基于等级保护 2.0的高校网络安全保障建设研究

基于等级保护 2.0的高校网络安全保障建设研究

王春芹

南通职业大学图文信息中心，江苏南通， 226007

摘要：在网络安全的新形式及新要求下，高校网络安全保障建设迫在眉睫。文章从等级保护2.0的视角出发，分析了国内网络安全现状及某高校的网络安全痛点，研究了该高校网络安全保障建设的具体措施。

关键词：等级保护；高校；网络安全保障建设

1 等级保护2.0标准的新要求

随着信息化的深入推进，高校信息化水平得到了显著提升，各信息系统也飞速发展，其所面临的安全危险也与日俱增，为了适应新形式的发展，等级保护2.0的标准将云计算、移动互联、物联网、工业控制系统等列入了标准范围，构成了“安全通用要求+新型应用安全扩展要求”的要求内容，新标准还将“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构，强化了可信计算技术使用的要求，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

2 国内及某高校网络安全现状

目前，国内高校网络安全现状可以用“三多三缺”来概括，即“涉及人员多、系统数量多、安全问题多，缺人手、缺技术、缺资源”。教师、学生数据超过5亿条，数据敏感，境外黑客攻击多，僵尸网站多且缺少基础以及专业的维护，主要还是缺少专业的人员。

2.1 各类恶意软件多态

恶意软件的种类近十年间翻了近七十倍，如图1所示。

图1 各类恶意软件多态化

2.2 攻击态势严峻

自
2019年以来，全国甚至全世界范围内大规模爆发勒索病毒，国内遭遇勒索攻击态势分布如图2所示，主要集中在北上广以及江浙一带，内蒙及西藏也遭遇较严重攻击，且遭遇勒索病毒的攻击比例中，教育行业占7%，如图3所示。

图
2 国内遭遇勒索攻击态势分布图

图3 攻击各行业分布图

2.3 攻击人员团队化

现在的攻击从个人向规模团队化转变，他们怀有不同的动机，选择不同的目标，掌握的资源也多种多样，拥有不同的能力，使用不同的方法。网络安全对抗进入了全新的一页，需要研究新的思路，建设新的能力。

2.4该高校网络安全现状

目前，该高校信息化建设初具规模，硬件建设基本完成，主机设备基本到位，网络设备配备基本齐全，但是安全设备较欠缺，安全技术体系也不完善，未能严格按照要求定期对重要服务器进行渗透测试和安全加固等。管理方面，安全管理制度不完善，缺乏有效的安全运维机制和辅助运维的平台。

该高校目前面临的网络安全痛点主要有：（1）信息资产不明确。有部分未知资产，被通报了才知道，关键基础设施有哪些、双非资产有哪些、未知资产还有哪些、所属部门是哪个都不明确。（2）资产风险不明确。包括僵尸网站、失效网站、域名过期、有无备案、等保状态等，都不能完全明确。（3）安全检测及防护不到位。弱口令的检测及防护不到位，漏洞暴露检测不到位，防止反共、篡改、暗链、中毒等手段及措施不到位。（4）面临上级的通报。目前面临着教育部、省教育厅的通报，同时还面临着公安以及网信的通报。（5）安全治理困难。安全问题不能实现闭环处理，比较有针对性的问题不能及时提供处置方案以及验证，比如如何实现一键断网，如何快速响应应急处置等。（6）数据的安全治理。被篡改后的数据如何恢复，被勒索后的数据如何恢复等。

这些都是该高校甚至整个教育行业在安全治理过程中所面临的痛点。

3 基于等保2.0的高校网络安全保障建设措施

根据等级保护2.0的要求以及该高校网络安全所面临的严峻形势来看，该高校的网络安全保障建设应在解决以上实际痛点的基础上，按照国家的建设标准将网络安全保障工作落到实处。

