等保2.0下-高校如何設(shè)計(jì)網(wǎng)絡(luò)安全方案

等保2.0下，高校如何設(shè)計(jì)網(wǎng)絡(luò)安全方案？自“數(shù)字校園”的建設(shè)目標(biāo)提出以來，全國(guó)各高校的信息化水平便以極大步調(diào)高速發(fā)展。在這樣的發(fā)展形勢(shì)下，各類網(wǎng)絡(luò)信息系統(tǒng)如雨后春筍一般在高校出現(xiàn)和發(fā)展。每一項(xiàng)工作，甚至每個(gè)項(xiàng)目，均能衍生出多個(gè)信息系統(tǒng)。時(shí)至今日，“數(shù)字校園”已升格為“智慧校園”，而高校教學(xué)的教學(xué)、科研、管理等均高度依賴于信息化手段的支撐。各類網(wǎng)絡(luò)信息系統(tǒng)的出現(xiàn)最初是為了解決高校的管理問題，而這些系統(tǒng)的盲目建設(shè)又引發(fā)了新一輪的管理問題。國(guó)家政策法規(guī)對(duì)于我們解決這些問題提供了依據(jù)和指導(dǎo)意見。早在2008年，我國(guó)公安部即頒布《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T22239-2008)》（以下簡(jiǎn)稱等保1.0）。根據(jù)標(biāo)準(zhǔn)，高校作為信息系統(tǒng)的建設(shè)者和運(yùn)營(yíng)者，應(yīng)對(duì)其進(jìn)行定級(jí)并實(shí)施分級(jí)保護(hù)。2019年12月1日，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）》（以下簡(jiǎn)稱等保2.0）的正式實(shí)施標(biāo)志著我國(guó)的信息安全等級(jí)保護(hù)工作已從1.0時(shí)代跨入2.0時(shí)代[1]。等保2.0在等保1.0的基礎(chǔ)上進(jìn)行了優(yōu)化和調(diào)整，擴(kuò)大了等級(jí)保護(hù)對(duì)象的范圍，變被動(dòng)防御為主動(dòng)防御，明確了“一個(gè)中心，三重防護(hù)”的防護(hù)體系[2]。等保2.0明確指出，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)及其他級(jí)別保護(hù)對(duì)象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)[3]。因此高校亟需對(duì)學(xué)校整體網(wǎng)絡(luò)安全進(jìn)行規(guī)劃，形成安全方案。安全方案應(yīng)該實(shí)現(xiàn)涵蓋全校網(wǎng)絡(luò)信息系統(tǒng)的目標(biāo)，并綜合考慮學(xué)校信息化和網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢(shì)，以便對(duì)學(xué)校網(wǎng)絡(luò)安全工作起到規(guī)范和指導(dǎo)作用。設(shè)計(jì)原則和總體安全架構(gòu)設(shè)計(jì)原則高校網(wǎng)絡(luò)安全方案設(shè)計(jì)應(yīng)遵循如下原則：1.符合等保2.0標(biāo)準(zhǔn)。在進(jìn)行高校網(wǎng)絡(luò)安全方案設(shè)計(jì)時(shí)，應(yīng)以等保2.0標(biāo)準(zhǔn)為基本依據(jù)，方案內(nèi)容與標(biāo)準(zhǔn)中的控制點(diǎn)應(yīng)形成對(duì)應(yīng)關(guān)系，確保安全方案實(shí)施后學(xué)校的網(wǎng)絡(luò)安全工作切實(shí)符合等級(jí)保護(hù)相關(guān)要求。2.立足校級(jí)層面，力求通用性。應(yīng)以高校整體管理的角度把握網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則，避免將某個(gè)系統(tǒng)或某個(gè)部門作為設(shè)計(jì)的切入點(diǎn)。3.實(shí)現(xiàn)網(wǎng)絡(luò)安全等級(jí)保護(hù)全生命周期管理，實(shí)現(xiàn)可持續(xù)發(fā)展。