陕西警官职业学院 胥素芳 郭拴岐

等级保护制度的实施有利于高校信息化建设有效进行，有利于完善网络安全防护措施。文章阐述了等级保护1.0到2.0的主要变化，以及基于等级保护2.0扩展要求项高校面临的网络安全风险和相应的防治策略，通过部署网络安全态势感知平台实现校园网络的动态、立体防护。

高校信息化发展有内在和外在的切实需求，一方面随着信息技术的快速发展和普及，高校必须紧跟科学技术发展的步伐，在应用实践中探索教育教学的新思路、新手段、新模式，努力探索培养具有计算思维和科技创新精神的人才；另一方面为了适应新生代学生学习习惯的变化，开展个性化教学，顺应现代化教育的发展，需要不断深化信息化应用和建设；同时，高校为了实现教学、科研、校园管理信息化、智能化，精准科学的服务学生，这些工作的开展都离不开网络和信息技术的支撑，网络的安全性和稳定性成为高校信息化发展的重要保障[1]。高校在信息化建设中严格落实等级保护工作，有利于完善网络安全防护措施，实现高效的信息化和智慧化发展。

1 等保1.0到2.0的变化

1.1 政策法规的变化

等保1.0核心依据是行政条例和规章，而网络安全等级保护制度2.0（简称等保2.0）的核心依据是网络安全法。2017年6月1号开始实施的《网络安全法》规定了等级保护制度安全措施的基线要求并赋予强制力，同时要求关键信息基础设施必须落实国家安全等级保护制度，突出保护重点。不开展等级保护等于违法。2019年12月1日开始实施等保2.0，标志着等级保护工作正式步入新的阶段。

1.2 保护对象的变化

等保2.0在1.0信息系统的基础信息网络保护基础上，增加了扩展要求，涉及到云计算、大数据、物联网、移动互联网和工业控制信息系统。

1.3 结构上的调整

采用“一个中心，三重防护”的理念，通过实施三重防护主动防御框架达到安全防护效果。

1.4 防御理念发生变化

从原来的被动防御变为主动防御，依照等级保护制度可以做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。

1.5 等保工作内容持续扩展

在原有等级保护规定动作基础上，2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。

1.6 流程管控更加严格

关于网络运营者如何进行网络安全等级保护的相关工作，《等保条例》规定了包括网络定级、定级评审、定级备案、备案审核、上线测试、等级测评、安全整改、自查等一系列工作流程。

1.7 评测结果发生变化

等保2.0的测评结论由1.0时代的符合、基本符合、不符合，改为2.0时代的优、良、中、差四个等级，评测要求从60提升到75分。

2 基于等保2.0新增项的安全防护

2.1 大数据安全

高校是一个微社会，里面汇聚了大量的信息，就个人信息而言，包括：姓名、年龄、性别、职业、家庭、财产、个体特征、消费记录、住宿生活信息、借阅图书、学习信息、门禁信息、资产信息、无线连接使用信息等，这些数据被信息系统和大数据平台采集、记录和分析，为学校的科学管理和服务提供数据支撑。在大数据给我们带来便利的同时，我们每个人在网络空间也变得越来越透明。这些重要的甚至关于个人隐私的数据被采集和使用的同时，面临被黑客攻击，数据泄露（丢失）、滥用、违规使用和被篡改的风险。因此，高校教师、学生个人隐私信息的泄露是不容忽视的安全问题。

2021年9月1日国家出台《中华人民共和国数据安全法》简称《数据安全法》，2021年11月1日《中华人民共和国个人信息保护法》简称《个人信息保护法》正式生效实施。《数据安全法》是数据领域的基础性法律，也是国家安全领域的一部重要法律。《数据安全法》的颁布实施体现数据安全已经上升到了国家层面，进一步建立健全数据安全治理体系，使数据安全治理有法可依。

在大数据安全领域既需要法律制度作为前提和基础，又需要安全技术和产品有力保障数据安全的实现。在数据安全方面，可以采用的技术手段有：加强身份核验，增加认证的强度；对数据进行加密处理，包括存储加密和传输阶段的加密；对数据进行分类分级处理，对核心敏感数据进行识别、风险评估、数据脱敏和数据水印技术等提高数据安全性[2]。可用的数据安全防护设备有数据库防火墙、堡垒机、数据库审计系统。通过数据安全治理平台监测数据，自动梳理网络数据资源，快速构建数据资源台账；监控数据流转风险；实现风险监测，实时数据安全风险态势呈现，事件分析、取证。数据库防火墙通过实现控制外部非法操作、限制内部违规操作、拦截数据库攻击，实时对数据库的运行状态进行监控，实现风险可预判，行为可审计。数据库审计设备实现对风险监控扫描，事中审计，事后追溯，多种方式告警提示等，实现对数据操作进行跟踪，预警及审计。单一的一种技术和设备不能满足全方位数据安全防护的要求，现在大多采用多种技术手段相结合的方式来实现数据安全。

