基于等級保護2.0 的智慧校園新技術研究

郭 璞,聶永剛,董紹鵬

(山西警察學院,山西 太原 030401)

1 等級保護2.0

1.1 等級保護2.0 概述

《網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度,網絡運營者應當按照等級保護制度的要求,履行安全保護義務。 等級保護2.0 比之前的1.0 更注重主動防御,從被動防御到事件全流程的可靠、感知、審計,進行了一系列的優化改進,尤其是在物聯網、云計算、大數據等新型產業中提供了安全可靠的建設標準。 在此安全形勢下,新的安全要求被提出,使用這些新技術的同時,“通用要求”以及“安全擴展”要求必須被同時滿足。

1.2 等級保護2.0 的新要求標準

1.2.1 覆蓋范圍變化

等級保護2.0 標準基于等級保護1.0 標準對覆蓋范圍進行擴充。 首先是全社會覆蓋,即金融、電力、醫療、教育等各行各業的全方位覆蓋。 其次是保護對象全面覆蓋,即在傳統信息系統的基礎上增加對信息網絡、云計算、工控系統、大數據、移動互聯和物聯網等的全覆蓋。 對于使用新技術的信息系統,在滿足通用安全要求的同時還需保證安全擴展要求。

1.2.2 技術要求變化

等級保護2.0 對技術要求進行了優化精煉,由原來的物理安全、網絡安全、主機安全、應用安全和數據安全改進為安全物理環境、安全通行網絡、安全區域邊界、安全計算環境和安全管理中心。 最大的特點是把可信計算當做核心防御技術,一級到四級全部提出了可信驗證空間,即這所有計算節點都應基于可信根,實現開機到操作系統啟動,再到應用程序啟動的可信驗證,并將驗證結果形成審計記錄,極大推廣可信計算及密碼技術的應用。

1.3 等級保護2.0 對高校網絡安全建設的要求

2018 年4 月,《教育信息化2.0 行動計劃》提出了到2022 年基本實現“三全兩高一大”的發展目標,將教育信息化發展水平在1.0 階段的基礎上提升至更高的層次。 在這個過程中,網絡安全工作始終貫穿于整個教育信息化建設。

等級保護2.0 對高校網絡安全工作提出的新要求有增強網信工作能力;落實網絡安全責任制度和等級保護制度;加強網絡安全教育培訓;提升安全防護能力;開展安全監測和應急演練;重要時期加強統籌部署。

1.4 等級保護2.0 下的網絡安全防護工作

隨著新時代互聯網的快速發展,物聯網、云計算、大數據、人工智能等新興技術不斷涌現,等級保護制度對于新技術的出現提出了更高的防護要求。 等級保護2.0 按照“一個中心,三重防護”的要求對新興技術實施安全維護。 一個中心是指安全管理中心,把安全管理、安全監測、安全審計等各類設備和應用平臺集中管控的體現,三重防護是指安全通信環境、安全區域邊界和安全計算環境。

2 等級保護2.0 下的物聯網安全

2.1 物聯網技術在高校網絡中的現狀

校園網中結合物聯網進行教學,不僅使學生學習更加方便,還使教師的教學更加智能化。 物聯網技術在課堂管理中,主要利用物聯網技術的識別功能做到學習情況智能化簽到,減少教師工作量的同時也有效保證學生的出勤率。 物聯網技術在學校的圖書管理網絡中,主要通過將書、設備和人進行有效的連接來實現書籍的智能識別和定位,不僅能減少管理工作的負擔,還能大幅提高工作效率。 物聯網技術在校園的資源管理中,通過安裝感應器實現智能照明,在沒有人的時候關閉,減少資源的浪費。 物聯網技術在校園的防衛工作中,在校園人力防衛基礎上增設出入口智能識別系統,自動識別在校人員與車輛,防止外來人員隨意出入。 總之,物聯網技術在目前校園網中的應用已比較常見。

2.2 等級保護2.0 對物聯網的要求

隨著物聯網應用逐漸普及,節點數據與終端設備規模驟增。 等級保護2.0 對物聯網提出了針對性的要求,其中包括通用安全和其他擴展的相關技術要求。

等級保護2.0 對物聯網的要求:保證只有授權感知節點能夠訪問,并限制與可感知節點通信的目的地址、與網關節點進行通信的目的地址。

對應的物聯網安全解決方案:為所有感知節點燒制安全標識,并統一管理標識狀態,切實從身份認證角度實現接入控制;利用物聯網安全網關產品,實現對知節點、網關節點通信目標地址的限制。

2.3 疫情下物聯網技術在校園網絡中的提升

學生以及教職工返校期間,疫情頻頻爆發,為了確保師生安全,有效防控疫情,許多高校都在利用物聯網對校園人員定位跟蹤以及緊急通知系統做出改進。 其中,某些高校對學生、老師等的ID 卡進行升級,使得校園ID 卡成了校園人員追蹤的一項重要設備,學校的工作人員可以通過升級后的ID 卡實時關注師生的活動軌跡,通過數據及時做出疫情應急措施。

疫情流行的最主要原因之一就是社交距離不當導致人群密集接觸。 因此,在疫情防控常態化背景下,保持安全距離是疫情防控工作中的重要公共衛生舉措。在防疫階段,物聯網在校園內人流密集的區域就做到了相當有力的防護措施,通過在公共場合安裝物聯網傳感器,當某區域密集時就會發出警報,確保師生能夠嚴格遵守社交距離的規定。 物聯網在校園中的運用使得校園網更加安全可靠便捷。

