高校網絡安全等級保護建設研究

張小林 魯雷 羅漢云

摘要：隨著物聯網、云計算、大數據、智能終端的快速發展，各行各業對信息化的需求也越來越強烈，信息系統大量涌現在各個行業，這些系統的開發技術參差不齊，存在很大的安全隱患。尤其是在高校，有大量的信息系統以及重要的數據信息，為加強信息系統的安全防護，只有落實等級保護制度，完善網絡安全等級保護體系建設。論文從網絡安全等級保護建設的必要性、重要性，提出了等級保護系統建設方案。并根據整改建議書，從技術和管理兩個方面提出了詳細的整改方案，最終達到相應的等級保護要求。

關鍵詞：信息系統;網絡安全;等級保護;安全整改;制度建設

中圖分類號：TP393.09 文獻標識碼：A

文章編號：1009-3044（2020）22-0071-03

開放科學（資源服務）標識碼（OSID）：

1 引言

隨著物聯網、云計算、大數據、智能終端的快速發展，各行各業對信息化的要求也是越來越多，也越來越依賴，促使了信息系統和智能終端APP的大量涌現。國家也在提倡讓數據多跑路，可以通過網絡解決的，盡量不用到現場，伴隨4G、6G的快速推廣和應用，手機終端APP給人們的工作生活帶來了很多的便利，但是也隨之而來產生了很多網絡安全問題，如個人隱私泄露等。在高校也面臨著同樣的問題，隨著國家對教育信息化的不斷重視，高校擁有著大量的應用信息系統，如何安全、穩定的保障這些信息系統的運行，必須盡快開展落實等級保護建設工作[1]。

2 落實網絡安全等級保護的必要性

網絡安全又稱為第五空間，國家建設、交通運行、科研學習、生活購物等等都離不開網絡。近幾年，隨著智慧城市、智慧校園、智慧社區等等的興起，5G的推廣應用帶到了物聯網的快速發展，這些迫切需要提供一個安全穩定的網絡。2017年6月1日，國家正式頒布《中華人民共和國網絡安全法》，在網絡安全法中明確地指出網絡安全和信息化發展并重原則以及國家實行網絡安全等級保護制度[2]。實施網絡安全等級保護制度，主要目的是提前分析如果信息系統遭受到破壞，從受眾面上來判斷對國家、社會秩序和公共利益造成的影響程度來進行等級劃分。網絡安全等級保護的保護對象，除了傳統的基礎信息網絡和信息系統外，還將國家關鍵基礎設施和重要信息系統、網站、大數據中心、云計算平臺、物聯網系統、工業控制系統、公眾服務平臺等全部納入等級保護監管對象[3]。

3 落實網絡安全等級保護的重要性

高校信息化發展很快，在經歷了數字化校園建設過程中，建設完成了大量的信息系統，在給用戶帶來便捷的同時也給學校的管理者增加了一種管理手段，極大地提高了工作效率。高校作為一個群體，有著相同的特性，信息系統主要有教務系統、一卡通系統、校園門戶網站等等。但數字化校園建設初期，由于各種原因，很多信息系統都是由相關的業務部門自行采購、管理維護，這樣就導致后期的一種通病，輕安全、輕管理，對網絡安全沒有引起足夠的重視，隨著現在攻擊手段的不斷豐富、病毒、木馬的泛濫、黑客的低門檻等等，造成數據丟失、重要信息泄露、網站被掛鏈等。這些安全隱患對學校的正常工作的開展以及學校的形象造成很大的影響。因此，落實網絡安全等級保護制度，不僅是法律的要求，更重要的是保障業務數據的安全、業務系統穩定安全運行的一個保障[4][5]。

4 網絡安全等級測評項目實施

在初步確定信息系統安全等級保護等級后，為了保證定級合理、準確，可以聘請公安部門和各地公安機關組織成立專家組進行評審，并出具專家評審意見。目前，國家等級保護分為五級。一級為最低級要求，五級為最高的等級保護要求。

落實網絡安全等級保護制度，可依據網絡安全等級保護定級指南對信息系統進行初步定級，定級完成后需要到當地公安機關進行備案。備案完成后，需要對信息系統相關的網絡環境、信息系統軟件等觀測點，按照等級保護的建設要求，進行安全建設、整改。通過技術和管理兩個方面的建設，達到相應的等級，由具有等級測評的專業機構對信息系統進行網絡安全等級測評。測評機構到達現場從管理人員到機房環境、網絡設備、操作系統、應用軟件等進行一系列的技術手段，獲取相應的測評指標，然后根據要求出具完整的信息系統測評報告。當測評報告給出的測評分達不到要求，則根據整改要求進行整改，最終達到等級的要求，并將最終的測評報告送交當地的備案公安機關，公安機關則對信息系統進行監督檢查。

