莊君明
摘 要:《網(wǎng)絡(luò)安全法》規(guī)定我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度(以下簡(jiǎn)稱等保制度)。高校擁有大量信息資產(chǎn),是國(guó)家網(wǎng)絡(luò)空間安全的重要陣地。為貫徹執(zhí)行等保制度,將等保工作管理過(guò)程規(guī)范化、流程化和信息化,設(shè)計(jì)并實(shí)現(xiàn)網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)。該系統(tǒng)涵蓋定級(jí)備案、等保測(cè)評(píng)、建設(shè)整改、安全監(jiān)測(cè)、安全通報(bào)等多個(gè)等保工作環(huán)節(jié),包括多級(jí)權(quán)限管理、知識(shí)庫(kù)、文檔報(bào)告快速生成等特色功能。通過(guò)該系統(tǒng)可順利完成8個(gè)二級(jí)等保系統(tǒng)備案工作。
關(guān)鍵詞:網(wǎng)絡(luò)安全;等級(jí)保護(hù);系統(tǒng)設(shè)計(jì)
DOI:10. 11907/rjdk. 192797 開放科學(xué)(資源服務(wù))標(biāo)識(shí)碼(OSID):
中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-7800(2020)007-0178-05
The Design and Realization of the Classified Protection Support System
of Cybersecurity in Colleges and Universities
ZHUANG Jun-ming
(Network and Data Center, Fujian Normal University, Fuzhou 350117, China)
Abstract: The Cybersecurity Law implements the classified protection of cybersecurity in China. To protect the security of cybersecurity is very important in colleges and universities that has a large amount of information assets. In order to better implement the insurance system, we designed and implemented the classified protection support system of cybersecurity that standardizes, processes and informationizes the management process of the work. This system covers the modules, such as grading record, equal protection evaluation, construction rectification, safety monitoring, safety notification, multi-level authority management, knowledge base, rapid generation of document reports, etc. Through the application of this system, the filing of eight secondary equal guarantee systems was successfully completed.
Key Words: cybersecurity; classified protection; system design
0 引言
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,對(duì)于不執(zhí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的單位將追究其法律責(zé)任[1]。2019年5月13日發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[2]標(biāo)志著等級(jí)保護(hù)正式邁入2.0時(shí)代。該規(guī)范將網(wǎng)絡(luò)安全等級(jí)保護(hù)工作(以下簡(jiǎn)稱等保工作)規(guī)范為等級(jí)備案、指標(biāo)差距分析、建設(shè)整改、等級(jí)測(cè)評(píng)、安全監(jiān)測(cè)、安全監(jiān)測(cè)預(yù)警等管理環(huán)節(jié),相關(guān)標(biāo)準(zhǔn)眾多且管理程序復(fù)雜。高校作為國(guó)家網(wǎng)絡(luò)空間安全的重要陣地,遵循國(guó)家法律制度是高校的首要責(zé)任。如何結(jié)合實(shí)際情況高效開展等保工作,是高校信息工作者亟需解決的問(wèn)題。
