基于等保2.0标准的高校网络信息安全管理体系研究与实践

程五生

(合肥经济学院，安徽 合肥 230012)

0 引言

随着互联网的高速发展，高校信息化水平的不断提升，高校的教研和日常管理工作对网络信息系统的依赖性越来越高，但同时也导致网络信息系统面临的风险越来越大[1]。因此，要在遵守法律、法规及相关文件要求的基础上，结合各自的信息化建设实际，尽快制定网络信息安全保护的措施并严格落实。网络信息安全是指利用各种技术手段和安全保护措施，保障网络信息系统正常、稳定地运行，避免因偶然或恶意等原因，使网络信息系统软、硬件遭到破坏以及数据资源遭到泄露[2]，从而确保数据资源的完整、可用和保密。高校肩负着传承文化、培养人才的重要责任，网络信息安全管理体系建设刻不容缓，尤其是近年来黑客活动更加频繁，新型恶性网络病毒、网络信息钓鱼威胁和网络恶意程序后门等新型攻击越发严重，高校网络安全面临着新的挑战[3]。目前，我国各地高校网络安全信息化平台建设正处于向纵深发展推进的关键重要阶段，如何着力提升高校网络信息与安全体系防护技术能力，构建一套完善有序的高校网络信息及安全保护管理信息化体系等，已成为目前各类型高校网络信息化能力建设中的发展重点，具有较强的实际意义。

近些年，高校网络信息安全已经取得了显著的进步，但是在防护方面仍有很多不完善之处，需要加强信息化建设。2019年5月10日，由中华人民共和国国家市场监督管理总局、中国国家标准化管理委员会制订的国家标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)[4]的发布(简称等保2.0标准)，并于2019年12月1日起正式实施，要求高校网络信息安全体系建设要朝着新标准靠拢，严格落实等级保护工作。

1 等保2.0标准

随着网络信息技术的快速发展，新技术在各种系统中大量出现，原有的注重被动防御的网络安全标准已无法应对新的安全风险所带来的威胁，也无法满足当前技术发展的要求。2019年5月，等保2.0标准适时而出，在法律法规、安全体系、标准要求和实施等多个方面都发生了变化，并于2019年12月1日正式实施，这也意味着等保2.0标准时代的来临[5]。等保2.0标准是在前一个标准的基础上，聚焦新问题、新威胁和新技术，强调综合、纵深和主动防御，注重从事前、事中到事后全流程的安全和审计，基于各种新技术和新应用领域的不同安全保护需求，提出了新要求，也制定了更高等级的标准，等保2.0标准的具体结构如图1所示。

图1 等保2.0标准结构图

在高校，等保2.0是建设网络安全管理体系的最新标准，也是今后建设网络信息安全的主要依据和参考。对当前网络信息安全管理体系建设中的问题，高校要对标等保2.0标准，总结分析，对于存在的问题要及时修正并加以完善，以便与等保2.0标准相适应。

2 高校网络信息安全现状

2.1 安全管理方面

目前，部分高校存在网络建设安全及管理应用水平整体较低的现状。究其原因主要在于，高校在开展教育信息化网络建设项目的筹备初期没有足够重视信息化教育应用开发和网络基础安全体系建设的同步组织规划部署与建设实施。网络环境安全的管理制度并不太完善[6]。在高校中，网络基础环境大部分是由信息化管理部门负责，二级单位只是根据安全需求，开展信息安全系统建设，但在开展运维工作时，未能将相关安全管理责任落实到位；另外，有些师生的网络安全防范意识比较薄弱，这和网络信息安全知识的宣传不到位有关，例如密码设置保护、不明网络链接、病毒防护等网络安全操作的意识淡薄，常出现非法接入和非法访问等行为，导致个人信息泄露，计算机和网络信息系统很容易受到攻击，甚至会导致数据资源的泄露和丢失；网络安全技术专业人才缺乏，很多人员尚未接受过系统的专业培训，其素养和专业技术水平较低。

