高校分級分類的網(wǎng)絡(luò)安全防護(hù)體系研究

魯學(xué)亮 劉臻

摘要：隨著高校信息化的深入推進(jìn)，網(wǎng)絡(luò)信息安全問題日益突出，針對高校網(wǎng)站和信息系統(tǒng)的攻擊事件不斷發(fā)生，高校由于信息網(wǎng)絡(luò)安全防護(hù)能力薄弱，逐漸成為的網(wǎng)絡(luò)安全的重災(zāi)區(qū)，因此給高校造成了嚴(yán)重的損失。針對高校信息化的特點(diǎn)，本文結(jié)合北京師范大學(xué)網(wǎng)絡(luò)安全實(shí)際工作，提出分級分類的安全防護(hù)體系。

關(guān)鍵詞：網(wǎng)絡(luò)安全;高校;信息化

中圖分類號：TP311? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? 文章編號：1009-3044（2018）31-0043-02

1 前言

高校信息化與網(wǎng)絡(luò)安全，是辯證統(tǒng)一的關(guān)系。要處理好發(fā)展和安全的關(guān)系，以網(wǎng)絡(luò)安全保障學(xué)校發(fā)展，以發(fā)展促安全，兩者必須齊頭并進(jìn)、協(xié)調(diào)一致。2016年4月19日，習(xí)近平總書記在“網(wǎng)絡(luò)安全和信息化工作座談會”上指出：網(wǎng)絡(luò)安全和信息化是相輔相成的。網(wǎng)絡(luò)安全是全社會的共同責(zé)任。要構(gòu)建網(wǎng)絡(luò)與信息安全保障體系，加強(qiáng)頂層設(shè)計(jì)和統(tǒng)籌協(xié)調(diào)，加強(qiáng)對各地區(qū)各部門網(wǎng)絡(luò)安全工作的指導(dǎo)和協(xié)調(diào)，實(shí)現(xiàn)全國網(wǎng)絡(luò)安全“整體一盤棋”【1】。

2 高校網(wǎng)絡(luò)安全現(xiàn)狀

2.1 高校網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性的安全

網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的領(lǐng)域【2】。高校網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性的安全，涉及IT環(huán)境中的各個(gè)環(huán)節(jié)。人是整個(gè)系統(tǒng)中的操作主體，類型多樣，包括管理者、老師、IT工作人員、學(xué)生。組織是管理和責(zé)任主體，層級較多，相對獨(dú)立，包括學(xué)校層、職能部門、院系、非實(shí)體學(xué)術(shù)機(jī)構(gòu)。IT系統(tǒng)要素和環(huán)節(jié)較多，包括應(yīng)用系統(tǒng)和網(wǎng)站、數(shù)據(jù)庫、操作系統(tǒng)和平臺、網(wǎng)絡(luò)和物理環(huán)境。

2.2 高校網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)

近年來高校網(wǎng)絡(luò)和信息技術(shù)的快速普及，網(wǎng)站作為一種快捷、高效的信息發(fā)布通道和一種新型傳播媒體，被各高校廣泛的使用，教育行業(yè)的網(wǎng)站數(shù)量快速的增長，除了學(xué)校官方主頁外，很多二級單位和職能部處，甚至教師個(gè)人也都建立了自己的網(wǎng)站。單位網(wǎng)站建設(shè)和應(yīng)用，在一定程度上提高了單位的信息化水平，同時(shí)也提高工作效率和工作質(zhì)量。但是隨著各單位內(nèi)部網(wǎng)站數(shù)量的快速增加，建設(shè)與管理問題也越來越多。

1） 校內(nèi)各單位對網(wǎng)絡(luò)安全問題認(rèn)識嚴(yán)重不足，各單位在網(wǎng)絡(luò)建設(shè)過程中只注重前期建設(shè)，不考慮系統(tǒng)長期運(yùn)維服務(wù)，網(wǎng)站的安全問題無人重視。

2） 信息化人員嚴(yán)重缺失，各單位網(wǎng)站或信息建設(shè)完成后，系統(tǒng)長期處于無人維護(hù)狀態(tài)，或由學(xué)生或公司人員維護(hù)，存在重大安全隱患。

3） 網(wǎng)絡(luò)和信息系統(tǒng)安全維護(hù)缺失，重大安全漏洞出現(xiàn)后，長期無人處理。

4） 校內(nèi)網(wǎng)站和信息系統(tǒng)數(shù)量巨大，缺乏統(tǒng)一備案管理，信息化部門監(jiān)控困難。

根據(jù)不完全統(tǒng)計(jì)：FZHK組織攻擊高校網(wǎng)站的情形95%以上屬于校內(nèi)院系、研究所或者館、社、中心、產(chǎn)業(yè)等直屬附屬單位的網(wǎng)站。