隨著等級(jí)保護(hù)進(jìn)入2.0時(shí)代,等級(jí)保護(hù)對(duì)象從信息系統(tǒng)擴(kuò)展為網(wǎng)絡(luò)空間,定級(jí)對(duì)象發(fā)生了很大變化,相關(guān)標(biāo)準(zhǔn)、要求和細(xì)則也隨之變動(dòng)。傳統(tǒng)方式都是通過(guò)手工進(jìn)行信息管理和文檔整理,過(guò)程隨意、重復(fù)工作量大、效率低。將等保工作規(guī)范管理,采用流程化和信息化手段,能極大提高工作效率和效益。此項(xiàng)工作是結(jié)合我國(guó)實(shí)際情況開展的,國(guó)外基本沒(méi)有學(xué)者對(duì)此進(jìn)行研究,國(guó)內(nèi)的大部分研究也僅停留在理論上[3-8],缺乏實(shí)踐,沒(méi)有考慮到等保2.0與等保1.0的差異。牛永亮[3]深入分析高校信息系統(tǒng)定級(jí)工作,然而定級(jí)對(duì)象局限于信息系統(tǒng),只涉及到定級(jí)工作,沒(méi)有對(duì)備案、建設(shè)整改、等級(jí)測(cè)評(píng)和日常管理進(jìn)行分析和歸納;楊斯可[4]從信息系統(tǒng)建設(shè)的全生命周期角度出發(fā),研究如何實(shí)施安全等級(jí)保護(hù)工作,然而缺乏差距分析、建設(shè)整改、安全通報(bào)和監(jiān)督檢查研究。部分學(xué)者進(jìn)行實(shí)踐探索:翟躍等[9]結(jié)合高校信息安全工作實(shí)際,設(shè)計(jì)信息資產(chǎn)風(fēng)險(xiǎn)管理系統(tǒng),側(cè)重于安全風(fēng)險(xiǎn)分析和安全防護(hù)研究;孫建立[10]將信息系統(tǒng)備案、漏洞管理和安全通告統(tǒng)一管理,設(shè)計(jì)了信息系統(tǒng)安全管理服務(wù)平臺(tái)。然而這兩位學(xué)者沒(méi)有對(duì)等保工作的其它環(huán)節(jié)如建設(shè)整改與指標(biāo)差距分析等進(jìn)行研究,具有較大的局限性。一些學(xué)者[11-15]的實(shí)踐探索也僅僅局限于等級(jí)保護(hù)工作的某個(gè)具體環(huán)節(jié)。針對(duì)上述研究不足,本文對(duì)如何統(tǒng)一規(guī)范管理等保工作環(huán)節(jié)和流程進(jìn)行全面深入研究。
2017年前筆者學(xué)校一直采用手工方式進(jìn)行等保工作,工作量大,信息更新不便且不準(zhǔn)確。2017年,學(xué)校專門成立網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組(以下簡(jiǎn)稱領(lǐng)導(dǎo)小組),負(fù)責(zé)學(xué)校等保工作的整體規(guī)劃和設(shè)計(jì)。領(lǐng)導(dǎo)小組下設(shè)網(wǎng)絡(luò)安全與信息化建設(shè)管理辦公室(以下簡(jiǎn)稱網(wǎng)信辦),負(fù)責(zé)貫徹執(zhí)行國(guó)家相關(guān)法律,修訂完善學(xué)校網(wǎng)絡(luò)安全管理制度,總體推進(jìn)學(xué)校等保工作,并監(jiān)督、指導(dǎo)各學(xué)院和部門等保工作。各學(xué)院和部門專設(shè)網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)和網(wǎng)絡(luò)安全管理員,負(fù)責(zé)本單位等保工作。在理順體制與機(jī)制的同時(shí),不斷創(chuàng)新管理方式。網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)目標(biāo)就是要將等保工作管理過(guò)程規(guī)范化、流程化和信息化,及時(shí)、準(zhǔn)確地反映學(xué)校網(wǎng)絡(luò)安全狀態(tài),提高管理效率和效益。
1 系統(tǒng)建立難點(diǎn)
