等保2.0下智慧校園系統安全保障的研究

戶利利

【摘要】 ? ?高校智慧校園系統具有系統龐大、涉及范圍廣、數據多、影響大等特點，這樣的系統對安全提出很高的要求。本文從安全等級保護的角度出發，以深圳大學為例，簡要描述了該校智慧校園系統的基本情況，分析了智慧校園建設的安全挑戰，介紹了該校智慧校園系統實施安全等級保護的具體措施。

【關鍵詞】 ? ?智慧校園 ? ?高校 ? ?信息安全 ? ?等級保護

引言：

2015年國務院頒發的《關于積極推進“互聯網+”行動的指導意見》文件中，明確要求加快實施“互聯網+”行動計劃和國家大數據戰略，推進數據資源開放共享[1]。處于信息化、現代化發展進程中的教育行業積極響應國家政策，將“互聯網+”戰略引入到校園信息化建設中，探索和實施智慧校園的建設。深圳大學作為特區大學，積極借鑒國際一流大學管理理念，結合學校信息化需求，于2016年開始實施智慧校園建設，2018年底完成智慧校園項目的驗收，系統正式上線運行。深圳大學智慧校園系統構建了統一入口的一站式服務大廳，實現了本科管理系統、研究生管理系統、人事管理系統和財務管理系統數據的互聯互通，消除了數據孤島，節省了師生數據重復填報的時間，減少了審批的手續，加快了該校的信息化進程，提升了學校管理和運營水平。

一、信息等級保護概述

2007年，國家發布《信息安全等級保護管理辦法》，并將信息安全等級保護寫入法規中，簡稱“等保1.0”。2016年11月7號，十二屆全國人大常委會第24次會議通過了《中華人民共和國網絡安全法》，該法是網絡領域的基礎性法律，于2017年6月1日起開始實施。網絡安全法明確規定了信息系統運營、使用單位應當按照網絡安全等級保護制度要求，履行安全保護義務，如果拒不履行，將會收到響應處罰[2]。2019年，網絡安全等級保護系列標準正式發布，網絡安全等級保護從此由1.0時代邁入2.0時代，等保2.0在安全通用要求的基礎上，重點擴展了對云計算、移動互聯、物聯網、工業控制以及大數據方面的安全防護[3]。

安全等級保護的工作共分為五個階段，分別為信息系統定級、信息系統備案、信息系統等級測評、信息系統安全整改、定期監督檢查。

第一階段信息系統定級。在這個階段，信息系統運營使用單位按照等級保護管理辦法和定級指南，依據等級保護對象受到破壞時所侵害的客體和對客體造成的侵害程度，自主確定信息系統的安全保護等級。等級保護共有五個安全等級，第一級為用戶自主保護級別，不需要對系統進行測評，二級及二級以上都需要對系統進行測評，等級越高，安全要求越高。

第二階段信息系統備案。二級及二級以上信息系統的定級需要用戶單位到公安機關辦理系統備案手續。其中，省級單位需到省公安網安總隊進行備案，各市、縣級單位到相應級別的網安支隊進行備案。

第三階段信息系統等級測評。由公安部授權的等級測評機構對系統的安全等級狀況進行測評。測評機構會根據測評對象的安全保護等級從技術和管理兩個方面對系統進行測評。其中等級測評的技術指標有安全物理環境、安全通信環境、安全區域邊界、安全計算環境;管理指標有安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全管理建設、安全運維管理。

第四階段信息系統安全整改。用戶單位根據測評公司在測評過程中發現的安全問題進行整改。整改完成后，測評機構進行驗證整改結果，并最終出具《信息系統安全等級測評報告》。

第五階段定期監督檢查。信息安全監管部門根據安全等級保護的管理規范，定期對用戶單位的等級保護工作進行監督檢查。

二、深圳大學高校智慧校園現狀

深圳大學智慧校園系統采用先進的技術架構和優化的業務模型進行設計，通過開放大量的端口，很好的完成了全校整體信息化平臺的融合，實現了各個數據平臺之間的數據共享，減少了大量用于維護數據一致性的工作，滿足了數據上報和數據分析的需求。從安全角度，深圳大學智慧校園系統具有如下特征：

