基于等保2.0標準的高校內網安全防護的探究

◆仇靜

基于等保2.0標準的高校內網安全防護的探究

◆仇靜

（南京工程學院 江蘇 211167）

等保2.0標準發布以來，高校信息安全態勢面臨新的挑戰。為更好地應對新的形勢和風險，本文通過對新標準中的要求進行簡要分析，結合高校內網安全現狀，對內網安全防護提出新的思考，為后續高校信息化建設中網絡安全保障工作提供參考。

等保2.0；高校信息化；內網防護

在網絡和信息技術飛速發展的今天，各行各業的信息化進程日新月異，網絡安全形勢越來越嚴峻，高校在信息化建設進程中也面臨著多種多樣的網絡安全問題。2019年，網絡安全等級保護2.0標準的發布對高校網絡安全建設提出了新的要求。為了應對愈演愈烈的網絡安全風險，提升高校網絡安全防護水平，本文分析等保2.0標準下，高校內網防護存在的常見問題，提出高校內網安全防護相關策略。

1 高校校園內網安全現狀

目前國內高校校園網采用的網絡安全防護策略通常是以防備外網的主動攻擊為主要工作內容，而對內網終端默認為信任或者安全狀態。有些高校將內網與互聯網進行物理隔離，并讓內網用戶統一通過網關訪問互聯網。雖然采用了許多安全措施，網絡安全事件依然在不斷發生。內網一臺主機出現威脅網絡安全行為，其他主機將大概率會遭殃[1]。究其原因：

1.1 校園內網邏輯邊界不清晰

校園內網實現資料共享、網絡互通，則必須將內網主機之間建立互信關系。一方面，借智能手機為支撐的移動計算技術，傳統的工作方式從固定計算機辦公轉變為移動化的辦公方式，一些系統需隨時隨地進行數據訪問；學校分工與對外協作越來越復雜，外部的人員也將對校內數據進行訪問。另一方面，大部分高校采用了云計算和大數據技術，將大量業務和數據遷移到公有云上，這些集中數據的集中，也導致了這些內網數據邏輯邊界的不清晰。

1.2 校園內網終端漏洞沒有及時修復

目前國產操作系統還不成熟，計算機及服務器主要采用微軟公司的Windows系統，根據網絡安全調查結果顯示，全球大約 80%以上的病毒都是基于Windows系統的漏洞而進行攻擊的。雖然微軟公司不斷推出各種補丁，但對于高校，內網管理面積達，主機數量多，管理人員有限，如果漏洞沒有得到及時修復，導致被黑客利用，對內網中的其他終端主機產生巨大威脅，嚴重時可導致整個內網癱瘓。

1.3 缺乏對虛擬網絡的安全防護措施

傳統數據中心的三層架構無法滿足海量虛擬機的配置和不斷擴大的業務需求，越來越多的高校在數據中心設計中采用虛擬化技術。服務器虛擬化導致在物理服務器內部存在多臺虛擬機，每臺虛擬機承載不同的應用，同時，在物理服務器內引入了虛擬交換機，這樣在同一物理服務器中的虛擬機之間的通訊不需要經過物理網卡而是在虛擬交換機中直接通過鏈路轉發，因而也不會通過外部的防火墻等安全防護設備，原有的安全防護機制變得無效[2]。加強東西流量安全防護，是目前虛擬化網絡安全領域亟待解決的問題。

1.4 資源訪問權限控制機制的缺失

目前高校的校園網用戶一旦接入內網，就可以隨意訪問內網公共資源，這也造成了許多的安全問題。在資源訪問權限未做分級管理的情況下，一些安全事故就在所難免。如果內網建立資源訪問權限分級管理就能讓用戶在訪問內網資源時變得可控，可管，那么就能減少一些網絡安全事故的發生。

1.5 網絡安全管理機制尚不健全

高校在校園網設計之初，普遍注重網絡的實用和高效，建設資金重點用在關鍵網絡、硬件設備和軟件系統的投入，而忽略網絡安全問題，目前很多高校網絡安全技術崗位都是由其他崗位人員兼任，致使網絡安全管理機制不健全，技術力量薄弱，難以高效率地預防和處理網絡安全問題。

2 網絡安全等級保護2.0的要求

2019 年 5 月，《網絡安全等級保護基本要求》（“等保 2.0”）正式發布，并于 2019 年 12月 1 日開始實施，網絡安全等級保護制度建設開始進入 2.0 時代。相比舊標準體系，等保2.0統一了基本要求與設計要求的安全框架（通信網絡、區域邊界、計算環境），充分體現“一個中心，三重防護”的縱深防御思路，強化可信計算安全技術要求應用。等保2.0標準對通信網絡、網絡邊界、主機設備、應用和數據、以及云計算擴展、移動互聯擴展、物聯網擴展和工業控制擴展等方面都有新的要求[3]。

結合新標準，高校內網安全防護時應該堅持以下原則：首先，需求和風險保持平衡。在選擇網絡保障的時候，要充分考慮可能存在的風險，根據學校信息化建設的實際需求制定合理的安全防范措施；其次，詳細分析不同安全措施在網絡安全防御中的具體作用，根據學校網絡建設的實際需求，統一規劃，全面改造、建設；再次，要堅持多重保護原則。隨著學校信息化建設的不斷推進，校園網業務越來越多，種類也越來越繁雜，單一的網絡邊界防護已經無法滿足其安全需求，更為細致的網絡管理手段應該被考慮，并逐漸添加到安全管理中。最后，管理和技術并重。網絡安全措施需要專業工程師來進行評估與制定，而過于復雜的安全操作無疑是加大了管理的難度，怎么均衡技術與管理也需要思考。