(1)等保工作涉及多個(gè)管理主體,《網(wǎng)絡(luò)安全法》明確規(guī)定“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的指導(dǎo)原則,提出“共同治理”操作原則。筆者學(xué)校的網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組、網(wǎng)信辦、安全專家小組、各部門和學(xué)院分管領(lǐng)導(dǎo)、各部門和學(xué)院網(wǎng)絡(luò)安全管理員、各軟硬件系統(tǒng)承建商、網(wǎng)絡(luò)安全服務(wù)商都是等保工作管理主體。如何在管理過(guò)程中厘清各主體權(quán)責(zé),實(shí)現(xiàn)共同治理,是等保工作最本質(zhì)的問(wèn)題。
(2)等保工作過(guò)程復(fù)雜,標(biāo)準(zhǔn)眾多且涉及范圍廣。等保工作涉及等級(jí)備案、指標(biāo)差距分析、建設(shè)整改、等級(jí)測(cè)評(píng)、安全監(jiān)測(cè)、安全預(yù)警等多個(gè)管理環(huán)節(jié),每個(gè)環(huán)節(jié)都有一系列規(guī)范標(biāo)準(zhǔn)。管理和技術(shù)標(biāo)準(zhǔn)多達(dá)117個(gè),指標(biāo)項(xiàng)多達(dá)上萬(wàn)個(gè),涉及基礎(chǔ)類、定級(jí)類、實(shí)施建設(shè)類、等級(jí)測(cè)評(píng)類、風(fēng)險(xiǎn)評(píng)估類、新技術(shù)類、安全檢測(cè)與事件管理類、電子政務(wù)類、產(chǎn)品類等多個(gè)類別[16-18]。如何結(jié)合高校實(shí)際,對(duì)這些標(biāo)準(zhǔn)和指標(biāo)進(jìn)行管理和應(yīng)用,是等保工作的核心問(wèn)題。
(3)信息資產(chǎn)數(shù)量龐大、種類多樣且分布零散。等保工作首先要對(duì)關(guān)聯(lián)的信息資產(chǎn)進(jìn)行梳理與跟蹤。經(jīng)過(guò)十幾年信息化建設(shè),學(xué)校積累了大量信息資產(chǎn),包含硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)等,有些屬于校級(jí)資產(chǎn),有些屬于院級(jí)資產(chǎn),零散分布在各個(gè)機(jī)房和辦公場(chǎng)所。如何對(duì)這些資產(chǎn)進(jìn)行梳理并及時(shí)更新,是等保工作首先要解決的問(wèn)題。
(4)外部檢查和評(píng)估任務(wù)次數(shù)頻繁。隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻,高校每年都要多次應(yīng)對(duì)公安部門和上級(jí)主管部門的檢查與評(píng)估。應(yīng)對(duì)這些任務(wù)需要耗費(fèi)大量的人力進(jìn)行文檔整理,效率極為低下。高效整理等保工作相關(guān)文檔,并根據(jù)檢查和評(píng)估任務(wù)快速輸出,是網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)面臨的艱巨任務(wù)。
(5)網(wǎng)絡(luò)安全管理人員水平參差不齊,變動(dòng)頻繁,造成等保工作無(wú)法順利開展,工作交接不順利。因此,在保障等保工作需求基礎(chǔ)上,如何盡可能提升系統(tǒng)易用性,是網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)面臨的挑戰(zhàn)。
2 系統(tǒng)設(shè)計(jì)思路與功能結(jié)構(gòu)
2.1 設(shè)計(jì)思路
高校網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)設(shè)計(jì)目的在于輔助高校等級(jí)保護(hù)工作,幫助高校規(guī)范管理過(guò)程、整理相關(guān)文檔,同時(shí)提供查詢、修改和導(dǎo)出功能。系統(tǒng)設(shè)計(jì)思路如下:
(1)貫徹標(biāo)準(zhǔn)制度。根據(jù)國(guó)家和行業(yè)標(biāo)準(zhǔn)體系,梳理和等保工作緊密相關(guān)的10個(gè)標(biāo)準(zhǔn),將等保工作規(guī)定的8個(gè)環(huán)節(jié)上線,保證系統(tǒng)設(shè)計(jì)符合國(guó)家要求。
