◆尹逊伟

等保2.0下校园信息系统安全管理体系构建研究
——以北京青年政治学院为例

◆尹逊伟

（北京青年政治学院信息办 北京 100102）

国家层面对网络安全方面的表述，从2016年12月以后，确定了网络空间安全的概念，这就意味着网络安全变成了全方位的体系，庞大而全面。信息系统是承载数据的最终载体，是网络空间安全的重要组成部分，而高校作为社会的重要组成，其信息系统也有重要的社会价值，如何保护其信息系统的安全是高校信息系统安全管理体系的重中之重。本文以北京青年政治学院信息系统安全管理体系为例，结合等保2.0的要求，分析了当前信息系统管理体系方面的各种问题，提出了如何更好构建信息安全管理体系的思路，以更好地达到等保2.0的要求，保障高校信息系统的安全。

信息系统；等保2.0；网络安全；管理体系；敏感信息

1 引言

随着新技术、新应用的不断涌现，高校信息系统的功能也越来越丰富，涉及的人员多，数量多，掌握的数据也多，面临数据泄露、数据篡改、网站瘫痪和页面篡改的风险更大。据统计，2020年教育类数据暗网贩卖事件多达30余起，网络安全态势越来越严重。一方面是学校对信息化建设多元化的诉求，一方面师生的信息安全素养不足以支撑信息系统的安全管理，高校的信息系统安全管理变得更加重要。

公安部制定的《信息安全技术网络安全等级保护基本要求》（以下简称“等保2.0”）于2019年12月1日起正式实施，标志着我国网络安全等级保护工作从1.0时代迈入2.0时代，相比1.0时代，等保2.0时代更加注重主动防御。这就对高校现有的管理体系提出了挑战，但同时也指明了改革的方向。

2 高校信息系统安全管理现状

目前，等保2.0已经实施一年多，各专家也已经把等保2.0的各项标准和要求解读得比较完善，但高校的网络和信息系统经过长年的建设，已经形成了相当的规模，短时间内，直接达到等保2.0标准基本不现实，各高校都在研究自己的信息系统管理和网络管理如何达到等保2.0的标准。

2.1 信息系统等级保护定级不准确

现有等级保护体系是在等保1.0框架下搭建的，等保1.0时代的指导思想是“自主定级、自主保护、监督指导”，也就是说，系统定为几级是自己学校自主决定，一般都是信息中心或网信办进行负责，然后上报到备案部门的。虽然备案部门也在审查，但1.0时代没有完善的审查制度和具体标准，尤其是对等级保护对象受到破坏时所侵害的个体都没明确的规模要求。这也就造成了高校信息系统在定级时不准确，在确定定级的责任主体上不明确，所有系统的定级主体基本都在信息办，没有做到“谁主管谁负责、谁运维谁负责、谁使用谁负责”的确定原则。

2.2 信息系统建设流程不规范

高校信息系统的建设基本都是以各二级部门的需求来建立的，通常都是以单个信息系统为基础来建设。只要是有需要，就上报信息化项目，然后建立，缺乏跟其他系统的联动，没有形成统一规划，有的系统还存在功能重复的情况。而且所建立的信息系统都是建设完成后才进行定级备案，不符合定级的流程。

2.3 信息系统管理不规范

按照“谁使用谁负责”的原则，各信息系统的使用单位应当有管理信息系统的责任，但实际情况是，系统的使用部门除了使用基本的功能和基本业务管理外，没有建立系统的台账，基本的管理流程没有，后台服务器基本不登录，工作人员对系统的操作系统版本，所用插件，数据库名称、版本等一无所知，甚至系统后台的登录密码都不清楚，一切服务器的管理都赖以开发公司的支持。

2.4 信息系统管理员信息安全素养有待提高

作为信息系统管理员，应当具备相应的信息安全素养，对待系统的安全应该有清醒的认知。目前高校大部分部门的信息系统管理员，一般只是部门工作人员兼任，管理内容也只是对人员的增删改、对密码的更改以及业务本身的使用，对安全问题基本不关心。即便是遇到安全的情况，也认为和自身没有多大关系，管理员密码常年不改，网络安全意识不高。

2.5 现有二级系统数量过多，现有项目资金完不成测评要求

按照等保2.0的要求，三级系统要每年都要测评，二级系统要每两年测评一次。很多高校的二级系统过多，按照现有项目资金无法按照测评要求完成。就我院情况来说，目前共有21个二级系统，按照测评要求，每年要测评10个或11个，但每年的测评项目所获批的资金，仅能完成5到6个系统的测评，无法完成所有二级系统每两年一测评的要求。

