◆尹遜偉

等保2.0下校園信息系統(tǒng)安全管理體系構(gòu)建研究
——以北京青年政治學(xué)院為例

◆尹遜偉

（北京青年政治學(xué)院信息辦 北京 100102）

國家層面對網(wǎng)絡(luò)安全方面的表述，從2016年12月以后，確定了網(wǎng)絡(luò)空間安全的概念，這就意味著網(wǎng)絡(luò)安全變成了全方位的體系，龐大而全面。信息系統(tǒng)是承載數(shù)據(jù)的最終載體，是網(wǎng)絡(luò)空間安全的重要組成部分，而高校作為社會的重要組成，其信息系統(tǒng)也有重要的社會價值，如何保護(hù)其信息系統(tǒng)的安全是高校信息系統(tǒng)安全管理體系的重中之重。本文以北京青年政治學(xué)院信息系統(tǒng)安全管理體系為例，結(jié)合等保2.0的要求，分析了當(dāng)前信息系統(tǒng)管理體系方面的各種問題，提出了如何更好構(gòu)建信息安全管理體系的思路，以更好地達(dá)到等保2.0的要求，保障高校信息系統(tǒng)的安全。

信息系統(tǒng)；等保2.0；網(wǎng)絡(luò)安全；管理體系；敏感信息

1 引言

隨著新技術(shù)、新應(yīng)用的不斷涌現(xiàn)，高校信息系統(tǒng)的功能也越來越豐富，涉及的人員多，數(shù)量多，掌握的數(shù)據(jù)也多，面臨數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)站癱瘓和頁面篡改的風(fēng)險更大。據(jù)統(tǒng)計(jì)，2020年教育類數(shù)據(jù)暗網(wǎng)販賣事件多達(dá)30余起，網(wǎng)絡(luò)安全態(tài)勢越來越嚴(yán)重。一方面是學(xué)校對信息化建設(shè)多元化的訴求，一方面師生的信息安全素養(yǎng)不足以支撐信息系統(tǒng)的安全管理，高校的信息系統(tǒng)安全管理變得更加重要。

公安部制定的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（以下簡稱“等保2.0”）于2019年12月1日起正式實(shí)施，標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)工作從1.0時代邁入2.0時代，相比1.0時代，等保2.0時代更加注重主動防御。這就對高?，F(xiàn)有的管理體系提出了挑戰(zhàn)，但同時也指明了改革的方向。

2 高校信息系統(tǒng)安全管理現(xiàn)狀

目前，等保2.0已經(jīng)實(shí)施一年多，各專家也已經(jīng)把等保2.0的各項(xiàng)標(biāo)準(zhǔn)和要求解讀得比較完善，但高校的網(wǎng)絡(luò)和信息系統(tǒng)經(jīng)過長年的建設(shè)，已經(jīng)形成了相當(dāng)?shù)囊?guī)模，短時間內(nèi)，直接達(dá)到等保2.0標(biāo)準(zhǔn)基本不現(xiàn)實(shí)，各高校都在研究自己的信息系統(tǒng)管理和網(wǎng)絡(luò)管理如何達(dá)到等保2.0的標(biāo)準(zhǔn)。

2.1 信息系統(tǒng)等級保護(hù)定級不準(zhǔn)確

現(xiàn)有等級保護(hù)體系是在等保1.0框架下搭建的，等保1.0時代的指導(dǎo)思想是“自主定級、自主保護(hù)、監(jiān)督指導(dǎo)”，也就是說，系統(tǒng)定為幾級是自己學(xué)校自主決定，一般都是信息中心或網(wǎng)信辦進(jìn)行負(fù)責(zé)，然后上報(bào)到備案部門的。雖然備案部門也在審查，但1.0時代沒有完善的審查制度和具體標(biāo)準(zhǔn)，尤其是對等級保護(hù)對象受到破壞時所侵害的個體都沒明確的規(guī)模要求。這也就造成了高校信息系統(tǒng)在定級時不準(zhǔn)確，在確定定級的責(zé)任主體上不明確，所有系統(tǒng)的定級主體基本都在信息辦，沒有做到“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的確定原則。

