基于等保2.0高校信息化安全建設研究

馬幸飛

引言：信息科技技術的高質量發展，帶來諸多網絡安全風險問題。在教育信息化的背景下，高等院校在信息化安全建設與管理中也存在諸多風險問題，其信息化安全管理能力還有待進一步提升，與現階段等保2.0的標準存在一定差距，需要高等院校剖析問題所在，并制訂及完善相應的信息化安全管理制度，以此全面推動高等院校網絡安全建設。

在信息技術高速發展的大背景以及由教育部、財政部實施的中國特色高水平高職學校和專業建設計劃的大力推進下，高校信息化建設進程因勢加速發展。多元化的應用信息系統和互聯網產品已滲透至高等教育的方方面面。在增強中國高等教育水平，順應教育新形勢，推動信息交換與資源共享的今天，信息化建設也產生更廣泛的安全問題。諸如此類的問題時時刻刻威脅民眾與社會，乃至整個國家的利益。因此加強對高校進行全面的信息化安全防護，保證網絡信息系統的有序運行，成為現階段亟待解決的關鍵問題。

1 等級保護2.0標準新要求

等保2.0全稱網絡安全等級保護2.0制度，其新要求涵蓋安全物理環境、計算環境、管理制度、管理人員等幾方面。較之于等保1.0，更加地注重全面主動防御、安全可信、動態感知和全面審計。另外對近年來取得長足發展的云計算、物聯網、工業控制和移動互聯網的安全等方面也有著明確要求，基本實現了對保護對象的全覆蓋。

1.1 技術方面

第一，應用的物理環境，要求機房內應該配備電子門禁系統、安全控制系統、錄像監測系統等；機房分區實施管理，并要設置防雷、斷電設施裝置，對電力電纜線路設置冗余或并聯，針對突發停電的情形要有后備電源保護措施和緊急預案；并且應配備智能感知和采集系統，設置機房內對煙霧、高溫等惡劣環境的自動感知與遠程告警功能。第二，應用的計算機環境，應具備數據儲存與備份功能，在身份驗證中應有多重檢驗，加強對審核過程的權限控制，在關鍵環節上要做好入侵測試，并做好攻擊性病毒入侵的安全管理工作，構建具有高保密性、高安全性、高應用性的校園網絡數據中心，做好信息化管理工作。

1.2 管理方面

根據技術層面合理完善安全制度網絡，建立專業的網絡安全機構并配置專項管理力量。定時對軟硬件設施及設備開展全面檢查、記錄備案，對管理職責進行嚴格審核，對特殊人員要簽訂保密合同或者責任書等。在運維業務操作中，對異地運維、運維更新、日常監控、外部授權和設備的更新等要進行嚴格控制與管理，健全審核流程，做好后期的信息登記與備份。外包運維服務應明確信息安全維護的具體要求，做到有據可依。

基于等保2.0高校信息化安全建設，符合安全教育的硬性標準，是保障教育信息化建設安全的重大措施，是貫徹落實國家信息安全保護的具體表現。實踐證明，高校在進行等級保護實施的過程中不斷提升信息系統安全防護能力，進一步加強了對信息化安全基礎設施、信息系統建設與管理中的薄弱環節進行保護。能夠對信息化建設進行合理、有效的引導，確保信息系統安全穩健運行，打造安全的教育環境，減少安全風險，防止安全事件發生。

2 高校信息化安全現狀分析

2.1 技術方面

高校現階段應用的信息安全防護設備主要是通過對外界病毒攻擊的特征進行對等防御。對于像0DAY的病毒往往沒有防御能力，而教育行業是走在信息發布前端的行業，也就成為了外界病毒攻擊的重災區，傳統的安全設備難以對其進行有效防御。

（1）系統漏洞威脅

在信息化安全管理中，漏洞是其中一個關鍵的影響因素。由于硬件、軟件自身的不足，或者設計者的疏忽，導致網絡系統在未經許可下被訪問，甚至盜取用戶信息。如果不及時進行補漏或者更新完善，導致漏洞長期存在，成為潛伏危險，便會為網絡黑客創造入侵機會。一旦入侵，損失慘重。

