等保2.0下智慧校园系统安全保障的研究
2021-06-06户利利
户利利
【摘要】 高校智慧校园系统具有系统庞大、涉及范围广、数据多、影响大等特点,这样的系统对安全提出很高的要求。本文从安全等级保护的角度出发,以深圳大学为例,简要描述了该校智慧校园系统的基本情况,分析了智慧校园建设的安全挑战,介绍了该校智慧校园系统实施安全等级保护的具体措施。
【关键词】 智慧校园 高校 信息安全 等级保护
引言:
2015年国务院颁发的《关于积极推进“互联网+”行动的指导意见》文件中,明确要求加快实施“互联网+”行动计划和国家大数据战略,推进数据资源开放共享[1]。处于信息化、现代化发展进程中的教育行业积极响应国家政策,将“互联网+”战略引入到校园信息化建设中,探索和实施智慧校园的建设。深圳大学作为特区大学,积极借鉴国际一流大学管理理念,结合学校信息化需求,于2016年开始实施智慧校园建设,2018年底完成智慧校园项目的验收,系统正式上线运行。深圳大学智慧校园系统构建了统一入口的一站式服务大厅,实现了本科管理系统、研究生管理系统、人事管理系统和财务管理系统数据的互联互通,消除了数据孤岛,节省了师生数据重复填报的时间,减少了审批的手续,加快了该校的信息化进程,提升了学校管理和运营水平。
一、信息等级保护概述
2007年,国家发布《信息安全等级保护管理办法》,并将信息安全等级保护写入法规中,简称“等保1.0”。2016年11月7号,十二届全国人大常委会第24次会议通过了《中华人民共和国网络安全法》,该法是网络领域的基础性法律,于2017年6月1日起开始实施。网络安全法明确规定了信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会收到响应处罚[2]。2019年,网络安全等级保护系列标准正式发布,网络安全等级保护从此由1.0时代迈入2.0时代,等保2.0在安全通用要求的基础上,重点扩展了对云计算、移动互联、物联网、工业控制以及大数据方面的安全防护[3]。
安全等级保护的工作共分为五个阶段,分别为信息系统定级、信息系统备案、信息系统等级测评、信息系统安全整改、定期监督检查。
第一阶段信息系统定级。在这个阶段,信息系统运营使用单位按照等级保护管理办法和定级指南,依据等级保护对象受到破坏时所侵害的客体和对客体造成的侵害程度,自主确定信息系统的安全保护等级。等级保护共有五个安全等级,第一级为用户自主保护级别,不需要对系统进行测评,二级及二级以上都需要对系统进行测评,等级越高,安全要求越高。
第二阶段信息系统备案。二级及二级以上信息系统的定级需要用户单位到公安机关办理系统备案手续。其中,省级单位需到省公安网安总队进行备案,各市、县级单位到相应级别的网安支队进行备案。
第三阶段信息系统等级测评。由公安部授权的等级测评机构对系统的安全等级状况进行测评。测评机构会根据测评对象的安全保护等级从技术和管理两个方面对系统进行测评。其中等级测评的技术指标有安全物理环境、安全通信环境、安全区域边界、安全计算环境;管理指标有安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全管理建设、安全运维管理。
第四阶段信息系统安全整改。用户单位根据测评公司在测评过程中发现的安全问题进行整改。整改完成后,测评机构进行验证整改结果,并最终出具《信息系统安全等级测评报告》。
第五阶段定期监督检查。信息安全监管部门根据安全等级保护的管理规范,定期对用户单位的等级保护工作进行监督检查。
二、深圳大学高校智慧校园现状
深圳大学智慧校园系统采用先进的技术架构和优化的业务模型进行设计,通过开放大量的端口,很好的完成了全校整体信息化平台的融合,实现了各个数据平台之间的数据共享,减少了大量用于维护数据一致性的工作,满足了数据上报和数据分析的需求。从安全角度,深圳大学智慧校园系统具有如下特征:
1.平台用户规模大,涉及范围广。深圳大学智慧校园包括身份认证系统、本科教务管理系统、研究生管理系统、人力系统、财务系统等,涉及了全校的管理和教学工作,如果出现问题,将会影响全校的教学和管理工作的开展。
2.师生不具有网络安全意识和安全防范能力。作为智慧校园最活跃的用户,部分学生对新事物充满好奇,积极尝试各种网络技术,包括访问病毒网站和使用黑客软件,登入智慧校园系统底层服务器,造成系统和数据安全危险。此外,学生和教师中大部分都缺乏安全防范的能力,造成用戶在使用过程中,容易被不法分子利用,在智慧校园平台上传播不良信息,导致社会不良事件。
3.智慧校园系统中有大量学校和个人的重要信息,这些数据在创建、存储、传输、使用各个环节中都存在安全风险。
4.由于系统庞大,涉及的面很广,无法考虑到方方面面,系统建设初期主要是集中在业务上,安全的关注度比较低。
5.智慧校园系统复杂,上线后,由系统开发厂商、信息中心和业务部门三方协助保障运行。系统开发商作为系统运维的主要力量,经常需要对服务器和数据进行操作,而系统开发商人员复杂、流动性大,一旦出现问题,追查取证难度加大,是智慧校园系统安全的一个很大隐患。
三、智慧校园系统安全等级保护的措施
深圳大学智慧校园系统受到非法破坏后,会影响学校的教学、人事、财务等工作的开展,系统自主定级为二级。目前深圳大学智慧校园系统建立了基本的信息安全保障体系框架,下文主要从等保2.0要求的几个方面进行描述。
3.1安全技术措施
安全物理环境:深圳大学智慧校园系统部署在华为一体机上。一体机放置于新建的专用机房中,机房里部署了七氟丙烷灭火系统和精密的空调设备,保证了机房的消防安全和温湿度控制,该新建机房也部署了UPS系统、电子门禁系统和视频监控系统,保证系统的可用性,实现了对机房进出人员的身份鉴别和监控。
安全通信网络和安全区域边界:在网络上,深圳大学信息中心根据各部门工作职能、重要性和所涉及信息的划分为出口区、内网区、核心区和服务器区。智慧校园一体机设备位于服务器区域内,图1为智慧校园的网络拓扑图。在互联网入口部署有深信服下一代防火墙和抗DDoS设备作为校园网与互联网的边界设备,通过设置访问控制策略,对进出校园网络的数据量进行访问控制,保证互联网对校内的访问和数据通过边界设备提供的受控接口进行通信。在服务器和核心区域中间部署应用防火墙作为应用边界设备,下一代防护墙和应用防火墙既可实现对智慧校园系统的网络攻击行为进行监测和防护,解决注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露等常见的安全问题,达到入侵防护的功能,又可通过深信服下一代防火墙的恶意代码监测模块,实现在校园网入口处对恶意代码进行监测和清除,从而保证智慧校园系统的安全。
安全计算环境:等保2.0中安全计算环境涉及的主要对象包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。深圳大学智慧校园系统的安全措施如下:
网络设备和安全设备:首先是系统密码的设置,采用的是8位以上大小写字母、数字和符号三种组合的方式。同时在系统中配置了登录失败的处理功能。其次,在入侵防范方面,在网的安全设备和网络设备仅安装业务所需要组件和模块,网络管理员只能通过专用运维网段对设备进行管理,定期对系统进行设备版本更新,并对其他用户权限进行严格控制。最后,在安全审计方面,网络设备和安全设备启动安全审计功能,定期将审计日志发送到日志服务器中,由专门的日志管理员保存和查询。