2.2 基础网络安全方面

近些年，很多高校在网络信息基础上开始部署大量先进的各类软、硬件网络安全保障设备，如入侵防御系统、各种应用防火墙、审计系统等，由此看出，高校逐渐意识到重视网络信息基础设施安全技术的整体管理的重要性。但对于这些安全设备的部署，现实情况基本都是各类安全设备的堆叠，深度防御和相互保护尚未形成体系，缺乏完善的网络安全防护体系。参照等保2.0标准，大多数高校在安全管理、边界防护、信息隐私防护、日志审计等方面都存在不完善之处。

很多高校对网络信息安全建设规划不清晰，忽视了安全管理中心的重要性。等保2.0标准非常重视安全管理中心的作用，若要符合此标准，需要有与安全运维中心类似的流程化管理，同时需要有集中监控、审计以及集中管理等平台作为技术支撑。目前各高校在这些层面的管理水平差距较大，有的高校尚未使用安全管理类、安全运维类、审计类等软件；有的高校虽然使用了相关软件，但都处于零散化状态；还有的高校虽已具有完整的软件和设备，但未能做到统一运营、集中管理。

等保2.0标准非常注重对网络边界的防护，强调区域防护对网络信息安全体系的重要性，要求在网络安全区域边界对访问进行实时控制，并对入侵进行实时检测。但是，目前多数高校设置的网络边界防护仅为对外部的整体防御，仍未对边界进行细致划分，少数高校即使对边界和功能区域进行了细致划分，但对应的防护措施却仍未跟上。

目前，云服务及虚拟化技术在很多高校应用广泛，云服务和虚拟化技术的运用，不但使得软、硬件资源的利用率大幅提高，而且也使得业务系统的可靠性大大提升，但是同时也产生了一系列的网络安全问题，如何安全隔离虚拟机、如何控制横向流量已成为各高校在信息化建设过程中面临的新挑战。

2.3 应用系统安全方面

随着智慧校园的发展，我国高校大多已实现校园网络全覆盖，建成初具规模的教务和科研系统以及门户平台、一卡通平台等业务信息系统，网络设备和信息系统规模庞大，各种APP和小程序的应用广泛，很多信息系统对互联网开放，这导致一系列安全问题的出现。比如有些程序在部署和运维时，采用默认设置，应用程序不更新，安全隐患比较明显；有的系统认证方式单一，有的系统未经过任何安全检测就上线，这些都会引发安全问题。

2.4 主机安全方面

部分高校在信息化建设和运维过程中，采用静默模式，服务器或终端系统基本不升级，漏洞补丁更新不及时；有的系统虽安装了杀毒软件，但病毒库很少更新，有的系统甚至未安装杀毒软件；还有的系统登录的口令较弱，这些安全隐患使目前流行的勒索病毒有机可乘。

3 基于等保2.0标准的高校网络信息安全技术体系构建

目前，高校建成的校园网集成了各类办公系统、教学平台以及课程中心等，这是高校展示数字化校园的重要平台，也是整合学校各类系统服务的集成平台，在教学、科研、人事、财务、后勤保障等方面发挥了重要的支撑作用。目前，我国高校基本上都具有网络安全设备，对高校网络信息安全起到了一定的保障作用，但是随着互联网技术的发展和新的网络攻击方式的不断出现，大多数高校现有的防护设备已不足以抵抗新型的网络安全威胁，与现有的等保2.0标准多项技术要求不符。

合肥经济学院校园网日常运行教学、科研、邮件系统等各类业务系统，而且新的应用系统不断上线，基于上述网络信息安全问题，学校基于等保2.0相关技术标准和主管部门政策，紧密结合校园网的实际情况，同时参照已有的研究成果[7-8]对校内网络信息安全体系进行全面的排查、改造和升级，保障学校内各种应用系统安全稳定运行。

