基于等保2.0高校信息化安全建设研究

马幸飞

引言：信息科技技术的高质量发展，带来诸多网络安全风险问题。在教育信息化的背景下，高等院校在信息化安全建设与管理中也存在诸多风险问题，其信息化安全管理能力还有待进一步提升，与现阶段等保2.0的标准存在一定差距，需要高等院校剖析问题所在，并制订及完善相应的信息化安全管理制度，以此全面推动高等院校网络安全建设。

在信息技术高速发展的大背景以及由教育部、财政部实施的中国特色高水平高职学校和专业建设计划的大力推进下，高校信息化建设进程因势加速发展。多元化的应用信息系统和互联网产品已渗透至高等教育的方方面面。在增强中国高等教育水平，顺应教育新形势，推动信息交换与资源共享的今天，信息化建设也产生更广泛的安全问题。诸如此类的问题时时刻刻威胁民众与社会，乃至整个国家的利益。因此加强对高校进行全面的信息化安全防护，保证网络信息系统的有序运行，成为现阶段亟待解决的关键问题。

1 等级保护2.0标准新要求

等保2.0全称网络安全等级保护2.0制度，其新要求涵盖安全物理环境、计算环境、管理制度、管理人员等几方面。较之于等保1.0，更加地注重全面主动防御、安全可信、动态感知和全面审计。另外对近年来取得长足发展的云计算、物联网、工业控制和移动互联网的安全等方面也有着明确要求，基本实现了对保护对象的全覆盖。

1.1 技術方面

第一，应用的物理环境，要求机房内应该配备电子门禁系统、安全控制系统、录像监测系统等；机房分区实施管理，并要设置防雷、断电设施装置，对电力电缆线路设置冗余或并联，针对突发停电的情形要有后备电源保护措施和紧急预案；并且应配备智能感知和采集系统，设置机房内对烟雾、高温等恶劣环境的自动感知与远程告警功能。第二，应用的计算机环境，应具备数据储存与备份功能，在身份验证中应有多重检验，加强对审核过程的权限控制，在关键环节上要做好入侵测试，并做好攻击性病毒入侵的安全管理工作，构建具有高保密性、高安全性、高应用性的校园网络数据中心，做好信息化管理工作。

1.2 管理方面

根据技术层面合理完善安全制度网络，建立专业的网络安全机构并配置专项管理力量。定时对软硬件设施及设备开展全面检查、记录备案，对管理职责进行严格审核，对特殊人员要签订保密合同或者责任书等。在运维业务操作中，对异地运维、运维更新、日常监控、外部授权和设备的更新等要进行严格控制与管理，健全审核流程，做好后期的信息登记与备份。外包运维服务应明确信息安全维护的具体要求，做到有据可依。

基于等保2.0高校信息化安全建设，符合安全教育的硬性标准，是保障教育信息化建设安全的重大措施，是贯彻落实国家信息安全保护的具体表现。实践证明，高校在进行等级保护实施的过程中不断提升信息系统安全防护能力，进一步加强了对信息化安全基础设施、信息系统建设与管理中的薄弱环节进行保护。能够对信息化建设进行合理、有效的引导，确保信息系统安全稳健运行，打造安全的教育环境，减少安全风险，防止安全事件发生。

2 高校信息化安全现状分析

2.1 技术方面

高校现阶段应用的信息安全防护设备主要是通过对外界病毒攻击的特征进行对等防御。对于像0DAY的病毒往往没有防御能力，而教育行业是走在信息发布前端的行业，也就成为了外界病毒攻击的重灾区，传统的安全设备难以对其进行有效防御。

（1）系统漏洞威胁

在信息化安全管理中，漏洞是其中一个关键的影响因素。由于硬件、软件自身的不足，或者设计者的疏忽，导致网络系统在未经许可下被访问，甚至盗取用户信息。如果不及时进行补漏或者更新完善，导致漏洞长期存在，成为潜伏危险，便会为网络黑客创造入侵机会。一旦入侵，损失惨重。