(2)多級(jí)用戶體系、角色權(quán)限靈活。根據(jù)《網(wǎng)絡(luò)安全法》提出的共同治理原則,將使用對(duì)象分為3類:①一級(jí)單位,包括各高校信息化管理職能部門,如網(wǎng)信辦、網(wǎng)絡(luò)中心或現(xiàn)代教育技術(shù)中心;②二級(jí)單位,包括各部處和學(xué)院;③第三方用戶,如安全服務(wù)公司、軟件開發(fā)公司、檢查人員等。一級(jí)單位可為二級(jí)單位開設(shè)賬戶和賦予權(quán)限,對(duì)全校等保工作進(jìn)行監(jiān)督、管理和統(tǒng)計(jì);二級(jí)單位可對(duì)本單位信息系統(tǒng)進(jìn)行定級(jí)、備案、申請(qǐng)測(cè)評(píng)等;第三方用戶可輔助一級(jí)單位和二級(jí)單位進(jìn)行信息填寫,如技術(shù)參數(shù)、定級(jí)參考、等級(jí)測(cè)評(píng)分析等。這三類用戶采取初始默認(rèn)權(quán)限,可根據(jù)實(shí)際需要靈活調(diào)整,權(quán)限設(shè)置細(xì)化到頁(yè)面和具體功能點(diǎn)。
(3)多場(chǎng)景輸出。高?;緫?yīng)用場(chǎng)景分為統(tǒng)計(jì)、檢查、存檔等。等保工作需要及時(shí)統(tǒng)計(jì),輸出相應(yīng)報(bào)表。對(duì)公安部門和上級(jí)主管部門的檢查和評(píng)估工作,系統(tǒng)能夠快速輸出所需文檔。等保工作過(guò)程文檔和結(jié)束文檔能夠電子化存檔。
(4)流程設(shè)計(jì)。系統(tǒng)具有簡(jiǎn)潔的人機(jī)交互界面、靈活的權(quán)限設(shè)置、標(biāo)準(zhǔn)的等保流程等特點(diǎn),能夠高效支撐等保工作順利開展。系統(tǒng)對(duì)等保工作最重要環(huán)節(jié)進(jìn)行流程化設(shè)計(jì),如圖1所示。
2.2 系統(tǒng)功能架構(gòu)
等保工作包括定級(jí)、備案、指標(biāo)差距分析、建設(shè)整改、等級(jí)測(cè)評(píng)、安全檢測(cè)、安全監(jiān)測(cè)、應(yīng)急處置、安全通報(bào)等多個(gè)環(huán)節(jié)。高校網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)劃分為系統(tǒng)管理、等保管理、檢測(cè)監(jiān)測(cè)、檢查評(píng)估、通知通報(bào)、知識(shí)庫(kù)、數(shù)據(jù)統(tǒng)計(jì)7個(gè)功能模塊,每個(gè)功能模塊又細(xì)分為若干個(gè)子功能模塊,如圖2所示。根據(jù)用戶和角色不同靈活分配權(quán)限。以筆者學(xué)校為例,分為一級(jí)單位管理員、二級(jí)單位管理員、第三方用戶3種角色,系統(tǒng)為這3種角色設(shè)置默認(rèn)權(quán)限,也可根據(jù)實(shí)際情況進(jìn)行調(diào)整。
3 系統(tǒng)實(shí)現(xiàn)
基于安全性、穩(wěn)定性、高效性和可擴(kuò)展性要求,網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)采用基于JAVA語(yǔ)言的B/S架構(gòu),用戶在校園網(wǎng)內(nèi)通過(guò)瀏覽器進(jìn)行訪問(wèn)。
3.1 系統(tǒng)環(huán)境
系統(tǒng)后臺(tái)采用Spring MVC、Apache Shiro架構(gòu)進(jìn)行開發(fā),前端基于Smart Admin框架進(jìn)行設(shè)計(jì),數(shù)據(jù)庫(kù)采用Mysql進(jìn)行存儲(chǔ)。Spring MVC主要用于Web開發(fā),是一種基于JAVA語(yǔ)言的成熟框架,與Struts 1.0和Struts 2.0相比,在安全性、可擴(kuò)展性和穩(wěn)定性上有顯著提高。Apache Shiro則集成了用戶系統(tǒng)和權(quán)限系統(tǒng),能夠與Spring MVC無(wú)縫銜接,大大減少開發(fā)量。Smart Admin是一種集成JQuery、Bootstrap的前端框架,擁有多套UI界面,能夠適應(yīng)多種終端并具有良好的擴(kuò)展性。
3.2 系統(tǒng)技術(shù)路線
系統(tǒng)基本技術(shù)路線如圖3所示。
3.2.1 系統(tǒng)管理模塊
信息資產(chǎn)類型包括網(wǎng)絡(luò)區(qū)域、網(wǎng)絡(luò)邊界、機(jī)房設(shè)備資產(chǎn)、網(wǎng)絡(luò)設(shè)備資產(chǎn)、安全設(shè)備資產(chǎn)、服務(wù)器設(shè)備資產(chǎn)、基礎(chǔ)軟件資產(chǎn)、中間件軟件資產(chǎn)、業(yè)務(wù)軟件資產(chǎn)、安全軟件資產(chǎn)、數(shù)據(jù)庫(kù)軟件資產(chǎn)、業(yè)務(wù)數(shù)據(jù)資產(chǎn)和備份數(shù)據(jù)資產(chǎn),根據(jù)相對(duì)應(yīng)的表單內(nèi)容填寫。通過(guò)資產(chǎn)對(duì)象化錄入方式,構(gòu)建詳細(xì)、內(nèi)聯(lián)的信息資產(chǎn)基本信息數(shù)據(jù)庫(kù),為后續(xù)等級(jí)保護(hù)建設(shè)、運(yùn)維、管理等工作提供詳盡的基礎(chǔ)信息支撐。另外,系統(tǒng)提供等級(jí)保護(hù)相關(guān)安全組織架構(gòu)人員信息管理功能,并提供便捷的授權(quán)與權(quán)限控制等功能。用戶添加權(quán)限的核心代碼如下:
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//1. 從PrincipalCollection中獲取登錄用戶信息
UserInfo userInfo = (UserInfo) principalCollection.getPrimaryPrincipal();
//2. 利用登錄的用戶信息來(lái)獲取等當(dāng)前用戶的角色或權(quán)限
List
//3. 創(chuàng)建SimpleAuthorizationInfo并設(shè)置其r oles屬性
Set
roleIds.add(“user”);
List
for (UserRoleRel userRoleRel: list) {
roleIds.add(userRoleRel.getRoleInfo().getRoleId());
roles.add(userRoleRel.getRoleInfo().getId());
}
// 獲得權(quán)限
Set
//4. 返回SimpleAuthorizationInfo
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
// 角色
simpleAuthorizationInfo.setRoles(roleIds);
simpleAuthorizationInfo.setStringPermissions(permitInfos);
return simpleAuthorizationInfo;
}
3.2.2 等保管理模塊
定級(jí)備案、指標(biāo)差距分析、建設(shè)整改、等級(jí)測(cè)評(píng)是等保工作最重要的4個(gè)環(huán)節(jié)。系統(tǒng)提供涉及等保工作有關(guān)表格、文檔及各類數(shù)據(jù)材料自動(dòng)化生成、輔助填報(bào)及模板化輸出,為等保工作提供全過(guò)程、向?qū)Щ?、自?dòng)化材料,完善報(bào)送跟蹤與結(jié)果管理等工作。用戶根據(jù)本模塊功能,以等級(jí)保護(hù)監(jiān)管機(jī)構(gòu)標(biāo)準(zhǔn)結(jié)構(gòu)化數(shù)據(jù)方式對(duì)定級(jí)、備案的材料進(jìn)行在線打印、打包下載等。
系統(tǒng)提供指標(biāo)差距分析整改向?qū)Чδ堋T摴δ芡ㄟ^(guò)內(nèi)置在系統(tǒng)中的等級(jí)保護(hù)基本要求推薦指標(biāo)數(shù)據(jù)庫(kù),與分類資產(chǎn)進(jìn)行匹配后構(gòu)建等級(jí)保護(hù)基礎(chǔ)屬性模型,為每項(xiàng)資產(chǎn)提供相應(yīng)的等級(jí)保護(hù)合規(guī)性推薦指標(biāo)、操作指引、操作記錄及符合性輔助判斷等關(guān)鍵功能模塊,內(nèi)容覆蓋等級(jí)保護(hù)基本要求中的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和安全管理制度等全部指標(biāo)。
系統(tǒng)提供規(guī)范化的等級(jí)保護(hù)測(cè)評(píng)管理過(guò)程指導(dǎo)功能,為用戶提供等保測(cè)評(píng)過(guò)程的規(guī)范化管理、跟蹤與配合。
文件下載代碼如下:
…
//文件存放的路徑
String realPath = request.getSession().getServletContext()。getRealPath(“/WEB-INF/upload/”+path);
//新建文件
File file = new File(realPath,fileName);
if(!file.exists()) {
response.sendError(404);
return false;
}
//設(shè)置響應(yīng)長(zhǎng)度
response.setContentLength((int)file.length());
//設(shè)置響應(yīng)的MIME類型為application/octet-stream
response.setContentType(MediaType.APPLICATION_OCTET_STREAM_VALUE);
String saveName = new String(fileName.getBytes(“UTF-8”),“ISO8859-1”);
