温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
2.0
高校
信息
安全
防护
体系
构建
研究
JIANGXITONGXINKEJI2023第2期江西通信科技等保2.0下高校信息安全防护体系构建研究赵怀玉南昌师范学院江西省南昌市赵怀玉南昌师范学院江西省南昌市330000330000摘要摘要:近年来近年来,随着教育信息化随着教育信息化2 2.0 0行动计划的颁布行动计划的颁布,以及以及“互联网互联网+教育教育”模式的持续推进模式的持续推进,高校信息化建高校信息化建设也迅速发展设也迅速发展,业务系统融合度越来越高业务系统融合度越来越高,网络攻击也越来越频繁网络攻击也越来越频繁,网络空间的安全问题形势越来越严峻网络空间的安全问题形势越来越严峻,随着网随着网络安全等级保护制度开始实施络安全等级保护制度开始实施,为高校网络安全建设工作提供了指南为高校网络安全建设工作提供了指南。本文依据等保本文依据等保2 2.0 0的防护框架的防护框架,以高校信息化以高校信息化系统建设为基础系统建设为基础,分析了信息系统的特点及安全现状分析了信息系统的特点及安全现状,提出了高校信息安全立体防护体系构建的方法和对策提出了高校信息安全立体防护体系构建的方法和对策。关键词关键词:等保高校网络信息安全等保高校网络信息安全0引言国内教育信息安全形势越来严峻国内教育信息安全形势越来严峻。20222022年年6 6月月,西西北工业大学发布声明北工业大学发布声明,称有来自境外的黑客组织和不法称有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件分子向学校师生发送包含木马程序的钓鱼邮件,企图窃企图窃取相关师生邮件数据和公民个人信息取相关师生邮件数据和公民个人信息,此次西北工业大此次西北工业大学遭受的攻击系具有美国政府背景的机构及其雇员所学遭受的攻击系具有美国政府背景的机构及其雇员所为为。当前网络空间的开放性和国际形势的复杂性当前网络空间的开放性和国际形势的复杂性,特别特别物联网物联网、大数据大数据、人工智能等新技术的应用使得网络空人工智能等新技术的应用使得网络空间安全性挑战加大间安全性挑战加大,大国博弈使得网络空间面临多重危大国博弈使得网络空间面临多重危机机,安全问题已经从单纯的信息安全上升到国家安全问题已经从单纯的信息安全上升到国家安全安全 1 1。国内信息安全等保标准日渐成熟国内信息安全等保标准日渐成熟。20072007年我国政年我国政府制定了府制定了信息安全等级保护管理办法信息安全等级保护管理办法,制定了物理制定了物理主机主机、应用应用、数据数据、传输安全标准传输安全标准,标志着等级保护标志着等级保护1 1.0 0的正式启动的正式启动。20192019年我国政府出台了年我国政府出台了信息安全技术网信息安全技术网络安全等级保护基本要求络安全等级保护基本要求等保标准等保标准2 2.0 0,统一了通信网统一了通信网络络、区域边界区域边界、计算环境安全框架基本要求与设计要计算环境安全框架基本要求与设计要求求,充分体现充分体现“一个中心一个中心,三重防护三重防护”的纵深防御思的纵深防御思路路,强化可信计算安全技术要求应用强化可信计算安全技术要求应用 2 2。该标准是监管该标准是监管部门合规执法检查的依据部门合规执法检查的依据,是我国网络信息安全标准制是我国网络信息安全标准制度的重要参考体系架构度的重要参考体系架构,由此标准衍生了诸多行业标由此标准衍生了诸多行业标准准,如政务行业如政务行业、交通行业交通行业、金融行业金融行业、通信行业通信行业、教教育行业等行业育行业等行业“等保等保”标准标准,等保制度已成为开展网络等保制度已成为开展网络安全工作的重要指导体系和制度安全工作的重要指导体系和制度。1现状分析1.1高校信息系统特点(1 1)服务用户群体庞大服务用户群体庞大据教育部数据据教育部数据20212021年我国高校数量年我国高校数量30123012所所,高校高校学生人数达到学生人数达到55355535.9 9万万,高校教职工高校教职工278278.5 5万万,高校信高校信息系统服务人数众多息系统服务人数众多 3 3。