2.2 信息系統(tǒng)建設(shè)流程不規(guī)范

高校信息系統(tǒng)的建設(shè)基本都是以各二級部門的需求來建立的，通常都是以單個信息系統(tǒng)為基礎(chǔ)來建設(shè)。只要是有需要，就上報(bào)信息化項(xiàng)目，然后建立，缺乏跟其他系統(tǒng)的聯(lián)動，沒有形成統(tǒng)一規(guī)劃，有的系統(tǒng)還存在功能重復(fù)的情況。而且所建立的信息系統(tǒng)都是建設(shè)完成后才進(jìn)行定級備案，不符合定級的流程。

2.3 信息系統(tǒng)管理不規(guī)范

按照“誰使用誰負(fù)責(zé)”的原則，各信息系統(tǒng)的使用單位應(yīng)當(dāng)有管理信息系統(tǒng)的責(zé)任，但實(shí)際情況是，系統(tǒng)的使用部門除了使用基本的功能和基本業(yè)務(wù)管理外，沒有建立系統(tǒng)的臺賬，基本的管理流程沒有，后臺服務(wù)器基本不登錄，工作人員對系統(tǒng)的操作系統(tǒng)版本，所用插件，數(shù)據(jù)庫名稱、版本等一無所知，甚至系統(tǒng)后臺的登錄密碼都不清楚，一切服務(wù)器的管理都賴以開發(fā)公司的支持。

2.4 信息系統(tǒng)管理員信息安全素養(yǎng)有待提高

作為信息系統(tǒng)管理員，應(yīng)當(dāng)具備相應(yīng)的信息安全素養(yǎng)，對待系統(tǒng)的安全應(yīng)該有清醒的認(rèn)知。目前高校大部分部門的信息系統(tǒng)管理員，一般只是部門工作人員兼任，管理內(nèi)容也只是對人員的增刪改、對密碼的更改以及業(yè)務(wù)本身的使用，對安全問題基本不關(guān)心。即便是遇到安全的情況，也認(rèn)為和自身沒有多大關(guān)系，管理員密碼常年不改，網(wǎng)絡(luò)安全意識不高。

2.5 現(xiàn)有二級系統(tǒng)數(shù)量過多，現(xiàn)有項(xiàng)目資金完不成測評要求

按照等保2.0的要求，三級系統(tǒng)要每年都要測評，二級系統(tǒng)要每兩年測評一次。很多高校的二級系統(tǒng)過多，按照現(xiàn)有項(xiàng)目資金無法按照測評要求完成。就我院情況來說，目前共有21個二級系統(tǒng)，按照測評要求，每年要測評10個或11個，但每年的測評項(xiàng)目所獲批的資金，僅能完成5到6個系統(tǒng)的測評，無法完成所有二級系統(tǒng)每兩年一測評的要求。

3 信息系統(tǒng)定級與測評

3.1 信息系統(tǒng)的等級認(rèn)定

等保1.0時代，學(xué)校自主定級，在等保2.0之后，特別是2020年12月《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》發(fā)布后，等保級別不再按單位自己定的級別認(rèn)定。雖然等保2.0在學(xué)校信息系統(tǒng)安全保護(hù)等級建議中，建議二類學(xué)校的系統(tǒng)一般都定為二級，但具體的定級要根據(jù)實(shí)際情況來定，也就是說，二類學(xué)校的信息系統(tǒng)也有可能被定為三級。主要的定級標(biāo)準(zhǔn)要看看專家的評審意見，而評審專家的評審依據(jù)主要看個人敏感信息的數(shù)量、是否開放互聯(lián)網(wǎng)等，最終的定級還要主管部門審批才能報(bào)備到備案部門。

所謂敏感信息，主要包括師生員工的姓名、身份證號、電話號碼、家庭住址、照片等，在定級時會細(xì)化到字段級。目前北京基本執(zhí)行的標(biāo)準(zhǔn)是5000條，換句話說，如果系統(tǒng)在運(yùn)行時敏感信息條目存儲高過5000，就有被定為三級的風(fēng)險。如果信息系統(tǒng)里的人員流動性比較大，比如學(xué)工系統(tǒng)、教務(wù)系統(tǒng)，不想被定為三級，可根據(jù)學(xué)校的實(shí)際情況，把畢業(yè)后學(xué)生的歷史數(shù)據(jù)進(jìn)行離線存儲，保證系統(tǒng)運(yùn)行時能查到的數(shù)目不超過5000，這樣才可能被定為二級。