//設(shè)置content-disposition為attachment;fileName=saveName
response.setHeader(HttpHeaders.CONTENT_DISPOSITION, “attachment; filename=\”“+saveName+”\“”);
//讀取文件
InputStream is = new FileInputStream(file);
OutputStream os = response.getOutputStream();
//將文件以流的形式輸出
IOUtils.copy(is,os);
…
3.2.3 檢測(cè)監(jiān)測(cè)模塊
該功能模塊與綠盟安全檢測(cè)、360安全檢測(cè)等軟件進(jìn)行數(shù)據(jù)對(duì)接,通過(guò)導(dǎo)入掃描結(jié)果的方式進(jìn)行漏洞與風(fēng)險(xiǎn)數(shù)據(jù)更新。多次檢測(cè)并導(dǎo)入檢測(cè)結(jié)果,可追蹤漏洞與風(fēng)險(xiǎn)解決情況。對(duì)于存在漏洞與風(fēng)險(xiǎn)的等級(jí)保護(hù)對(duì)象,可對(duì)其通知和預(yù)警。根據(jù)危險(xiǎn)等級(jí)不同建立不同等級(jí)的應(yīng)急處置方案與流程,并對(duì)過(guò)程文檔和結(jié)果文檔進(jìn)行存儲(chǔ)與歸檔,方便跟蹤與統(tǒng)計(jì)。
3.2.4 檢查評(píng)估模塊
檢查評(píng)估分為內(nèi)部檢查和外部檢查兩部分。內(nèi)部檢查由網(wǎng)信辦發(fā)起并下發(fā)檢查任務(wù),由相應(yīng)二級(jí)單位響應(yīng)檢查任務(wù)并反饋檢查結(jié)果。外部檢查由公安機(jī)關(guān)或上級(jí)主管部門發(fā)起,由一級(jí)單位和二級(jí)單位進(jìn)行任務(wù)布置與反饋。所有檢查任務(wù)都會(huì)記錄發(fā)起和響應(yīng)時(shí)間,以及具體任務(wù)內(nèi)容和反饋信息,以便實(shí)時(shí)查看和后續(xù)統(tǒng)計(jì)。
3.2.5 通知通報(bào)模塊
通報(bào)類型分為安全態(tài)勢(shì)通報(bào)和信息安全通報(bào)。安全態(tài)勢(shì)通報(bào)針對(duì)可能發(fā)生的安全風(fēng)險(xiǎn)進(jìn)行事前預(yù)警,信息安全通報(bào)則是對(duì)已發(fā)生的安全事件進(jìn)行通報(bào)。根據(jù)通報(bào)處置流程又分為單向分發(fā)和雙向通訊。單向分發(fā)由網(wǎng)信辦向相關(guān)二級(jí)單位分發(fā)通報(bào),只需其接收而不需要上報(bào)結(jié)果。雙向通訊指網(wǎng)信辦向相關(guān)二級(jí)單位分發(fā)通報(bào),需要接收并上報(bào)結(jié)果。該模塊由通知公告、待辦事項(xiàng)、安全通報(bào)3個(gè)子模塊構(gòu)成,通過(guò)規(guī)范化流程建立信息通報(bào)日常工作機(jī)制。根據(jù)安全通報(bào)類型,以定向通知、群發(fā)公告、待辦事項(xiàng)等方式通報(bào)給相關(guān)單位。安全通報(bào)下發(fā)的Controller層代碼如下:
…
InfoSecurity infoSecurity = infoSecurityService.get(intid);
if (infoSecurity.getDistributeStatus().equals(“未下發(fā)”)) {
infoSecurity.setDistributeStatus(“已下發(fā)”);
infoSecurity.setDistributeTime(new Date());
String[] _array = infoSecurity.getReceiveDepts().split(“,”);
for (String _id : _array) {
SubOrgInfo subOrgInfo = subOrgMgnService.get(Integer.parseInt(_id));
InfoSecurityDistribute infoSecurityDistribute = new InfoSecurityDistribute(infoSecurity, subOrgInfo);
InfoSecurityUpload infoSecurityUpload = new InfoSecurityUpload(infoSecurity, subOrgInfo);
infoSecurityUpload.setPriUploadTime(new Date());
infoSecurityDistributeService.save(infoSecurityDistribute);
