缪松琴

【摘要】    《中华人民共和国网络安全法》明确提出了我国实行网络安全等级保护制度。等级保护2.0对当前高校信息系统安全提出了更高的要求，本文详细解读了等级保护2.0的新要求，对高校信息系统安全如何落实等保2.0进行了研究与分析。

【关键词】    等级保护    等级保护2.0    网络安全    信息系统安全

引言：

2019年公安部实施了《信息安全技术网络安全等级保护基本要求》，等级保护进入2.0时代，对我国网络安全工作提出了新要求。

随着社会互联网化程度不断加深，高校智慧化校园建设不断推进，高校的各类应用和业务系统不断增加，但是由于高校特殊的网络环境，未能全面重视系统的网络安全防护，校园网络安全风险日益增加，导致高校的网络容易被黑客攻击，造成师生的信息泄露和网页被篡改等安全事件。高校的信息网络安全建设应以等保2.0为抓手，进一步提高网络安全防范措施，保障高校信息网络安全。

一、等保2.0与等保1.0的主要区别

等保2.0的基本要求相对于1.0有了很大的改变，本文主要从以下四个方面论述[1]。

1.1等保2.0要求名称的变化

2017年实施的《中华人民共和国网络安全法》明确提出了我国实行网络安全等级保护制度。在等保2.0标准中名称由等保1.0中的《信息系统安全等级保护基本要求》变更为《网络安全等级保护基本要求》[2][3]。

1.2等保2.0定级对象的变化

等保1.0中的定级对象是信息系统，等保2.0中定级对象变更为等级保护对象，包含信息系统（传统信息系统、云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统等），通信网络设施（电信网、广播电视传输网等通信网络设施）和数据资源（大数据、大数据平台/系统）。

1.3等保2.0技术和管理要求的变化

等保2.0在技术和管理上相对于等保1.0有较大改变，等保1.0主要从物理安全、网络安全、主机安全、应用安全和数据安全五个方面作出要求，而等保2.0主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心作出要求。等保2.0以一个中心，三重防护为技术管理思想，将等级保护由被动防御带入主动防御的时代。三重防护包括安全通信网络、安全区域边界和安全计算环境，一个中心是增加的安全管理中心。

1.4等保2.0安全要求的变化

等保2.0在等保1.0通用安全要求的基礎上增加了安全扩展要求。扩展要求主要包含了云计算、移动互联、物联网、工业控制系统安全扩展要求。

二、等保2.0要求下高校信息系统安全防护措施

在新的标准要求下，高校信息系统落实等保2.0首先应该对照标准，理清高校的网络结构，按照等保2.0的要求逐一夯实防护措施。

2.1按照等级保护2.0标准，梳理需要定级的对象

在新的标准要求中，参照定级对象的要求，我们需要对信息系统，通信网络设施和数据资源进行梳理，以连云港师范高等专科学校信息系统为例，我校主要选择如下定级对象：

1.校园基础网络，包含有线和无线网络。

2.校园网站群平台，包含多个子网站。

3.校园云平台，对云平台的主机、存储和管理平台等定级。

4.校园移动APP，包含办公自动化OA等系统。

5.校园大数据平台中心系统，包含数据中心服务器和数据库系统。

2.2开展等级保护2.0的测评

按照《信息安全技术网络安全等级保护基本要求》和《信息安全技术网络安全等级保护测评要求》等文件要求，等级保护分为定级评审，备案审核，测评，安全建设整改和自查/监督检查五个阶段[4]。

2.2.1定级评审

根据相关标准确定等级保护对象的等级，等级保护定级工作需要根据等级保护对象在国家安全、社会秩序的重要程度，根据其在被破坏后对国家安全、社会秩序和公共利益，法人和公民合法权益的危害程度等，由低到高划分为五个安全保护等级。具体划分如表1所示。

高校等级保护对象的定级需要以《教育行业信息系统安全等级保护定级工作指南（试行）》和《信息安全技术网络安全等级保护定级指南（GB/T 22240-2020）》为指导，根据学校规模，社会影响力和业务类型三个方面受到破坏后的严重程度来确定定级的等级[5][6]。