4.1信息系統定級、備案

根據行業定級指南，按照定級規范流程，通過專家論證，完成定級后，將定級報告和信息系統安全等級保護備案表，提交到當地的市級公安機關，待通過后，獲得備案證明。

4.2 信息系統安全整改

根據測評機構在預測評中發現的問題，給出《信息安全整改建議書》，對比整改建議書以及測評要求，通過部署相應的網絡安全產品、安全策略的調整、主機的系統安全加固等方式，解決存在的問題，提高信息系統的整體安全。整改的思路如圖2所示。

4.2.1安全技術整改思路

以安慶師范大學網站群系統為例，通過定級，備案，定為二級等級保護系統，通過測評后，收到信息系統安全等級測評報告，根據測評報告，提出信息系統安全保障建設的基本思路是：以保護信息系統為核心，從多個層面進行建設，主要從網絡層面、系統層面、應用層面和數據層面的安全需求，建成后的信息安全保障體系將充分符合國家標準，能夠為重要的業務開展提供有力保障。主要從以下四個方面進行設計。

（1）構建分域的控制體系

信息安全等級保護解決方案，在總體架構上按照分域保護思路進行，通過將信息系統從結構上劃分為不同的安全區域，以安全區域為單位進行安全防御技術措施的建設，各個安全區域內部還根據安全需求的不同進一步劃分了子安全域，子安全域的邊界也采用了與一級安全域相同的邊界安全防護措施，從而構成了分域的安全控制體系。

（2）構建縱深的防御體系

根據等級保護測評的觀測點要求，從網絡環境、網絡設備安全、主機服務器安全、應用系統安全、數據安全以及備份容災恢復等方面進行安全技術和措施的設計，實現業務應用的CIA特性，并通過各種安全技術組合提高綜合防護能力，從外到內形成一個縱深的安全防御體系。

（3）保證一致的安全強度

通過將信息系統劃分在不同的子域，在相同子域的信息系統將采用同樣強度的安全措施，統一的防護策略，也為后期增加新的應用系統提供了快速部署的能力。

（4）實現集中的安全管理

三分技術七分管理，技術層面很容易實現，通過部署安全設備就可以實現，但是管理方面需要制度化、精細化等。首先通過建設集中的安全管理平臺，收集來自網絡安全設備的安全日志、系統日志、安全事件、信息資產的錄入或自動發現等的統一分析與監管，通過這些事件、日志等信息進行關聯技術分析，讓管理者通過此平臺能夠及時、快速的發現問題，有效應對安全事件的發生。