3.1 资产梳理及风险排查

所有的二级部门全面梳理已建设、使用的各类信息系统以及关键基础设施，重点排查“双非”及“未知”资产，关键基础设施登记备案。

此过程需要投入大量的细致工作，也是后续各项工作顺利开展的基础，由信息中心统一汇总梳理，再根据各个信息系统的特点，有选择性地进行等级保护定级。

3.2 定级备案

根据梳理出来的资产清单，对照《教育行业信息系统安全等级保护定级工作指南》的要求，将需要定级的系统进行定级。按照公安机关的相关要求，由学校信息中心配合网络安全办公室完成相关系统的保护定级工作，提供所需的各种材料，完成备案手续。

3.3 对照等保2.0的要求逐项分析

对照等级保护2.0的要求，逐项分析，列出不符合要求的问题清单，生成分析报告。此过程应在专业的网络安全机构的辅助下完成。

对已经梳理出来的各类信息系统和主机排查弱口令以及进行漏洞检测，生成检测报告，下发至各系统负责人，限期进行整改。

3.4

整改

根据上一步的检测及分析结果，按照等级保护的要求从以下几方面进行，限期逐项整改。

3.4.1 网络安全整改

网络安全整改主要从物理环境着手，在网络出口部署防火墙、入侵防御系统、上网行为审计以及运维审计等。防火墙及入侵防御的特征库进行动态更新，管理员定期做好巡检，特殊时期缩短更新及巡检周期。安全审计系统主要记录各种访问及配置过程，针对不同用户配置不同操作权限。此外，按照等级保护的要求做好日志收集，并定期对日志进行分析。

3.4.2 系统安全整改

对各系统及主机进行补丁升级。脚本及系统的更新需与开发商保持同步，根据服务的需要开启特定端口，不需要或者不必要的组件及服务予以关闭，最大程度上消除安全隐患。对梳理出来的失效网站、僵尸网站、过期域名、未备案系统等均按照管理办法，严格执行关闭和备案手续。对上级的通报，及时响应并通知相关管理员，限时整改到位并提交整改报告。

在服务器区的边界部署入侵检测系统，主动发现来自内部的威胁，并与服务器区的防火墙进行联动，将恶意地址加入黑名单，

3.4.3 数据安全整改

重要信息系统的数据进行定期备份，在网络安全建设第二期建设异地数据备份，增加数据库审计系统，记录用户的操作，包括所有账号的创建删除操作以及操的作时间、内容、结果等。

3.4.4 管理安全整改

该校的安全管理现状不容乐观，虽有一些规范及制度，但都不成册。对照等级保护的要求，整改如下：（1）对设立安全管理机构、机构职能、人员职责及管理，如重要岗位保密责任、人员离岗离职等方面做出规定；（2）对普通业务用户、重要业务用户、特权用户（网络、系统、安全管理员）的审批、权限、安全要求等做出规定；（3）对应急计划、处理、实施、演练等做出规定；（4）对网络安全检查流程、工作内容等做出规定。

未知资产根据管理办法严格执行关闭，双非资产需要相关负责人签署《安全责任书》，对相关的管理人员进行网络安全培训，提高安全意识。

3.5 测评

委托具有专业资质的测评机构对系统进行测评工作，

4 结束语

网络安全是国家安全的一部分，在新时期新形势下显得尤为重要，高校作为科研任务的重要载体，使得高校的校园网络成了网络攻击的重灾区，所以提高校园网的网络安全水平、强化网络安全建设成了当务之急。本文从等级保护视角出发，探讨了某高校网络安全保障建设的具体措施，对此方面的工作具有一定的借鉴价值。

参考文献：

[1]秦丽娜.基于等级保护的高校校园网络安全建设研究究[J].网络通讯及安全,2019,15(13):54-55.

[2]周大勇.基于等级保护的校园网络安全规划设计方案[J].福建电脑,2019,35(3):126-128.

[3]宋志.高校信息系统安全等级保护建设实践[J].镇江高专学报,2019,32(2):44-47.

[4]潘文杰.浅议高校信息系统安全等级保护工作的必要性[J].科技风,2018,(33):61.

[5]傅钰.网络安全等级保护2.0下的安全体系建设[J].网络安全技术与应用,2018,(8):13-16.