3 信息系统定级与测评

3.1 信息系统的等级认定

等保1.0时代，学校自主定级，在等保2.0之后，特别是2020年12月《信息安全技术网络安全等级保护定级指南》发布后，等保级别不再按单位自己定的级别认定。虽然等保2.0在学校信息系统安全保护等级建议中，建议二类学校的系统一般都定为二级，但具体的定级要根据实际情况来定，也就是说，二类学校的信息系统也有可能被定为三级。主要的定级标准要看看专家的评审意见，而评审专家的评审依据主要看个人敏感信息的数量、是否开放互联网等，最终的定级还要主管部门审批才能报备到备案部门。

所谓敏感信息，主要包括师生员工的姓名、身份证号、电话号码、家庭住址、照片等，在定级时会细化到字段级。目前北京基本执行的标准是5000条，换句话说，如果系统在运行时敏感信息条目存储高过5000，就有被定为三级的风险。如果信息系统里的人员流动性比较大，比如学工系统、教务系统，不想被定为三级，可根据学校的实际情况，把毕业后学生的历史数据进行离线存储，保证系统运行时能查到的数目不超过5000，这样才可能被定为二级。

对于需要新建的业务，尽量在已有系统中添加新的模块，如实在不能新加模块的，也尽量把系统合并到已有的综合系统中，尽量避免出现新系统的定级备案。对确实需要建设独立系统的，有一个底钱，就是如果开放互联网的访问，哪怕功能再简单，一年只开放几天，也不允许定为一级系统。

3.2 如何减少信息系统的测评数量

针对高校二级信息系统过多，无法完成每两年测评一次要求的情况，目前能做的只能是尽量减少信息系统的备案数量，基本思路如下：

（1）直接撤销备案。准确调研各信息系统的使用情况，对一些老旧系统或基本不用的信息系统，走撤销流程，直接撤销其备案。确有历史数据需要查询的，可以离线存储或单机访问。

（2）网站合并后撤销备案。除学院官方主页外，其他所有二级部门的网站，统一归属到网站群，减少一批二级部门网站，这样网站群主体责任可以归属信息办，管理比较集中，有助于网站的安全稳定和应急处理。

（3）系统合并后撤销备案。系统合并可以按信息系统的业务对象进行分类后合并，也可以按业务部门分类，还可以按办事流程或综合服务类合并。按业务部门合并的：比如，我院的教务部门有教务系统、顶岗实习系统、资源管理系统，教学评价系统等，可以汇总为一个大的综合教务系统，包括一切和教学相关的功能，教务系统的敏感数据包含了其他三个系统的数据，不会增加新的数据量，这样其他三个系统就可以撤销备案。按办事流程或综合服务类合并：比如合同审签系统、会议室预定系统等不上外网的，又是办理业务的，可以合并成网上办事大厅或网上综合服务大厅等。有统一身份认证的，可以走统一身份认证系统，比如我院有智慧校园，里面加入了统一身份认证，通过智慧校园可以不用再次输入密码，直接进入其他系统，这种情况，可以把能合并到智慧校园的系统，合并到智慧校园。

经过以上几种情况的合并，数量都会大大减少到10个以下。但信息系统的合并，情况比较复杂，在合并过程中会遇到各种问题。如果本身是二级系统，按之前的分类可以与其他系统合并，但其存储的敏感信息已经超过五千条，就先不要动这个系统，保持原状；如果本来信息系统存储的敏感信息数量不多，合并后，超过了五千，看看数据是否有重合，是否能用共用库等，如果最终的敏感信息数量还是超过了五千，也不能合并。还有诸如财务系统等涉及资金往来的一般不要进行合并。

4 信息系统安全管理体系构建

当前面临“教育信息化2.0”和“等保2.0”的共同实施阶段，面对信息化建设要不断实施的情况，要以“等保2.0”为抓手和依托，建立健全信息系统安全管理体系，切实提高高校信息安全防护水平及能力。针对上述遇到的高校校园的信息系统安全管理现状，以北京青年政治学院为例，把信息系统安全管理体系初步建成从各二级部门的管理员到信息中心管理，再到整体网络安全管理的分级管理体系。

4.1 设立安全管理机构

对于高校校园来说，网络安全是全体师生共同参与的事情，需要全校师生的共同努力，不单单是信息办或网信办一个部门的事情，但信息办或网信办作为一个基层部门，在推动网络安全和信息化建设的时候，力量不足，就需要在更高层面设计才可以顺利推进。以我院为例，学院成立了网络安全和信息化领导小组，校长书记任双组长，主要职能包括宣传贯彻落实国家关于网络安全和信息化工作的法律法规，贯彻落实市公安局、市委网信办和市教委等部门的相关制度，研究审议学院网络安全和信息化工作战略目标、实施方案、技术标准，落实网络安全和信息化工作责任制。