對于需要新建的業(yè)務(wù)，盡量在已有系統(tǒng)中添加新的模塊，如實(shí)在不能新加模塊的，也盡量把系統(tǒng)合并到已有的綜合系統(tǒng)中，盡量避免出現(xiàn)新系統(tǒng)的定級備案。對確實(shí)需要建設(shè)獨(dú)立系統(tǒng)的，有一個底錢，就是如果開放互聯(lián)網(wǎng)的訪問，哪怕功能再簡單，一年只開放幾天，也不允許定為一級系統(tǒng)。

3.2 如何減少信息系統(tǒng)的測評數(shù)量

針對高校二級信息系統(tǒng)過多，無法完成每兩年測評一次要求的情況，目前能做的只能是盡量減少信息系統(tǒng)的備案數(shù)量，基本思路如下：

（1）直接撤銷備案。準(zhǔn)確調(diào)研各信息系統(tǒng)的使用情況，對一些老舊系統(tǒng)或基本不用的信息系統(tǒng)，走撤銷流程，直接撤銷其備案。確有歷史數(shù)據(jù)需要查詢的，可以離線存儲或單機(jī)訪問。

（2）網(wǎng)站合并后撤銷備案。除學(xué)院官方主頁外，其他所有二級部門的網(wǎng)站，統(tǒng)一歸屬到網(wǎng)站群，減少一批二級部門網(wǎng)站，這樣網(wǎng)站群主體責(zé)任可以歸屬信息辦，管理比較集中，有助于網(wǎng)站的安全穩(wěn)定和應(yīng)急處理。

（3）系統(tǒng)合并后撤銷備案。系統(tǒng)合并可以按信息系統(tǒng)的業(yè)務(wù)對象進(jìn)行分類后合并，也可以按業(yè)務(wù)部門分類，還可以按辦事流程或綜合服務(wù)類合并。按業(yè)務(wù)部門合并的：比如，我院的教務(wù)部門有教務(wù)系統(tǒng)、頂崗實(shí)習(xí)系統(tǒng)、資源管理系統(tǒng)，教學(xué)評價系統(tǒng)等，可以匯總為一個大的綜合教務(wù)系統(tǒng)，包括一切和教學(xué)相關(guān)的功能，教務(wù)系統(tǒng)的敏感數(shù)據(jù)包含了其他三個系統(tǒng)的數(shù)據(jù)，不會增加新的數(shù)據(jù)量，這樣其他三個系統(tǒng)就可以撤銷備案。按辦事流程或綜合服務(wù)類合并：比如合同審簽系統(tǒng)、會議室預(yù)定系統(tǒng)等不上外網(wǎng)的，又是辦理業(yè)務(wù)的，可以合并成網(wǎng)上辦事大廳或網(wǎng)上綜合服務(wù)大廳等。有統(tǒng)一身份認(rèn)證的，可以走統(tǒng)一身份認(rèn)證系統(tǒng)，比如我院有智慧校園，里面加入了統(tǒng)一身份認(rèn)證，通過智慧校園可以不用再次輸入密碼，直接進(jìn)入其他系統(tǒng)，這種情況，可以把能合并到智慧校園的系統(tǒng)，合并到智慧校園。

經(jīng)過以上幾種情況的合并，數(shù)量都會大大減少到10個以下。但信息系統(tǒng)的合并，情況比較復(fù)雜，在合并過程中會遇到各種問題。如果本身是二級系統(tǒng)，按之前的分類可以與其他系統(tǒng)合并，但其存儲的敏感信息已經(jīng)超過五千條，就先不要動這個系統(tǒng)，保持原狀；如果本來信息系統(tǒng)存儲的敏感信息數(shù)量不多，合并后，超過了五千，看看數(shù)據(jù)是否有重合，是否能用共用庫等，如果最終的敏感信息數(shù)量還是超過了五千，也不能合并。還有諸如財(cái)務(wù)系統(tǒng)等涉及資金往來的一般不要進(jìn)行合并。

4 信息系統(tǒng)安全管理體系構(gòu)建

當(dāng)前面臨“教育信息化2.0”和“等保2.0”的共同實(shí)施階段，面對信息化建設(shè)要不斷實(shí)施的情況，要以“等保2.0”為抓手和依托，建立健全信息系統(tǒng)安全管理體系，切實(shí)提高高校信息安全防護(hù)水平及能力。針對上述遇到的高校校園的信息系統(tǒng)安全管理現(xiàn)狀，以北京青年政治學(xué)院為例，把信息系統(tǒng)安全管理體系初步建成從各二級部門的管理員到信息中心管理，再到整體網(wǎng)絡(luò)安全管理的分級管理體系。

