新环境下院校等保工作有关问题的探讨

摘要：新标准的《网络安全等级保护》于2019年12月1日正式实施。与此同时，各地政府纷纷推出政务云开始启用公共服务云服务，要求各单位将公共服务系统逐步迁移到政务云上。面对新的标准、新的环境，院校等保工作还要不要做、怎么做？本文对此进行了探讨，提出了建设方案。

关键词：等级保护;信息安全;政务网;校园网

一、等级保护建设的必要性与等保2.0建设步骤

（一）网络安全法要求必须进行等级保护建设

2017年6月开始施行的《中华人民共和国网络安全法》第21条明确规定了“国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。电信、移动、联通、广电这些传统的网络运营商肯定是网络运营者。学校建设有校园网，为广大师生提供互联网接入服务，包括提供无网接入服务。建有网站、同时有许多应用系统，有些应用部署在互联网上，有些部署在校园网上。学校算不算网络运营者？《网络安全法》第七十六条明确指出：网络运营者，是指网络的所有者、管理者和网络服务提供者。学校既是网络的所有者、管理者也是网络服务提供者，肯定属于网络运营，因此，必须进行《网络安全等级保护》建設。

（二）等级保护2.0建设流程

等级保护建设流程一般分为5个步骤：定级、备案、整改（建设）、测评、监督检查。

1.系统定级

信息系统分为涉密与非涉密。涉密系统国家有专门规定（分保建设），这里不进行讨论。以下所指信息系统除特别说明，皆指非涉密信息系统。对非涉密系统，根据系统的重要性和遭受损坏后所造成的危害性分成5个安全保护等级。一级防护水平最低，最高为五级。一级至五级分别是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。需要注意的是，一家单位一般拥有多个信息系统，这些系统的安全等级可能不同，我们一般是按照其中最高等级要求来进行等级保护建设工作。一级系统遭受损坏后，所造成影响较小，只对公民、法人和其他组织造成损坏，不损害国家安全、社会秩序和公共利益。一般适用于中小学及小型企业或个人。二级系统遭受损坏后，所造成影响较大，对公民、法人和其他组织造成严重损害，或对社会秩序和公共利益造成损害，但不损害国家安全。一般适用地市级以上国家机关、企事业单位内部一般的信息系统。三级及三级以上信息系统受到破坏后，会对社会秩序和公共利益造成严重（四级及以上造成特别严重）损害，或者对国家安全造成损害（四级严重损害、五级特别严重损害）。

各单位就根据信息系统定级的原则：“自主定级、专家评审、主管部门审批、公安机关审核”，进行定级。一般的地市级党校（院校）应该定为二级或三级。

2.备案

定级为二级以上的信息系统，由使用单位信息安全负责人填写《信息系统安全等级保护备案表》，单位盖章后到所在地设区的市级以上公安网安部门办理备案手续。

3.整改（建设）

根据网络安全法及相关文件要求，网络安全与信息化建设必须“统一谋划、统一部署、统一推进、统一实施”。也就是说信息系统（包括系统的安全测评在内）的安全建设必须与信息系统同步设计、同步建设、同步开通。但实际许多单位前期并没有严格按照此规定执行。往往是网络（系统）建设在先，安全建设在后。甚至有许多单位由于对信息安全重视不够，同时缺少资金，网络（系统）开通运营几年后，网络（系统）安全建设还没有完成，这是极不规范的，容易出现重大网络安全事故。当一个单位的安全等级确定后，必须根据相关法律法规及相关标准对照检查，开展安全建设整改。有许多同志认识上存在误区，一是错误地认为系统迁移到政务云上后，系统安全由云端负责，而云端一般是已经通过等保三级测评的，因此对系统的安全业主可以不必承担责任。二是错误地认为学校因为只剩下为数不多的系统，极端情况下可能只剩下接入网。因此，只要做一些访问策略防护即可，没有必须进行等保建设。

政务云是通过了等保三级测评，但是测评是对云及其网络环境所进行的。云端只负责云及相关网络的安全。在云端部署的系统的安全责任仍由系统所属单位负责。如，学校将学校网站迁移到云端后，网站所用虚拟服务器、操作系统、网络的安全由云端负责。但网站本身的安全包括内容安全、网页防篡改、后台访问等一系列安全问题仍由学校负责。而且这些安全实施起来和传统的不同，涉及的技术将更加复杂。