(2 2)信息化系统复杂信息化系统复杂高校信息化系统复杂度高高校信息化系统复杂度高,涉及教务涉及教务、科研科研、办办公公、安防等各方面安防等各方面,产品形态有软件产品形态有软件、硬件硬件、传感系传感系统统、网络设备网络设备,业务系统既有教学管理业务系统既有教学管理、实验平台实验平台,也也有科研管理平台有科研管理平台,还有师生校园生活的一卡通还有师生校园生活的一卡通、安防门安防门禁等系统禁等系统。(3 3)科技研究成果众多科技研究成果众多高等院校除了日常的社会人才培养高等院校除了日常的社会人才培养,还需要承担较还需要承担较多的科研工作多的科研工作,包含国家重点实验课题包含国家重点实验课题,部分课题成果部分课题成果涉及国家的科技创新战略方面涉及国家的科技创新战略方面,需要做大量的信息保密需要做大量的信息保密工作工作。1.2高校信息安全现状高校信息化经过多年的发展高校信息化经过多年的发展,建设了大量的信息化建设了大量的信息化系统系统,分散在不同地域校区分散在不同地域校区,随着移动终端随着移动终端、云计算云计算、物联网新技术的发展物联网新技术的发展,教育信息化系统越来越开放教育信息化系统越来越开放,边边1009-0940-2023(2)-42-444242网络信息安全界越来越模糊界越来越模糊,当前国际形势变化当前国际形势变化,安全威胁挑战压力安全威胁挑战压力越来越大越来越大,具体体现在以下几点具体体现在以下几点。(1 1)外部信息安全威胁严峻外部信息安全威胁严峻当前来自互联网信息系统的各种攻击类型众多当前来自互联网信息系统的各种攻击类型众多,如如黑客入侵黑客入侵、病毒木马病毒木马、拒绝服务拒绝服务、中间人攻击中间人攻击、密码攻密码攻击击、伪造网络伪造网络、端口扫描端口扫描、网络钓鱼网络钓鱼、电信诈骗等电信诈骗等,增增加了网络安全工作的防护难度加了网络安全工作的防护难度。网络攻击来源和动机呈网络攻击来源和动机呈现多样化现多样化,既有寻求刺激为目的既有寻求刺激为目的,也有寻求商业利益为也有寻求商业利益为目的目的,还有政治利益为目的还有政治利益为目的。外部攻击对校园网络和业外部攻击对校园网络和业务系统开展攻击务系统开展攻击,导致核心信息资产遭受攻击导致核心信息资产遭受攻击、数据泄数据泄露等问题露等问题,影响师生正常的教学影响师生正常的教学、科研和生活科研和生活。(2 2)内部信息安全设施薄弱内部信息安全设施薄弱一是校园内部普遍存在的计算机系统漏洞一是校园内部普遍存在的计算机系统漏洞,大部分大部分主机没有定期的补丁升级加固维护主机没有定期的补丁升级加固维护。二是物联网设施的二是物联网设施的防护不足防护不足,目前的防护主要针对网络目前的防护主要针对网络、服务器主机服务器主机,校校园涉及大量的物联网基础设施园涉及大量的物联网基础设施,有一卡通有一卡通、Wi-FiWi-Fi、教教学设备学设备、办公终端设备等办公终端设备等,这些基础硬件传感设备缺乏这些基础硬件传感设备缺乏有效的防护手段有效的防护手段。三是缺乏集中运维管理平台三是缺乏集中运维管理平台,以被动以被动防御为主防御为主,对于出现的系统攻击问题对于出现的系统攻击问题,需要花费大量的需要花费大量的时间收集分散各处的业务系统数据时间收集分散各处的业务系统数据,问题响应效率低问题响应效率低下下。四是内部防护能力不足四是内部防护能力不足,当前校园安全主要应对外当前校园安全主要应对外部攻击为目的设计部攻击为目的设计,内部访问通常以信任为主内部访问通常以信任为主,内网一内网一台主机被攻击或感染病毒台主机被攻击或感染病毒,校园内大量内网主机将遭受校园内大量内网主机将遭受攻击攻击,比如常见勒索病毒比如常见勒索病毒,曾在多所高校发生大范围传曾在多所高校发生大范围传播感染播感染。