领导小组组织架构，主要包括决策层、管理层和运维层。决策层主要是学院校长、书记，分管信息化、意识形态的领导；管理层主要包括领导小组成员，也就是各部门的负责人；运维层主要是各业务系统的管理员。领导小组办公室设在信息办，由信息办组织协调网络安全方面相关事宜。

4.2 制定完善的安全管理制度

制定并落实安全管理责任制度，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，层次落实，与各部门签订责任书，明确负责人和管理员。制定整改责任书与反馈机制，信息办定期进行系统漏洞扫描，如发现系统有漏洞，就把相应的整改责任书发给系统使用部门，限期进行修复。修复后，需要反馈至信息办，信息办再次扫描予以确认，逾期不修改又不进行情况说明的，上报领导小组，按管理制度进行处理。

各二级部门要及时关注信息办发布的安全及漏洞信息，如存在隐患，要及时对信息系统进行漏洞修复。如有高危漏洞，信息办可先关闭信息系统，待信息系统整改完成后才可重新上线。

4.3 安全意识教育和培训

信息办上岗人员要具备ECSP等证书，要定期参加网络安全方面的培训，掌握安全动态。信息系统使用部门的管理人员，要定期参加信息中心举办的培训，积极参与到每年的国家网络安全宣传周中来，并以此为契机，交流经验，进而推广到全院师生，不断提升网络安全意识和素养。信息办和各二级部门都要做好系统的台账，包括操作系统版本，开发工具，插件版本，数据库版本。信息办及时关注上级网信办或安全公司下发的漏洞通告，要及时查看台账，看有无涉及，如果有涉及，联系具体负责的部门，自己能修复的立即修复；涉及到开发的，要及时与建设方联系，对系统进行漏洞修复。信息系统管理员要注意信息系统用户名和密码的安全，密码必须按复杂度要求进行设计，要定期的修改，不得随意告诉他人。

4.4 信息系统安全建设

信息系统要按照等保2.0要求来确定定级的主体，严格按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的确定原则。例如，信息办作为安全主管单位，负责推动整个学院等级保护的落实；校级系统或集中管理的或跨部门的平台，由信息办负责，则安全主体为信息办；各二级单位独立使用运维的，由各二级单位负责。新建系统要严格执行等保2.0的建设要求，在建设初期应在信息办指导下进行信息系统的等级保护备案的工作，在上线前应该做漏洞扫描，没有中高危漏洞后方可上线。系统上线后，配合信息办进行信息系统的等级测评工作。

4.5 应急预案的制定和应急演练实战

按照等保2.0的要求，要制定网络安全事件应急预案，以提高网络安全应急工作机制，应急预案中要有一键断网措施，一旦发现安全事件，及时一键断网。我院把核心交换机的电源接入到带有SIM卡的插线板，如有事件发生，可以通过短信或电话的形式给其断电，阻断外部访问。同时我院还接入了闪慧云的校园网络安全监控与管理系统，与手机端联动，提供了微信一键开关功能，一旦出现问题，可及时进行断网处置，还可以对信息系统设置开放外网的时间段。

针对应急预案，要进行应急演练，以发现预案中的不足和提高工作人员处置问题的能力。2021年，我院对邮箱系统进行了应急演练，模拟管理员账户，对全院所有教职工进行模拟钓鱼邮件的发送。后续为了更好检验老师的安全意识，此次演练持续了2周时间，演练发现，依然有部分老师点击了链接，甚至有老师根据链接中提示进行了信息填写。这也暴露出了部分老师的安全意识有待加强。

5 结语

等保2.0的内容很多，信息系统的安全管理只是其中的一部分内容，但也是事关数据存储和管理的关键部分，做好信息系统的安全管理，是对整个等保2.0体系有力支撑。现阶段“等保2.0”标准虽然说已经正式的实施，但是各个行业在原来1.0的基础上还没有更好的整合，在高校信息防护工作中的必要性的认识尚未统一，工作流程与工作内容也有待明确。文章结合自己学校的实际情况，发现了部分问题，提出解决的思路，希望对其他高校的校园信息系统安全管理体系建立带来一定的帮助。

[1]信息安全技术网络安全等级保护基本要求[S].

[2]付中华.等保2.0时代高校等级保护工作的思考与研究[J].网络安全技术与应用，2021（01）.

[3]童话等.做好等保2.0网络信息安全工作的一些思考[J].网络安全技术与应用，2021（01）.

[5]王文梁.基于等保2.0标准的高校网络安全解决方案——以闽南理工学院为例[J].信息技术与信息化，2020（10）.

[8]朱圣才.等保2.0框架下高校网络安全体系建设[J].网络空间安全，2020，11（04）.

[9]GB/T 22240-2020，信息安全技术网络安全等级保护定级指南[S].