◆陈华清
(中山开放大学 广东 528400)
当前大数据、人工智能、云计算、物联网、虚拟技术等信息技术的高速发展,促进在线教育和教育领域信息化迅速发展。开放大学是以现代信息技术与远程教育深度融合为支撑,满足全体社会成员终身学习需要为目标的新型高校。随着开放大学承担的终身教育规模不断扩大,在线学习人数不断增多,对网络安全的要求也越来越高。基于网络安全等级保护2.0 构建开放大学网络安全体系,为学习者提供安全可靠的网络环境是至关重要的。
2019 年5 月,国家标准化委员会发布了包括《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护安全设计技术要求》的网络安全等级保护2.0 国家标准体系(以下简称等保2.0 标准),推动了新形势下网络安全等级保护工作。
网络安全等级保护制度是国家网络安全工作的基本制度,是履行安全保护义务、保障网络免受破坏、防止网络数据被窃取篡改的基本方法,等保2.0 具有以下特点。
(1)等级保护的对象更加广泛。等级保护2.0 的对象更加广泛,包括基础信息网络、物联网、信息系统(含采用移动互联技术的系统)、大数据应用/平台/资源、云计算平台/系统、工业控制系统等。
(2)构建了统一的网络安全体系结构。等保2.0 标准采用系统化的设计方法,贯彻纵深防御和精细防御的安全保护理念,构建“一个中心,三重防护”的网络安全体系结构,形成了在安全管理中心统一管理下,安全计算环境、安全区域边界、安全通信网络层层防护的综合保障技术体系,规范了信息系统等级保护安全设计技术要求。
(3)强化了可信计算技术的运用。可信计算是基于密码的计算机体系架构安全技术,等保2.0 标准将可信计算技术的运用贯穿到各个安全保护级别,在安全计算环境、安全区域边界、安全通信网络均提出可信验证要求,实现网络安全保护由被动防御转变为主动防御、动态防御,夯实网络安全等级保护。
2.2.1 等保2.0 标准的架构
等保2.0 构建“一个中心,三重防护”的网络安全体系结构,贯穿整体防护、精准防控、主动防御、动态防御的安全保护理念,形成安全通用要求+新应用安全扩展要求的架构,对各个级别的网络安全保护要求分为安全通用要求和安全扩展要求。
2.2.2 等保2.0 标准的内容
(1)安全通用要求
(2)安全扩展要求
安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。等保2.0针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。
随着开放大学在线学习者规模越来越大,与互联网技术进一步深度融合,学习过程和课程资源等数据不断增加,学习者信息化知识水平参差不齐,网络安全意识不强,网络安全问题越来越突出。
在网络安全管理方面存在重视力度不足、落实等级保护制度2.0 情况不佳、管理职责不明确、管理制度不完善、人员安全意识薄弱等问题。
2.1.1 网络安全重视力度不足
网络安全设备设施不足,主要依靠防火墙设备,而上网行为管理系统、防病毒网关、安全审计系统、态势感知系统的应用率很低,防护类型单一。
2.1.2 落实等级保护制度2.0 情况不佳
等级保护制度2.0 在2019 年开始实施,开放大学未能及时落实等级保护制度2.0 标准开展等级保护测评。
2.1.3 网络安全管理不到位
(1)网络安全管理制度不完善。开放大学只有日常管理规范和操作表格,管理制度不够完备,没有跟随国家相关法律法规尽快出台相应的日常管理规范和操作规程。
(2)网络安全管理职责不明确。网络安全专职人员的配置无法满足工作的需求,网络安全管理机构职责不够明确,网络安全管理制度没有发挥作用。
(3)网络安全管理人员安全意识薄弱。网络安全管理人员持有相关证书的人数偏少,缺乏足够的网络安全培训,安全意识和业务能力没有保障。
当前基层开放大学网络安全形势严峻,主要是网络探测与攻击、DDoS 攻击增多、校园网内部漏洞多等。
(1)校园网内部存在漏洞。
校园网中各种网络设备存在系统漏洞和缺陷,入侵者利用这些漏洞进行非法操作。
(2)基层开放大学网络应用系统容易受到攻击。
为满足基层开放大学办公、教学等方面的需求,校园网内搭建了教务管理等应用网站,攻击者利用应用网站漏洞上传木马病毒。
(3)受到分布式拒绝服务(DDoS)攻击快速增长。
基层开放大学的教务管理系统、数字图书馆、办公OA 等应用都在互联网线上开展,不法分子运用分布式拒绝服务攻击方式,无限制消耗系统和网络资源,使得学校无法向学习者提供正常服务。
(4)校园网内网络病毒、木马程序层出不穷,蔓延迅速
开放大学校园网用户规模大,因用户安全意识淡薄,没有使用杀毒软件,造成网络病毒、木马程序泛滥。
网络安全等级保护2.0 国家标准体系已发布实施,基层开放大学应严格按照“一个中心,三重防护”的理念,构建包括网络安全管理体系和网络安全技术体系的网络安全体系,为学习者提供安全可靠的网络环境。
要做好开放大学的网络安全工作,关键是做好网络安全管理工作,全面提升“三分靠技术、七分靠管理”的意识,要按网络安全等级保护2.0 国家标准体系的第四级安全要求,建设网络安全管理体系。
3.1.1 建立完善的开放大学安全管理制度体系