（2）病毒感染和木马传播

病毒与木马通常是通过程序恶意植入，进而损坏、清除用户计算机中的重要文件。而被恶意植入的计算机也可通过网络继续散播病毒。由于现在病毒和木马的隐蔽性较强，不易被人立刻察觉，因此无法及时与全面地估算其损害的强度与损失。

（3）网络垃圾广告与邮件

现阶段网络垃圾广告与邮件泛滥成灾。一些不法分子通过此类方式散播、传递病毒信息与不良信息。此类垃圾信息在一定程度上影响师生的生活质量，并浪费院校的网络资源。除此之外，垃圾邮件可能具有夹带攻击性病毒的风险，严重破坏计算机安全，无法有效保证师生的应用安全。

2.2 管理方面

高校信息化安全建设不仅要为全校师生提供各种应用服务，还要为诸多外来访客提供临时访问许可，用户数量庞大，用户信息素养与使用需求各不相同。诸多用户对互联网安全问题认识不高，安全意识淡薄，大量存在使用单一密码和弱密码，对违规网络、恶意软件等不良信息的识别能力薄弱，造成信息被盗用、网上欺诈时有发生。对高校信息化安全管理带来一定的难度。

（1）技术人员稀缺

术业有专攻，因此专业的事情需要专业的人员进行维护，但大部分高等院校缺乏专业管理人才。首先，教师缺乏相关的设备应用与管理经验。其次，专业人才引入力度不足，培养方式相对滞后，与新时代教育信息化的要求不符。最后，诸多高等院校缺乏网络安全管理实践基地，导致诸多青年大学生缺乏实践机会，无法全面适应多变的网络环境。

（2）管理制度缺失

现阶段，高等院校均制订相应的网络信息安全管理制度，不过此类制度的先进性与新时代校园建设不符，在教育新时代运行中不易贯彻执行。同时，诸多二级机构的信息安全管理者也是身兼数职，并未树立全面的信息化安全管理意识，并且由于工作人员调整频繁，不利于安全工作的整体开展。与此同时，缺乏应急演练与攻防实战。在处置安全突发情况中，往往反应滞后，处置不得当。

3 基于等保2.0高校信息化安全建设策略

诸多高校已初步建立校园网络信息安全管理体系，但该体系主要以被动防护为主，缺乏主动防御能力，且传统校园信息化安全防护设备缺乏全方面的资源协同能力，通过人工管理大量的安全数据，工作效率低下、反应缓慢，已不能应付当前日益变化的网络安全威胁。在等保2.0背景下，高等院校应转“被动”为“主动”，全面开展安全管理。

3.1 技术方面

信息化安全建设应根据等保2.0基本要求，进行整体、合理规划。目前高校均有多条出口链路。办公教学区网络出口一般都会采用教育网加运营商多链路方式实现网络负载均衡，而宿舍区采用学校监管运营商自主经营方式。经过长期的实践，信息化安全建设已逐步形成如下信息安全体系拓扑结构，如图一。

（1）校园出口区

其中出口防火墙设备作为第一道安全防线，首次部署时应严格控制出入规则和对外开放端口，对国家安全机构和组织提供的威胁地址设置黑名单。办公区因流量相对较小，可串接部署上网行为管理设备，制订流量策略、实施应用管控，对敏感字符实现过滤。通过认证软件实现实名认证，明确责任到每一个用户。

（2）服务器区

通过部署WEB防火墙有效阻止网络带来的各种攻击，初次部署时刻采用全部禁止方式，针对实际情况逐步开放端口和相应操作规则。部署统一防病毒软件，进行统一的病毒查杀与管理。如使用虚拟化服务器，可在内部安装虚拟防火墙，实现东西向病毒隔离。严格限制对外发布的信息系统，可通过反向代理设备进行资源统一发布，该设备一般带有一键断网功能，可在信息安全突发事件时进行一键断网，第一时间减少因威胁事件带来的负面影响。所有服务器、信息系统和数据库采用强密码策略，并强制定期更改，尽量避免使用默认用户名。

