等保2.0下高校网络安全主动防御体系建设方向探析

孔垂煜

等保2.0下高校网络安全主动防御体系建设方向探析

孔垂煜

（福建莆田学院，福建 莆田 351100）

伴随着物联网、人工智能、云计算、大数据等互联网技术的飞跃式发展，旧标准也已经难以满足如今日新月异的网络环境下的安全要求，高校所面临的网络环境愈发曲折多变，随之而来的是网络安全形势也愈发复杂严峻。论文介绍了互联网安全等级保护不断完善进步的发展历程，解析讨论了等保2.0标准相对于1.0的差异改变，最后以互联网安全等级保护2.0的新要求为基础，深入分析了未来高校网络安全主动防御体系的发展前景和建设方向。

网络安全；主动防御；建设方向

自2015年始，为了逐步满足物联网、移动互联、云计算等互联网新应用、新业务的安全防护要求，我国开始着手制定互联网安全等级保护的2.0要求标准。相较于以前使用的1.0标准中的被动防御，如今应用的2.0标准采取的是主动防御的模式来进行系统防护。下文就等保2.0下的高校网络安全主动防御体系发展前景和建设方向进行了探讨。

一 互联网安全等级保护2.0

（一）互联网安全等级保护的发展历程

在世界互联网技术的飞跃式变革发展的科技背景下，我们必须对愈加严峻的互联网安全问题予以高度的重视、规范和防护。针对此种现状，西方部分发达国家及时展开了行动，为了达到对各行各业的互联网信息安全工作都进行科学指导和严格管理的目的，西方各国针对互联网安全等级保护的实际要求，根据各行各业互联网信息系统的重要程度，将其分为不同的安全等级，最后制定了一整套针对互联网安全等级保护的网络政策和防护标准。考虑到我国当前的网络安全形势和实际网络环境，紧随其后，在1994年，国务院签署下发了《中华人民共和国计算机信息系统安全保护条例》，该基本条例为我国互联网信息安全保护工作的开展提供了纲领性和决定性的指导。随后在经历了十几年的互联网环境的探索和剖析之后，我国又相继制定了一整套从计算机系统的定级再到互联网安全等级保护的测评的从中央到地方的网络法规政策，在这些法规条例的规范下，我国的网络安全工作正向着积极健康的方向稳步发展。

伴随着《中华人民共和国网络安全法》在网络生活中的推进实施，以及各类互联网安全等级保护相关标准规定的出台，全国各行各业的互联网部门及网络监管部门积极响应国家政策，按照国家出台的标准要求各行业的网络安全系统实行先定级后测评的操作流程，建立、健全各行业的网络信息安全管理制度，迅速响应落实国家要求的各项安全保护技术措施，主动开展各行各业信息系统的互联网安全等级保护工作，维护好互联网信息安全环境。

（二）互联网安全等级保护标准2.0与1.0的区别

1.标准名称的变化。为了与《中华人民共和国网络安全法》中的相关法律法规名称保持相同，互联网安全等级保护标准2.0改为《信息安全技术网络安全等级保护基本要求》，而旧标准等保1.0被称为《信息安全技术信息系统安全等级保护基本要求》。

2.标准内容的变化。过去的互联网安全等级保护1.0标准要求使用IDS、防火墙、杀病毒来被动防御，而最新版本的等保2.0标准要求系统防护要由主动防御替代被动防护。为了逐步满足物联网、移动互联、云计算等互联网新应用、新业务对当前互联网环境的安全防护要求，互联网安全等级保护2.0标准要求在安全扩展和安全通用这两方面有所革新。在这之中，安全扩展的要求可以分为移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求和云计算安全扩展要求这几类，注重在移动互联、物联网、工业控制和云计算这几个新领域、新环境应用的个性化需求，而安全通用则注重的是共性的互联网安全保护需求这一部分。

3.控制措施分类结构的变化。在技术要求和管理要求层面上，过去的互联网安全等级保护1.0标准的控制措施可以分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理十类，相较之下，等保2.0标准的控制措施缩减调整为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理八类。

4.标准控制点和要求项的变化。同过去的互联网安全等级保护1.0标准比较，等保2.0标准在控制点要求上没有发生太多改变，反而在经过对旧标准中几项相关要求的整理合并后，新标准的控制点和要求项在数量上反而有所缩减，如等保2.0新标准的三级控制点就由73个缩减为71个，三级要求点则由290个缩减为231个。

