覃仲宇

摘? 要： 根據(jù)網(wǎng)絡安全法、等保2.0和關鍵信息基礎設施保護條例等法律法規(guī)要求，結合高校網(wǎng)絡安全現(xiàn)狀，從安全意識教育、制度及責任體系、安全框架模型、安全技術框架、安全合規(guī)和網(wǎng)絡安全隊伍建設等方面，探討了高校網(wǎng)絡安全防護體系建設的思路，以期為同類院校提供參考。

關鍵詞： 網(wǎng)絡安全法; 等保2.0; 關鍵信息基礎設施; 高校網(wǎng)絡安全; 防護體系

中圖分類號：G647? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2021）03-26-03

Thoughts on the construction of network security protection system in colleges

and universities under the new security situation

Qin Zhongyu

（Guangzhou Institute of Railway Technology， Guangzhou， Guangdong 510430， China）

Abstract： According to the requirements of "The Cyber Security Law of the People's Republic of China"， "Classified Protection of Information Security 2.0" and "Regulations on the Protection of Critical Information Infrastructure" and other laws and regulations， combining with the current status of cyber security in colleges and universities， the construction of network security protection system in colleges and universities is discussed with the dimensions on security awareness education， system and responsibility system， security framework model， security technical frameworks， security compliance and construction of cyber security teams etc.

Key words： cyber security law; classified protection of information security 2.0; critical information infrastructure; network security in colleges and universities; protection system

0 引言

隨著《教育信息化2.0行動計劃》、《教育信息化“十三五”規(guī)劃》等相關國家政策文件的出臺，各個高校加快了信息化建設的步伐。然而在信息化建設過程中還普遍存在“重建設輕安全”的現(xiàn)象，校園網(wǎng)絡安全仍然存在不同程度的問題。《網(wǎng)絡安全法》、等保2.0和《關鍵信息基礎設施保護條例》等相關國家文件的相繼出臺和實施，對網(wǎng)絡安全建設提出了新的要求。因此，高校應該按照網(wǎng)絡安全相關法律法規(guī)要求，將網(wǎng)絡安全建設貫穿于信息化建設全過程中，才能有效保障高校網(wǎng)絡安全、穩(wěn)定、持續(xù)運行。

1 安全新形勢下網(wǎng)絡安全發(fā)展的特點

1.1 網(wǎng)絡安全上升至法律層面

2017年6月1號，《網(wǎng)絡安全法》正式頒布實施[1]?！毒W(wǎng)絡安全法》是為了保障網(wǎng)絡安全，維護網(wǎng)絡空間主權和國家安全、社會公共利益[2]，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展而制定的法律。

《網(wǎng)絡安全法》的正式實施，對網(wǎng)絡運營者提出了合規(guī)建設義務，即安全保護義務、要求用戶提供真實身份信息的義務、保障用戶信息和個人信息安全的義務、管理用戶發(fā)布的信息的義務和協(xié)助、配合公安機關工作的義務等。高校作為網(wǎng)絡運營者，在網(wǎng)絡建設過程中必須遵循《網(wǎng)絡安全法》的合規(guī)要求。

1.2 等級保護工作進入2.0時代

網(wǎng)絡安全等級保護，是國家信息安全保障的一項基本制度[3]，國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護[4]?！毒W(wǎng)絡安全法》第二十一條明確規(guī)定：“國家實行網(wǎng)絡安全等級保護制度”[5]，要求所有網(wǎng)絡運營者有義務按照網(wǎng)絡安全等級保護制度的要求對系統(tǒng)進行安全保護。隨著2019年5月13日《GB/T 22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求》標準的正式發(fā)布，標志著國家網(wǎng)絡安全等級保護工作正式進入2.0時代[6]。等保2.0的出臺，給高校網(wǎng)絡安全建設提出了新的要求，也指明了方向。

1.3 《關鍵信息基礎設施安全保護條例》被納入立法計劃

近日，《國務院2020年立法工作計劃》公布，其中，《關鍵信息基礎設施安全保護條例》被納入立法計劃。此次《關鍵信息基礎設施安全保護條例》被納入2020年立法規(guī)劃，將從制度機制、標準規(guī)范、教育培訓、手段建設、技術創(chuàng)新等方面提升關鍵信息基礎設施運營單位的安全保護能力。明確關鍵信息基礎設施范圍，規(guī)定運營者安全保護的權利和義務及其負責人的職責，要求建立關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警體系和信息通報制度，違反本條例將會受到行政處罰、判處罰金甚至要承擔刑事責任。《關鍵信息基礎設施安全保護條例》對運營者履行的安全保護義務主要范圍給出了具體的要求，為高校開展關基保護提供較為具體的指引規(guī)范。

