等保2.0下的高校网络安全治理探索

◆史蕊

等保2.0下的高校网络安全治理探索

◆史蕊

（北京第二外国语学院 网络与信息中心（图书馆） 北京 100024）

国家网络安全法的颁布实施，为网络安全治理提供了法律依据，等保2.0是高校网络安全实践的具体指导。依据等保2.0，对高校网络和信息系统实施整体防护和管理，同时加强主动防御机制和能力建设，保障网络安全法有效落地实施，应对各种网络安全风险。

网络安全法；等保2.0；安全治理

近年来，在新技术催化下，我国面临的网络安全态势威胁发生了明显变化，网络攻击手段和方式更隐蔽、复杂，各种攻击、篡改、数据窃取、后门、网络诈骗等快速增长，网络安全事件呈现波及范围广、破坏力强、影响恶劣的特征。高校业务部门网站和信息系统建设中安全意识不强，防护措施不到位，缺乏日常管理，服务器漏洞普遍，维护团队技术有限等，是网络安全中存在的问题。

2017年6月1日起，大数据时代的个人信息安全挑战与机遇，维护网络空间主权、安全和发展利益的法治保障——《中华人民共和国网络安全法》正式施行。新冠疫情下，全球经济恶化，社会环境不确定性加剧，网络安全形势更加严峻。如何有效保障网络安全法在高校落地实施，加强信息网络法治建设，加强总体国家安全观下的网络安全，塑造以科学的网络安全观营造清朗的校园网络空间，维护校园网络安全秩序至为重要。

1 国家网络安全法与等级保护制度

1.1 国家网络安全法

《中华人民共和国网络安全法》是我国第一部保障网络空间安全和安全管理的基础性法律，它包括《网络安全法》基本原则，明确了网络空间的治理目标及法制中的权责和监管。在网安法中强化了网络运行安全及关键信息基础设施的重点保护，在保护网络信息安全的同时，也将监测预警与应急处置法制化。有了相关配套法律的支撑，重大事件网上舆论引导、网络安全专业建设与人才培养，教育网络安全建设和管理，在实际应用中就有法可依，有据可依。网络安全工作就更易实施，威胁网络安全的事件处理也更加科学、高效。

1.2 等保制度与校园网安全

根据网络安全法规定，国家实行网络安全等级保护制度。为适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，国家已将物联网、云计算、大数据、移动互联网等新兴系统和应用纳入了等级保护范畴，对原有等保制度修改和完善，增加漏洞和风险管理，提出等保2.0。高校网络安全以等保2.0为主要依据，通过对校园网信息系统实行分等级安全保护、对校园网信息安全产品实行按等级管理、对校园网安全事件实行分等级响应和处置，有效提升高校信息系统的安全水平[1]。

2 以等保2.0为依据的网络安全技术防护和管理措施

高校网络安全建设管理中，落实网络安全法，以等保2.0为依据，需要从整体上构筑动态、有弹性的立体防护网，科学地构建高校立体网络安全防护体系。

2.1 以等保2.0为基础构建校园整体技术防护

（1）按照等保2.0要求实施技术防护。以智慧校园平台（含app）和门户网站作为评测对象，落实等保2.0。涵盖机房及基础设施安全的物理环境，保障校园有线、无线网络具备安全的通信网络；边界区域使用防火墙、划分不同用途的VLan隔离网段，对互联网区、内网区、DMZ区等实现分区隔离管理。加强网络设备、认证网关、专业安全设备的管理；对智慧校园平台、Web、应用系统、数据库，中间件、移动APP应用等构筑安全的计算环境；加强集中管控平台、网管监控平台等的管理。

（2）重点保障关键基础信息设施、关键设备安全。保障路由器、交换机的通信安全，服务器、数据存储等设备安全，保障防火墙、WAF、IDS、IPS、网闸，反垃圾邮件产品、日志系统等专用安全设备运行安全。实行网络身份鉴定，加强用户访问控制和行为审计。对包含操作系统、数据库的信息系统进行病毒防御和入侵检测；对系统上线前、上线后定期开展系统漏洞扫描、渗透扫描，健全系统生命周期安全管理；做好数据容灾备份和恢复，保障数据安全；维护系统内容安全。建设安全的管理区，应用堡垒机、VPN网关、WAF保护服务器、PC安全，实时监测预警和应急响应。

（3）构建主动防御机制，增强主动防御能力。通过网络安全态势感知，构建实时弹性防御体系，避免、转移、降低信息系统面临的风险。根据IP、端口、网络协议等进行主动防御，通过网络协议、软件、接口等形成动态防护；通过网管系统、主机监控、网安监控等数据采集，通过流量、日志、漏扫等识别恶意代码和IP、事件分析处理，自动阻断。外部联合WAF、态势感知及其他网络监控多级设备联动，而内网系统通过堡垒机，对异常自动进行切断[2]。基于Web监测、流量监测、安全漏洞、入侵事件、设施故障等单点威胁信息动态调整监测、防御策略，检查内部资产，修复漏洞，下线钓鱼网站，清除僵尸网络，完善监测能力，全天候监测。