学校将系统迁移到云端后，学校仍有一部分系统无法迁移，至少存在接入网络。等保建设不但涉及系统，新的2.0标准将网络（包括接入网络）也纳入了测评范围。同时，等保还涉及大量软环境的建设，包括安全组织、制度等等。

因此，系统迁移到云端后，等保建设照样要进行。同时，由于涉及多方，建设的复杂性可能更高，所投入资金也不一定就会更少。

4.测评

由业主单位聘请有测评资质的单位依据《信息系统安全等级保护基本要求》等技术标准，开展等级保护测评。实际操作时，因测评是按测评的系统数量进行收费的，一般选取单位2—3个重要或有代表性的系统进行测评。三级及以上系统每年必须测评一次。

5.监督检查

公安机关会定期开展监督、检查、指导。业主单位也应该按照安全要求加强信息系统的运行管理与监控。

（三）等保2.0的一些新特点

1.名称发生变化。原来等保的全称叫“信息系统安全等级保护”，现在称为“网络安全等级保护”，这样的叫法和“网络安全法”中的相关条文相一致。

2.新标准在内容有增加。特别强调了云计算、移动互联、物联网和工业控制系统安全扩展要求。

3.新标准的控制措施分类调整为8个（旧标准为10个）。

4.新标准在控制点和要求项上也有所缩减。

5.新标准在技术部分提出了更具体措施。

二、原环境下的网络结构与等保方案

（一）原校园网络结构

原校园网一般是以核心交换机为中心，向下通过光纤连接汇聚交换机，再通过接入交换机连接各终端。向上（外）通过路由器经专线连接至Internet。同时，学校还通过专有线路接入政务内网（与互联网物理隔离）。网络拓扑结构如图1。

（二）原網络结构等级保护需重点考虑的区域

在原网络结构下，等保建设时主要考虑以下区域：

1.有线接入区

一般的在有线接入区边界部署1台下一代防火墙进行网络边界的安全防护。主要实现：（1）边界防护：保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;（2）访问控制：①在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信;②删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化;③对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出;④根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;⑤对进出网络的数据流实现基于应用协议和应用内容的访问控制。（3）入侵防范：①在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;②在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;③当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。（4）恶意代码防范：在网络边界处对恶意代码进行检测和清除;维护恶意代码库的升级和检测系统的更新。

2.无线接入区

同样的在无线接入边界也部署1台防火墙，实现无线网络的安全，同时需要部署无线认证系统，通常通过短信认证的方式实现。

3.内网服务器区

在内网服务器区边界部署1台数据中心防火墙，能够防御来自内外部的Web威胁。防止各类入侵攻击手段，防止针对Web服务的例如SQL注入，跨站脚本攻击，网页篡改等攻击。能够监控网络内的Web业务的安全运行，全面把握安全状态，以便于及时的发现安全攻击，防止安全事件的发生。在内网服务器区部署终端检测响应系统，并在各个终端、服务器上安装轻量级的代理客户端，能够对病毒软件进行管控，同时实现对于主机安全-恶意代码防范的要求。可以提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息，保障终端、服务器的安全。

4.运维管理区

在进行等保建设时一般会增加一个专门的安全运维管理理区。通过部署日志审计系统、运维堡垒机、数据库审计系统、漏洞扫描系统等满足等保合规类要求。其中日志审计主要实现：（1）审计管理：①对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计;②通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。（2）集中管理：对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。

三、新环境下的网络结构与等保方案

新环境指的是系统迁移到云后的网络环境。

（一）新环境下的网络拓扑结构

新环境下，院校至少应有两张网。一张政务内网（办公网），其与互联网要求物理隔离。另一张为传统的校园网。

首先根据相关文件要求，各单位的办公电脑（办公网）必须与互联网物理隔离。一般的政务内网（政府办公网）提供有功能强大的OA。业主单位可以将办公网接入政务内网，利用他们的OA组建自己的办公系统，无需部署单独的OA系统。

