等保2.0下基層開放大學網絡安全體系建設研究

◆陳華清

（中山開放大學 廣東 528400）

當前大數據、人工智能、云計算、物聯網、虛擬技術等信息技術的高速發展，促進在線教育和教育領域信息化迅速發展。開放大學是以現代信息技術與遠程教育深度融合為支撐，滿足全體社會成員終身學習需要為目標的新型高校。隨著開放大學承擔的終身教育規模不斷擴大，在線學習人數不斷增多，對網絡安全的要求也越來越高?；诰W絡安全等級保護2.0 構建開放大學網絡安全體系，為學習者提供安全可靠的網絡環境是至關重要的。

1 網絡安全等級保護2.0 標準

2019 年5 月，國家標準化委員會發布了包括《網絡安全等級保護基本要求》、《網絡安全等級保護測評要求》、《網絡安全等級保護安全設計技術要求》的網絡安全等級保護2.0 國家標準體系（以下簡稱等保2.0 標準），推動了新形勢下網絡安全等級保護工作。

2.1 等保2.0 標準的特點

網絡安全等級保護制度是國家網絡安全工作的基本制度，是履行安全保護義務、保障網絡免受破壞、防止網絡數據被竊取篡改的基本方法，等保2.0 具有以下特點。

（1）等級保護的對象更加廣泛。等級保護2.0 的對象更加廣泛，包括基礎信息網絡、物聯網、信息系統（含采用移動互聯技術的系統）、大數據應用/平臺/資源、云計算平臺/系統、工業控制系統等。

（2）構建了統一的網絡安全體系結構。等保2.0 標準采用系統化的設計方法，貫徹縱深防御和精細防御的安全保護理念，構建“一個中心，三重防護”的網絡安全體系結構，形成了在安全管理中心統一管理下，安全計算環境、安全區域邊界、安全通信網絡層層防護的綜合保障技術體系，規范了信息系統等級保護安全設計技術要求。

（3）強化了可信計算技術的運用?？尚庞嬎闶腔诿艽a的計算機體系架構安全技術，等保2.0 標準將可信計算技術的運用貫穿到各個安全保護級別，在安全計算環境、安全區域邊界、安全通信網絡均提出可信驗證要求，實現網絡安全保護由被動防御轉變為主動防御、動態防御，夯實網絡安全等級保護。

2.2 等保2.0 標準的架構與內容概述

2.2.1 等保2.0 標準的架構

等保2.0 構建“一個中心，三重防護”的網絡安全體系結構，貫穿整體防護、精準防控、主動防御、動態防御的安全保護理念，形成安全通用要求+新應用安全擴展要求的架構，對各個級別的網絡安全保護要求分為安全通用要求和安全擴展要求。

2.2.2 等保2.0 標準的內容

（1）安全通用要求

（2）安全擴展要求

安全擴展要求針對個性化保護需求提出，需要根據安全保護等級和使用的特定技術或特定的應用場景選擇性實現安全擴展要求。等保2.0針對云計算、移動互聯、物聯網、工業控制系統提出了安全擴展要求。

2 開放大學網絡安全現狀

隨著開放大學在線學習者規模越來越大，與互聯網技術進一步深度融合，學習過程和課程資源等數據不斷增加，學習者信息化知識水平參差不齊，網絡安全意識不強，網絡安全問題越來越突出。