}
…
3.2.6 知識(shí)庫(kù)模塊
該模塊收錄等級(jí)保護(hù)相關(guān)資料文檔,包括政策標(biāo)準(zhǔn)知識(shí)庫(kù)、相關(guān)政策文件庫(kù)、整改規(guī)劃知識(shí)庫(kù)、安全管理制度參考庫(kù)、基本安全配置參考庫(kù)和專家?guī)斓?。政策?biāo)準(zhǔn)知識(shí)庫(kù)收錄等?;A(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測(cè)評(píng)標(biāo)準(zhǔn)、公安標(biāo)準(zhǔn)等;相關(guān)政策文件庫(kù)收錄國(guó)家有關(guān)法律法規(guī)文件;整改規(guī)劃知識(shí)庫(kù)收錄等保整改流程、技術(shù)方案設(shè)計(jì)要求對(duì)比、安全功能及產(chǎn)品類型、技術(shù)方案設(shè)計(jì)實(shí)例、整改方案參考等內(nèi)容;安全管理制度參考庫(kù)收錄安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等內(nèi)容;基本安全配置參考庫(kù)收錄常用軟硬件系統(tǒng)基本安全配置方法;專家?guī)焓珍浘邆涞缺9ぷ髟u(píng)審資格的行業(yè)專家信息。
3.2.7 數(shù)據(jù)統(tǒng)計(jì)模塊
該模塊包括等保統(tǒng)計(jì)、檢測(cè)統(tǒng)計(jì)、監(jiān)測(cè)統(tǒng)計(jì)、應(yīng)急統(tǒng)計(jì)、通報(bào)統(tǒng)計(jì)5個(gè)子模塊。將數(shù)據(jù)以圖形化和表格化方式直觀展示,提供數(shù)據(jù)打包和下載功能。
4 系統(tǒng)應(yīng)用效果
高校網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)在筆者學(xué)校上線使用近一年,實(shí)現(xiàn)等保工作有序高效開展,取得一定成效,主要表現(xiàn)在:
(1)通過(guò)分用戶、分角色靈活設(shè)置權(quán)限,將等保工作涉及的管理主體納入管理體系中,實(shí)現(xiàn)共同治理。通過(guò)該系統(tǒng)應(yīng)用,學(xué)校初步形成由校領(lǐng)導(dǎo)統(tǒng)籌監(jiān)督、網(wǎng)信辦協(xié)調(diào)推進(jìn)、各單位責(zé)任人和管理員全程介入、第三方單位技術(shù)支撐的安全架構(gòu)體系。
(2)采取分步驟、導(dǎo)向式流程、自動(dòng)化填寫和快速導(dǎo)出等方式,將等保工作涉及的標(biāo)準(zhǔn)和指標(biāo)融入高校網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng)中,既實(shí)現(xiàn)等保工作標(biāo)準(zhǔn)化,又保證其易用性。
(3)由相應(yīng)責(zé)任主體負(fù)責(zé)梳理和歸檔各自的信息資產(chǎn),學(xué)校網(wǎng)信辦統(tǒng)一負(fù)責(zé)檢測(cè)與監(jiān)測(cè),保證信息資產(chǎn)資料可追溯、流程可跟蹤、安全可監(jiān)控。
(4)將等保工作資料文檔、過(guò)程文檔、結(jié)束文檔進(jìn)行歸集管理,能快速查詢和輸出等保工作相關(guān)資料和數(shù)據(jù),高效應(yīng)對(duì)公安部門和上級(jí)主管部門的檢查與評(píng)估,提升了準(zhǔn)確率,節(jié)約了人力和物力。
5 結(jié)語(yǔ)
利用高校網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐系統(tǒng),筆者學(xué)校已完成8個(gè)二級(jí)等保系統(tǒng)公安備案工作。初步建立有效的網(wǎng)絡(luò)安全等保管理工作運(yùn)行機(jī)制,將等級(jí)保護(hù)工作規(guī)范化、流程化和信息化,最終以一種高效、優(yōu)質(zhì)的方式實(shí)現(xiàn)各等級(jí)保護(hù)對(duì)象合規(guī)化。由于國(guó)家政策法規(guī)和行業(yè)標(biāo)準(zhǔn)還在不斷更新中,網(wǎng)絡(luò)安全形勢(shì)也在不斷變化,因此需要結(jié)合新變化不斷完善系統(tǒng)功能,進(jìn)一步優(yōu)化流程設(shè)計(jì)。
參考文獻(xiàn):
[1] 夏冰. 網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0[M]. 北京:電子工業(yè)出版社,2017.