政务云与互联网逻辑隔离，各单位一般通过政府外网专线接入政务云。政务云一般分有三个区：互联网区、专网区、公共区。

互联网区主要部署面向公众的应用系统。普通公众通过互联网进行访问。典型的如网站，网站可以有自己独立的域名。

专网区主要部署本单位的应用系统。只有本单位特定用户才能访问，普通用户是无法访问的。可以通过VPN或专网进行连接。典型的应用，如校园的录播系统，只允许校内用户访问。

公共区主要部署几个单位共用的应用系统。只有特定单位的特定用户才能访问。一般通过政务专网进行连接。典型应用如院校的教务系统，除了校内用户访问外，组织部的相关科室也能够访问。

有些应用较为复杂，如，培训管理。其中有些功能需要开放给普通用户，如网上报名。有些功能只开放给管理者，如，教学安排等。这样的应用可能要部署在多个区，多区之间可以通过防火墙、网闸等安全设备进行逻辑隔离。新的网络结构如下：

1.政务内网（办公网）

其拓扑结构见图2。

2.校园网

其网络结构见图3。

（二）等保建设需重点考虑的几个区域

1.政务内网接入区

此区要求与互联网物理隔离。电脑接入此区后，不得搬移到互联网在使用。此区的安全主要要防止非法接入。

2.校园网互联网接入区

此区就是原来校园网的互联网接入区，应按照原来的安全要求进行等保建设，最少必须配备上网认证系统、上网行为管理、防病毒系统及防火墙等。

3.校园网服务器区

主要为不能迁移的应用系统而保留。它的建设标准和原来校园网的服务器区是一致的。

4.管理控制区

此区主要用于政务云上各系统的后台操作与管理控制。安全主要是解决准入问题。

5.云端

系统部署上云后，仍然需要进行等保建设。如，数据库审计、网页防篡改等。但其配置与部署和传统安全建设不同，基本为虚拟机，由云端提供。

四、几个需要注意的问题

（一）地址划分问题

一般政务云服务分配给各单位的地址段为10.*.*.*。为避免地址冲突带来的问题，各单位网址地址最好采用192或172地址段。如果发生地址冲突，需进行地址转换，网络维护量将大大增加。

（二）接入线路与带宽问题

接入线路一般由各大电信运营商提供，但不可能免费。因此，需要考虑带宽问题。一方面要考虑业务需要，另一方面要考虑经济成本。

（三）专用系统是否迁移问题

有些系统的应用只限于院校。对于这些系统是否迁移需要综合考虑。首先要考虑技术上是否可行，有些系统可能不能运行在云的环境，这类系统就无法迁移。其次，迁移到云端省下了服务器的费用（包括服务器运维费用），但管理较为不方便，同时需要支付云端租赁服务费。另一方面，有些应用系统特别是视频服务类的，需要很大的带宽，如果迁移到云端，每月的通信传输费用将会是一笔不小的负担。

五、结语

计算机信息安全责任重大，单位领导是第一责任人。国家高度重视信息安全，《网络安全法》明确规定必须实行网络安全等级保护。网络安全等级保护是一项投入较大、技术较为复杂的工程。另外，信息安全是相对的，不存在绝对的信息安全。单位领导、安全负责人、技术人员必须按网络安全等级标准，在资金投入、安全要求、使用便捷、信息共享等方面寻求平衡，制定出符合本单位实际的信息安全方针、策略及具体实施办法以确保本单位的信息安全。

参考文献：

[1] GB-T 22239-2019《信息安全技术网络安全等级保护基本要求》.

[2] GB/T 28448-2019 《信息安全技术网络安全等级保护测评要求》.

[3]付永钢，洪玉玲，曹煦晖，陈杰，刘年生.计算机信息安全技术（第2版）[M].北京：清华大学出版社，2017.

[4]王昌明.如何开展信息系统网络安全等级保护工作[N].中国信息化周报，2020-07-27.

[5]邢东旭，曹永宁.电子政务信息系统安全防护架构分析[J.]内蒙古科技与经济，2020（6）.

作者简介：童长卫（1965—），男，汉族，福建永定人，工程师，本科，主要从事计算机网络与计算机安全研究。