2.1 網絡安全管理不到位

在網絡安全管理方面存在重視力度不足、落實等級保護制度2.0 情況不佳、管理職責不明確、管理制度不完善、人員安全意識薄弱等問題。

2.1.1 網絡安全重視力度不足

網絡安全設備設施不足，主要依靠防火墻設備，而上網行為管理系統、防病毒網關、安全審計系統、態勢感知系統的應用率很低，防護類型單一。

2.1.2 落實等級保護制度2.0 情況不佳

等級保護制度2.0 在2019 年開始實施，開放大學未能及時落實等級保護制度2.0 標準開展等級保護測評。

2.1.3 網絡安全管理不到位

（1）網絡安全管理制度不完善。開放大學只有日常管理規范和操作表格，管理制度不夠完備，沒有跟隨國家相關法律法規盡快出臺相應的日常管理規范和操作規程。

（2）網絡安全管理職責不明確。網絡安全專職人員的配置無法滿足工作的需求，網絡安全管理機構職責不夠明確，網絡安全管理制度沒有發揮作用。

（3）網絡安全管理人員安全意識薄弱。網絡安全管理人員持有相關證書的人數偏少，缺乏足夠的網絡安全培訓，安全意識和業務能力沒有保障。

2.2 網絡安全技術層面存在的風險

當前基層開放大學網絡安全形勢嚴峻，主要是網絡探測與攻擊、DDoS 攻擊增多、校園網內部漏洞多等。

（1）校園網內部存在漏洞。

校園網中各種網絡設備存在系統漏洞和缺陷，入侵者利用這些漏洞進行非法操作。

（2）基層開放大學網絡應用系統容易受到攻擊。

為滿足基層開放大學辦公、教學等方面的需求，校園網內搭建了教務管理等應用網站，攻擊者利用應用網站漏洞上傳木馬病毒。

（3）受到分布式拒絕服務（DDoS）攻擊快速增長。

基層開放大學的教務管理系統、數字圖書館、辦公OA 等應用都在互聯網線上開展，不法分子運用分布式拒絕服務攻擊方式，無限制消耗系統和網絡資源，使得學校無法向學習者提供正常服務。

（4）校園網內網絡病毒、木馬程序層出不窮，蔓延迅速

開放大學校園網用戶規模大，因用戶安全意識淡薄，沒有使用殺毒軟件，造成網絡病毒、木馬程序泛濫。

3 基層開放大學網絡安全體系的構建

網絡安全等級保護2.0 國家標準體系已發布實施，基層開放大學應嚴格按照“一個中心，三重防護”的理念，構建包括網絡安全管理體系和網絡安全技術體系的網絡安全體系，為學習者提供安全可靠的網絡環境。

3.1 構建開放大學網絡安全管理體系

要做好開放大學的網絡安全工作，關鍵是做好網絡安全管理工作，全面提升“三分靠技術、七分靠管理”的意識，要按網絡安全等級保護2.0 國家標準體系的第四級安全要求，建設網絡安全管理體系。

3.1.1 建立完善的開放大學安全管理制度體系

開放大學建立由安全策略、管理制度、操作規程、日常工作臺賬等構成的安全管理制度體系，一是安全策略方面，制定《網絡安全工作總體方針》；二是管理制度方面，制定《網絡安全事故處理及應急預案》、《數據備份與恢復管理規定》、《網絡與系統安全管理規定》、《中心機房安全管理規定》、《信息系統建設管理規定》、《外部人員訪問校園網管理規定》等；三是操作規程方面，制定《數字化校園系統操作手冊》、《協同辦公系統（OA）操作指南》、《信息系統運維操作規程》等；四是日常工作臺賬方面，在日常網絡安全工作中，每項具體的事項應以臺賬的形式做好記錄。

3.1.2 設立安全管理機構、打造網絡安全專業團隊

（1）設置網絡安全管理機構

一是成立網絡安全與信息化建設領導小組，由校長擔任組長；二是成立網絡安全及信息化辦公室，職能是負責學校網絡安全管理工作；

（2）加強網絡安全人員管理，打造網絡安全專業團隊

一是制定學校崗位職責時，完善網絡安全及信息化辦公室崗位設置，設立系統管理員、專職安全管理員、安全審計員等崗位，并定義這些崗位的工作職責。

二是制定學校的人事管理制度時，明確網絡安全管理人員的錄用條件、資格審查、技能考核、離崗要求等，與錄用人員簽訂保密協議，約定保密范圍、保密內容等。

三是加強教職工網絡安全培訓，主要加強安全意識、基本安全知識、安全責任教育。

四是加強網絡安全及信息化辦公室人員的培訓和考核，主要是網絡安全專業技能方面的培訓，半年進行一次技能考核。

3.1.3 加強網絡安全運維管理

運維管理是網絡安全日常工作最重要的部分，包括學校中心機房的管理、數字資產的管理、設備維護、網絡與系統安全管理、安全事件的應急及處置管理、漏洞掃描及滲透測試等工作。

（1）嚴格落實《中心機房安全管理規定》，按等保2.0 標準配置中心機房的物理環境并定期維護管理，部署視頻監控系統、門禁系統，建立中心機房出入登記臺賬，建立中心機房基礎設施維護臺賬。