4.2.2 安全整改內容

具體實施過程，主要通過技術架構整改，具體措施如下：

（1）對業務區域進行梳理和確認，將不同重要程度的信息系統進行梳理，請確認相關訪問流向和規則。

（2）網絡結構改造：通過架構調整，對系統網絡結構進行改造，根據業務劃分不同的區域，實現安全架構。

（3）在區域劃分的基礎上，盡可能利用現有安全設備或VLan劃分等方式，進行區域隔離。

（4）對現有過保安全設備，通過續?；蛘哔徺I安全服務的方式，保證設備的充分利用。

（5）在安全防護基礎上，增加檢測和審計措施，建立全方位的安全保障體系。

（6）設備安全配置調整：協同系統集成商和設備廠家服務，根據改造后的網絡架構，對系統現有及新增網絡、安全設備進行全面的配置調整。

（7）服務器、數據庫加固：對各信息系統的服務器、數據庫進行安全加固，進行漏洞修補、打補丁、服務最小化等。

（8）部署終端接人管控、數據防泄露等機制，杜絕外來設備私接內部網絡、終端電腦私連外網、私接無線設備、濫用移動存儲和設備等行為。

（9）部署集中的態勢感知平臺，保證對全網數據流量分析，幫助學?？辞鍢I務、感知威脅、及時預警、快速響應。

（10）部署堡壘機，實現對第三方運維人員的管理和操作審計。

（11）進行信息安全等級測評，在改造后的網絡架構基礎上，對網絡設備、安全設備、主機服務器、應用系統等進行核查，保證安全措施真正有效發揮作用。

4.2.3 安全管理制度體系建設

在完成技術方面的整改后，更重要的是管理制度的指定，根據等級保護相關文件的要求和整改報告的要求，建立和完善相應的規章制度。

（1）修訂完善現有制度，建立體系化制度，并覆蓋當前安慶師范大學相關工作內容。

（2）制定空缺的制度、操作規程等。

（3）信息安全日常運行維護和管理工作中依照相關制度和規程進行，并形成的相關記錄和存檔。

根據整改方案，從技術和管理兩個方面進行整改。通過部署網絡安全設備，調整網絡架構，做好每臺設備的安全策略，落實整改方案中的措施，保障重要信息系統的安全性。

4.3 信息系統等級保護測評

等級測評[6]工作，是指等級測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估活動。

信息系統等級保護測評是針對應用系統，測評機構通過訪談、文件審查、配置檢查、實地察看和工具測試等技術，主要是管理和技術兩個大的方面進行綜合測評。一個是管理方面，包括制度、機構、人員的管理，另外是從信息系統所在的物理環境、所處的網絡環境、服務器安全、應用系統安全以及數據的備份容災等方面進行綜合測評。根據相應的定級標準對系統進行測評，最終出具信息系統安全等級測評報告，如果測評結果達不到定級要求，則還需要進行安全建設、整改，直到各項指標達到標準，將最終的安全等級測評報告上報給當地的公安機關，備案公安機關出具相應信息系統安全等級保護備案證明[7]。

5 結束語

根據專業的測評機構給出的《信息安全整改建議書》，對網絡拓撲結構、關鍵業務數據流、信息系統等的訪問權限等都進行了一個更加完整的梳理，按照要求對邊界網絡設備、交換機做到端口級防護，針對不同的應用服務在防火墻和交換機嚴格做到端口限制，對服務器等進行安全加固，增加安全策略和審計策略等，從而提高信息系統的網絡安全防護。通過實施網絡安全等級保護測評，讓網絡管理和維護人員摸清家底，對信息系統的部署、管理都有很大的提高，通過統一安全管理實現了快速發現、有效處理安全事件提供了強有力的平臺。

參考文獻：

[1]詹申平，陳建宏.等級保護下政府部門門戶網站的安全管理措施的應用[Jl.科技創新與應用，2019（3）：195-196.

[2]劉強，王波.高校信息安全等級保護建設探討——以凱里學院為例[J].凱里學院學報，2018，36（6）：99-101.

[3]潘文杰.淺議高校信息系統安全等級保護工作的必要性[J].科技風，2018（33）：61.

[4]呂美敬.高校信息系統安全等級保護測評實施研究與分析[J].網絡空間安全，2018，9（8）：65-69.

[5]秦麗娜.基于等級保護的高校校園網絡安全建設研究[J].電腦知識與技術，2019，15（13）：54-55.

[6]傅星.校園信息化背景下的信息安全[Jl.首都經濟貿易大學學報，2010，12（4）：123-128.

[7]詹申平，陳建宏.等級保護下政府部門門戶網站的安全管理措施的應用[J].科技創新與應用，2019（3）：195-196.

【通聯編輯：代影】（上接第68頁）

測試結果：

通過Host上測試，Host可以telnet登錄到ISPI，telnet登錄ISP2失敗，Host可以Ping通ISP2的接口，telnet是基于TCP協議的應用，而Ping使用的是ICMP協議，轉發路由策略生效。

路由器上測試，在R1上telnet登錄ISP1和ISP2均可以正常登錄，說明轉發路由策略對路由器本身產生的TCP報文不產生效果。

（4）應用本地策略路由

[Rl]ip local policy-based-route tcp //應用本地策略路由

經測試：路由器上telnet登錄ISPI正常，telnet登錄ISP2失敗，R1可以Ping通ISP2的接口，本地策略路由生效。

4 結語

通過HCL仿真測試策略路由，測試了轉發策略路由和本地策略路由，策略路由可以根據協議、源IP或目的IP設置指定的下一跳和缺省的下一跳?？梢愿鶕髽I用戶的需求進行相應的設置，但策略路由的缺點是占用設備資源較多，只要配置了策略路由，路由器就要根據設定的規則檢查數據包，會一直占用網絡設備的資源，建議在真實網絡環境中，盡量使用路由策略而減少使用策略路由來實現用戶需求。

參考文獻：

[1]朱麟，劉源.H3C路由與交換實踐教程[M].北京：電子工業出版社，2018.

[2]彭偉.基于策略路由部署的網絡多出口設計研究[J].湖南工程學院學報（自然科學版），2019，29（3）：48-52.

[3]龔文濤，郎穎瑩.基于路由策略和策略路由的Web應用防護架構設計[Jl.計算技術與自動化，2018，37（2）：95-99.

【通聯編輯：代影】

基金項目：安徽協達軟件科技有限公司資助橫向課題（合同編號：20170712）;安慶師范大學“四成”資助項目（項目編號：Scjy112018-12）;賽爾網絡下一代互聯網技術創新項目資助（項目編號：NGII20170511）

作者簡介：張小林（1981-），男，安徽安慶人，安慶師范大學講師，碩士，主要研究方向為網絡安全、數據挖掘。