开放大学建立由安全策略、管理制度、操作规程、日常工作台账等构成的安全管理制度体系,一是安全策略方面,制定《网络安全工作总体方针》;二是管理制度方面,制定《网络安全事故处理及应急预案》、《数据备份与恢复管理规定》、《网络与系统安全管理规定》、《中心机房安全管理规定》、《信息系统建设管理规定》、《外部人员访问校园网管理规定》等;三是操作规程方面,制定《数字化校园系统操作手册》、《协同办公系统(OA)操作指南》、《信息系统运维操作规程》等;四是日常工作台账方面,在日常网络安全工作中,每项具体的事项应以台账的形式做好记录。
3.1.2 设立安全管理机构、打造网络安全专业团队
(1)设置网络安全管理机构
一是成立网络安全与信息化建设领导小组,由校长担任组长;二是成立网络安全及信息化办公室,职能是负责学校网络安全管理工作;
(2)加强网络安全人员管理,打造网络安全专业团队
一是制定学校岗位职责时,完善网络安全及信息化办公室岗位设置,设立系统管理员、专职安全管理员、安全审计员等岗位,并定义这些岗位的工作职责。
二是制定学校的人事管理制度时,明确网络安全管理人员的录用条件、资格审查、技能考核、离岗要求等,与录用人员签订保密协议,约定保密范围、保密内容等。
三是加强教职工网络安全培训,主要加强安全意识、基本安全知识、安全责任教育。
四是加强网络安全及信息化办公室人员的培训和考核,主要是网络安全专业技能方面的培训,半年进行一次技能考核。
3.1.3 加强网络安全运维管理
运维管理是网络安全日常工作最重要的部分,包括学校中心机房的管理、数字资产的管理、设备维护、网络与系统安全管理、安全事件的应急及处置管理、漏洞扫描及渗透测试等工作。
(1)严格落实《中心机房安全管理规定》,按等保2.0 标准配置中心机房的物理环境并定期维护管理,部署视频监控系统、门禁系统,建立中心机房出入登记台账,建立中心机房基础设施维护台账。
(2)高度重视全面网络安全检查工作。每年完成一次渗透测试、每半年开展一次漏洞扫描、不定期进行恶意代码检测等安全测评,建立安全测评整改台账,加强恶意代码防范,严格落实安全测评整改责任到人,快速准确排除安全漏洞和隐患。
(3)严格落实《网络与系统安全管理规定》,规范安全策略、账户管理、配置管理、日志管理、日常操作、升级及打补丁、口令更新周期等方面的管理,建立网络和系统运维台账,严格控制远程运维权限和运维工具的使用,做好审计日志的存档,加强密码管理,密码技术和产品务必要遵循国家标准和行业标准。
(4)制定《网络安全事故处理及应急预案》,明确不同等级安全事件报告及处理流程,明确跨单位安全事件报告和处置机制,规定统一的安全事件应急预案,高度重视应急预案演练,上下半年各开展一次应急预案演练,根据演练情况修订完善应急预案。
开放大学根据等保2.0 标准纵深防御和精细防御的安全保护理念,按照“一个中心,三重防护”的网络安全体系结构要求,结合开放大学的安全保障实际,推进包括安全计算环境、安全区域边界、安全通信网络等方面的网络安全技术体系构建。
3.2.1 重视网络基础设施的安全防护
网络基础设施的安全是网络安全的前提,一要做好电源线和通信线缆隔离铺设;二是做好中心机房的防盗窃、防破坏、防水、防火、防潮、防雷、防静电等措施;三是配备稳压器和UPS 后备电源;四是做好各教学楼的网络设备的安全。
3.2.2 根据等保2.0 标准,重新部署开放大学校园网安全通信网络体系
(1)重新规划学校校园网的网络拓扑,调整路由器、交换机和防火墙等部署,确保关键设备的硬件冗余和通信线路冗余。
(2)结合校园网络和信息系统应用的实际,采用VLAN 和防火墙技术,重新划分学校的网络系统区域,并在各区域之间部署网络安全设备,设置安全策略,确保不同区域之间完全隔离,保障各区域的安全。
3.2.3 加大投入,构建完善的安全区域边界
一是根据等保2.0 标准要求,部署IDS/IPS、防病毒网关、WEB 应用防火墙、资源监控系统、上网行为管理系统、堡垒机、抗DDoS 攻击系统、日志审计设备、VPN 上网设备等,及时做好系统升级和规则库更新,提高网络安全防护能力。
二是在防火墙部署安全策略,完成互联网与校园网、校园网内部之间的访问控制等。
三是在网络安全设备中设置安全策略,监测和阻止端口扫描、木马攻击、拒绝服务攻击、缓冲区攻击、网络蠕虫攻击等。
3.2.4 加强技术保障,建设安全计算环境
开放大学着重建设身份鉴别、安全审计、入侵防范、数据完整性、数据保密性、数据备份恢复、个人信息保护等安全计算环境。
(1)用户身份鉴别是设备和信息系统安全的最重要防线之一。一要严格按照等保2.0 标准要求,设置网络设备和信息系统的口令,不得保留设备出厂默认口令,不能存在弱口令;二要定期更新网络设备和信息系统的口令,三个月更新一次;三是使用各种技术达到双因素身份鉴别方式;四是加强系统管理员账号管理。
(2)加强访问控制和网络安全审计。在网络中部署堡垒机系统、数据库审计系统、综合日志审计系统,加强操作全过程的审计,加强访问核心数据库的审计,采集学校服务器、网络核心设备、网络安全设备的系统日志,全面审计信息系统整体安全状况。
(3)提升数据完整性和保密性保护技术能力,避免数据泄漏事件发生。一是应用密码技术保障学校的数据传输和存储的完整和保密,避免关键信息以明文形式存储;二是加强数据备份工作,建立异地灾难备份中心;三是切实落实《中华人民共和国个人信息保护法》,严格落实学习者个人信息的安全保护。
开放大学应按照等保2.0 标准的规范,严格落实信息安全等级保护制度,部署网络安全设备、配置安全的策略,完善各项安全管理制度,从网络安全管理体系和网络安全技术体系两方面落实网络安全责任制,为学校的高质量转型保驾护航。