（2）高度重視全面網絡安全檢查工作。每年完成一次滲透測試、每半年開展一次漏洞掃描、不定期進行惡意代碼檢測等安全測評，建立安全測評整改臺賬，加強惡意代碼防范，嚴格落實安全測評整改責任到人，快速準確排除安全漏洞和隱患。

（3）嚴格落實《網絡與系統安全管理規定》，規范安全策略、賬戶管理、配置管理、日志管理、日常操作、升級及打補丁、口令更新周期等方面的管理，建立網絡和系統運維臺賬，嚴格控制遠程運維權限和運維工具的使用，做好審計日志的存檔，加強密碼管理，密碼技術和產品務必要遵循國家標準和行業標準。

（4）制定《網絡安全事故處理及應急預案》，明確不同等級安全事件報告及處理流程，明確跨單位安全事件報告和處置機制，規定統一的安全事件應急預案，高度重視應急預案演練，上下半年各開展一次應急預案演練，根據演練情況修訂完善應急預案。

3.2 構建開放大學網絡安全技術體系

開放大學根據等保2.0 標準縱深防御和精細防御的安全保護理念，按照“一個中心，三重防護”的網絡安全體系結構要求，結合開放大學的安全保障實際，推進包括安全計算環境、安全區域邊界、安全通信網絡等方面的網絡安全技術體系構建。

3.2.1 重視網絡基礎設施的安全防護

網絡基礎設施的安全是網絡安全的前提，一要做好電源線和通信線纜隔離鋪設；二是做好中心機房的防盜竊、防破壞、防水、防火、防潮、防雷、防靜電等措施；三是配備穩壓器和UPS 后備電源；四是做好各教學樓的網絡設備的安全。

3.2.2 根據等保2.0 標準，重新部署開放大學校園網安全通信網絡體系

（1）重新規劃學校校園網的網絡拓撲，調整路由器、交換機和防火墻等部署，確保關鍵設備的硬件冗余和通信線路冗余。

（2）結合校園網絡和信息系統應用的實際，采用VLAN 和防火墻技術，重新劃分學校的網絡系統區域，并在各區域之間部署網絡安全設備，設置安全策略，確保不同區域之間完全隔離，保障各區域的安全。

3.2.3 加大投入，構建完善的安全區域邊界

一是根據等保2.0 標準要求，部署IDS/IPS、防病毒網關、WEB 應用防火墻、資源監控系統、上網行為管理系統、堡壘機、抗DDoS 攻擊系統、日志審計設備、VPN 上網設備等，及時做好系統升級和規則庫更新，提高網絡安全防護能力。

二是在防火墻部署安全策略，完成互聯網與校園網、校園網內部之間的訪問控制等。

三是在網絡安全設備中設置安全策略，監測和阻止端口掃描、木馬攻擊、拒絕服務攻擊、緩沖區攻擊、網絡蠕蟲攻擊等。

3.2.4 加強技術保障，建設安全計算環境

開放大學著重建設身份鑒別、安全審計、入侵防范、數據完整性、數據保密性、數據備份恢復、個人信息保護等安全計算環境。

（1）用戶身份鑒別是設備和信息系統安全的最重要防線之一。一要嚴格按照等保2.0 標準要求，設置網絡設備和信息系統的口令，不得保留設備出廠默認口令，不能存在弱口令；二要定期更新網絡設備和信息系統的口令，三個月更新一次；三是使用各種技術達到雙因素身份鑒別方式；四是加強系統管理員賬號管理。

（2）加強訪問控制和網絡安全審計。在網絡中部署堡壘機系統、數據庫審計系統、綜合日志審計系統，加強操作全過程的審計，加強訪問核心數據庫的審計，采集學校服務器、網絡核心設備、網絡安全設備的系統日志，全面審計信息系統整體安全狀況。

（3）提升數據完整性和保密性保護技術能力，避免數據泄漏事件發生。一是應用密碼技術保障學校的數據傳輸和存儲的完整和保密，避免關鍵信息以明文形式存儲；二是加強數據備份工作，建立異地災難備份中心；三是切實落實《中華人民共和國個人信息保護法》，嚴格落實學習者個人信息的安全保護。

4 結束語

開放大學應按照等保2.0 標準的規范，嚴格落實信息安全等級保護制度，部署網絡安全設備、配置安全的策略，完善各項安全管理制度，從網絡安全管理體系和網絡安全技術體系兩方面落實網絡安全責任制，為學校的高質量轉型保駕護航。