1.平臺用戶規模大，涉及范圍廣。深圳大學智慧校園包括身份認證系統、本科教務管理系統、研究生管理系統、人力系統、財務系統等，涉及了全校的管理和教學工作，如果出現問題，將會影響全校的教學和管理工作的開展。

2.師生不具有網絡安全意識和安全防范能力。作為智慧校園最活躍的用戶，部分學生對新事物充滿好奇，積極嘗試各種網絡技術，包括訪問病毒網站和使用黑客軟件，登入智慧校園系統底層服務器，造成系統和數據安全危險。此外，學生和教師中大部分都缺乏安全防范的能力，造成用戶在使用過程中，容易被不法分子利用，在智慧校園平臺上傳播不良信息，導致社會不良事件。

3.智慧校園系統中有大量學校和個人的重要信息，這些數據在創建、存儲、傳輸、使用各個環節中都存在安全風險。

4.由于系統龐大，涉及的面很廣，無法考慮到方方面面，系統建設初期主要是集中在業務上，安全的關注度比較低。

5.智慧校園系統復雜，上線后，由系統開發廠商、信息中心和業務部門三方協助保障運行。系統開發商作為系統運維的主要力量，經常需要對服務器和數據進行操作，而系統開發商人員復雜、流動性大，一旦出現問題，追查取證難度加大，是智慧校園系統安全的一個很大隱患。

三、智慧校園系統安全等級保護的措施

深圳大學智慧校園系統受到非法破壞后，會影響學校的教學、人事、財務等工作的開展，系統自主定級為二級。目前深圳大學智慧校園系統建立了基本的信息安全保障體系框架，下文主要從等保2.0要求的幾個方面進行描述。

3.1安全技術措施

安全物理環境：深圳大學智慧校園系統部署在華為一體機上。一體機放置于新建的專用機房中，機房里部署了七氟丙烷滅火系統和精密的空調設備，保證了機房的消防安全和溫濕度控制，該新建機房也部署了UPS系統、電子門禁系統和視頻監控系統，保證系統的可用性，實現了對機房進出人員的身份鑒別和監控。

安全通信網絡和安全區域邊界：在網絡上，深圳大學信息中心根據各部門工作職能、重要性和所涉及信息的劃分為出口區、內網區、核心區和服務器區。智慧校園一體機設備位于服務器區域內，圖1為智慧校園的網絡拓撲圖。在互聯網入口部署有深信服下一代防火墻和抗DDoS設備作為校園網與互聯網的邊界設備，通過設置訪問控制策略，對進出校園網絡的數據量進行訪問控制，保證互聯網對校內的訪問和數據通過邊界設備提供的受控接口進行通信。在服務器和核心區域中間部署應用防火墻作為應用邊界設備，下一代防護墻和應用防火墻既可實現對智慧校園系統的網絡攻擊行為進行監測和防護，解決注入攻擊、跨站攻擊、腳本木馬、緩沖區溢出、信息泄露等常見的安全問題，達到入侵防護的功能，又可通過深信服下一代防火墻的惡意代碼監測模塊，實現在校園網入口處對惡意代碼進行監測和清除，從而保證智慧校園系統的安全。

安全計算環境：等保2.0中安全計算環境涉及的主要對象包括網絡設備、安全設備、服務器設備、終端設備、應用系統、數據對象和其他設備等。深圳大學智慧校園系統的安全措施如下：

網絡設備和安全設備：首先是系統密碼的設置，采用的是8位以上大小寫字母、數字和符號三種組合的方式。同時在系統中配置了登錄失敗的處理功能。其次，在入侵防范方面，在網的安全設備和網絡設備僅安裝業務所需要組件和模塊，網絡管理員只能通過專用運維網段對設備進行管理，定期對系統進行設備版本更新，并對其他用戶權限進行嚴格控制。最后，在安全審計方面，網絡設備和安全設備啟動安全審計功能，定期將審計日志發送到日志服務器中，由專門的日志管理員保存和查詢。

