等保2.0时代高校等级保护工作的思考与研究

◆付中华

等保2.0时代高校等级保护工作的思考与研究

◆付中华

（黑龙江安衡讯信息安全测评技术服务有限公司 黑龙江 150000）

对高校信息管理系统的等级保护可以有效促进其管理效率，保障信息安全。为适应当前公安部等保2.0标准的推行要求，满足高校信息保护的现实需要，本研究阐述了高校落实等保2.0标准的必要性，梳理了应用该标准的工作流程，提出了高校网络安全建设的主要工作内容。本文为等保2.0时代的高校信息安全建设工作提供参考。

信息安全；等保2.0；教育信息化；高校信息管理

1 引言

近年来随着互联网技术的高速发展和在经济建设与服务生活领域的普及，信息安全面临的风险得到越来越多的社会关注。但现阶段，大多数高校对校园网络安全和信息安全的重视程度仍有待提高，由于人员安全意识薄弱及系统防护水平有限等，高校的网络安全建设工作应将立于更重要的位置上。《教育信息化2.0行动计划》是教育部制定的现阶段相关工作的指导性文件[1]，其将教育信息化带入了新的发展阶段，要求全面提升教育信息化发展水平，网络安全工作贯穿整个教育信息化建设的始终。

公安部制定的《信息安全技术网络安全等级保护基本要求》（简称“等保2.0”）于2019年12月1日起正式实施[2]，标志着我国网络安全工作迈入了动态防御、整体防控的崭新时代。等保2.0标准的全面推行成为我国网络安全技术的又一次革新。

当前面临“教育信息化2.0”和“等保2.0”的共同实施阶段，从保障高校信息系统安全的角度，以“等保2.0”为抓手和依托，切实提高高校信息安全防护水平及能力。但现阶段“等保2.0”标准在高校信息防护工作中的必要性的认识尚未统一，工作流程与工作内容也有待明确，本文将基于此现状展开研究与阐述，以期为“等保2.0”标准在高校信息安全防护工作的实施中提供参考。

2 落实等保2.0的必要性

首先，落实等保2.0是法律法规的要求。根据《中华人民共和国网络安全法》第二十一条规定：国家实行网络安全等级保护制度[3]。高校在教育信息化建设的过程中，将信息安全技术应用于教学、科研、生活和管理，为师生提高科研和管理效率的同时，也面临着诸多的安全事件及风险，落实等保2.0在符合国家标准及提高安全基准方面尤为重要。

其次，落实等保2.0是行业要求，教育部明确要求教育机构的信息系统要开展等级保护工作。为适应互联网新兴技术的不断涌现，“等保2.0”制度将落实网络安全等级保护标准的保护对象扩大外延至云计算、大数据、移动互联网、物联网及工业控制等信息技术。同时还提高了达标线标准，对于开展“等保2.0”测评的高校，规定70分以上且不存在高风险项才算基本符合要求，测评要求更加严格。总体来说，“等保2.0”针对新的网络技术发展态势和安全形势提出了新的要求。

最后，落实等保2.0是高校信息系统的安全需求。高校作为承担特殊社会、经济和政治角色的社会机构，其网络与信息安全也具有重要的社会价值。针对高校的信息安全实施等级保护工作，可以及时发现其安全等级与国家安全标准间的差距，并评估当前信息系统运行中存在的安全隐患，提出相关整改方案并推进执行，从而提高高校信息安全防护能力，控制信息系统被攻击的风险。

3 基于“等保2.0”的高校等保工作流程

通常，落实“等保2.0”制度执行网络安全等级保护工作包括：定级、备案、等级测评、建设整改和监督检查五个阶段[4]。具体到高校开展相关工作的各阶段如下：

定级，高校信息系统的定级，在等保2.0时代有了新的要求，用户不允许自主定级，对拟定为第二级以上的信息系统和网络，运营使用单位应当组织专家评审会，形成专家评审意见，如果存在上级主管部门，则还需要报请主管部门审核。高校的定级工作以《教育行业信息系统安全等级保护定级工作指南（试行）》[5]和《信息安全技术网络安全等级保护定级指南（GB/T 22240-2020）》[6]为指导，参照高校的规模、测评系统类型及对社会的影响等三个维度来确定信息系统遭到破坏后，对业务信息及系统服务侵害的客体及客体侵害的程度，确定信息系统安全等级保护等级。

备案，高校定级为第二级及以上的信息系统要将备案表中所需的内容填写完整，在定级评审工作完成后的10个工作日，到对应的公安机关提交备案材料，待审核完毕后下发备案证明。