5.等保2.0技术部分变化简析。为了更好地满足物联网、移动互联、云计算等互联网新应用、新业务对当前互联网环境的安全防护要求，相较于着重于安全防护的等保1.0旧标准，互联网安全等级保护2.0标准针对快速响应、持续监测以及威胁情报这几类的要求进行深入剖析，给出了具体的指导思路和详尽的防御执行措施。

与旧标准进行各方面的分析比对，互联网安全等级保护2.0标准更加适用于当前迅猛发展的新型复杂的网络应用环境，并为此给出了实用、周密、全面的指导思路和切实可用的网络安全建设标准，我们可以自豪地说新标准的改革创新在各方面都相当显著。为此，我们应当把网络安全等级保护标准落实成为重要的指导思路和建设依据，在满足《中华人民共和国网络安全法》相关法律条文要求的基础上，主动建立网络安全等级保护的防御制度，在应用中锻炼互联网信息系统的网络安全综合防御能力，构建出一系列求全完备的网络安全防御体系。

二 高校网络安全主动防御体系建设

作为最传统有效的网络防护安全设备，网络版杀毒软件和防火墙都提供着最基本的网络安全防护，对于高校网络环境来说它们是不可或缺的。网络版杀毒软件在保护计算机不受蠕虫、病毒、木马等入侵干扰的同时，对其它网络病毒的入侵干预也具有一定程度上的安全防御能力。防火墙部署在高校的公共网与专用网之间、广域网和局域网之间的边界上，可以有效避免非法用户入侵内部网络。传统的安全设备作为互联网主动防御安全体系的坚实基础，高校千万不能对传统基础弃之不顾。除此之外，防毒墙也具有过滤病毒，扫描网关传输数据流，阻止病毒借由网络传输过程由网关处入侵内部网络的重要作用，因此，除了网络版杀毒软件和防火墙之外，高校在网络安全主动防御体系的建设中，设置防毒墙也是很有必要的。

（一）主动阻断攻击

学校的网络安全防护部门都希望一旦检测到病毒入侵攻击就能立刻阻断网络传输以避免造成更大的损失，难以忍受等到关键的网络信息系统遭受到病毒攻击，产生难以弥补的损失后再来进行收效甚微的事后补救。针对这种实际需求，高校网络安全主动防御体系建设要求在网络入侵防护这一方面，能够在发现病毒入侵的同一时刻，及时主动地有所响应反应并立刻隔离阻止入侵过程。作为一项极为高瞻远瞩的安全防御机制，入侵防御系统完美顺应了网络安全保障体系中安全功能融合的主流趋势，它不是在网络流量活动传输恶意数据的同一时间或者在此之后，简单地做出警报应对，而是可以检测出日常网络流量中传输的恶意数据流、前瞻性地主动拦截可能发起攻击的恶意流量、阻止入侵病毒的肆虐活动。在互联网安全等级保护2.0标准的背景下，入侵防御系统作为高校网络安全主动防御的关键技术，已经成为了主动防御安全体系不可或缺的重要组成部分。但我们不得不承认的是，目前各大高校网络安全主动防御体系中的入侵防御系统依然存在着很多不足之处，诸如误报率高这一问题就会严重影响到学校日常的网络业务运行。误报率过高会阻隔后续运行过程中的数据包正常传输，最后不管数据量正常还是异常，都会直接导致后续的服务被拒。因此各大高校应当结合学校需要的网络业务的实际情况，从实际情况出发对防护策略进行合理的配置和优化，尽最大可能来降低IPS的数据误报率。

（二）明确接入系统的人员身份

在互联网安全等级保护2.0新标准的背景下，高校网络安全主动防御体系建设中的准入系统也发挥着非常重要的作用。该系统要求了解接入系统的人员身份，不管是学生、老师，还是安全系统维护人员，要对接入人员的身份有着准确的认知，避免学校内网中违规的对外联络的事件发生，以此种方式来保证高校后续网络防御工作的安全措施及安全运行维护能够正常开展。高校网络安全主动防御体系建设中的准入系统落实到日常的工作开展中，应当以部署安全设备，诸如堡垒机和双重因素认证等作为基础，对接入人员的身份采用高可靠性和高安全性的准入身份认证模式进行认证，以此确认接入网络用户身份的可靠性，同时也确保了唯一的网络出口，严格控制了高校内网越权访问及非法访问的事件发生。

