智慧校園網絡安全等級保護問題研究與對策

翟永剛 李金亮

摘要：依照有關法律和規范，高校應構建完備的網絡安全防護體系，及時解決應對發現的網絡安全問題。因此本文在研究分析當前智慧校園網絡安全存在問題的基礎上，針對網絡安全等級保護建設問題提出了如下對策：統一規劃、統一領導，加強制度體系建設;合理定級，提出明確要求;做好頂層設計，科學合理規劃網絡建設和調配安全資源;重視并加強終端準入控制系統的作用;在推廣應用新技術的同時，將等級保護相關拓展要求通盤考慮;注重新的技術手段在網絡安全等級保護自身建設上的應用。作者指出，對以上策略進行有針對性的加強和優化，為智慧校園長期穩定運行提供保障。

關鍵詞：智慧校園;網絡安全;等級保護

中圖分類號：TP393 ?文獻標識碼：A ?論文編號：1674-2117（2020）20-0000-03

智慧校園的建設發展在有效促進校園管理和服務水平提升的同時，也使得教學、管理、服務、生活等各項事務變得越來越依賴于智慧校園的穩定運行，網絡安全體系建設的關鍵性日益凸顯。在此背景下，《智慧校園總體框架》（GB/T 36342-2018）明確提出了智慧校園等級保護建設要求，高校應依照有關法律和規范，構建完備的網絡安全防護體系，加強和保障網絡安全，實現智慧校園的長期穩定運行。

高校智慧校園網絡安全問題分析

1.網絡安全等級保護建設不成體系

網絡安全建設滯后于信息化應用，重建設、輕運維，缺乏行之有效的全局性網絡安全防護體系，缺少頂層設計和統一的網絡安全規劃。沒有統一的安全策略，智慧校園平臺上各信息系統安全防護水平參差不齊。基礎網絡運維部門和數據信息系統管理部門缺少協調配合，面對緊急安全事件缺少聯動機制，進一步削弱了安全防護體系運轉效率。

2.安全資源配置不合理

智慧校園條件下，高校網絡安全設備增多，管理難度增大，使得網絡安全形勢更加復雜，同時，受限于人員編制、運維成本等因素，缺乏順暢的管理機制、精細的管控服務、規范的運維流程。不能落實“分級分網分區”的網絡安全要求，對一般通用網絡信息資源和敏感業務應用系統未加以區分，在同一安全防護體系下，安全資源配置不合理，造成一部分業務應用過度防護，另一部分業務應用安全資源緊張。在新冠疫情期間，相對于一般通用網絡資源，少部分非必要部署的網關型安全設備難以承受大規模在線教育的網絡流量的沖擊，造成數據傳輸瓶頸，影響了網絡在線教學效果。

3.網絡安全等級保護定級不明確或偏低

智慧校園條件下數據信息數量急劇增長，需要更高安全防護等級要求。網絡安全建設推動力主要源自行政性要求和事件驅動，更多的是關停訪問、事后修補漏洞，沒有明確的網絡安全等級保護定級要求或頂級標準偏低。

4.終端安全防護依賴于用戶自身知識技能水平

用戶終端網絡安全防護水平參差不齊，高校網絡對終端安全防護技術手段的落實缺少行之有效的技術監督手段，高校網絡安全終端防護水平基本上取決于用戶對于網絡安全重要性的認知。

5.對新技術帶來的網絡安全挑戰準備不足

由于智慧校園智能感知、智慧管理的需要，物聯網、虛擬化、云計算等技術迅速普及并得到大規模推廣應用，與此同時，一系列安全問題也隨之而來。例如，如何準確識別認證并防止智能終端被仿冒;云計算平臺的安全防護，用戶數據隔離問題;數據在虛擬化中間層的安全傳遞問題，以及病毒防范會造成的額外全資源消耗問題等。隨著智慧校園的深入發展，新技術帶來的各種新問題還會不斷涌現。高校現有安全防護體系，對這些新問題的研究不充分，準備不足。

采取的對策

1.統一規劃、統一領導，加強制度體系建設

明確學校一級網絡安全管理機構和管理崗位職責，將安全責任落到實處。制訂并落實網絡安全總體規劃和安全防護策略，制訂安全建設方案，堅持網絡安全防護系統與網絡應用系統同步建設、動態調整。指導監督各業務部門貫徹落實網絡安全中建設與管理規章制度，對智慧校園范圍內部署、集成的業務應用提出明確的安全等級保護要求，實行有效的安全管理，強調業務主管部門在業務信息安全和系統服務安全的主導作用。統一組織網絡安全應急響應及演練測試，使各部門安全建設與管理工作協調一致。設置網絡安全專業技術人員崗位，專職從事學校網絡安全管理工作。