每個(gè)網(wǎng)絡(luò)信息系統(tǒng)作為一個(gè)單獨(dú)的等級(jí)保護(hù)對(duì)象，有著建設(shè)、運(yùn)維、優(yōu)化、更新迭代和注銷的生命周期。方案的設(shè)計(jì)應(yīng)覆蓋保護(hù)對(duì)象的全部生命周期，充分考慮高校網(wǎng)絡(luò)安全工作各個(gè)環(huán)節(jié)，并在當(dāng)前工作現(xiàn)狀的基礎(chǔ)上，預(yù)留發(fā)展的空間。安全框架設(shè)計(jì)高校網(wǎng)絡(luò)安全方案總體框架如圖1所示，分為相關(guān)依據(jù)、安全管理體系和安全技術(shù)體系三部分。圖1高校網(wǎng)絡(luò)安全方案整體框架1.相關(guān)依據(jù)。設(shè)計(jì)依據(jù)是高校網(wǎng)絡(luò)安全方案的基礎(chǔ)和出發(fā)點(diǎn)，包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、等保2.0標(biāo)準(zhǔn)、監(jiān)管部門要求、上級(jí)主管部門要求和學(xué)校黨組（黨委）網(wǎng)絡(luò)安全工作責(zé)任制五個(gè)部分。2.安全管理體系。安全管理體系是安全方案中的管理部分，也是安全方案具體實(shí)現(xiàn)的途徑。安全管理體系分為機(jī)構(gòu)、人員和安全制度三部分。機(jī)構(gòu)對(duì)應(yīng)等保2.0中的安全管理機(jī)構(gòu)，人員對(duì)應(yīng)安全管理人員，安全制度對(duì)應(yīng)安全管理制度和安全建設(shè)管理。安全管理體系是安全方案中極為重要的一部分，將在本文接下來的章節(jié)展開闡述。3.安全技術(shù)體系。安全技術(shù)體系包含機(jī)房設(shè)施、基礎(chǔ)網(wǎng)絡(luò)、邊界設(shè)備、設(shè)備及軟件、安全管理中心五部分。這五部分分別對(duì)應(yīng)等保2.0中安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五個(gè)章節(jié)，是安全方案的技術(shù)部分，具體細(xì)節(jié)將在本文最后兩章節(jié)介紹。等級(jí)保護(hù)對(duì)象的確定和管理如前文所述，高校網(wǎng)絡(luò)信息系統(tǒng)有著數(shù)量龐大、管理層次復(fù)雜重疊的特點(diǎn)，不同系統(tǒng)安全防護(hù)水平差距較大。有些系統(tǒng)建設(shè)時(shí)間晚，在系統(tǒng)設(shè)計(jì)和安全防護(hù)上投入了較大的人力物力，因此安全防護(hù)水平相對(duì)樂觀。而一些在數(shù)字校園初期建設(shè)的系統(tǒng)，為了實(shí)現(xiàn)某些管理目標(biāo)而倉促建設(shè)，在安全防護(hù)上存在較多的短板。而其中有些系統(tǒng)在完成階段性工作后便無人管理，成為高校網(wǎng)絡(luò)安全的重大隱患。在確定等級(jí)保護(hù)對(duì)象之前，需全面考慮全校網(wǎng)絡(luò)和信息系統(tǒng)的功能定位、相互聯(lián)系，關(guān)閉非必要系統(tǒng)，整合業(yè)務(wù)內(nèi)容相似的系統(tǒng)，編制系統(tǒng)臺(tái)賬。再根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》和教育部指導(dǎo)文件，確定安全保護(hù)等級(jí)，繪制包含全部系統(tǒng)在內(nèi)的校級(jí)網(wǎng)絡(luò)拓?fù)鋱D。在進(jìn)行系統(tǒng)建設(shè)、改造工作時(shí)，需提前考慮系統(tǒng)的定級(jí)，并及時(shí)更新等級(jí)保護(hù)對(duì)象列表和網(wǎng)絡(luò)拓?fù)鋱D。一般部屬高校安全保護(hù)對(duì)象的最高等級(jí)為三級(jí)。除部分有特殊部署場(chǎng)景的系統(tǒng)外，大部分信息系統(tǒng)均集中部署于數(shù)據(jù)中心機(jī)房?jī)?nèi)。