(3 3)内部信息安全管理不足内部信息安全管理不足一是高校信息化存在重建设一是高校信息化存在重建设、轻运维的问题轻运维的问题,信息信息化系统资源投入在购买硬件设施上化系统资源投入在购买硬件设施上,安全运营服务投入安全运营服务投入少少,无法保障长期的日常安全问题支撑无法保障长期的日常安全问题支撑。二是安全制度二是安全制度没有系统地制定没有系统地制定,没有参考等保标准系统的制定没有参考等保标准系统的制定,在开在开展安全工作时难以保证有效性展安全工作时难以保证有效性。三是安全人员数量和技三是安全人员数量和技能还不足能还不足,当前物联网当前物联网、云计算等新兴技术广泛应用云计算等新兴技术广泛应用,安全人员缺乏对新技能的认知导致防护能力不足安全人员缺乏对新技能的认知导致防护能力不足。四是四是安全防范意识不够安全防范意识不够,当前校园安全最大的问题是意识问当前校园安全最大的问题是意识问题题,特别是没有社会校验的学生特别是没有社会校验的学生,在个人信息保护在个人信息保护、连连接公共热点接公共热点、扫描二维码扫描二维码、点击不明邮件等常见安全问点击不明邮件等常见安全问题面前题面前,容易遭受攻击泄露个人信息容易遭受攻击泄露个人信息。2方法对策等保等保2 2.0 0的标准对现有高校信息安全问题提了供应的标准对现有高校信息安全问题提了供应对技术和管理手段对技术和管理手段,指导高校信息安全体系建设要朝着指导高校信息安全体系建设要朝着新标准靠拢新标准靠拢,通过严格落实等级保护工作通过严格落实等级保护工作,搭建安全保搭建安全保障体系障体系,对提升校园信息安全的治理水平有较大的意对提升校园信息安全的治理水平有较大的意义义。当前以等保当前以等保2 2.0 0安全防护体系为指导安全防护体系为指导,重点以安全重点以安全技术保障为基础技术保障为基础、以安全制度管理为指导以安全制度管理为指导、以安全运营以安全运营管理为核心管理为核心,建立完善的高校信息安全立体防护建立完善的高校信息安全立体防护体系体系 4 4。图图1 1高校信息安全立体防护体系高校信息安全立体防护体系2.1信息安全技术管理信息安全技术管理重点实现校园信息系统的主动防信息安全技术管理重点实现校园信息系统的主动防护要求护要求。主要包括安全管理中心主要包括安全管理中心、安全计算环境安全计算环境、安全安全区域边界区域边界、安全通信环境安全通信环境、安全物理环境五部分安全物理环境五部分。一是一是建设集中的安全管理中心建设集中的安全管理中心,实现安全系统管理实现安全系统管理、审计管审计管理的集中统一管理理的集中统一管理,该中心是整个安全运营运维的技术该中心是整个安全运营运维的技术平台平台,接入了校园教务接入了校园教务、科研等系统科研等系统,可以集中开展身可以集中开展身份认证份认证、安全审计安全审计、监控预警监控预警、安全补丁等工作安全补丁等工作。二是二是划分合理的安全域划分合理的安全域,结合高校业务特点可划分数据中心结合高校业务特点可划分数据中心区区、运维管理区运维管理区、DMZDMZ区区、终端接入区等终端接入区等,通过区域边通过区域边界隔离与访问控制实现分区安全管理界隔离与访问控制实现分区安全管理,将病毒传播或恶将病毒传播或恶意攻击限定在局部意攻击限定在局部。三是实现可信计算和通信安全三是实现可信计算和通信安全,通通过身份健全过身份健全、数据保密数据保密、链路加密等技术手段链路加密等技术手段,确保数确保数据在计算据在计算、传输环节实现数据的机密性传输环节实现数据的机密性、完整性完整性、可用可用性性。四是安全物理环境四是安全物理环境,通过机房通过机房、实验室各种硬件物实验室各种硬件物联设备监测预警联设备监测预警,及时发现和处置人为或自然系统及时发现和处置人为或自然系统灾害灾害。2.2信息安全制度管理信息安全制度管理重点提供校园信息系统的运营流信息安全制度管理重点提供校园信息系统的运营流程指导程指导。主要包含安全制度主要包含安全制度、安全机构安全机构、安全人员安全人员、安安全建设全建设、安全运维五个部分安全运维五个部分。