4.1 設(shè)立安全管理機(jī)構(gòu)

對于高校校園來說，網(wǎng)絡(luò)安全是全體師生共同參與的事情，需要全校師生的共同努力，不單單是信息辦或網(wǎng)信辦一個部門的事情，但信息辦或網(wǎng)信辦作為一個基層部門，在推動網(wǎng)絡(luò)安全和信息化建設(shè)的時候，力量不足，就需要在更高層面設(shè)計(jì)才可以順利推進(jìn)。以我院為例，學(xué)院成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，校長書記任雙組長，主要職能包括宣傳貫徹落實(shí)國家關(guān)于網(wǎng)絡(luò)安全和信息化工作的法律法規(guī)，貫徹落實(shí)市公安局、市委網(wǎng)信辦和市教委等部門的相關(guān)制度，研究審議學(xué)院網(wǎng)絡(luò)安全和信息化工作戰(zhàn)略目標(biāo)、實(shí)施方案、技術(shù)標(biāo)準(zhǔn)，落實(shí)網(wǎng)絡(luò)安全和信息化工作責(zé)任制。

領(lǐng)導(dǎo)小組組織架構(gòu)，主要包括決策層、管理層和運(yùn)維層。決策層主要是學(xué)院校長、書記，分管信息化、意識形態(tài)的領(lǐng)導(dǎo)；管理層主要包括領(lǐng)導(dǎo)小組成員，也就是各部門的負(fù)責(zé)人；運(yùn)維層主要是各業(yè)務(wù)系統(tǒng)的管理員。領(lǐng)導(dǎo)小組辦公室設(shè)在信息辦，由信息辦組織協(xié)調(diào)網(wǎng)絡(luò)安全方面相關(guān)事宜。

4.2 制定完善的安全管理制度

制定并落實(shí)安全管理責(zé)任制度，按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，層次落實(shí)，與各部門簽訂責(zé)任書，明確負(fù)責(zé)人和管理員。制定整改責(zé)任書與反饋機(jī)制，信息辦定期進(jìn)行系統(tǒng)漏洞掃描，如發(fā)現(xiàn)系統(tǒng)有漏洞，就把相應(yīng)的整改責(zé)任書發(fā)給系統(tǒng)使用部門，限期進(jìn)行修復(fù)。修復(fù)后，需要反饋至信息辦，信息辦再次掃描予以確認(rèn)，逾期不修改又不進(jìn)行情況說明的，上報(bào)領(lǐng)導(dǎo)小組，按管理制度進(jìn)行處理。

各二級部門要及時關(guān)注信息辦發(fā)布的安全及漏洞信息，如存在隱患，要及時對信息系統(tǒng)進(jìn)行漏洞修復(fù)。如有高危漏洞，信息辦可先關(guān)閉信息系統(tǒng)，待信息系統(tǒng)整改完成后才可重新上線。

4.3 安全意識教育和培訓(xùn)

信息辦上崗人員要具備ECSP等證書，要定期參加網(wǎng)絡(luò)安全方面的培訓(xùn)，掌握安全動態(tài)。信息系統(tǒng)使用部門的管理人員，要定期參加信息中心舉辦的培訓(xùn)，積極參與到每年的國家網(wǎng)絡(luò)安全宣傳周中來，并以此為契機(jī)，交流經(jīng)驗(yàn)，進(jìn)而推廣到全院師生，不斷提升網(wǎng)絡(luò)安全意識和素養(yǎng)。信息辦和各二級部門都要做好系統(tǒng)的臺賬，包括操作系統(tǒng)版本，開發(fā)工具，插件版本，數(shù)據(jù)庫版本。信息辦及時關(guān)注上級網(wǎng)信辦或安全公司下發(fā)的漏洞通告，要及時查看臺賬，看有無涉及，如果有涉及，聯(lián)系具體負(fù)責(zé)的部門，自己能修復(fù)的立即修復(fù)；涉及到開發(fā)的，要及時與建設(shè)方聯(lián)系，對系統(tǒng)進(jìn)行漏洞修復(fù)。信息系統(tǒng)管理員要注意信息系統(tǒng)用戶名和密碼的安全，密碼必須按復(fù)雜度要求進(jìn)行設(shè)計(jì)，要定期的修改，不得隨意告訴他人。