因此機(jī)房設(shè)施和學(xué)校整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)均應(yīng)按照三級(jí)系統(tǒng)的要求進(jìn)行設(shè)計(jì)。安全管理體系安全管理體系包含機(jī)構(gòu)、人員、制度和三個(gè)部分。機(jī)構(gòu)網(wǎng)絡(luò)安全機(jī)構(gòu)是高校安全管理體系的實(shí)施主體，基本組成結(jié)構(gòu)如圖2所示。圖2高校網(wǎng)絡(luò)安全機(jī)構(gòu)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組是高校網(wǎng)絡(luò)安全工作的最高決策機(jī)構(gòu)，其最高領(lǐng)導(dǎo)由學(xué)校主管領(lǐng)導(dǎo)擔(dān)任。網(wǎng)絡(luò)安全和信息化辦公室是網(wǎng)絡(luò)安全管理工作的職能部門，負(fù)責(zé)網(wǎng)絡(luò)安全工作的規(guī)劃和管理。學(xué)校各學(xué)院、職能部門是學(xué)校網(wǎng)絡(luò)安全工作的責(zé)任主體，應(yīng)在安全支撐廠商和專家隊(duì)伍的幫助下，完成一系列網(wǎng)絡(luò)安全工作。各機(jī)構(gòu)均需制定明確的機(jī)構(gòu)網(wǎng)絡(luò)安全職責(zé)、崗位職責(zé)以及溝通合作基本方案。人員高校網(wǎng)絡(luò)安全人員管理分為內(nèi)部人員管理和外部人員管理兩方面，如圖3所示。圖3高校網(wǎng)絡(luò)安全人員管理內(nèi)部人員管理涵蓋人員錄用、安全意識(shí)教育培訓(xùn)、人員離崗三個(gè)環(huán)節(jié)。人員錄用一般由人事處和用人單位配合完成，人事處完成對(duì)入職人員相關(guān)資格的審查，用人單位對(duì)人員技能進(jìn)行考核，并與錄用人員簽署崗位職責(zé)協(xié)議和保密協(xié)議。網(wǎng)絡(luò)安全和信息化辦公室負(fù)責(zé)制定培訓(xùn)計(jì)劃以及對(duì)員工進(jìn)行定期的技能考核。人員離崗時(shí)，用人單位應(yīng)終止其全部訪問權(quán)限并辦理調(diào)離手續(xù)，手續(xù)中包含承諾保密義務(wù)的環(huán)節(jié)。外部人員管理的主要內(nèi)容是外部人員訪問管理，包括訪問受控區(qū)域或介入受控網(wǎng)絡(luò)前需進(jìn)行書面申請(qǐng)、全程陪同、登記備案、離場(chǎng)后清理權(quán)限以及保密協(xié)議的簽署等。安全制度高校網(wǎng)絡(luò)安全管理的各個(gè)層面，上至機(jī)構(gòu)的規(guī)劃和人員的管理，下至各項(xiàng)工作的開展，均需由相應(yīng)制度提供支撐。同時(shí)制度也是使安全管理體系和安全技術(shù)體系相互配合的重要聯(lián)系方式。安全制度體系可劃分為總體規(guī)劃、機(jī)構(gòu)人員、建設(shè)管理、運(yùn)維管理和數(shù)據(jù)管理五個(gè)層面?？傮w規(guī)劃包括年度網(wǎng)絡(luò)安全工作要點(diǎn)和網(wǎng)絡(luò)安全總體方案，作為指導(dǎo)全校網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件。在機(jī)構(gòu)人員方面，制度體系包括網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立文件、網(wǎng)絡(luò)安全崗位職責(zé)、安全培訓(xùn)管理規(guī)定、辦公環(huán)境安全管理規(guī)定、保密工作制度。建設(shè)管理層面包括儀器設(shè)備采購管理規(guī)定、招標(biāo)采購管理規(guī)定、信息系統(tǒng)建設(shè)與管理規(guī)定和網(wǎng)站建設(shè)與管理規(guī)定。