一是系统地制定安全制一是系统地制定安全制4343JIANGXITONGXINKEJI2023第2期江西通信科技度度,结合高校现状和等保结合高校现状和等保2 2.0 0要求制定要求制定,确保内容完整确保内容完整性性,须包含高校日常运营须包含高校日常运营、重点保障重点保障、安全分工安全分工、安全安全检查检查、考核评价的各种规范考核评价的各种规范、流程等各方面要求流程等各方面要求。二是二是明确安全保障的资源要求明确安全保障的资源要求,设定安全机构明确安全管理设定安全机构明确安全管理的职位的职位、职责等要求职责等要求,设定安全人员明确安全人员要设定安全人员明确安全人员要求求、数量数量,指导制定相应的项目预算指导制定相应的项目预算。三是制定建设和三是制定建设和运维全生命周期规范运维全生命周期规范,包括定级备案包括定级备案、安全需求安全需求、安全安全方案方案、安全采购安全采购、安全测试安全测试、安全上线安全上线、安全维护安全维护、漏漏洞和风险管理洞和风险管理、备份与恢复管理等备份与恢复管理等,安全制度管理还需安全制度管理还需注意设置检查考核要求注意设置检查考核要求,确保制度有效落实确保制度有效落实。2.3信息安全运营管理信息安全运营管理重点确保校园信息系统日常运行信息安全运营管理重点确保校园信息系统日常运行安全性安全性。主要包括资产梳理主要包括资产梳理、风险评估风险评估、应急演练应急演练、漏漏洞扫描洞扫描、安全预警安全预警、安全加固安全加固、等保认证等保认证、安全培训等安全培训等工作工作。一是重点做好预防一是重点做好预防,开展校园服务器开展校园服务器、硬件硬件、网网络设备资产梳理络设备资产梳理,评估当前系统的风险评估当前系统的风险,并开展等保认并开展等保认证证,确定防护的安全等级确定防护的安全等级、配套的资源和应对措施配套的资源和应对措施,必必要时开展应急演练要时开展应急演练,通过漏洞扫描通过漏洞扫描、渗透测试发现系统渗透测试发现系统的薄弱点的薄弱点,及时优化安全问题及时优化安全问题。二是对日常已知威胁和二是对日常已知威胁和未知威胁开展分析未知威胁开展分析,及时获取互联网最新安全信息及时获取互联网最新安全信息,对对业务系统进行预警业务系统进行预警、加固加固。三是开展常规流程管理工三是开展常规流程管理工作作,如安全等保认证如安全等保认证、专项保障等工作专项保障等工作,满足各种管理满足各种管理要求规范要求规范。四是开展安全技能培训四是开展安全技能培训,通过培训不断提升通过培训不断提升运营团队的技术水平运营团队的技术水平,通过安全案例警示提升高校师生通过安全案例警示提升高校师生的安全防范意识的安全防范意识,为后续顺利开展安全工作提供支持为后续顺利开展安全工作提供支持保障保障。3结束语本文以高校信息化系统建设为基础本文以高校信息化系统建设为基础,总结了高校信总结了高校信息系统特点和现状息系统特点和现状,以等保以等保2 2.0 0技术体系为指导技术体系为指导,提出提出了三大信息安全应对措施了三大信息安全应对措施,涉及安全技术涉及安全技术、管理管理、运营运营方面方面,随着物联网随着物联网、云计算云计算、大数据等新技术的发展大数据等新技术的发展,相应的防护手段和人员水平要不断提升相应的防护手段和人员水平要不断提升,以保障高校信以保障高校信息系统长效安全运行息系统长效安全运行。参考文献 1 1 郎平郎平.网络空间安全治理的全球性困境与中国网络空间安全治理的全球性困境与中国对策对策 J J.国家治理国家治理,20212021.2 2 蔺旭冉蔺旭冉.等保等保2 2.0 0标准技术要求浅析与初步实践标准技术要求浅析与初步实践思考思考 J J.网络安全技术与应用网络安全技术与应用,20192019.3 3 王明亮王明亮.20212021年教育统计数据年教育统计数据.httphttp:/ 4 国家市场监督管理总局国家市场监督管理总局,中国国家标准化管理中国国家标准化管理委员会委员会.GB/TGB/T 2223922239-20192019信息安全技术网络安全等级信息安全技术网络安全等级保护基本要求保护基本要求 S S.北京北京:中国标准出版社中国标准出版社,20192019.4444