2.2 云计算安全

云计算的本质是虚拟化技术，对IT基础设施提供的物理计算、存储资源进行整合、池化，实现资源随需调配和回收的应用模式。云计算可以提供更快计算能力、更高响应能力和更强的业务支持能力，可以适应智慧课堂、新兴课程对基础资源的要求。当前的云平台包括私有云、公有云和混合云。基于数据存储方式、维护模式、费用、数据安全性和灵活性的不同，目前大部分高校选择私有云。涉及到高校核心业务和核心敏感数据采用私有云，实现对数据的完全控制，相比较公有云更安全。为了实现教育资源的公平化，开放更多优质的教学资源，扩大对外交流，实现个性化的学习。基于高校的开放性，对安全性要求不高的资源可以采用公有云[3]。公有云的可扩展性、提供业务多样，部署灵活，有专业的安全团队进行维护等优势，也受到一些高校的青睐，未来将是私有云和公有云相结合的混合模式。

无论是公有云还是私有云最终都通过校园网络向师生提供服务，随着网络攻击手段的不断发展，数据中心随时都可能面临黑客攻击、数据泄露风险。仅仅依靠网络出口侧的安全防护设备和系统已经不再能够满足当下校园网云架构下数据中心开放、共享环境下的网络和数据安全。目前校园网云化数据中心的流量主要以东西向流量为主（虚拟机到虚拟机），流量访问在云平台或虚拟化平台内部已完成数据的交互和访问，为解决云化环境下的网络安全问题，可以通过部署NFV(Network Functions Virtualization网络功能虚拟化)安全产品进行网络安全防护。NFV通过将传统的CT业务（Communication Technology通信业务）部署到云平台上，从而实现软硬件解耦合。同时通过使用访问控制策略和身份鉴别机制，实现不同虚拟机之间的通信监控和安全隔离，并设计策略控制用户对系统及相关资源的访问。针对重要的数据要定期进行备份，承载核心业务的设备要实现冗余，避免单点故障。可用的安全防产品与传统网络安全产品一致。如防火墙、入侵防御系统、Web防火墙、VPN网关、抗DDoS系统等。只是将原有软件或硬件形态的防护设备改造为基于云原生架构的NFV软件，直接部署于云平台或虚拟化平台之上，实现虚拟机级的数据安全防护。

2.3 移动安全

等级保护2.0中的移动互联技术安全防护重点主要针对移动设备、移动应用和无线网络。因为无线和移动网络可以满足大家随时在线，随时随地接入网络的需求，高校在有线网络的基础上，大都已经部署了无线和移动网络。

无线网络部署简单、灵活，易于扩展，是传统网络的延伸。在无线网络部署接入便利的同时，也破坏了原有内部网络的私密性。无线网络的接入设备缺乏监管，容易受到非法入侵，导致数据被监听，造成隐私泄露。对接入无线网络的用户进行安全评估，从源头上控制风险，可以通过提高身份认证技术，防止非法人员进入无线通信网络，通过加密技术对通信信息进行保护，防止信息窃听或篡改。

移动网络随时随地都可接入，信息量大，监管难度大。高校个别学生思想不稳定，容易受到外部不良信息的引导。更有甚者，出现校园网络霸凌，对他人造成伤害。所以要避免突发性的、负面的舆论无界限的传播，增强对网络舆情的监测和研判。

移动安全另一个不可忽视的技术革新就是5G。以5G技术为代表的最新前沿技术拥有非常巨大的技术潜力，有望变革传统数字校园的各类应用场景。5G技术与教育深度融合，将促进智慧校园发生重大变革，对传统的教与学带来显著冲击，同时带来新的安全隐患。由于5G技术的三大核心技术特点：高带宽、低时延、大连接。5G的应用会大量采集到师生个人和学校的私有数据，如高带宽带来实时AR/VR教学的应用，高清视频远程教学的应用，有可能带来地理信息或个人隐私的泄露。大连接技术可以为电子围栏、无接触智能门禁等终端的广泛分布提供技术支撑，但也有可能被伪基站监控，被不法分子利用来实施精准电信诈骗等。低时延场景带来各类实验设备或课程的远程操作体验成为可能，但非法用户操作，实验数据泄露等也成为了5G低时延技术面临的考验。