運(yùn)維管理層面包括網(wǎng)絡(luò)安全管理規(guī)定、網(wǎng)絡(luò)應(yīng)急預(yù)案、機(jī)房管理規(guī)定、設(shè)備操作管理規(guī)定、儀器設(shè)備報(bào)廢管理辦法、介質(zhì)安全管理規(guī)定、設(shè)備配置安全基線規(guī)范、系統(tǒng)安全管理規(guī)定、系統(tǒng)變更管理規(guī)定、系統(tǒng)備份與恢復(fù)、惡意代碼防范管理規(guī)定。數(shù)據(jù)管理應(yīng)包括數(shù)據(jù)管理辦法和個(gè)人信息保護(hù)管理辦法。安全技術(shù)體系安全技術(shù)體系分為機(jī)房安全、基礎(chǔ)網(wǎng)絡(luò)、安全防護(hù)設(shè)備、主機(jī)及軟件安全防護(hù)、安全管理中心五個(gè)部分。安全管理中心由于其組成和地位的特殊性獨(dú)立作為一個(gè)章節(jié)來闡述，以下介紹其余四個(gè)部分：機(jī)房安全除特殊應(yīng)用場(chǎng)景要求外，高校內(nèi)各信息系統(tǒng)均應(yīng)集中部署于數(shù)據(jù)中心機(jī)房，實(shí)現(xiàn)物理環(huán)境標(biāo)準(zhǔn)的統(tǒng)一。按照等保2.0要求，機(jī)房應(yīng)滿足以下要求或具備以下設(shè)施：1.機(jī)房位置選擇。機(jī)房設(shè)置在抗震、防風(fēng)、防雨、防雷擊，且建筑材料耐火等級(jí)在B2級(jí)以上的建筑物一層。2.機(jī)房設(shè)施。機(jī)房配備電子門禁、視頻監(jiān)控設(shè)備、防雷保安器、自動(dòng)消防系統(tǒng)、新風(fēng)換氣、動(dòng)力環(huán)境監(jiān)測(cè)系統(tǒng)、專用空調(diào)、接地系統(tǒng)和UPS；機(jī)房放置防靜電手環(huán)供運(yùn)維人員使用；機(jī)房劃分網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)服務(wù)器等區(qū)域，并設(shè)置隔離防火措施。3.電力供應(yīng)。機(jī)房配置雙路供電，實(shí)現(xiàn)電源冗余。網(wǎng)絡(luò)拓?fù)浒踩桨钢袘?yīng)包括網(wǎng)絡(luò)拓?fù)鋱D，如圖4所示。圖4網(wǎng)絡(luò)拓?fù)涫疽馔負(fù)鋱D應(yīng)符合學(xué)校網(wǎng)絡(luò)實(shí)際部署情況，標(biāo)明網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等的具體位置。由于學(xué)校的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)會(huì)經(jīng)常調(diào)整，網(wǎng)絡(luò)拓?fù)鋱D應(yīng)當(dāng)至少每年更新一次。安全防護(hù)設(shè)備方案中應(yīng)明確列出校園網(wǎng)及數(shù)據(jù)中心機(jī)房?jī)?nèi)已部署的安全防護(hù)設(shè)備清單和其防護(hù)作用范圍。建有三級(jí)信息系統(tǒng)的高校至少需配備以下安全防護(hù)設(shè)備，參見表1。表1安全防護(hù)設(shè)備參考主機(jī)及軟件安全防護(hù)業(yè)務(wù)系統(tǒng)服務(wù)器除按照要求集中部署在數(shù)據(jù)中心機(jī)房外，還應(yīng)滿足以下安全要求。1.身份鑒別與訪問控制。各設(shè)備均應(yīng)按照實(shí)際應(yīng)用需要采取最小化原則分配賬戶和權(quán)限，采用高強(qiáng)度口令和密碼技術(shù)組合的形式實(shí)現(xiàn)用戶身份鑒別，鑒別信息在遠(yuǎn)程管理時(shí)應(yīng)采取加密傳輸方式。用戶登錄模塊應(yīng)對(duì)登錄失敗次數(shù)進(jìn)行限制，并在連接超時(shí)后自動(dòng)斷開。2.安全審計(jì)。安全審計(jì)功能應(yīng)覆蓋全部用戶的全部行為，定期備份，并對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)。審計(jì)記錄發(fā)送至安全管理中心。3.