3 構(gòu)建分級分類的網(wǎng)絡(luò)安全防護(hù)體系

3.1 構(gòu)建高校網(wǎng)絡(luò)安全的分級防護(hù)體系

1） 建立完善的網(wǎng)絡(luò)安全組織領(lǐng)導(dǎo)體系

設(shè)立學(xué)校層面的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。教育部在2016年11月成立了以部長擔(dān)任組長的網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組。目前很多高校也紛紛成立了以高校黨委書記或校長任組長的網(wǎng)絡(luò)安全與信息領(lǐng)導(dǎo)小組組長，作為學(xué)校網(wǎng)絡(luò)安全和信息化工作的統(tǒng)籌與協(xié)調(diào)機(jī)構(gòu)。教育部成立網(wǎng)信領(lǐng)導(dǎo)小組的同時(shí)，設(shè)立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室（簡稱“網(wǎng)信辦”）。目前各個(gè)高校也都分別設(shè)立信息化工作辦公室，網(wǎng)絡(luò)安全與信息化管理處（辦），或者成立領(lǐng)導(dǎo)小組辦公室，賦予原有信息化工作機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的統(tǒng)籌和管理職能。

2） 院系與職能部處，實(shí)行分級網(wǎng)格化責(zé)任機(jī)制，充分調(diào)動校內(nèi)各方力量在校內(nèi)二級單位設(shè)置網(wǎng)信工作負(fù)責(zé)人，由院系一把手擔(dān)任。

根據(jù)各二級單位規(guī)模，設(shè)置1至2名網(wǎng)絡(luò)安全管理員，具體負(fù)責(zé)執(zhí)行日常管理、監(jiān)控等工作。

學(xué)校網(wǎng)信工作人員每人分管數(shù)個(gè)單位網(wǎng)站的安全工作，對所負(fù)責(zé)網(wǎng)站和系統(tǒng)進(jìn)行安全監(jiān)控和監(jiān)督整改;（責(zé)任網(wǎng)格化）

公司駐場人員協(xié)助信息網(wǎng)絡(luò)中心，聯(lián)絡(luò)和支持院系二級單位網(wǎng)管員，提供安全技術(shù)支持。

3.2 構(gòu)建高校網(wǎng)絡(luò)安全的分類防護(hù)體系

1） 按網(wǎng)絡(luò)安全需求分類定級保護(hù)，根據(jù)面向的對象、承載的業(yè)務(wù)、受破壞后的侵害程度對信息系統(tǒng)（含網(wǎng)站）進(jìn)行分類定級。按照等保相關(guān)要求，對三級系統(tǒng)每年一次測評，二級系統(tǒng)每兩年一次測評。測評根據(jù)各信息系統(tǒng)的等級選取測評指標(biāo)，主要根據(jù)業(yè)務(wù)信息安全等級（S）和系統(tǒng)服務(wù)安全等級（A），以及綜合安全等級（G）選取各系統(tǒng)測評指標(biāo)，共66個(gè)安全指標(biāo)類，以及175個(gè)安全要求項(xiàng)。

2） 按網(wǎng)絡(luò)安全要素分類統(tǒng)籌管理。網(wǎng)絡(luò)安全技術(shù)要素：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全。網(wǎng)絡(luò)安全管理要素：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

3） 按網(wǎng)絡(luò)安全事件管理分類

事前：將系統(tǒng)正常運(yùn)維期間，定義為事前，即在安全事件發(fā)生前為安全事件響應(yīng)做好準(zhǔn)備。根據(jù)威脅態(tài)勢，建立符合用戶信息化環(huán)境的安全保障措施。建立高效、可執(zhí)行的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案，并定期進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練。

事中：通過各種途徑包括自主安全監(jiān)測、第三方信息共享、上級部門通報(bào)、互聯(lián)網(wǎng)漏洞平臺等方式獲知安全事件，并根據(jù)學(xué)校制定的預(yù)案對事件進(jìn)行處理，最大程度降低事件帶來的風(fēng)險(xiǎn)并盡快恢復(fù)正常業(yè)務(wù)。

事后：找出事件的根源并進(jìn)行安全加固，以避免攻擊者使用相同手段攻擊系統(tǒng)，再次發(fā)生安全事件。同時(shí)將發(fā)生安全問題的相關(guān)設(shè)備和系統(tǒng)還原到事件發(fā)生前的正常狀態(tài)。相關(guān)人員總結(jié)經(jīng)驗(yàn)教訓(xùn)，提高技能。持續(xù)不斷的監(jiān)測評估攻擊事件可能帶來的后續(xù)安全風(fēng)險(xiǎn)。