4.4 信息系統(tǒng)安全建設(shè)

信息系統(tǒng)要按照等保2.0要求來確定定級的主體，嚴(yán)格按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的確定原則。例如，信息辦作為安全主管單位，負(fù)責(zé)推動整個學(xué)院等級保護(hù)的落實(shí)；校級系統(tǒng)或集中管理的或跨部門的平臺，由信息辦負(fù)責(zé)，則安全主體為信息辦；各二級單位獨(dú)立使用運(yùn)維的，由各二級單位負(fù)責(zé)。新建系統(tǒng)要嚴(yán)格執(zhí)行等保2.0的建設(shè)要求，在建設(shè)初期應(yīng)在信息辦指導(dǎo)下進(jìn)行信息系統(tǒng)的等級保護(hù)備案的工作，在上線前應(yīng)該做漏洞掃描，沒有中高危漏洞后方可上線。系統(tǒng)上線后，配合信息辦進(jìn)行信息系統(tǒng)的等級測評工作。

4.5 應(yīng)急預(yù)案的制定和應(yīng)急演練實(shí)戰(zhàn)

按照等保2.0的要求，要制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，以提高網(wǎng)絡(luò)安全應(yīng)急工作機(jī)制，應(yīng)急預(yù)案中要有一鍵斷網(wǎng)措施，一旦發(fā)現(xiàn)安全事件，及時一鍵斷網(wǎng)。我院把核心交換機(jī)的電源接入到帶有SIM卡的插線板，如有事件發(fā)生，可以通過短信或電話的形式給其斷電，阻斷外部訪問。同時我院還接入了閃慧云的校園網(wǎng)絡(luò)安全監(jiān)控與管理系統(tǒng)，與手機(jī)端聯(lián)動，提供了微信一鍵開關(guān)功能，一旦出現(xiàn)問題，可及時進(jìn)行斷網(wǎng)處置，還可以對信息系統(tǒng)設(shè)置開放外網(wǎng)的時間段。

針對應(yīng)急預(yù)案，要進(jìn)行應(yīng)急演練，以發(fā)現(xiàn)預(yù)案中的不足和提高工作人員處置問題的能力。2021年，我院對郵箱系統(tǒng)進(jìn)行了應(yīng)急演練，模擬管理員賬戶，對全院所有教職工進(jìn)行模擬釣魚郵件的發(fā)送。后續(xù)為了更好檢驗(yàn)老師的安全意識，此次演練持續(xù)了2周時間，演練發(fā)現(xiàn)，依然有部分老師點(diǎn)擊了鏈接，甚至有老師根據(jù)鏈接中提示進(jìn)行了信息填寫。這也暴露出了部分老師的安全意識有待加強(qiáng)。

5 結(jié)語

等保2.0的內(nèi)容很多，信息系統(tǒng)的安全管理只是其中的一部分內(nèi)容，但也是事關(guān)數(shù)據(jù)存儲和管理的關(guān)鍵部分，做好信息系統(tǒng)的安全管理，是對整個等保2.0體系有力支撐?，F(xiàn)階段“等保2.0”標(biāo)準(zhǔn)雖然說已經(jīng)正式的實(shí)施，但是各個行業(yè)在原來1.0的基礎(chǔ)上還沒有更好的整合，在高校信息防護(hù)工作中的必要性的認(rèn)識尚未統(tǒng)一，工作流程與工作內(nèi)容也有待明確。文章結(jié)合自己學(xué)校的實(shí)際情況，發(fā)現(xiàn)了部分問題，提出解決的思路，希望對其他高校的校園信息系統(tǒng)安全管理體系建立帶來一定的幫助。

[1]信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求[S].

[2]付中華.等保2.0時代高校等級保護(hù)工作的思考與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（01）.

[3]童話等.做好等保2.0網(wǎng)絡(luò)信息安全工作的一些思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（01）.

[5]王文梁.基于等保2.0標(biāo)準(zhǔn)的高校網(wǎng)絡(luò)安全解決方案——以閩南理工學(xué)院為例[J].信息技術(shù)與信息化，2020（10）.

[8]朱圣才.等保2.0框架下高校網(wǎng)絡(luò)安全體系建設(shè)[J].網(wǎng)絡(luò)空間安全，2020，11（04）.

[9]GB/T 22240-2020，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南[S].