为确保高校信息系统项目质量，高校信息系统应在立项阶段确定安全保护等级，对建设方案进行单独的安全论证和等级评审。

2.2.2备案

根据《信息安全等级保护备案实施细则》（公信安〔2007〕1360号），等级保护对象定级二级以上的需要进行备案，二级以上信息系统需要其主管单位到所在地设区的市级以上公安机关办理相关备案手续。

2.2.3测评

参照《信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）》[S]、《信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）》[S]、《信息安全技术网络安全等级保护测评过程指南（GB∕T28449-2018）》[S]等标准，开展等保2.0 测评工作测评。高校二级信息系统每两年进行一次测评，三级信息系统每年进行一次测评，四级信息系统应每半年进行一次测评，五级信息系统依据特殊安全需求测评。

2.2.4安全建设整改

根据测评报告和整改建议，及时整改漏洞、隐患和安全问题。

2.2.5自查/监督检查

按照“自主定级、自主保护”的原则，高校信息系统安全等级保护的责任主体是高校相关建设单位，高校需要定期进行安全自查，并接受公安机关部门监督检查。

2.3落实等保2.0，完善高校网络安全防护

结合等级保护2.0的管理和技术要求，完善高校信息系统网络安全风险防护体系，从资产，制度和技术三维角度将等保2.0落实，将高校网络安全防护常态化。

2.3.1建立信息资产动态清单

随着高校数字化校园建设不断推进，各类应用和业务系统不断增加，高校应当及时建立信息资产清单，并且做到实时更新，为梳理定级对象夯实基础。

2.3.2建立安全管理制度

建立完善的安全管理制度，明确学校安全工作领导小组，制定高校安全管理办法，明确各部门工作要求，落实安全责任，提升防范化解网络安全风险能力，构建可信、可控、可查的网络安全环境。积极落实《教育部关于加强教育行业网络与信息安全工作的指导意见》、《教育系统网络安全事件应急预案》等文件要求，规范网络安全事件工作流程，提高网络安全应急处置能力，预防和减少网络安全事件造成的危害，切实维护高校网络与信息系统安全稳定。

2.3.3 强化网络安全技术防护

技术是网络安全防护的重要保障，等保2.0要求下，网络安全防护要以技术为抓手，以一个中心，三重防护为防护技术思想，更好地落实等保2.0要求。

传统的防护产品中，一般是在校园信息系统中安装边界防火墙、入侵检测系统、WAF防火墙、校园VPN设备、堡垒机和上网行为管理系统等安全设备。

等保2.0要求实现安全风险的可识别、可控制、可记录和可分析，可以通过部署入侵防范、恶意代码防范实现安全风险的可识别，利用身份认证、访问控制实现安全风险的可控制，通过安全审计实现安全风险的可记录，集中管理中心可实现安全风险的分析。

基于校园信息系统内外网的特殊性，所有的外网管理需要通过堡垒机进行配置，设置源 IP 地址和账户配置，实现业务系统的可控性。精确开放需要的端口，屏蔽不需要对外开放的端口，避免校外恶意攻击者对校内服务器进行攻击。校外访问校内资源采用VPN授权用户访问，控制业务系统的内、外网访问安全问题。在等保2.0的要求中，可以进一步部署新的防护产品如态势感知系统、增加基于密码学的身份认证、数据加密和签名技术，可信免疫技术和個人信息保护技术的防护产品，使校园信息系统在多重防御下良好、稳定地运行。

三、结束语

我国网络安全防护以等级保护为主，等保2.0为高校开展网络安全防护提出了基本要求和指导，新要求对关键基础信息设施实施重点保护，更要加强移动APP、数据平台、个人信息安全保护。本文根据高校的特殊网络环境，研究了等级保护2.0要求下的等级保护测评工作，为高校如何做好网络安全防护提出了建议，高校应当结合校园信息系统的特殊性，开展更有针对性的防护。

参  考  文  献

[1]何占博，王颖，刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全，2019，38（ 3） ： 9- 14，19.

[2] GB/T22239-2008，信息安全技术信息系统安全等级保护基本要求[S].

[3] GB/T22239-2019，信息安全技术网络安全等级保护基本要求[S].

[4] GB/T28448-2019，信息安全技术网络安全等级保护测评要求[S].

[5]教育部办公厅.教育行业信息系统安全等级保护定级工作指南（试行）[Z].2014-10-29.

[6] GB/T22240-2020，信息安全技术网络安全等级保护定级指南[S].