3.1 划分安全域

基于等保2.0标准，根据网络服务器、网络设备和应用程序等相关属性，以同一安全域的划分原则，将学校的网络系统划分为外联出口域、核心交换域、安全运维管理域、数据中心域4个安全域(图2)，并实施对应的安全策略。外联出口域出口处共设置3条ISP链路，同时利用链路负载均衡设备保证3条ISP链路负载的均衡。在外联出口域、核心交换域的边界设置了防火墙，对边界起到防护作用；同时还设置了防病毒网关、入侵防护设备(IPS)，分别用于病毒防护和入侵防护。为了给教师和学生在校外访问校园网提供方便，系统还专门设置了2套虚拟专用网络(IPsec VPN)系统，分别用于教师、学生的远程接入。

图2 安全域划分

数据中心域主要放置很多类型服务器。学校网站群系统的网络结构模式为B/S架构，用户对网站的访问由校园网提供服务。为了对学校的网站、数据等进行全方位的防护，数据中心域还部署了数据中心防火墙、Web防火墙、数据库备份和数据库审计系统。

根据等保2.0标准的要求，按照事前预防、事中控制和事后审计的原则,安全运维管理域部署了安全管理平台、防病毒服务器、运维管理系统(堡垒机)、漏洞扫描系统、日志审计系统等，实现了运维审计、日志管理分析和漏洞扫描等集中管理。

3.2 安全设计具体措施

3.2.1 网络环境安全防护措施

(1)部署校园网防火墙：根据各应用系统网络安全实际需求，制定基于安全域、IP地址和服务/应用等多种元素的访问控制动态调整策略。部署校园网防火墙，减少网络安全威胁，保障校园整体网络安全。(2)部署Web应用防火墙云模式防护系统：通过Web应用防护系统(WAF)，利用防火墙云等技术实现集中式和分布式的访问控制，内对外、外对内精细化访问控制以及优化内对内的策略，校园网络安全性得到大幅提升。(3)部署校园网络信息安全威胁分析系统：网络攻击对校园网络安全的破坏影响比较大，对于校园网内、外部的攻击，高校信息化管理部门要部署校园网安全威胁分析系统，及时准确发现并处理内部不受控制的主机及相关联的威胁。(4)部署堡垒机监督审计系统：堡垒机可对授权人员的操作进行详细记录，因此基于等保2.0标准,部署堡垒机监督审计系统。高校运维人员在使用管理系统之前，必须要登录堡垒机获得授权后才可对相应的授权管理系统进行管理，切实做到事前预防、事中控制和事后审计。

3.2.2 应用安全防护措施

(1)应用VPN技术：高校在建设校园网过程中引入VPN技术，以进一步提升校园网的安全性。对于不同的网络资源，采用不同的访问控制方法，如应用SSL VPN技术，可方便快捷地对高校的食堂收费系统、图书馆的资源系统，教务处的教务系统等进行安全访问。(2)定期对校园网进行安全扫描：随着时间的推移，系统会出现各种漏洞，学校信息化行政管理部门应定期扫描应用系统，以便及时准确发现系统的安全漏洞，对扫描结果进行科学分析、论证和评估，并按规定及时总结，提出专项整改实施意见。确保文件及时下发至二级管理单位，要求限期进行有效整改，降低信息系统的风险。(3)统一身份认证：教师和学生应统一身份认证，仅需一套用户名和密码就可登录被授权的信息系统。另外，为提高系统访问的安全性，在统一身份认证的同时还可以结合动态口令和PIN码相结合的双因素认证，使教师和学生在访问系统时密码是随机动态变化的。