针对无线校园网和5G技术的不断发展，目前还没有一个权威标准的解决方案，但可以通过上网行为管理与审计、校园舆情检测系统、伪基站防护系统等进行移动安全防护。上网行为管理及审计，通过对校园网内用户上网数据的统计、分析，同时针对重点敏感词汇的监控防范，实现对App、论坛、邮件、即时通信类移动终端常见的访问方式精准监控和防护；校园舆情检测系统，通过对上网行为数据的归类分析，找到不同师生之间的互动，及时发现校园内的不良舆情态势，及早接入管理，避免校园内外的安全事件发生。

2.4 物联网

工信部印发的《物联网基础安全标准体系建设指南（2021版）》明确了物联网终端、网关、平台等关键基础环节安全要求，推动了物联网标准体系的建立，促进了各行业物联网安全能力的提升。

在高校，物联网技术使“感知校园”“智慧校园”成为可能。物联网技术的应用在高校已经很普遍，比如我们已经很熟悉的RFID门禁、考勤系统、一卡通、资产管理系统、安防系统等，还有现在智慧校园建设中的废物垃圾处理、污水处理检测系统、水控系统、照明系统、空调等电器的监测系统等。从设备管理、人员管理、安全管理到环境管理都涉及到物联网的应用。在物联网技术的支持下，改变了原有的教学模式，电子黑板、电子桌面、语音、视频设备实时联网，教学资源云端获取，教学和现代科技手段相结合，丰富课堂教学形式，提高学生学习兴趣。物联网的应用正在改变着校园的管理和服务模式，使校园管理更加信息化、科学化、智能化，提高了管理效率。在未来平安校园、智慧校园、感知校园、绿色校园的进一步发展建设中，物联网将会发挥越来越重要的作用。

物联网技术归根到底仍然要基于基础物理网络，通过大量部署前端设备进行信息采集，通过网络传输数据到业务处理中心系统。大量的感应器分散嵌入到无人值守的环境下，存在安全风险，黑客会趁虚而入，进而通过渗透进入网络，最终破坏核心业务的运行，导致信息泄露，危害信息网络安全。因此，对入网设备和资产进行严格的管控机制是保证物联网安全的重要一步。部署物联网安全防护设备，对设备安全准入进行监管和限制，通过主动扫描、被动监听和手动设置等手段采集视频专网中的摄像头、PC、网络视频录像机等接入设备的资产信息，并进行分类统计，建立统一的资产库，解决多安防厂家并存的情况下接入资产难以统一监管的问题。可通过MAC地址、IP地址、设备指纹等设备认证方式对网络接入设备进行管控，只有通过认证的设备才允许接入到网络中，防止前端设备的非法替换接入。对传输数据进行应用级控制，采用支持基于协议特征的识别的安全产品，只放行合法应用数据，其他非法数据全部阻断，有效阻隔非法扫描、DDoS攻击等。对数据进行识别控制和设备认证功能同时开启，对整个网络接入设备和传输流量进行精确控制，达到专网专用的效果。可实时对数据的源地址、目的地址以及应用层协议进行全方位的检测，一旦发现非法流量即可实时阻断。

3 构筑立体、主动的防护体系

随着高校信息化的发展和安全意识的提高，很多高校已经初具成体系、成系统的信息安全防护系统。但由于多为分批、分阶段建设，并且多以解决各类网络安全事件处理能力为目标，大量的安全设备都是各自为战，以被动防护方式为主，缺乏能够将现有安全防护能力拉通，主动进行安全事件防御的能力。2019年实施的等级保护2.0中也要求要由被动防御转变为主动防御、动态防御，建立全面的集中监控，以满足安全管理中心的要求。