4 安全技術(shù)防護(hù)體系

4.1 防護(hù)策略

實(shí)行“全生命周期安全管理”，建立學(xué)校信息資產(chǎn)數(shù)據(jù)庫，對學(xué)校網(wǎng)站和信息系統(tǒng)的安全漏洞實(shí)行動態(tài)管理，網(wǎng)站和信息系統(tǒng)漏洞動態(tài)實(shí)時(shí)通報(bào)二級單位系統(tǒng)管理人員。

“自查和統(tǒng)查結(jié)合”，提供安全監(jiān)測公共服務(wù)和加固服務(wù)，分配漏掃功能給二級單位，各單位隨時(shí)自行排查安全漏洞。

“邊防與內(nèi)防相結(jié)合”，采用SOC（安全管理平臺）、IT運(yùn)維監(jiān)控、防火墻、WAF（web應(yīng)用防火墻）、IPS（入侵檢測系統(tǒng)）、堡壘主機(jī)、VPN、殺毒軟件等實(shí)現(xiàn)邊界和內(nèi)網(wǎng)相結(jié)合的兩層次環(huán)境安全防護(hù)。

4.2 平臺建設(shè)

統(tǒng)籌公共平臺建設(shè)，建立“三橫、三縱、一代”的公共平臺?！叭龣M”是橫向“三層次公共平臺”，依次按使用難度由簡到繁提供網(wǎng)站群平臺、網(wǎng)站共享空間、虛擬主機(jī)三個(gè)層次的公共運(yùn)管平臺。“三縱”是對網(wǎng)站與信息系統(tǒng)實(shí)行“分級、分類、分離”的運(yùn)營管理模式。 “一代”是對未采用學(xué)校公共平臺的網(wǎng)站，統(tǒng)一通過“反向代理”平臺對外發(fā)布。

4.3 容災(zāi)備份策略

災(zāi)備系統(tǒng)是網(wǎng)絡(luò)安全的最后一道防線，因此需要根據(jù)業(yè)務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)、數(shù)據(jù)類型來規(guī)劃不同的容災(zāi)備份方案。高?？筛鶕?jù)學(xué)校情況，利用同城多校區(qū)或異地多校區(qū)的條件，在不同校區(qū)數(shù)據(jù)中心機(jī)房建立重要業(yè)務(wù)系統(tǒng)的雙活數(shù)據(jù)中心或?yàn)?zāi)備中心，確保數(shù)據(jù)在發(fā)生安全風(fēng)險(xiǎn)時(shí)可恢復(fù)。

5 總結(jié)

1） 建立和完善高校網(wǎng)絡(luò)安全的長效機(jī)制，開展持續(xù)性、常 態(tài)性的網(wǎng)絡(luò)安全宣傳和教育。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性的工作，涉及學(xué)校、校內(nèi)各單位以及每個(gè)師生的網(wǎng)絡(luò)安全，事關(guān)學(xué)校發(fā)展和所有師生的切身利益，需要從學(xué)校發(fā)展的戰(zhàn)略高度來進(jìn)行系統(tǒng)性規(guī)劃和部署。將網(wǎng)絡(luò)安全宣傳教育納入學(xué)校的日常工作中，要求各單位、各院系每學(xué)期開展專門的網(wǎng)絡(luò)安全培訓(xùn)，由網(wǎng)絡(luò)安全負(fù)責(zé)人和網(wǎng)管員傳達(dá)中央網(wǎng)信辦及學(xué)校的網(wǎng)絡(luò)安全工作精神，并提交學(xué)習(xí)反饋，切實(shí)提升全校師生的網(wǎng)絡(luò)安全意識。

2） 建立健全高校網(wǎng)絡(luò)安全考核與評價(jià)機(jī)制。切實(shí)落實(shí)網(wǎng)絡(luò)安全“一把手負(fù)責(zé)制”。將網(wǎng)絡(luò)安全指標(biāo)納入各單位、院系負(fù)責(zé)人年度述職中，與相關(guān)人員的業(yè)績薪酬掛鉤。開展校內(nèi)網(wǎng)站評比，并將網(wǎng)絡(luò)安全作為最核心評價(jià)要素。網(wǎng)站安全不達(dá)標(biāo)的網(wǎng)站，即使其他方面突出，也將一票否決。

參考文獻(xiàn)：

[1] 習(xí)近平.在網(wǎng)絡(luò)安全和信息化工作座談會上的講話， http：//www.cac.gov.cn/2016-04/25/c_1118731366.htm.

[2] 杜翔，淺析企業(yè)網(wǎng)絡(luò)安全建設(shè)[J].企業(yè)導(dǎo)報(bào)，2014（5）：142-144.