服务器和终端:安全审计和访问控制方面,智慧校园服务器和终端设置了只能通过堡垒机的方式对服务器进行管理,服务器设置了密码复杂度和定期更换的策略,配置了登录失败的锁定功能。同时服务器配置安全策略,设置不同用户角色,通过安全策略和角色控制用户对资源的访问。安全防护方面,服务器只部署业务所需要的程序和控件,只开启业务所必须的端口。
应用安全:智慧校园系统通过统一认证平台进行认证,认证平台配置了用户口令复杂度监测功能和登录失败处理功能,降低了用户身份被冒用的风险。访问控制方面,智慧校园系统具有权限控制功能,可对用户的权限进行严格控制,降低非授权访问的风险。入侵防范方面,智慧校园系统提供数据有效性检测功能,可对用户的数据进行监测;同时按照安全管理中心规定,信息中心安全管理员会在每月上旬对系统进行漏洞扫描,对扫描出的漏洞进行测试评估后修补,减少系统被攻击的风险。安全审计方面,系统提供了安全审计功能,对用户的操作行为进行审计,降低了抵赖风险。
数据安全:智慧校园系统采用HTTPS协议和对称安全加密算法保证应用层的数据安全,同时对页面的重要数据字段采用脱敏方式显示,防止数据泄露的发生。在数据备份方面,系统设定了定期异地备份操作,并且对异地备份的数据库采用全库加密的方式保存。
3.2安全管理措施
针对新形势下的网络安全威胁越来越多的情况,深圳大学成立了网络与安全技术部作为信息安全管理工作的职能部门,由中心副主任担任安全主管,配置了网络管理员和安全管理员等岗位,定义了这些岗位工作人员的工作职责,定期对学校重要系统进行安全检查作为日常工作内容。针对智慧校园系统,深圳大学在信息中心内部成立了智慧校园安全管理中心,该中心的成员分两类,一类负责对智慧校园系统所在的服务器进行管理,即服务器管理员,由智慧校园各个子系统对接人担任;一组负责对智慧校园系统进行安全和审计管理,即安全管理员,由网络和安全技术部中的成员担任。
在规章制度方面,深圳大学党委会议通过《深圳大学信息化建设管理办法》,并根据该管理办法制定了《深圳大学信息中心服务器管理规定》、《深圳大学网络信息安全管理制度》、《信息中心网络运维和安全管理制度》、《信息中心计算机病毒防范安全管理制度》等具体实施制度,编制OA、Blackborad、深大主页、网站群等重要系统的应急预案。其中《深圳大学信息中心服务器管理规定》明确维护人员的责任、设备维护的流程以及监管。《深圳大学网络信息安全管理制度》、《信息中心网络运维和安全管理制度》中明确了服务器的安全策略参考,对账号管理、配置管理、日志管理、日常操作、升级与漏洞更新、口令更新等方面做了相应规定。《信息中心計算机病毒防范安全管理制度》对恶意代码防范要求做出了相应规定,要求管理员要记录和保存节本配置信息,当系统需要变更时,需要对变更前、变更过程、变更后以及变更失败有详细的计划和应对措施,快速应对各种病毒性突发事件的爆发。
智慧校园系统作为深圳大学重要的应用系统,信息中心和各业务部门严格按照各项规章制度进行管理运维,保障系统安全有效运行。
四、结束语
智慧校园作为高校信息化发展的方向,安全问题尤为重要。通过在智慧校园建设中落实网络安全等级保护制度是智慧校园安全建设的重要方法。本文描述了深圳大学智慧校园建设过程中遇到的安全问题,具体介绍了在等保2.0制度下,深圳大学智慧校园系统在安全物理环境、安全通信网络、安全区域边界、安全计算环境、和安全管理等方面的具体措施,为其他高校顺便通过安全等保提供借鉴。
参考文献
[1]王曦.“互联网+智慧校园”的立体架构及应用研究[J].中国电化教育,2016,10(357):107-111.
[2]赵志远.用户如何开展等保工作[J].网络安全与信息化,2019(06):39-42.
[3]信息安全技术-网络安全等级保护基本要求[S].北京:中国标准出版社,2019.