（2）病毒感染和木馬傳播

病毒與木馬通常是通過程序惡意植入，進而損壞、清除用戶計算機中的重要文件。而被惡意植入的計算機也可通過網絡繼續散播病毒。由于現在病毒和木馬的隱蔽性較強，不易被人立刻察覺，因此無法及時與全面地估算其損害的強度與損失。

（3）網絡垃圾廣告與郵件

現階段網絡垃圾廣告與郵件泛濫成災。一些不法分子通過此類方式散播、傳遞病毒信息與不良信息。此類垃圾信息在一定程度上影響師生的生活質量，并浪費院校的網絡資源。除此之外，垃圾郵件可能具有夾帶攻擊性病毒的風險，嚴重破壞計算機安全，無法有效保證師生的應用安全。

2.2 管理方面

高校信息化安全建設不僅要為全校師生提供各種應用服務，還要為諸多外來訪客提供臨時訪問許可，用戶數量龐大，用戶信息素養與使用需求各不相同。諸多用戶對互聯網安全問題認識不高，安全意識淡薄，大量存在使用單一密碼和弱密碼，對違規網絡、惡意軟件等不良信息的識別能力薄弱，造成信息被盜用、網上欺詐時有發生。對高校信息化安全管理帶來一定的難度。

（1）技術人員稀缺

術業有專攻，因此專業的事情需要專業的人員進行維護，但大部分高等院校缺乏專業管理人才。首先，教師缺乏相關的設備應用與管理經驗。其次，專業人才引入力度不足，培養方式相對滯后，與新時代教育信息化的要求不符。最后，諸多高等院校缺乏網絡安全管理實踐基地，導致諸多青年大學生缺乏實踐機會，無法全面適應多變的網絡環境。

（2）管理制度缺失

現階段，高等院校均制訂相應的網絡信息安全管理制度，不過此類制度的先進性與新時代校園建設不符，在教育新時代運行中不易貫徹執行。同時，諸多二級機構的信息安全管理者也是身兼數職，并未樹立全面的信息化安全管理意識，并且由于工作人員調整頻繁，不利于安全工作的整體開展。與此同時，缺乏應急演練與攻防實戰。在處置安全突發情況中，往往反應滯后，處置不得當。

3 基于等保2.0高校信息化安全建設策略

諸多高校已初步建立校園網絡信息安全管理體系，但該體系主要以被動防護為主，缺乏主動防御能力，且傳統校園信息化安全防護設備缺乏全方面的資源協同能力，通過人工管理大量的安全數據，工作效率低下、反應緩慢，已不能應付當前日益變化的網絡安全威脅。在等保2.0背景下，高等院校應轉“被動”為“主動”，全面開展安全管理。

3.1 技術方面

信息化安全建設應根據等保2.0基本要求，進行整體、合理規劃。目前高校均有多條出口鏈路。辦公教學區網絡出口一般都會采用教育網加運營商多鏈路方式實現網絡負載均衡，而宿舍區采用學校監管運營商自主經營方式。經過長期的實踐，信息化安全建設已逐步形成如下信息安全體系拓撲結構，如圖一。

（1）校園出口區

其中出口防火墻設備作為第一道安全防線，首次部署時應嚴格控制出入規則和對外開放端口，對國家安全機構和組織提供的威脅地址設置黑名單。辦公區因流量相對較小，可串接部署上網行為管理設備，制訂流量策略、實施應用管控，對敏感字符實現過濾。通過認證軟件實現實名認證，明確責任到每一個用戶。

（2）服務器區

通過部署WEB防火墻有效阻止網絡帶來的各種攻擊，初次部署時刻采用全部禁止方式，針對實際情況逐步開放端口和相應操作規則。部署統一防病毒軟件，進行統一的病毒查殺與管理。如使用虛擬化服務器，可在內部安裝虛擬防火墻，實現東西向病毒隔離。嚴格限制對外發布的信息系統，可通過反向代理設備進行資源統一發布，該設備一般帶有一鍵斷網功能，可在信息安全突發事件時進行一鍵斷網，第一時間減少因威脅事件帶來的負面影響。所有服務器、信息系統和數據庫采用強密碼策略，并強制定期更改，盡量避免使用默認用戶名。

