马朝霞

摘  要 新时期随着互联网技术和信息化水平的日益发展与提高，面临的网络安全风险也日益突出，特别是对于高职院校教育信息化发展有较高要求的前提下，其信息化安全方面的管理能力还相对薄弱，完全达到等保2.0标准还存在一定差距，需要进一步探究信息安全存在的问题和找到有效的改进措施，加快推进高职安全等级保护测评工作。结合等保2.0要求，以建设实施信息安全等保工作为例，深入了解高职院校具体情况，为高职院校信息安全建设提供参考。

关键词 等保2.0;高职院校;信息安全;教育信息化

中图分类号：TP393    文献标识码：B

文章编号：1671-489X（2021）11-0010-03

0  引言

在高职院校迈入“双高”时代的大环境下，各高职院校都处在加快启动中国特色高水平高职学校和专业建设的关键时期，教育信息化建设和发展作为有效促进“双高”建设的重要考核指标，对高职院校信息化建设水平提出较高要求。目前，高职教育信息化应用普及率较高，建设有大量业务管理信息系统、网站及基于互联网的移动应用，面临学校范围内网络信息应用范围广、师生人员较多、产生数据量大、网络信息关注度较高的现实特点，网络安全方面的影响力也越来越大。《中华人民共和国网络安全法》的实施顺应了新时代当前形势下的网络安全等级保护工作，对各单位重视网络安全，推进等保测评工作是十分有利的。高职院校在等级保护方面对照国家等保2.0标准还存在一定差距，需要借助等保实施过程进一步改进和加强自身安全管理和建设能力。

1  等级保护2.0标准新要求

等保2.0中“安全通用要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理”[1]这几个方面的重要内容，同时在云计算、物联网、工业控制系统和移动互联安全等安全方面也作出明确要求。

1.1  技术方面

首先是物理环境，要求机房应配置电子门禁系统、安防系统、视频监控系统等;机房划分区域进行管理，要配备防雷、电设施设备，电力电缆线路设置冗余或并行，针对突然断电的情况要有备用供电措施和应急预案;应有智能感知和采集系统，实现机房对烟雾、温度、湿度等环境情况的感应和远程报警。通信网络要求网络设备和带宽应该满足业务需求，提供满足师生教学和科研使用的校园网络接入条件，网络接入覆盖校内所有区域，确保通信数据安全性、完整性和保密性。保证非授权设备、无线网络接入内部网络时通过边界设备受控，对远程访问、应用程序执行过程进行访问控制。计算环境要求具有数据存储、容灾备份能力，用户身份认证应具备密码技术确认等多种鉴别技术，加强审计进程中未授权管理，重要节点应进行入侵检测，要有恶意代码攻击的技术防范措施，具有高可靠性、高可用性，能够保障学校网络应用的数据中心。要加强网络设备、服务器、网络链路、网络安全事件等方面的安全管理。

1.2  管理方面

在管理上应建立健全安全管理制度体系，设立专门的安全管理机构和配备专业管理人员队伍。定期对软硬件设施设备进行安全检查、登记备案，对管理人员权限要严格审查，特殊岗位应签订保密协议和责任书。在运维管理中对远程运维、运维变更、日常监测、外部授权和配置信息变更都要严格控制管理，建立申报审批程序，登记备案。外包运维服务也应在协议中明确具备等级保护技术和管理上的要求。

2  开展等级保护工作的必要性

开展安全等级保护工作是落实国家信息安全管理的重要任务，符合国家信息安全管理和行业要求，是对目前互联网环境下高职院校落实信息安全管理的有效推动，是保障教育信息化发展和维护信息安全的重要举措。学校在开展安全等级保护测评的过程中有利于提高信息系统安全建设水平，同步完善在信息安全基础设施、信息安全与信息化建设管理中的薄弱环节，能够在信息安全资源配置和优化、信息系统分级分类保护、关键基础信息网络和设施安全方面给予科学、系统的指导，降低安全风险，预防安全事故发生，针对存在的问题提供有效可行的解决办法，进一步落实信息安全责任管理，确保信息系统安全稳定运行，促进信息安全和教育信息化发展。

3  高职院校等级保护现状及存在问题

高职院校网络安全意识有所提高，但各级领导在安全等级保护方面仍缺乏一定认识和了解，在信息安全管理过程中仍旧面临诸多问题，比如完全依赖网络技术部门，以为在信息安全软硬件方面投入足够经费就能对抗网络安全威胁，而校园网络来自外部的网络攻击行为时有发生，针对网络攻击不能及时响应，应急策略和能力较弱。对安全等级测评重视程度也不够，校园网络安全管理制度已建立但不完善，安全管理机制不健全，具体落实监管不到位等，具体表现在以下几个方面。

3.1  日常運维管理

各类安全管理制度不完善，特别是在日常运维、系统安全、应急响应、安全培训等方面。在安全运维管理中，部分安全运维工作没有落实到位，以前制定的制度不能根据实际需要及时更新，无法构成完整的信息安全管理体系。

3.2  系统安全技术防护

3.2.1  物理安全方面  机房建设满足物理环境基本要求，能够按照标准机房建设标准合理选择机房位置，配备防雷、防火、备用电力保障等设备，安装电子门禁和视频监控系统。但有些学校对机房管理要求不严，没有建立严格的访问控制管理制度，来访人员获得口头许可便可进出机房，且没有进行来访人员的出入登记，也没有安排专人陪同监督来访人员进行技术操作并记录备案。另外，对机房要求配备精密空调也不能达标，无法实现智能调节室内温湿度，无法防止结露、凝水等现象和故障预警。