2.2 综合提升网络安全管理措施

在管理制度、机构、人员，建设管理和系统运维中落实安全管理。加强网络安全保障机制建设，增强网络安全领导、管理和执行能力。

（1）高校网络安全管理中，筹建以党委（党组）安全责任制为指导的网络安全管理机制，加强制度建设顶层设计，制定网络与信息化、网络安全管理相关制度和办法等。落实网络安全责任，签订网络安全责任书，将责任落实到人；落实上网实名认证，签订教职工、学生用户网络使用协议书。加强网络行为审计，保证对上网用户可管可控，对不良上网行为审计，对网络和不良邮件信息及时封堵，避免传播。增强法律意识，认真履行法定义务，树立底线思维。

（2）加强风险管理和应急响应，完善网络应急管理和指挥能力建设。管理中以问题为导向，事件驱动，争取主动先机，着力安全预警与信息通报；运用监督检查和考核评价手段，遏制各种安全风险，防患于未然。建立多部门协同联防联控的网络安全应急响应、应急管理机制，建立和落实信息安全上报制度，对网络安全事件进行分级分类管理。事前做好应急预案，开展应急演练；事中快速响应，通过包括安全检测、信息共享、第三方、现场通报等多渠道获悉安全信息，降低风险；事后总结经验教训，查找根源，避免再次发生，并汲取经验教训，持续对后续风险监测评估。

（3）加大网络安全培训和教育工作，加强安全队伍的建设，建立各级多部门专业和管理人员网络安全共同体，形成有效的联防联控。从管理、技术、监控、舆情方面加强人员安全培训，明确个人岗位职责，不定期组织专业网络安全培训，提高专业技术能力。同时组织开展校内二级单位安全管理员和责任人网络安全培训，建立和完善高校长效的网络安全机制[3]。面向校内师生广泛深入开展网络安全培训，进行常态、持续宣传普及教育。

3 问题与展望

随着技术的发展，网络空间的动态开放和长期性，IPV6的应用、软件定义网络、网络虚拟化、大数据等新技术的涌现，为生活带来便利的同时，也带来新的挑战。

（1）IPv6有效地解决了IPv4技术网络地址不足的问题，但IPv6网络尚在建设和推广中，很多高校设备与终端不支持IPv6，未能全面升级更换，存在兼容问题；IPv6对应的网络安全设备尚未普遍应用，黑客利用IPv6协议绕过传统安全防护，技术保障措施不到位等使IPV6应用中产生了新问题[4]。

（2）大数据收集数据过程中，信息和数据被恶意篡改、破坏、损失、恶意利用等；移动终端、5G网络多终端多设备接入，复杂的终端设备接入、移动边缘计算、网络切片技术等，开放网络下5G网络潜在攻击侵入对象增多[5]。以5G、人工智能、区块链等为代表的新技术发展应用对网络安全工作提出了新要求。

贯彻落实网络安全法，严格执行网络等级保护制度，要加强信息基础设施网络安全防护，建立积极主动的动态防御机制，统筹网络安全信息机制、手段、平台管理，强化网络安全事件应急指挥能力建设，普及网络安全宣传教育，做到关口前移，防患于未然。依法严厉各种网络犯罪，持续形成高压态势，维护高校师生合法权益。

网络应用是相对、动态的，而安全风险是绝对的、永恒、可知的。网络又具有相对整体性，通过建立各级部门网络安全命运共同体，形成有效的联防联控，进而持续投入以获得相应的安全保障。同时要持续开展网络安全技术研究和探索，为新技术搭建可信的网络技术设施环境，解决新的网络环境带来的安全风险。

[1]吴添君，唐川，杨岳湘.国防科技大学：校园网风险管理实践[J/OL].中国教育网络,http://www.edu.cn/info/media/jsgl/wlaq/202103/t20210305_2081191.shtml.

[2]孙佳炜，戴然，阚沁怡，冷佳莹.基于态势感知设备安全事件的主动防御技术应用[J].网络安全技术与应用，2021（02）：105-107.

[3]鲁学亮，刘臻.高校分级分类的网络安全防护体系研究[J].电脑知识与技术，2018，14（31）：43-44+48.

[4]袁伟，刘佳琳，谭振江.IPv6双栈技术在智慧校园中的应用研究[J].数字技术与应用，2020，38（11）：47-49.

[5]张帆.“互联网+”背景下网络安全及防御技术探究[J].数字通信世界，2021（01）：135-136.