2.合理定級，提出明確要求

在教育部《智慧校園總體框架》和《教育信息系統等級保護定級指南》基礎上，參考《網絡安全等級保護定級指南》和《網絡安全等級保護基本要求》等文件，明確定級對象主要責任單位，按照信息系統網絡服務范圍和安全需求重新確定適當的保護等級和安全要求。各信息系統不以網絡上運行的信息系統安全防護最高等級和最低等級為標準，即“不就高、不就低”。涉及工作秘密、敏感信息和個人隱私，受到破壞會對師生和高校合法權益造成損害的信息系統應嚴格按照第三級標準建設安全技術防護體系。其他智慧校園應用可以根據需要采取低級別安全等級保護措施。達不到等級保護建設要求的信息系統，不能上線部署到智慧校園軟件平臺。

3.做好頂層設計，科學合理規劃網絡建設和調配安全資源

做好智慧校園網絡安全等級保護建設頂層設計，以用戶和業務應用為核心，體系化設計，結合技術體系建設和管理體系建設，從技防和人防兩條線著手，為智慧校園應用效果服務，結束以往粗放型的網絡安全管理。根據現有的網絡結構和管理模式，優先采用支持SDN軟件自定義網絡技術和虛擬化技術的網絡設備和安全防護設備，根據細分的網絡安全需求劃分優先級，在盡可能不改變網絡物理架構的前提下，以較小的代價完成安全域重新劃分和網絡梳理，主動防御、整體防控、突出重點、綜合保障，達到合理調配網絡資源和安全資源的目的。

4.重視并加強終端準入控制系統的作用

及時修復系統和軟件漏洞，安裝具備查殺病毒木馬等功能的安全軟件仍然是最基礎、最有效的終端安全防護手段。在加強網絡安全保密教育培訓的同時，通過強化準入控制系統功能，將安全防護技術措施重心從網絡傳輸交換的層面向著用戶端延伸拓展，對終端進行合規性檢測，通過技術手段輔助并強制入網終端達到網絡安全防護要求。在終端允許接入網絡之前，阻止不符合安全規范的終端連接網絡，并切斷非法外聯，在傳統封閉的網絡邊界被打破的情況下，重新構筑起網絡安全的第一道防線。

5.在推廣應用新技術的同時，將等級保護相關拓展要求通盤考慮

虛擬化、云計算、物聯網和大數據等新技術的網絡安全等級保護基本要求應與傳統網絡相一致。在物理環境、邊界防護、訪問控制、入侵和惡意代碼防范、安全審計等基礎上，還須按照網絡安全等級保護擴展要求，針對云計算、物聯網等技術特點，進一步增強智慧校園平臺安全性。例如，高校采用的云計算平臺應能夠支持用戶根據業務需要自主設置安全策略的能力，支持虛擬機隔離機制，采取可信計算、安全監控虛擬機自省等措施;支持虛擬機病毒查殺，支持設置東西向防火墻對業務應用進行隔離;在云數據生命周期內實現數據存儲和傳輸過程的加密;針對物聯網終端限制與感知節點通信的目標地址，并確保只有授權的感知節點可以接入，過濾非法和偽造節點數據，鑒別數據的新鮮性，避免歷史重放數據攻擊。

6.注重新的技術手段在網絡安全等級保護自身建設上的應用

注重新技術在智慧校園條件下發揮的作用。例如在大數據環境下，利用超融合架構，對動輒以T為計量數據的處理，實施大規模數據備份，突破傳統體系結構進行物理隔離、備份及訪問的限制;依托云安全防御平臺，實現對Web應用程序的攻擊分析、智能掃描、云端加固、防御告警、敏感信息泄露防護等功能。建設云密碼機和密鑰管理服務，適應云環境中使用密碼設備的需要，實現密鑰管理與設備管理的分離。建立大數據安全分析系統，利用大數據異常檢測技術，增強智慧校園網絡安全。

結束語

智慧校園在教育管理生活中發揮的作用越來越重要，網絡安全管理人員應不斷進行智慧校園網絡安全等級保護建設研究，及時解決應對智慧校園建設中發現的安全問題，避免安全管控力度逐步弱化，探索出一條符合高校自身特點的網絡安全等級保護建設發展道路，保障智慧校園長期穩定運行。

參考文獻：

[1]龔漢明.高校網絡安全問題與應對研究[J].北京教育（高教版），2019（03）：8-12.

[2]高薇，許浩，寧玉文，等.基于安全態勢感知平臺的高校網絡SOC研究——以第四軍醫大學為例[J].計算機技術與發展，2018（01）：150-154.

[3]孫洪濤.大數據環境下高校網絡安全研究[J].無線互聯科技，2017（24）：25-26.

[4]郭啟全，葛波蔚，祝國邦，等.網絡安全法與網絡安全等級保護制度培訓教程[M].北京：電子工業出版社，2018.

[5]劉云席.網絡安全管理[M].北京：電子工業出版社，2018.

[6]楊瑛霞，王靜.智慧校園網絡安全體系構建研究[J].網絡安全技術與應用，2019（03）：59-60.

[7]姜鵬，趙正利.智慧校園的網絡安全規劃[J].中國教育網絡，2018（11）：53-56.

[8]羅國富，王乙明.校園網絡安全防范體系研究與應用[J].現代教育技術，2012，22（09）：53-56.