（三）及时发现并修补漏洞

由于互联网系统自身就存在着许多缺陷漏洞，这些缺陷漏洞很容易就可以被病毒捕捉和利用，因此我们的网络会经常性地受到攻击入侵。但对于学校而言，网络系统上存在的绝大多数的缺陷漏洞不光是易于病毒捕捉，我们也可以事先知晓。为此高校可以预先采取主动防御措施，定时更新网络漏洞库，利用漏洞扫描器有规律地定时扫描网络及网络中的网络设备和网络终端，及时识别出最新型的网络漏洞并对其进行修复防护。

（四）数据库主动防护

在互联网安全等级保护2.0新标准背景下，高校网络安全主动防御体系建设中最后一个提到的基础设施是数据库防火墙。数据库防火墙作为最为基础、直接、高效的数据库防御工事，已经逐渐受到了各大高校的关注。等保1.0旧标准应用操作审计、被动类型的设备，与之对应的方案是配备日志库审计、数据审计类设备，而这些设备，显而易见的，已经不符合等保2.0标准下安全防护模式所制定的主动防御的要求。数据库防火墙基于数据库协议分析与控制技术，应当部署在数据库服务器前，采用主动防御的安全防护机制，利用语句拦截和中断会话两种方式来实现高校网络安全中的威胁防御。

（五）定期的安全服务

除了部署主动防御的安全设备这种基础性措施以外，高校网络安全主动防御体系的建设也需要很多定期定时的安全服务，从服务类型上主要可以分为以下三类：

1.渗透测试服务。该安全服务是由学校的网络安全维护人员扮演模拟黑客行为，站在黑客攻击学校网络的角度，采用可能的漏洞发现技术和攻击技术来入侵攻击学校网络安全防御体系，以主动攻击的方式深入探寻测试目标系统在黑客打击下的高校网络安全防护能力能否经得起考验，以渗透测试的服务方式探测出目标系统整套高校安全防护过程中较为薄弱和易于打击入侵的环节，排查出学校网络中存在的缺陷漏洞。

2.安全测试服务。该安全服务是在系统运行正式的业务之前，对高校运营的信息系统进行深层次、多角度、全方位的安全测试，以此种方式找寻学校网络安全主动防御体系开发和程序设计过程中没有考虑到或者是无意中忽略的安全问题和隐患，安全测试服务能够有效地控制系统上线自带病毒隐患的安全风险。

3.安全运维服务。互联网信息系统在运行的过程中总是会遇到许多新型的复杂多变的安全威胁，与此同时，安全系统自身的脆弱性也不断遭受着检验，随着高校信息系统的运行时刻发生着改变。因此在系统运行的期间里，高校安全运维服务应当时刻注意目标网络及信息系统，对其进行定期的代码安全审计、安全加固、脆弱性检查、安全巡检、漏洞扫描、策略检查等防御检测措施，及时查缺补漏，力求扫描出潜在的安全隐患，同时安全运维服务也要加强安全策略的优化制定，采取合理高效的安全技术主动防御措施，以实际的眼光考察学校内网信息系统安全的防御能力，考虑到检测、防护和恢复三个方面，组合起良性的闭环系统，并以此建立起高效的安全防护机制，为高校网络信息系统的数据、业务和网络提供不间断的可靠的安全保障。

除了以上提到的三种安全服务之外，对于高校的网络系统管理，我们建议采用诸如三权分立这种安全、可靠、稳妥的管理策略，预先多重授权多个用户，防止设立超级管理员权限所造成的其在重要操作上的一家独大问题。

三 结 语

历经了长时期、多方面、多层次的千锤百炼，各大高校的网络安全等级保护制度已经在等保2.0标准下成长起来。目前来讲，各大高校网络运营人员的任务就是要深入剖析理解网络安全法的国家标准，同时把理论与实际相结合，立足于实际网络环境和学校情况，通过建设一整套本文所述的网络安全主动防御体系，认真做好学校内部的网络安全防御工作。

[1]杨超.等保2.0下网络安全主动防御体系建设方向探析[A].中国新闻技术工作者联合会.中国新闻技术工作者联合会2019年学术年会论文集[C].中国新闻技术工作者联合会, 2019:98-103.

[2]朱圣才.等保2.0框架下高校网络安全体系建设[J].网络空间安全,2020(4):14-18.

[3]裴建廷,于谦,孙斌,王金民.基于等保2.0高校网络安全主动防御体系建设探析[J].信息通信,2020(2):166-167.

G201

A

1673-2219（2021）02-0066-03

2020－10－30

孔垂煜（1982－），男，福建莆田人，福建莆田学院实验师，研究方向为计算机网络。

（责任编校：张京华）