安全新形勢下高校網絡安全防護體系建設思路

覃仲宇

摘? 要： 根據網絡安全法、等保2.0和關鍵信息基礎設施保護條例等法律法規要求，結合高校網絡安全現狀，從安全意識教育、制度及責任體系、安全框架模型、安全技術框架、安全合規和網絡安全隊伍建設等方面，探討了高校網絡安全防護體系建設的思路，以期為同類院校提供參考。

關鍵詞： 網絡安全法; 等保2.0; 關鍵信息基礎設施; 高校網絡安全; 防護體系

中圖分類號：G647? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2021）03-26-03

Thoughts on the construction of network security protection system in colleges

and universities under the new security situation

Qin Zhongyu

（Guangzhou Institute of Railway Technology， Guangzhou， Guangdong 510430， China）

Abstract： According to the requirements of "The Cyber Security Law of the People's Republic of China"， "Classified Protection of Information Security 2.0" and "Regulations on the Protection of Critical Information Infrastructure" and other laws and regulations， combining with the current status of cyber security in colleges and universities， the construction of network security protection system in colleges and universities is discussed with the dimensions on security awareness education， system and responsibility system， security framework model， security technical frameworks， security compliance and construction of cyber security teams etc.

Key words： cyber security law; classified protection of information security 2.0; critical information infrastructure; network security in colleges and universities; protection system

0 引言

隨著《教育信息化2.0行動計劃》、《教育信息化“十三五”規劃》等相關國家政策文件的出臺，各個高校加快了信息化建設的步伐。然而在信息化建設過程中還普遍存在“重建設輕安全”的現象，校園網絡安全仍然存在不同程度的問題。《網絡安全法》、等保2.0和《關鍵信息基礎設施保護條例》等相關國家文件的相繼出臺和實施，對網絡安全建設提出了新的要求。因此，高校應該按照網絡安全相關法律法規要求，將網絡安全建設貫穿于信息化建設全過程中，才能有效保障高校網絡安全、穩定、持續運行。

1 安全新形勢下網絡安全發展的特點

1.1 網絡安全上升至法律層面

2017年6月1號，《網絡安全法》正式頒布實施[1]。《網絡安全法》是為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益[2]，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展而制定的法律。

《網絡安全法》的正式實施，對網絡運營者提出了合規建設義務，即安全保護義務、要求用戶提供真實身份信息的義務、保障用戶信息和個人信息安全的義務、管理用戶發布的信息的義務和協助、配合公安機關工作的義務等。高校作為網絡運營者，在網絡建設過程中必須遵循《網絡安全法》的合規要求。

1.2 等級保護工作進入2.0時代

網絡安全等級保護，是國家信息安全保障的一項基本制度[3]，國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護[4]。《網絡安全法》第二十一條明確規定：“國家實行網絡安全等級保護制度”[5]，要求所有網絡運營者有義務按照網絡安全等級保護制度的要求對系統進行安全保護。隨著2019年5月13日《GB/T 22239-2019信息安全技術網絡安全等級保護基本要求》標準的正式發布，標志著國家網絡安全等級保護工作正式進入2.0時代[6]。等保2.0的出臺，給高校網絡安全建設提出了新的要求，也指明了方向。

1.3 《關鍵信息基礎設施安全保護條例》被納入立法計劃

近日，《國務院2020年立法工作計劃》公布，其中，《關鍵信息基礎設施安全保護條例》被納入立法計劃。此次《關鍵信息基礎設施安全保護條例》被納入2020年立法規劃，將從制度機制、標準規范、教育培訓、手段建設、技術創新等方面提升關鍵信息基礎設施運營單位的安全保護能力。明確關鍵信息基礎設施范圍，規定運營者安全保護的權利和義務及其負責人的職責，要求建立關鍵信息基礎設施網絡安全監測預警體系和信息通報制度，違反本條例將會受到行政處罰、判處罰金甚至要承擔刑事責任。《關鍵信息基礎設施安全保護條例》對運營者履行的安全保護義務主要范圍給出了具體的要求，為高校開展關基保護提供較為具體的指引規范。

2 高校網絡安全現狀及問題

當前，高校在信息化建設中取得了較為突出的成效，然而在網絡安全建設上的投入力度遠遠不夠，普遍存在制度不完善、制度執行不到位和網絡安全人才缺失等問題：

2.1 制度不完善且無法有效執行

部分高校的規章制度沒有從頂層設計，不系統、不完善，在網絡安全管理過程中因人而異，沒有做到依規管理。有的規章制度是因為上級要求而制定的，照搬上級文件，沒有針對性，可操作性不強;有的規章制度更新不及時，無法適應網絡安全的快速發展。網絡安全制度無法有效執行，無法落地。

2.2 從上至下網絡安全意識淡薄

高校網絡用戶群體復雜、人員眾多，有教學人員、管理人員、科研人員和各層次的學生等，校園網用戶水平參差不齊，大部分校園網用戶存在“網絡安全問題事不關己”、“出現網絡安全問題不解決”和“網絡安全防護意識差”等現象，給校園網帶來了較大的安全隱患。

2.3 缺乏有效的內部威脅防范措施

以往的網絡安全建設中，往往重點關注校外的網絡安全威脅，對校內網絡安全威脅不夠重視甚至忽視，一般只是通過管理規定進行約束來實現網絡安全需求，一旦內網某臺主機被攻陷，整個校園網就會失去防護能力，這也是近幾年教育行業成為網絡安全重災區的原因之一。