2 高校網(wǎng)絡安全現(xiàn)狀及問題

當前，高校在信息化建設中取得了較為突出的成效，然而在網(wǎng)絡安全建設上的投入力度遠遠不夠，普遍存在制度不完善、制度執(zhí)行不到位和網(wǎng)絡安全人才缺失等問題：

2.1 制度不完善且無法有效執(zhí)行

部分高校的規(guī)章制度沒有從頂層設計，不系統(tǒng)、不完善，在網(wǎng)絡安全管理過程中因人而異，沒有做到依規(guī)管理。有的規(guī)章制度是因為上級要求而制定的，照搬上級文件，沒有針對性，可操作性不強;有的規(guī)章制度更新不及時，無法適應網(wǎng)絡安全的快速發(fā)展。網(wǎng)絡安全制度無法有效執(zhí)行，無法落地。

2.2 從上至下網(wǎng)絡安全意識淡薄

高校網(wǎng)絡用戶群體復雜、人員眾多，有教學人員、管理人員、科研人員和各層次的學生等，校園網(wǎng)用戶水平參差不齊，大部分校園網(wǎng)用戶存在“網(wǎng)絡安全問題事不關己”、“出現(xiàn)網(wǎng)絡安全問題不解決”和“網(wǎng)絡安全防護意識差”等現(xiàn)象，給校園網(wǎng)帶來了較大的安全隱患。

2.3 缺乏有效的內(nèi)部威脅防范措施

以往的網(wǎng)絡安全建設中，往往重點關注校外的網(wǎng)絡安全威脅，對校內(nèi)網(wǎng)絡安全威脅不夠重視甚至忽視，一般只是通過管理規(guī)定進行約束來實現(xiàn)網(wǎng)絡安全需求，一旦內(nèi)網(wǎng)某臺主機被攻陷，整個校園網(wǎng)就會失去防護能力，這也是近幾年教育行業(yè)成為網(wǎng)絡安全重災區(qū)的原因之一。

2.4 信息部門技術力量薄弱[7]，缺乏信息安全專崗

相對于系統(tǒng)工程師、程序員和網(wǎng)絡工程師等，網(wǎng)絡安全人員的要求相對較高，需要跨多專業(yè)的知識廣度，譬如CISP、CISSP認證需要掌握法律法規(guī)、信息資產(chǎn)生命周期、密碼學、物理安全、通訊安全、身份安全、安全評估與測試、安全運營和軟件開發(fā)安全等近九個領域的知識。高校受制于編制數(shù)，往往沒有信息安全專員，大多數(shù)都是由網(wǎng)絡工程師等崗位人員兼任，導致信息部門技術力量薄弱。

3 安全新形勢下高校網(wǎng)絡安全防護體系建設思路

基于安全新形勢的要求，結合高校校園網(wǎng)自身特點，建設符合高校特性的網(wǎng)絡安全防護體系，可通過以下幾個方面進行。

3.1 持續(xù)開展網(wǎng)絡安全意識教育，確保安全意識到位

加強全校師生安全意識，這是構建安全體系的第一步。安全意識教育可分兩個維度來進行，一是培訓對象維度，二是培訓內(nèi)容維度。面向校領導開展安全動態(tài)、安全風險、安全價值、安全事件和法律法規(guī)動態(tài)等培訓內(nèi)容;面向全校師生開展安全意識、基礎安全技能和安全制度及處罰等培訓內(nèi)容;面向技術全員開展深度安全意識、安全識別能力、安全基礎操作能力和基礎應急響應等培訓內(nèi)容;面向開發(fā)人員開展漏洞及風險原理、代碼基礎安全能力和安全設計標準等培訓內(nèi)容。

3.2 建章立制，構建三級責任體系

網(wǎng)絡安全管理制度是網(wǎng)絡安全管理的核心，不能因為對制度落地期望低或?qū)嵤┬Ч疃芙^建立制度，制度的建立是正視安全工作的第一步。網(wǎng)絡安全管理不僅僅限于規(guī)定網(wǎng)絡安全部門的人員配置、工作職責和流程制度，更重要的是要有相應的學校層面的組織保障，落實領導責任制，明確一名主管校長，負責學校網(wǎng)絡安全管理工作，這是制定安全標準、流程的依據(jù)，是實施網(wǎng)絡安全技術架構的基礎，更是網(wǎng)絡安全有效運營的核心。