服務器和終端：安全審計和訪問控制方面，智慧校園服務器和終端設置了只能通過堡壘機的方式對服務器進行管理，服務器設置了密碼復雜度和定期更換的策略，配置了登錄失敗的鎖定功能。同時服務器配置安全策略，設置不同用戶角色，通過安全策略和角色控制用戶對資源的訪問。安全防護方面，服務器只部署業務所需要的程序和控件，只開啟業務所必須的端口。

應用安全：智慧校園系統通過統一認證平臺進行認證，認證平臺配置了用戶口令復雜度監測功能和登錄失敗處理功能，降低了用戶身份被冒用的風險。訪問控制方面，智慧校園系統具有權限控制功能，可對用戶的權限進行嚴格控制，降低非授權訪問的風險。入侵防范方面，智慧校園系統提供數據有效性檢測功能，可對用戶的數據進行監測;同時按照安全管理中心規定，信息中心安全管理員會在每月上旬對系統進行漏洞掃描，對掃描出的漏洞進行測試評估后修補，減少系統被攻擊的風險。安全審計方面，系統提供了安全審計功能，對用戶的操作行為進行審計，降低了抵賴風險。

數據安全：智慧校園系統采用HTTPS協議和對稱安全加密算法保證應用層的數據安全，同時對頁面的重要數據字段采用脫敏方式顯示，防止數據泄露的發生。在數據備份方面，系統設定了定期異地備份操作，并且對異地備份的數據庫采用全庫加密的方式保存。

3.2安全管理措施

針對新形勢下的網絡安全威脅越來越多的情況，深圳大學成立了網絡與安全技術部作為信息安全管理工作的職能部門，由中心副主任擔任安全主管，配置了網絡管理員和安全管理員等崗位，定義了這些崗位工作人員的工作職責，定期對學校重要系統進行安全檢查作為日常工作內容。針對智慧校園系統，深圳大學在信息中心內部成立了智慧校園安全管理中心，該中心的成員分兩類，一類負責對智慧校園系統所在的服務器進行管理，即服務器管理員，由智慧校園各個子系統對接人擔任;一組負責對智慧校園系統進行安全和審計管理，即安全管理員，由網絡和安全技術部中的成員擔任。

在規章制度方面，深圳大學黨委會議通過《深圳大學信息化建設管理辦法》，并根據該管理辦法制定了《深圳大學信息中心服務器管理規定》、《深圳大學網絡信息安全管理制度》、《信息中心網絡運維和安全管理制度》、《信息中心計算機病毒防范安全管理制度》等具體實施制度，編制OA、Blackborad、深大主頁、網站群等重要系統的應急預案。其中《深圳大學信息中心服務器管理規定》明確維護人員的責任、設備維護的流程以及監管。《深圳大學網絡信息安全管理制度》、《信息中心網絡運維和安全管理制度》中明確了服務器的安全策略參考，對賬號管理、配置管理、日志管理、日常操作、升級與漏洞更新、口令更新等方面做了相應規定。《信息中心計算機病毒防范安全管理制度》對惡意代碼防范要求做出了相應規定，要求管理員要記錄和保存節本配置信息，當系統需要變更時，需要對變更前、變更過程、變更后以及變更失敗有詳細的計劃和應對措施，快速應對各種病毒性突發事件的爆發。

智慧校園系統作為深圳大學重要的應用系統，信息中心和各業務部門嚴格按照各項規章制度進行管理運維，保障系統安全有效運行。

四、結束語

智慧校園作為高校信息化發展的方向，安全問題尤為重要。通過在智慧校園建設中落實網絡安全等級保護制度是智慧校園安全建設的重要方法。本文描述了深圳大學智慧校園建設過程中遇到的安全問題，具體介紹了在等保2.0制度下，深圳大學智慧校園系統在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、和安全管理等方面的具體措施，為其他高校順便通過安全等保提供借鑒。

參考文獻

[1]王曦.“互聯網+智慧校園”的立體架構及應用研究[J].中國電化教育，2016，10（357）：107-111.

[2]趙志遠.用戶如何開展等保工作[J].網絡安全與信息化，2019（06）：39-42.

[3]信息安全技術-網絡安全等級保護基本要求[S].北京：中國標準出版社，2019.