惡意代碼防護(hù)。設(shè)備應(yīng)安裝防惡意代碼軟件。4.數(shù)據(jù)安全。重要數(shù)據(jù)應(yīng)加密存儲(chǔ)、加密傳輸；除在本地保證實(shí)時(shí)備份和恢復(fù)外，還應(yīng)實(shí)時(shí)備份到異地安全場(chǎng)所。當(dāng)存儲(chǔ)空間移為他用時(shí)，應(yīng)對(duì)其進(jìn)行完全格式化。涉及到采集個(gè)人信息的業(yè)務(wù)環(huán)節(jié)時(shí)，應(yīng)當(dāng)對(duì)用戶進(jìn)行聲明，并在用戶勾選同意后方可進(jìn)入采集階段，采集的個(gè)人信息嚴(yán)格按照聲明進(jìn)行使用。安全管理中心安全管理中心是安全技術(shù)體系的一部分，由于其特殊的功能和地位，所以本文將安全管理中心作為一個(gè)獨(dú)立的章節(jié)來闡述。等保2.0中要求網(wǎng)絡(luò)運(yùn)營(yíng)者劃分出獨(dú)立的網(wǎng)絡(luò)區(qū)域，建立安全傳輸信道，用于安全管理中心對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行集中管控。安全管理中心并非單一的設(shè)備或獨(dú)立的物理區(qū)域，而是一個(gè)進(jìn)行安全管理的虛擬區(qū)域，通常為多個(gè)安全管理系統(tǒng)的合集。安全管理中心的主要功能是實(shí)現(xiàn)系統(tǒng)管理、審計(jì)管理、安全管理和集中管控。一般來講，典型的高校安全管理中心包含堡壘機(jī)、網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)、惡意代碼防護(hù)軟件管理中心和操作系統(tǒng)補(bǔ)丁服務(wù)器。堡壘機(jī)堡壘機(jī)一般部署在數(shù)據(jù)中心機(jī)房中，用于實(shí)現(xiàn)集中可控的系統(tǒng)管理、審計(jì)管理、安全管理功能。校園網(wǎng)內(nèi)安全設(shè)備、匯聚層以上的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)服務(wù)器等均應(yīng)全部通過堡壘機(jī)配置相應(yīng)賬號(hào)權(quán)限進(jìn)行維護(hù)。網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)基于高校網(wǎng)絡(luò)安全管理工作的實(shí)際需要進(jìn)行設(shè)計(jì)，用于實(shí)現(xiàn)審計(jì)日志集中存儲(chǔ)和管理、上網(wǎng)行為管理、網(wǎng)絡(luò)流量監(jiān)測(cè)、設(shè)備運(yùn)行狀態(tài)監(jiān)控和安全策略集中管理等功能。1.審計(jì)日志存儲(chǔ)與分析。平臺(tái)采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器軟硬件運(yùn)行的審計(jì)日志，集中存儲(chǔ)，結(jié)合在校園網(wǎng)不同位置部署的流量探針?biāo)杉降臄?shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行研判。2.設(shè)備運(yùn)行狀態(tài)監(jiān)控。在服務(wù)器中安裝代理程序，監(jiān)控設(shè)備運(yùn)行狀況并發(fā)送至平臺(tái)。運(yùn)行數(shù)據(jù)超過閾值時(shí)，平臺(tái)向管理員發(fā)送告警消息。3.安全策略收集與綜合管理。通過接口與防火墻、WAF等安全設(shè)備對(duì)接，集中管理各安全設(shè)備策略。惡意代碼防護(hù)管理系統(tǒng)企業(yè)版惡意代碼防護(hù)軟件一般都向管理員提供安全管理系統(tǒng)。通過惡意代碼防護(hù)管理系統(tǒng)，校級(jí)管理員可實(shí)時(shí)掌握惡意代碼軟件安裝、更新和惡意代碼查殺情況。操作系統(tǒng)補(bǔ)丁服務(wù)器在校內(nèi)部署Windows操作系統(tǒng)補(bǔ)丁服務(wù)器，面