3.1 技术层面

传统的防护依靠单个设备的能力，缺少整体协同，依靠人工分析海量的安全信息，效率低、响应慢，已经无法满足当前不断变化的网络攻击和网络威胁，需要高效的方式来自动采集、分析、处置系统漏洞和攻击信息等。网络态势感知技术可以通过机器学习、大数据分析技术，通过对网域内引发安全态势变化的多种因素进行分析处理，实现实时监控网络运行状况，识别网络异常入侵，对安全威胁事件进行预测和判断，并建立有效的威胁信息共享机制，确保网络系统运行的安全稳定[4]。网络安全态势感知是一个综合性平台，整个系统核心竞争力是具备AI安全分析能力，基于安全大数据，以及下一代防火墙、数据安全保护、安全网关和云安全等关键技术，形成从组件、模块、平台的完整解决方案，为态势感知平台提供端到端服务。网络态势感知系统架构包括：

3.1.1 数据采集层

数据采集层主要负责对安全设备如防火墙、入侵检测设备和关键主机的日志信息进行采集，还会对设备存在的安全漏洞信息、流量分析信息和威胁情报信息等进行采集分析。对不同的数据格式进行归一化处理，去除冗余及噪声数据。

3.1.2 计算存储层

采用和ElasticSearch+ClickhouseSpark构建大数据计算、存储平台。态势感知需要的海量日志存储和处理离不开大数据存储的支撑。大数据的快速处理为高速网络流量的深度安全分析提供了技术支持，为高智能模型算法提供计算资源。

3.1.3 业务能力层

通过沙箱功能、Web安全功能、安全分析功能和智能学习协同工作，通过融合、归并和关联底层多个检测设备提供的安全事件信息，从整体上动态反映网络安全情况，并对网络安全的发展趋势进行预测和预警。

3.1.4 系统服务层

通过安全态势感知和情报中心感知网络状态、受攻击情况、攻击来源，掌握网络安全状况和发展趋势，制定有预见性的应急预案，做好相应的防范准备。

网络安全态势感知实现对网络安全威胁的持续性监测和可视化展示，让安全可见、可控、可管、可预测，准确直观的展示网络安全风险威胁。网络安全管理者从网络安全态势中了解网络的安全状态和发展趋势，制定有预见性的应急预案。

在校园网场景下，大部分师生没有深厚的网络安全知识体系积累，学生在使用校园网的过程中也明显表现出需求多样，访问各类网站、资源分散的特点。在校园网中各类安全事件也远多于其他互联网访问需求单一的行业。因此在校园网中部署态势感知平台就显得更加重要。

高校的网络安全大多是分阶段分批建设的，技术和网络设备在当时是领先的，但经过十多年发展，有些设备已经老旧，需要重新梳理校园网络空间资产，利用态势感知平台中的资产评估子系统进行资产风险动态评估，评估和验证资产存在的漏洞、脆弱性。对内部的资产以及漏洞进行统计，便于管理员了解学校内部资产及漏洞情况；能够发现网络和应用中存在的配置缺陷、管理漏洞，提升网络和应用系统的安全强度；通过漏洞与安全事件的关联分析，可以统计出当前被成功利用的漏洞类型、次数以及造成的危害程度，为漏洞修复工作计划提供参考依据，并对漏洞的消除进行全生命周期的跟踪闭环。

高校目前的安全防护设备大多是通过各厂家的攻击、病毒、行为特征库来提供安全防御能力。针对0Day等还没披露或最新披露的病毒和攻击往往没有防护能力，教育行业又是对新知识、新应用发布比较敏感的行业，也是最新攻击和病毒的重灾区。如果师生在校园网内使用最新的软件或访问相关最新资源时，传统的安全防护设备很难起到应有的防护效果。通过态势感知系统全天候、全方位监测校园网络关键节点（如核心交换机）流量信息，对多源、异构数据进行清洗和归一化处理，主动分析各类安全告警数据，借助平台内置的攻击链模型及AI威胁识别引擎，快速发现、定位安全攻击，对攻击进行综合研判，一旦确认攻击事件，系统可联动防护设备自动处置，及时防止威胁扩散、风险升级，实现网络安全事件告警、安全预警、追踪溯源等。

在态势感知平台发现、确定网络攻击事件后，态势感知平台的联动处置子系统对态势感知平台支持联动的安全设备（如防火墙、入侵防御系统、Web防火墙等）进行统一管理、更新防护配置。将态势发现的安全攻击或病毒手动自动添加到传统的安全防护设备上，提高校园网现有各类安全设备的识别、防护成功率。态势感知平台还可通过联动处置子系统对告警的安全事件进行一键处置，提升管理员在紧急时期对安全事件的处置效率。