2.4 信息部門技術力量薄弱[7]，缺乏信息安全專崗

相對于系統工程師、程序員和網絡工程師等，網絡安全人員的要求相對較高，需要跨多專業的知識廣度，譬如CISP、CISSP認證需要掌握法律法規、信息資產生命周期、密碼學、物理安全、通訊安全、身份安全、安全評估與測試、安全運營和軟件開發安全等近九個領域的知識。高校受制于編制數，往往沒有信息安全專員，大多數都是由網絡工程師等崗位人員兼任，導致信息部門技術力量薄弱。

3 安全新形勢下高校網絡安全防護體系建設思路

基于安全新形勢的要求，結合高校校園網自身特點，建設符合高校特性的網絡安全防護體系，可通過以下幾個方面進行。

3.1 持續開展網絡安全意識教育，確保安全意識到位

加強全校師生安全意識，這是構建安全體系的第一步。安全意識教育可分兩個維度來進行，一是培訓對象維度，二是培訓內容維度。面向校領導開展安全動態、安全風險、安全價值、安全事件和法律法規動態等培訓內容;面向全校師生開展安全意識、基礎安全技能和安全制度及處罰等培訓內容;面向技術全員開展深度安全意識、安全識別能力、安全基礎操作能力和基礎應急響應等培訓內容;面向開發人員開展漏洞及風險原理、代碼基礎安全能力和安全設計標準等培訓內容。

3.2 建章立制，構建三級責任體系

網絡安全管理制度是網絡安全管理的核心，不能因為對制度落地期望低或實施效果差而拒絕建立制度，制度的建立是正視安全工作的第一步。網絡安全管理不僅僅限于規定網絡安全部門的人員配置、工作職責和流程制度，更重要的是要有相應的學校層面的組織保障，落實領導責任制，明確一名主管校長，負責學校網絡安全管理工作，這是制定安全標準、流程的依據，是實施網絡安全技術架構的基礎，更是網絡安全有效運營的核心。

構建三級責任體系。第一級為分管網絡安全的學校主要領導，即網絡安全第一責任人，研究制定學校網絡安全工作規劃、年度計劃和政策措施，協調推進學校網絡安全應急機制和工作體系建設;第二級為負責網絡安全工作的部門負責人，即總體安全策略計劃制定者，負責制訂網絡安全的技術方案，檢查、指導和督促各單位的網絡安全工作;第三級為網絡安全攻防團隊，負責PDCA（Plan、Do、Check、Action）執行，使安全策略有效運行和落地。三者缺一不可，相輔相成。

3.3 構建具有高校特性的安全框架模型

安全不能脫離于具體業務，需要與業務場景高度耦合，這個耦合的過程實際上就是框架建設的過程。好的規劃和設計，對日后整體資源投入和能力構建都是有較好的戰略指引性作用，一個基本的安全策略框架可以包括：安全策略方針、安全組織架構、安全技術體系、數據安全體系、安全合規體系、人員安全管理、外部安全管理和安全資質認證等方面構成，如圖1所示。

3.4 構建符合高校自身特性的安全技術框架

基礎安全具有通用型，但是不同行業都有行業的業務特性，在行業業務模式和數據流轉流程的差異化之下，運營、管理和策略等都有很大的區別。通過梳理高校現狀，建設具有高校特性的安全技術框架，是高校網絡安全防護體系建設中重要的環節。可參考圖2進行建設。

3.5 安全合規建設

安全合規要求主要包含基礎安全能力要求、用戶權益保障、業務合規性要求、用戶協議和網絡安全義務等方面。從國家層面來看，網絡安全法奠定了安全基礎，提出了“等級保護制度”的要求，各個行業也先后出臺了相關制度。對于高校而言，除了滿足等級保護制度中的要求之外，還應滿足《GB/T35273個人信息安全規范》、《信息安全技術移動互聯網應用程序（App）收集個人信息基本規范》和《互聯網個人信息安全保護指南》等相關文件規范要求。

3.6 網絡安全隊伍建設

成立網絡安全與信息化領導小組，下設網絡安全與信息化工作小組、技術支持人員和專家庫。其中網絡安全與信息化工作小組由黨政部門、宣傳部門、信息中心、教務處和各職能部門組成;技術支持人員由信息中心技術人員、學生安全團隊、第三方安服團隊和安全廠家組成;專家庫由教育界專家、企業及行業專家組成。

4 結束語

通過以上幾方面的建設，可以有效構建高校網絡安全防護體系。網絡安全保障除了科學的體系建設之外，還需要大量的實踐管理工作作為支撐，而后者應作為高校逐步積累、不斷探索的長期工作之一。

參考文獻（References）：

[1] 肖偉.《網絡安全法解讀》——從高校視角出發[J].電腦知識與技術，2017.8（23）：39-40

[2] 王春暉.《網絡安全法》六大法律制度解析[J].南京郵電大學學報（自然科學版），2017.3（1）：1-13

[3] 王大川，王永書，林紅.淺議計算機信息系統安全等級保護[J].中國公共安全（學術版），2009.3（3）：4-10

[4] 戴宗坤.信息安全管理指南[M].重慶大學出版社，2008.

[5] 王斌.基于等級保護體系下信息安全整改的設計[J].信息技術與信息化，2017.6：42-44

[6] 何占博，王穎，劉軍.我國網絡安全等級保護現狀與2.0標準體系研究[J].信息技術與網絡安全，2019.3：9-14，19

[7] 馬金紅，馬男男.基層稅務機關日常信息安全管理體系探析[J].天津經濟，2018.10：33-38