等级测评，对高校已建成的信息系统按照政策规定还应当进行等级测评工作。等保2.0测评工作的开展参照《信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）》[S]、《信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）》[S]、《信息安全技术计算机信息系统安全保护等级划分准则（GB 17859-1999）》[S]、《信息安全技术网络安全等级保护测评过程指南（GB∕T 28449-2018）》[S]等相关标准实施。高校对定级为第三级以上信息系统每年至少开展一次网络安全等级测评工作，测评中形成的安全问题汇总及风险分析，能够为信息系统的整改提供抓手。

建设整改，高校根据测评报告和整改建议，对信息系统的问题汇总及风险分析中的高危风险进行针对性整改，使高危风险问题被有效解决或控制，从而符合等级保护标准要求。

监督检查，高校所在地公安机关会依据信息安全等级保护管理相关法律法规对高校等级保护工作开展与落实情况进行安全检查。高校在公安机关的监督指导下，将等级保护工作常态化，营造良性网络安全生态。

4 “等保2.0”下高校网络安全建设基本工作

（1）建立科学有效的主动安全防御体系

“等保2.0”制度在网络安全工作思路上由被动的、分层的防御向主动的集中防御及综合防控转变。建立注重统一策略的安全管理，主动防护的控制机制。以往是采用独立的安全设备组合，将防火墙、入侵防御系统、安全网关等安全设备集中到一起构建被动防御体系。等保2.0，高校注重“统一规划、新旧结合”的原则，对新旧安全设备进行统一调整部署。并采用态势感知系统进行预警，将反馈的威胁数据与网络实际信息进行分析比对，做好威胁定位及切断威胁工作环节，以保障发现威胁源头并进行及时解决。在整体安全建设方案架构中考虑到校园网安全检查、监测、预警和通报等防御过程，并设立以检测为主、预警和通报为辅的防御安全体系。

（2）落实网络安全责任制，制定科学的安全防护制度

加强学校网络安全工作，建立组织制度，成立网络安全工作领导小组，由高校领导任组长，各相关部门负责人为组员，统筹规划校园网络安全工作。

高校日常安全的保护通过定期巡检及实时监测相结合，制定《网络安全监测制度》并落实执行。做到及时发现并修补系统漏洞，对操作系统和基于Web的应用应及时更新升级，甚至网络架构层面也应根据实际情况与技术发展情况及时应对，综合排除网络安全隐患。

依据本校信息系统的实际情况，落实《教育系统网络安全应急预案》的要求，定期进行应急演练。

（3）落实“等保2.0”，加强网络安全教育培训

高校对网络安全管理员组织开展交流学习活动，强化专业技术人员的安全意识，拓展业务素质和能力，在对新的行业知识的不断学习中，全面提升网络安全防范技能和水平，避免不法分子从内部局域网实施网络侵害。

（4）建立适合高校的运维方案

高校信息管理部门在网络安全工作方面面临诸多的问题：人员短缺、技术人员的知识结构不完善，技术力量不足，导致无法解决新出现的网络安全问题；人员工作繁忙，导致无法保持对新的网络安全问题的创新和研究。然而高校作为安全责任的主体，技术人员要起到主导作用，且要做好日常运维工作。一种主要方式是部署统一规范、高效的安全运维管理平台对校园网中的网络设备和安全设备进行管理，方便院校管理人员随时了解网络安全状况。另一种主要方式是购买安全运维服务，针对高校的网络及系统定期进行漏洞扫描，策略检查，安全加固及日志分析等，通过安全运维服务，及时发现潜在的安全隐患，寻找有无被黑客攻击的痕迹，及时查漏补缺[7]。以上两种方案能够有效弥补学校在人员紧缺技术薄弱等方面的不足。

5 结语

本文将落实“等保2.0”及高校的网络安全建设工作相结合，以新的信息安全等级防护视域论述新时期高校网络安全工作中落实“等保2.0”制度的必要性，对高校网络安全工作的流程进行了详细的阐述，并结合高校现状指出了建设有效的安全防御体系的工作内容与思路，从而为提升高校信息安全防护能力和水平提供参考。

[1]蒋同甫. 二十一世纪大教育观——对终身教育思想诠释之一[J]. 北京广播电视大学学报，2006（02）：45-47.

[2]徐震.网络安全等级保护：从1.0到2.0[J].保密工作，2019（07）：63-64.

[3]全国人民代表大会常务委员会. 中华人民共和国网络安全法[Z]. 2016-11-07.

[4]李丹，杨向东，马卓元，马金玉.等保2.0视域下的网络安全工作思考[J].网络安全技术与应用，2019（10）：11-12.

[5]教育部办公厅. 教育行业信息系统安全等级保护定级工作指南（试行）[Z]. 2014-10-29.

[6]GB/T 22240-2020，信息安全技术网络安全等级保护定级指南[S].

[7]张磊.网络安全等级保护技术实现与分析[J].电子世界，2018（07）：186-187.