由于校园网日常访问流量大，每日就可生成海量的访问日志和安全防护日志。传统校园网的日志存储设备或系统很难在海量的数据中提取、归类出有价值的记录信息。态势感知平台中的追溯取证系统采用分布式存储技术，通过对关键业务流量进行全包解析存储及元数据提取，实现流量分析、数据钻取、威胁溯源及审计取证等功能，支持自定义解析存储策略，存储与违规行为相关的解析流量。多维度展示网络中的流量组成和网络行为。提供端到端的全流量行为、性能的可视化分析能力，提升管理员对网络与应用的可视化管理能力，为网络调整提供可信的决策依据。

我国的网络安全公司如360公司、H3C（新华三）、奇安信、绿盟科技、安恒科技等安全企业都推出了安全态势感知系统，这些网络安全态势感知系统各有特色。在态势感知系统中，数据分析能力是核心。由于各个公司的数据分析模型设计有所差异，对异常流量和异常行为的匹配规则不同，在风险、威胁和异常行为分析方面会有差异。威胁情报一方面来自于系统探针扫描检测数据、日志分析数据，另一方面来自网络安全公司搜集整理的情报，影响系统对威胁的准确判断能力。在实际建设使用中，由于存在从基础网络安全设备采集的数据缺乏统一的数据对接接口，采集数据质量不高，导致数据分析难度增大。数据源格式的不一致，是进行数据统一的难点，所以目前国内主流安全厂家的数据接口对接是系统建设过程中的难点和重点。各厂家探针种类繁多，目前没有统一的规范和接口，也是各厂家目前态势感知平台分析能力差距的体现，在系统建设规划前期就需要深入与各厂家交流，确定相关产品功能特性是否吻合本校实际网络安全建设的痛点。各厂家自动化处理能力不尽相同，可联动的安全产品也各有侧重，需在系统建设前进行充分的分析研究，尽可能减小不必要的重复投资，尽最大可能利用现有的安全防护设备。

3.2 管理方面

信息网络安全从来不仅仅是技术的问题，在采用安全技术和产品的同时，应重视管理和技术人员培养。实现网络安全管理既需要一套完整切实可行的安全管理制度，也需要专业的技术人员去跟进落实。制定校园网络安全管理相关文件，做为校园网络管理的实施依据，使网络安全工作可操作、可监督，使管理趋于正规化、流程化[5]。设立专门的网络安全管理岗位，对系统日常运行、数据备份、系统漏洞等定期进行检查，及时发现潜在威胁。加强与外部沟通学习，与专业的网络安全技术机构合作，为学校提供网络安全技术支持服务。

3.3 网络安全意识方面

培养树立正确的网络安全意识：(1)网络安全涉及到学校组织的方方面面，是一项系统工程，需要技术与管理双管齐下，安全永远不仅仅是IT技术人员的事情，网络安全关系到每一个人；(2)没有一劳永逸的安全解决办法，安全产品、安全技术会随着攻击手段的发展而不断地升级，并且需要管理人员进行日常运营维护，因此唯一的长效安全机制就是安全的持续改进；(3)内部安全不容忽视，通常重点关注来自外部的安全威胁，如网络渗透、黑客攻击等，却忽视来自内部的安全威胁，如人员操作失误、内部病毒传播等；(4)期望零风险，信息系统依赖的硬件、软件等均存在大量的风险因素，风险客观长期存在，信息系统安全管理的目标只能是将风险控制在可接受的范围内，而不是实现绝对的安全。

高校有围墙，但网络没有边界，在互联互通网络世界，应加强教师和学生网络安全意识教育，从源头上降低安全风险，提高自身的免疫力来抵御不安全的因素。通过计算机基础或信息化相关课程让师生更多地了解网络安全知识，培养网络安全意识，养好良好的网络使用习惯，对当前和未来的网络安全状况有一个客观正确的认识。对于校园安全的管理者、实施者、监督者更应对安全负起责任，在搞好网络安全建设的同时，注重网络安全意识的宣传和培养。

4 结语

网络安全等级保护工作将是网络安全的基础性工作和常态化工作，参照网络安全等级保护2.0的标准，通过落实网络安全等级保护2.0要求，找到校园网络的风险点进行加固，构筑安全的校园网络屏障，保护重要的信息，搭建稳定、高速、健壮的网络环境，为高校的教学发展提供基础保障。没有一劳永逸的网络安全，我们一直在路上。