3.2.2  主机安全方面  主机身份鉴别、访问控制、安全审计等存在默认的策略配置。操作系统和数据库账号密码配置具有一定的复杂度和长度，但没有配置密码复杂度和非法登录次数限制策略。系统重要文件访问控制不严格，常常主用服务器已经及时更新了操作系统安全补丁，而备用服务器没有及时更新操作系统安全补丁等。

3.2.3  应用安全方面  提供基于账号密码的身份鉴别方式，对用户登录失败次数进行了限制，但没有提供用户密码复杂度检查功能，存在较多弱密码用户账号，甚至有些用户的账号密码还处于原始默认状态，信息安全意识不强。

3.2.4  在网络安全方面  部署了上网行为管理、防火墙、Web应用防火墙、数据库审计和运维安全审计等安全设备，但由于安全防护策略配置不严格、不合理，存在访问控制策略不严格，没有实现对扫描类攻击行为进行检测并阻断，Web应用防火墙未对管理后台进行防护，防控非法外联措施不足，存在无认证Wi-Fi接入点，接入后可直接与服务器网段通信，降低了系统的安全性。

3.3  安全建设经费和人员

部分学校虽在教育信息化方面投入经费较大，但在信息安全方面专项经费不足，所占整个信息化建设资金比重较小，不能满足网络安全建设基本保障。网络安全专业技术人才缺乏，专业管理人员配置不足，无法满足现有安全管理和技术需求。

4  针对相关问题的改进措施和建议

4.1  加强安全管理

建立重要操作的审批流程，保存审批记录。日常巡检、安全检查记录备案。加强人员安全管理，制订安全教育培训计划，每年对信息安全工作人员进行岗位技能培训和考核。制订或完善安全设计方案，定期聘请第三方机构对系统安全性进行检测。建议每年进行应急预案的演练和培训。完善相应的安全管理制度，落实安全运维管理工作，定期对安全防护设备、操作系统、数据库的日志进行分析，根据安全防护设备、主机、数据库的日志分析结果，出具运维报告或安全事件处置报告。建立信息安全工作的总体方针和安全策略，要及时梳理现有管理制度，根据实际管理作出修订和更新制度内容，废除已经不适用的管理制度。

4.2  加固技术防护

4.2.1  在物理安全方面  建立机房出入管理审批流程，填写出入登记表，内容包含出入人员、携带设备、审批人员、出入时间等。外来人员进行机房作业时，机房管理员应全程陪同。

4.2.2  在网络安全方面  根据不同的系统划分不同的子网，启用访问控制功能对不同的系统之间不必要的互访数据进行阻断，细化访问控制规则。部署终端安全管控系统，对内部用户非法连接外部网络的行为进行检查、定位、阻断，关闭无认证的Wi-Fi接入点。应提高网络系统的安全性能，及时调整防火墙端口防护参数，启用防火墙日志管理功能。加强管理员分配账号和权限、密码管理。

4.2.3  在主机安全方面  在服务器操作系统安全策略中配置密码复杂度策略、非法登录次数限制策略，并定期更改操作系统和数据库系统账号的密码。配置仅允许通过堡垒机访问服务器，不允许其他IP地址直接远程访问服务器。开启操作系统、数据库系统的安全审计功能，对用户管理、权限管理、重要命令操作和系统异常等进行安全审计，以弥补审计功能的不足，并部署日志服务器对安全审计日志进行存储和保护，防止日志丢失。及时更新数据库服务器操作系统安全补丁，配置终端会话超时锁定或结束会话功能。

4.2.4  在应用安全方面  增加系统相应的口令复杂度安全策略，细分管理员账户权限。重要操作进行采用HTTPS

协议进行通信，保证系统数据传输的保密性和完整性。系统配置会话超时功能，对系统的最大并发连接会话数进行合理配置。

4.2.5  数据安全及备份恢复  对系统重要数据要进行完整性检测，保证重要系统数据和应用数据、操作系统和网络设备等数据的安全，同时具备完整性受损时能够及时采取数据恢复措施，还要确保数据在传输过程中的保密性。做好数据本地和异地备份，提供重要信息、数据的恢复功能。建议在条件允许的情况下，考虑对重要的安全设备进行硬件冗余，通信链路采用冗余技术设计，提高网络系统可靠性。

4.3  加大经费和人员保障

应该加强重视等级保护工作，加大在网络安全建设方面的专项经费，纳入年度信息化经费项目，保障专款专用。重视网络安全技术高级人才引进，保障技术人员培训和继续教育，建立科学合理的绩效考评机制，促进网络信息安全技术人才队伍培养和建设。

5  结语

习近平总书记在全国网络安全和信息化工作会议上指出：“没有网络安全就没有国家安全。”高职院校做好网络信息安全工作，需要从思想上进一步重视，在组织机构、人员配置、資金支持、技术设施等方面准备到位，有准备有计划地推动落实。要根据办学规模和业务范围、社会影响力等因素做好前期安全评估，明确系统定级备案等工作，制订实施方案，重点要结合实际高标准、严要求，总结经验，进一步完善信息安全防护体系，提升整体安全防护能力。

参考文献

[1]马力，祝国邦，陆磊.《网络安全等级保护基本要求》（GB/T 22239—2019）标准解读[J].信息网络安全，2019（2）：77-84.

[2]张旭刚，谢宗晓.网络安全等级保护及其相关标准介绍[J].中国质量与标准导报，2019（9）：12-15.

[3]张建刚.网络安全管理与网络安全等级保护制度探究[J].现代信息科技，2019（11）：163-164.

[4]袁慧.网络安全等级保护2.0制度的研究和探讨[J].信息与电脑（理论版），2020（1）：223-224.