-），男，安徽安庆人，安庆师范大学讲师，硕士，主要研究方向为网络安全、数据挖掘。