構建三級責任體系。第一級為分管網(wǎng)絡安全的學校主要領導，即網(wǎng)絡安全第一責任人，研究制定學校網(wǎng)絡安全工作規(guī)劃、年度計劃和政策措施，協(xié)調(diào)推進學校網(wǎng)絡安全應急機制和工作體系建設;第二級為負責網(wǎng)絡安全工作的部門負責人，即總體安全策略計劃制定者，負責制訂網(wǎng)絡安全的技術方案，檢查、指導和督促各單位的網(wǎng)絡安全工作;第三級為網(wǎng)絡安全攻防團隊，負責PDCA（Plan、Do、Check、Action）執(zhí)行，使安全策略有效運行和落地。三者缺一不可，相輔相成。

3.3 構建具有高校特性的安全框架模型

安全不能脫離于具體業(yè)務，需要與業(yè)務場景高度耦合，這個耦合的過程實際上就是框架建設的過程。好的規(guī)劃和設計，對日后整體資源投入和能力構建都是有較好的戰(zhàn)略指引性作用，一個基本的安全策略框架可以包括：安全策略方針、安全組織架構、安全技術體系、數(shù)據(jù)安全體系、安全合規(guī)體系、人員安全管理、外部安全管理和安全資質(zhì)認證等方面構成，如圖1所示。

3.4 構建符合高校自身特性的安全技術框架

基礎安全具有通用型，但是不同行業(yè)都有行業(yè)的業(yè)務特性，在行業(yè)業(yè)務模式和數(shù)據(jù)流轉(zhuǎn)流程的差異化之下，運營、管理和策略等都有很大的區(qū)別。通過梳理高校現(xiàn)狀，建設具有高校特性的安全技術框架，是高校網(wǎng)絡安全防護體系建設中重要的環(huán)節(jié)?？蓞⒖紙D2進行建設。

3.5 安全合規(guī)建設

安全合規(guī)要求主要包含基礎安全能力要求、用戶權益保障、業(yè)務合規(guī)性要求、用戶協(xié)議和網(wǎng)絡安全義務等方面。從國家層面來看，網(wǎng)絡安全法奠定了安全基礎，提出了“等級保護制度”的要求，各個行業(yè)也先后出臺了相關制度。對于高校而言，除了滿足等級保護制度中的要求之外，還應滿足《GB/T35273個人信息安全規(guī)范》、《信息安全技術移動互聯(lián)網(wǎng)應用程序（App）收集個人信息基本規(guī)范》和《互聯(lián)網(wǎng)個人信息安全保護指南》等相關文件規(guī)范要求。

3.6 網(wǎng)絡安全隊伍建設

成立網(wǎng)絡安全與信息化領導小組，下設網(wǎng)絡安全與信息化工作小組、技術支持人員和專家?guī)?。其中網(wǎng)絡安全與信息化工作小組由黨政部門、宣傳部門、信息中心、教務處和各職能部門組成;技術支持人員由信息中心技術人員、學生安全團隊、第三方安服團隊和安全廠家組成;專家?guī)煊山逃鐚＜?、企業(yè)及行業(yè)專家組成。

4 結束語

通過以上幾方面的建設，可以有效構建高校網(wǎng)絡安全防護體系。網(wǎng)絡安全保障除了科學的體系建設之外，還需要大量的實踐管理工作作為支撐，而后者應作為高校逐步積累、不斷探索的長期工作之一。

參考文獻（References）：

[1] 肖偉.《網(wǎng)絡安全法解讀》——從高校視角出發(fā)[J].電腦知識與技術，2017.8（23）：39-40

[2] 王春暉.《網(wǎng)絡安全法》六大法律制度解析[J].南京郵電大學學報（自然科學版），2017.3（1）：1-13

[3] 王大川，王永書，林紅.淺議計算機信息系統(tǒng)安全等級保護[J].中國公共安全（學術版），2009.3（3）：4-10

[4] 戴宗坤.信息安全管理指南[M].重慶大學出版社，2008.

[5] 王斌.基于等級保護體系下信息安全整改的設計[J].信息技術與信息化，2017.6：42-44

[6] 何占博，王穎，劉軍.我國網(wǎng)絡安全等級保護現(xiàn)狀與2.0標準體系研究[J].信息技術與網(wǎng)絡安全，2019.3：9-14，19

[7] 馬金紅，馬男男.基層稅務機關日常信息安全管理體系探析[J].天津經(jīng)濟，2018.10：33-38