（3）安全旁路區

根據信息系統訪問和管理需求，采用vpn方式進行訪問與管理，所有服務器都應該通過堡壘機進行訪問，留存用戶的操作記錄，以供發現威脅時進行溯源。通過部署IDS或態勢感知工具來主動收集、分類、處理系統漏洞和威脅數據信息，利用大數據分析技術，通過對網絡域中導致網絡安全狀況改變的各種原因進行分析處理，及時發現網絡非正常訪問，對網絡風險情況做出預估與評估，形成合理的威脅信息共享體系，以保障網絡運營的安全穩定性。

3.2 管理方面

高校信息化安全管理不應拘泥于技術應用層面，還可以在使用過程中，不斷完善對安全運維管理體系的建設。通過建立一個全面的、針對性的安全管理體系，依托高質量的技術進行后期維護與跟蹤。建立高等院校的網絡信息化安全管理制度及相關文檔，做為學校網絡管理的實踐基礎，使學校安全工作可運行、可監測，使學校管理工作更加正規性、過程式。學校必須及早設立信息安全專人專崗，做好信息系統各類常規運維工作的同時，定期做好數據庫和重要信息系統的數據災備、操作系統漏洞修復工作。以及時發現潛在危險情況。加強與外界交流學習，與專門的安全科技組織協作，為高校提供安全技術咨詢及保障等服務。

（1）人員管理

加大網絡信息化安全團隊的構建，打造各級政府多部門協同管理網絡信息化安全共同體，并建立高效的聯防聯控。在管理、技能、監控、輿情等方面強化員工的網絡安全技術培訓，并明確個人崗位職責，制定相應培訓制度，定期舉辦或參加專業人員相應的安全技術培訓，有效推進高等院校的信息安全管理能力。同時建設二級信息安全管理隊伍，開展安全技術培訓，以健全學校內部有效的安全管理機制。與此同時，網絡信息化安全教育普及全校師生，并定期開展安全管理教育。

（2）制度管理

安全管理制度的制定是高等院校信息化安全管理的重要保障，依據制度方可使安全管理工作有效開展。高等院校需結合實際應用情況，合理制定安全管理制度，并實行內部責任制，強化安全管理認知，進而改善高等院校的信息化安全管理能力。

以制度為標準，開展應急管理，提升指揮能力。信息化安全管理需以問題為中心，以主動化解事件，重視協同應用與管理預警，采用科學的檢測策略，制訂可行的考評手段，全面減少應用風險，防患于未然。同時也應該重視聯動管理的應急機制建設，嚴格執行國家網絡安全標準，對安全事故實施分級或分類管控。在事前做好應對預案，并進行緊急演練；事中迅速反饋情況，利用包括安全監測、信息共享、聯系第三方、現場通報等的多渠道及時了解安全信息，以減少經營風險；事后總結經驗教訓，及時發現問題根源，防止再次出現，并借鑒經驗教訓，不斷對后續風險監測評價。

3.3 網絡安全意識方面

全面提高師生樹立正確的網絡安全意識認知，信息安全不僅僅是安全運維管理人員的問題，也關乎著每一個用戶，是一項長期的、系統的工作，在技術層面和管理層面要并駕齊驅，以技術促進管理，第一，在管理的同時不斷提升技術；第二，對內部安全不容忽視，用戶關注的重點在外界因素，例如信息入侵、病毒攻擊等，而忽視設備軟硬件、操作人員本身的安全風險，如內部操作失誤、信息泄露等；第三，風險可視化、可控化，信息化安全需要通過硬件與軟件的加持，才得以運作，其中攜帶諸多風險因子，而此類風險因子又是長期存在的，信息化安全管理在于降低風險傷害，而不是杜絕所有風險，因此在管理中要做到可視化與可控化，發現問題及時發現并處理。

4 結語

在教育信息化時代，高校信息安全直接關乎教育工作的井然開展，也是學校未來信息化水平提升的重要保障。基于此，本文以高校信息化安全建設問題為背景，通過研究并分析了該安全問題，總結現階段高校面臨的信息化安全困境，以此建立等保2.0的防護管理體系。通過信息化安全管理體系的建設，促使全校師生樹立正確的網絡安全意識，為安全校園的建設保駕護航。

本文系無錫商業職業技術學院校級課題《基于等保2.0高校信息化安全建設研究》（KJXJ22418）。

（作者單位：無錫商業職業技術學院數據與信息化中心）