3.2.3 主机安全防护措施

(1)部署主机安全配置核查系统：主机安全配置主要有身份鉴别策略、数据备份策略、访问控制策略、审计策略、日志策略等，通过自查能发现主机安全配置存在的问题，自查结果会生成分析报告，便于管理人员分析，降低安全隐患。(2)部署主机安全防护系统：部署防护系统，整合梳理主机信息，建立统一管理的资产库，对校园网内的相应主机进行分析， 将识别出的信息与漏洞数据库进行比较，根据比较结果查找漏洞并进行及时修复更新。此外，配置访问控制列表(ACL)策略，对相应主机的访问行为、流量和注册表变更等行为实时监控，从多个层面识别、判断主机风险，管理人员可根据分析结果及时调整防护措施，提高防护效率。

4 基于等保2.0标准的高校网络信息安全管理体系的建设措施

4.1 健全完善计算机网络信息和安全技术管理工作制度

鉴于目前网络信息安全保障管理现状，学校管理层应尽快组建一、二级单位联合的安全保障小组，制定全面完善的网络安全管理工作制度，将网络信息安全工作放在第一位，建立第一主要责任人的岗位负责制，明确网络安全管理人员的岗位职责。在学校网络信息安全保障工作领导小组组织下,高校与各二级单位网络信息安全管理第一责任人和相应岗位负责人及第三方签订协议,明确各方责任，将学校网络信息和安全技术管理工作落实到位,确保达到等保2.0标准。

4.2 加强信息系统(网站)监督管理

为了有效统一信息系统监督管理，学校信息化管理部门应加强对各种应用系统的整合和优化，将学校各种类型的信息系统迁移至中心机房统一管理，对不便迁移的系统可以加强安全防护；对无人管理的、损坏的、长时间不使用的、硬件老旧无升级的、软件很少更新的信息系统(网站)要及时发现，并做进一步的处理，关闭或限制访问，也可进行整合，以便对资源的回收利用；对于作对资产的信息系统，要进行严格的资产备案登记，定期进行摸底和排查，及时更新信息化资产台账；对于信息系统的使用和建设，必须严格按照流程进行申请。

4.3 对标等保2.0标准开展等级保护

等保2.0标准对安全管理体系尤为重视，为高校网络信息安全的发展指明了方向。高校在信息化系统建设或整改过程中要严格落实等保2.0标准的相关要求，严格按照工作步骤对系统进行网络安全等级定级，向公安机关进行备案，按照等级保护建设要求进行整改和升级，接受公安机关的监督和检查。学校信息化管理部门每年要对新建的信息系统做好信息化项目专家技术水平评审工作,并报上级主管部门审批；等级保护整改包含技术层面整改和管理层面整改；根据等保2.0标准，开展风险等级的测评工作，根据风险测评分析报告要求及时整改，消除可能存在的潜在高危风险，新建系统必须通过测评后才可以上线；对公安机关不定期检查中提出的问题要进行积极改进，将等保工作纳入日常工作中。

4.4 提升师生的网络信息安全素养

提升师生网络安全素养,首先需提升信息化管理人员的技术水平，信息化管理人员应定期参加技能培训，做到持证上岗，规范管理。其次，针对校内各职能部门的行政人员，要在校内定期组织网络安全技术及应用等安全技能培训。最后，对于校内广大师生，可以通过公众号、海报、视频、专家讲座等多种校园网络安全知识的宣传，强调网络信息安全工作的重要性，提高大家的网络信息安全意识。此外，信息化管理部门要切实做好网络信息安全通报工作，及时发布各种防范措施，让师生主动地学习网络信息安全知识，提高网络风险的防范意识和安全素养。

5 结语

网络带来的便利已渗入各行各业，作为拥有大量网络用户的高校，在教育教学和日常管理中，越来越依赖于网络，因此高校面临的网络风险也越来越大。如何保障高校网络信息安全已成为亟待解决的问题。因此，应基于等保2.0标准，紧扣教育主管部门的要求，结合学校校园网实际情况，整合网络信息资源，使科研、教学等信息系统建设对标等保2.0标准，升级网络安全标准，用新标准、新的安全等级来保护高校网络信息安全，为学校信息化建设提供保障。