[2] 佚名. 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)宣貫會(huì)在京召開[J]. 信息網(wǎng)絡(luò)安全,2019,18(6):95-96.
[3] 牛永亮. 高校信息安全等級(jí)保護(hù)定級(jí)工作分析研究[J]. 中國(guó)管理信息化,2019,22(19):138-139.
[4] 楊斯可. 基于安全等級(jí)保護(hù)的煙草行業(yè)信息系統(tǒng)建設(shè)研究[J]. 軟件導(dǎo)刊,2017,16(7):178-181.
[5] 莊君明. 大數(shù)據(jù)背景下的高校網(wǎng)站群安全管理體系研究[J]. 福建電腦,2017,33(11):50-51.
[6] 司成偉,趙全洲. 構(gòu)建基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系[J]. 數(shù)字通信世界,2019,18(9):111-113.
[7] 王長(zhǎng)春,曾照華,張躍華. 互聯(lián)網(wǎng)+網(wǎng)絡(luò)信息安全現(xiàn)狀與防護(hù)研究[J]. 軟件導(dǎo)刊,2019,18(7):33-36.
[8] 王昭群. 淺析事業(yè)單位網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019,8(7):118-119.
[9] 翟躍, 路萍, 宋亮. 基于等級(jí)保護(hù)的信息資產(chǎn)風(fēng)險(xiǎn)管理系統(tǒng)研究[J]. 計(jì)算機(jī)科學(xué),2019,46(10):255-258.
[10] 孫建立. 北京交通大學(xué)信息系統(tǒng)安全管理服務(wù)平臺(tái)建設(shè)研究[J]. 中國(guó)教育信息化,2019,18(21):30-43.
[11] 楊春,徐瑋,夏平平. 基于網(wǎng)絡(luò)安全等級(jí)保護(hù)的信息系統(tǒng)安全設(shè)計(jì)[J]. 現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化,2019,22(11):68-69.
[12] 嚴(yán)莉,李明,張丞,等. 網(wǎng)絡(luò)安全分析與監(jiān)控平臺(tái)安全防護(hù)關(guān)鍵技術(shù)[J]. 軟件導(dǎo)刊,2019,18(6):196-199.
[13] 劉佳. 網(wǎng)絡(luò)預(yù)警自適性入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件導(dǎo)刊,2018,17(3):210-213.
[14] 周琳娜,劉丹. 網(wǎng)絡(luò)信息安全問(wèn)題及防護(hù)策略[J]. 軟件導(dǎo)刊,2019,18(10):166-168.
[15] 盧志科,康曉鳳,眭楨屹,等. Web應(yīng)用漏洞掃描檢測(cè)系統(tǒng)[J]. 軟件導(dǎo)刊,2019,18(8):186-195.
[16] 何占博,王穎,劉軍. 我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J]. 信息技術(shù)與網(wǎng)絡(luò)安全,2019,38(3):9-14,19.
[17] 馬力,祝國(guó)邦,陸磊. 《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)標(biāo)準(zhǔn)解讀[J]. 信息網(wǎng)絡(luò)安全, 2019,12(2):77-84.
[18] 甘清云. 《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》修訂思考[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019,18(1):8-17.
(責(zé)任編輯:杜能鋼)