（3）安全旁路区

根据信息系统访问和管理需求，采用vpn方式进行访问与管理，所有服务器都应该通过堡垒机进行访问，留存用户的操作记录，以供发现威胁时进行溯源。通过部署IDS或态势感知工具来主动收集、分类、处理系统漏洞和威胁数据信息，利用大数据分析技术，通过对网络域中导致网络安全状况改变的各种原因进行分析处理，及时发现网络非正常访问，对网络风险情况做出预估与评估，形成合理的威胁信息共享体系，以保障网络运营的安全稳定性。

3.2 管理方面

高校信息化安全管理不应拘泥于技术应用层面，还可以在使用过程中，不断完善对安全运维管理体系的建设。通过建立一个全面的、针对性的安全管理体系，依托高质量的技术进行后期维护与跟踪。建立高等院校的网络信息化安全管理制度及相关文档，做为学校网络管理的实践基础，使学校安全工作可运行、可监测，使学校管理工作更加正规性、过程式。学校必须及早设立信息安全专人专岗，做好信息系统各类常规运维工作的同时，定期做好数据库和重要信息系统的数据灾备、操作系统漏洞修复工作。以及时发现潜在危险情况。加强与外界交流学习，与专门的安全科技组织协作，为高校提供安全技术咨询及保障等服务。

（1）人员管理

加大网络信息化安全团队的构建，打造各级政府多部门协同管理网络信息化安全共同体，并建立高效的联防联控。在管理、技能、监控、舆情等方面强化员工的网络安全技术培训，并明确个人岗位职责，制定相应培训制度，定期举办或参加专业人员相应的安全技术培训，有效推进高等院校的信息安全管理能力。同时建设二级信息安全管理队伍，开展安全技术培训，以健全学校内部有效的安全管理机制。与此同时，网络信息化安全教育普及全校师生，并定期开展安全管理教育。

（2）制度管理

安全管理制度的制定是高等院校信息化安全管理的重要保障，依據制度方可使安全管理工作有效开展。高等院校需结合实际应用情况，合理制定安全管理制度，并实行内部责任制，强化安全管理认知，进而改善高等院校的信息化安全管理能力。

以制度为标准，开展应急管理，提升指挥能力。信息化安全管理需以问题为中心，以主动化解事件，重视协同应用与管理预警，采用科学的检测策略，制订可行的考评手段，全面减少应用风险，防患于未然。同时也应该重视联动管理的应急机制建设，严格执行国家网络安全标准，对安全事故实施分级或分类管控。在事前做好应对预案，并进行紧急演练；事中迅速反馈情况，利用包括安全监测、信息共享、联系第三方、现场通报等的多渠道及时了解安全信息，以减少经营风险；事后总结经验教训，及时发现问题根源，防止再次出现，并借鉴经验教训，不断对后续风险监测评价。

3.3 网络安全意识方面

全面提高师生树立正确的网络安全意识认知，信息安全不仅仅是安全运维管理人员的问题，也关乎着每一个用户，是一项长期的、系统的工作，在技术层面和管理层面要并驾齐驱，以技术促进管理，第一，在管理的同时不断提升技术；第二，对内部安全不容忽视，用户关注的重点在外界因素，例如信息入侵、病毒攻击等，而忽视设备软硬件、操作人员本身的安全风险，如内部操作失误、信息泄露等；第三，风险可视化、可控化，信息化安全需要通过硬件与软件的加持，才得以运作，其中携带诸多风险因子，而此类风险因子又是长期存在的，信息化安全管理在于降低风险伤害，而不是杜绝所有风险，因此在管理中要做到可视化与可控化，发现问题及时发现并处理。

4 结语

在教育信息化时代，高校信息安全直接关乎教育工作的井然开展，也是学校未来信息化水平提升的重要保障。基于此，本文以高校信息化安全建设问题为背景，通过研究并分析了该安全问题，总结现阶段高校面临的信息化安全困境，以此建立等保2.0的防护管理体系。通过信息化安全管理体系的建设，促使全校师生树立正确的网络安全意识，为安全校园的建设保驾护航。

本文系无锡商业职业技术学院校级课题《基于等保2.0高校信息化安全建设研究》（KJXJ22418）。

（作者单位：无锡商业职业技术学院数据与信息化中心）