3 高校內網安全防護探究

通過對等保 2.0 標準的初步分析研究，結合日常網絡安全建設和運營管理實踐工作中發現的風險隱患，對照新標準的變化和技術要求要點，針對如何提高后續的技術防護能力，提出以下幾點實踐思考。

3.1 科學劃分區域，保障邊界安全

邊界區域的安全關乎網絡安全等級保護技術是否更好地運用[4]，所以高校的網絡安全管理機構需要統籌規劃，通過梳理學校信息資產、設置外網訪問白名單等手段科學劃分內外網區域；通過防火墻、入侵檢測等技術手段在校園網內部和外部之間設置軟硬件手段，在確保合法用戶能夠正常訪問網絡的情況下，增加攻擊者的攻擊難度并對攻擊行為及時監測響應。

3.2 增強安全意識，及時修補漏洞

內網面臨的最大問題是不能及時修補漏洞，補丁更新不及時，對此，高校網絡管理機構可以通過一些技術手段要求計算機終端實施統一的安全策略，例如在撥號軟件中提示用戶安裝防病毒軟件和更新病毒庫，并對不滿足安全條件的終端進行一定的聯網限制。另外，高校還需要定期對網絡中的設備和主機進行安全評估，及時處理具有安全隱患的計算機終端。最后，加強師生的網絡安全防范意識，將網絡安全知識教育納入入職教育和入學教育中，增加非計算機相關專業人員對及時修補漏洞等基本防護手段的必要認知，增強普通網絡用戶對網絡攻擊的基礎防護能力。

3.3 做好東西向防護，保障虛擬通信安全

為了提高資源利用率，數據中心虛擬化技術將物理資源轉化為邏輯資源，將一臺服務器劃分為多個邏輯上獨立的服務器。當其中一個虛擬機發生問題時，整個內網就會淪陷，任由攻擊者宰割。針對虛擬網絡，國外的研究學者提出微隔離的概念，旨在對虛擬網絡內部東西流量細粒度安全防護。虛擬機之間的有效隔離能使其他虛擬機正常進行服務。虛擬機的隔離包括基于硬件協助的隔離與基于訪問控制的邏輯隔離兩種機制，目前都能很好地實現各虛擬機的安全獨立服務。另外，還應該對虛擬機的運行進行實時監控，保障虛擬機的安全。

3.4 制定新的認證架構，向零信任轉型

為了保障學校網絡核心設備及數據資源的安全，降低內網資源被惡意利用的風險，一些高校開始著手研究零信任技術體系。零信任是網絡中的一切實體都是不可信的，都需要驗證的理念。根據這種理念制定的策略，需要持續地監測用戶的行為和環境的狀態，進而制定基于信任得分的動態訪問策略[5]。

雖然零信任提供了一種基于身份的更細粒度的訪問控制方法，但落地方式暫時還沒有標準的流程可依。零信任架構應該以數據和應用的分類、改造為起點，以用戶和設備的識別為基礎，以 SDP 架構為核心，以用戶角色為依據，以過渡白名單為保障，制定基于零信任網絡的高校網絡訪問模型，依照此模型來進行完整的權限校驗，訪問校園網的核心設備和數據資源。零信任是網絡安全中一種不斷發展的技術，零信任架構是一種全新的網絡安全防護思路。

3.5 健全網絡安全管理機制，建設統一的安全運營中心

隨著國家網絡安全法的頒布和等保2.0的發布，高校對網絡安全問題越來越重視，很多走在信息化前列的高校開始考慮建設統一的網絡安全運營中心，用于全面監控和管理學校網絡安全，為學校網絡安全建設提供強有力的支撐。在網絡安全管理機制的構建中，應考慮規范的組織管理、日常管理和應急管理等多個方面，定期對學校師生進行網絡安全相關知識的宣傳教育，將安全防護真正應用到實際的管理之中。

4 結語

面對日益嚴峻的網絡安全態勢，網絡安全等級保護2.0標準其相關安全建設思想及體系要求對高校網絡安全建設具有積極的指導作用。本文主要通過對照等保2.0標準，結合高校校園內網網絡安全的薄弱環節，給出一些網絡安全管理和網絡安全技術的建議，為保障高校信息化建設安全穩定進行，打造安全校園提供一些可參考的思路。

[1]張紅梅.內網終端安全防護管理系統研究[D]. 西安電子科技大學，2018.

[2]游益鋒.面向虛擬化環境的微隔離技術的研究[D].電子科技大學，2019.

[3]藺旭冉.等保2.0標準技術要求淺析與初步實踐思考[J]. 網絡安全技術與應用，2019（10）：12-14.

[4]鐘錫寶.網絡安全等級保護技術實現與分析[J]. 網絡安全技術與應用，2021（2）：173-174.

[5]秦益飛，張英濤，張曉東.零信任落地途徑研究 [J]. 信息安全與通信保密，2021（01）：84-91.