2.4 物聯網技術的防護要求

2.4.1 安全區域邊界

設置安全區域邊界可避免陌生區域的接入以及外部的不合法攻擊行為,以免擾亂物聯網感知區域的有序性和穩定性,因此只有規定范圍內的感知節點才可以接入使用。

2.4.2 安全運維管理

當物聯網出現異常時,管理人員應實時檢測、維護、檢修物聯網感知設備接入的安全性,并記錄維修過程和方法,為日后的突發情況提供數據支撐。

3 等級保護2.0 下的云計算安全

等級保護2.0 是網絡安全的一次重大升級,等級保護對象范圍也在傳統系統的基礎上擴大,其中云計算對等級保護制度也提出了新的要求,要明確云計算環境中的安全責任,對系統的定級、云計算平臺的結構、平臺安全、資源隔離、訪問控制、數據安全、審計與監控等提出了新的要求。

3.1 系統的結構

根據等級保護2.0 規定,云計算的結構既包含對于云計算平臺的技術要求,也包括對其的管理要求,具體如下所示:

3.1.1 技術要求

(1)物理和環境安全。

(2)網絡和通信安全。

(3)設備和計算安全。

(4)應用和數據安全。

3.1.2 管理要求

(1)安全策略和管理制度。

(2)安全管理機構和人員。

(3)系統安全建設管理。

(4)系統安全運維管理。

3.2 平臺安全

等級保護2.0 對于平臺安全提出了新的要求:登錄云管理平臺的管理用戶進行相應等級身份鑒別。 在進行遠程管理時,管理終端和云平臺邊界設備之間應建立雙向身份驗證機制,具備對異常流量的識別、監控和處理能力,對發布到互聯網的有害信息進行實時監測和告警。 網絡策略控制器和網絡設備(或設備代理)之間雙向認證、數據加密傳輸[1]。

3.3 數據安全

等級保護2.0 對于數據安全提出了新的要求:應提供查詢云服務客戶數據及備份存儲位置的方式,保證虛擬機遷移過程中重要數據的完整性和保密性,提供虛擬機鏡像、快照完整性校驗功能,防止虛擬機鏡像被惡意篡改,對虛擬機快照中的敏感信息進行加密保護,支持云服務客戶部署密鑰管理解決方案,確保云服務客戶自行實現數據的加解密過程[2]。

4 云計算技術防護要求

4.1 基礎設施安全要求

保護對象主要為校園機房和網絡基礎設施,避免遭受環境、天氣、人為等不良影響。 在建設過程中,應考慮地理位置、環境因素,為校園網絡基礎設施提供最基本的安全保障。

4.2 設備使用安全要求

利用云計算技術為校園網絡的設備使用提供一個安全平臺,可利用訪問控制、入侵防范、安全審計等要求對校園網絡進行保護,合理部署訪問控制機制,合理設置入侵防范體系,分級分步多重管理。

5 等級保護2.0 下的大數據安全

等級保護2.0 明確指出,網絡運營者應根據保護對象的安全保護等級及其他級別保護對象的關系進行安全整體規劃和安全方案設計[3]。 各高校校園網絡安全體系均依賴于國家出臺的各項網絡安全法律法規,以支撐利用校園網絡進行的各項校園教學、科研及教務管理。 高校校園網絡體系建設涵蓋信息管理、教學應用、生活服務等各個方面,會涉及大量的數據管理與統計,因此借助大數據存儲量大、處理速度快等優勢,推進大數據技術在校園網絡建設中的深度應用。

5.1 等級保護2.0 中的大數據需求

在等級保護2.0 新標準中,針對大數據安全提出了新的擴展需求,包括:流量分離;大數據授權管理;分類別、級別管理;大數據入侵防御;大數據應用系統安全如圖1 所示。

圖1 等級保護2.0 對大數據的新需求

5.2 等級保護2.0 下的智慧校園數據安全

大數據時代的到來,數字化、信息化建設應用于各大高校。 教學、科研、校園管理、日常生活隨處都會產生大量數據,那么大數據技術的產生不僅為校園網絡服務提供了一個安全、高效的技術支撐,而且還提高了校園網絡服務的精準性以及校園網絡用戶的個人隱私性。 等級保護2.0 規定大數據安全保護等級不得低于三級標準,而且明確指出相關于大數據設計技術要求:可信訪問控制、數據保密性保護、剩余信息保護[4]。

5.2.1 身份認證技術

利用身份認證技術來保障數據的安全性和保密性。 校園網絡應用系統有教職工、學生、系統管理員等使用者。 其中,教職工和學生是校園網絡數據的生產者,系統管理員則負責校園網絡管理與后期維護工作,他們在使用校園網絡過程中有著不同的需求和權限,因而需要不同的身份認證機制。

5.2.2 數據加密技術

在當前高校校園網絡中,由于校園網絡安全體系不完善,個別用戶網絡安全意識不強以及校園用戶數量的龐大,常常會發生各種信息泄露問題。 國內首例高校網絡安全違反案例:2017 年9 月,淮南某一高校因未落實網絡安全等級保護制度以及未做好數據分類、備份和加密工作,導致校園網絡系統存在嚴重的漏洞問題,最終造成學生信息泄露。 信息數據泄露逐漸成為智慧校園的重大隱患,數據的加密顯得尤為重要。 在等級保護2.0 時代,采用對稱加密技術、非對稱加密技術、數字簽名、數字摘要、數字證書和公鑰基礎設施等技術來保障數據在存儲和傳輸過程中的機密性[5]。

6 結語

高校是當前科研任務的重要載體,這就使得校園網絡成為新時期網絡攻擊的重災區。 由此可見,提高校園網絡安全防護能力,強化校園網安全建設成了當務之急。 本文從等級保護2.0 角度出發,結合當前校園網絡安全現狀進行了分析,并提出了一些關于智慧校園網絡安全新技術保障工作的建議。 此外,如何在使用新技術和安全之間找到一個平衡點,也是今后需要研究的重要課題。