朱圣才

摘 ? 要：網(wǎng)絡安全等級保護2.0制度（以下簡稱等級保護2.0）已于2019年12月1日開始實施，為我國網(wǎng)絡安全等級保護工作提供新的指南，是我國網(wǎng)絡安全領域的基本國策、基本制度。相比等級保護1.0時代，等級保護2.0時代更加注重主動防御，在安全通用要求基礎上對云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)提出了安全擴展的要求，覆蓋度更加全面。文章基于等級保護2.0的防護框架，以高校信息化建設挑戰(zhàn)為出發(fā)點，建設高校網(wǎng)絡安全防護體系，是解決目前高校網(wǎng)絡安全等級保護覆蓋率低、推進高校信息化建設的重要途經(jīng)，是落實高校網(wǎng)絡安全建設的重要組成部分。

關鍵詞：等級保護;網(wǎng)絡安全;信息化;模型;體系建設

中圖分類號： TP393.08 ? ? ? ? ?文獻標識碼：A

Abstract： The Cybersecurity Classified Protection 2.0 system has been formally implemented on December 1， 2019， which provides new guidance for the work of Cybersecurity Classified Protection in China. It is the basic national policy and basic system in the field of Cybersecurity. Compared with the 1.0 era， the 2.0 era pays more attention to active defense. On the basis of general security requirements， it puts forward security expansion requirements for cloud computing， Internet of things， mobile Internet， industrial control and big data， with more comprehensive coverage. Based on the protection framework of Classified Protection of Cybersecurity 2.0 and the challenge of information construction in Colleges and universities， the paper constructs the Cybersecurity protection system in Colleges and universities to solve the low coverage of Classified Protection of Cybersecurity 2.0. It is an important way to promote the information construction and an important part of the implementation of Cybersecurity construction in Colleges and universities.

Key words： classified protection; cybersecurity; informatization; model; system construction

1 引言

《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）為網(wǎng)絡安全等級保護制度的落地實施提供了基本的保護要求清單，網(wǎng)絡安全等級保護系列標準的正式發(fā)布標志著網(wǎng)絡安全等級保護由1.0時代邁入2.0時代，由此明確等級保護2.0時代的工作要求。高校作為各自網(wǎng)絡安全等級保護的責任主體，有落實網(wǎng)絡安全等級保護2.0的義務。因此，構建高校網(wǎng)絡安全等級保護2.0框架下的高校網(wǎng)絡安全體系，是構建完善的高校防御體系，賦予專業(yè)的運維管理、建立安全保護制度、落實安全責任的重要途經(jīng)。

2 等級保護2.0

等級保護1.0時代，《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）為我國信息安全等級保護制度的推進與落實提供了指導，在等級保護1.0時代的10年里，《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）為各行業(yè)、各領域開展信息系統(tǒng)安全等級保護的建設、整改、測評提供了指導。隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、移動應用等新興技術的發(fā)展，《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）在易用性、普適性、可操作性上需要進一步完善，適應新技術、新環(huán)境、新時代的需求。2017年6月1日，《中華人民共和國網(wǎng)絡安全法》（本文簡稱《網(wǎng)絡安全法》）正式實施，《網(wǎng)絡安全法》第二十一條明確規(guī)定“國家實行網(wǎng)絡安全等級保護制度”，至此網(wǎng)絡安全等級保護工作正式進入法治時代;2019年12月1日，網(wǎng)絡安全等級保護2.0正式實施，標志著《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）正式實施。網(wǎng)絡安全等級保護2.0時代就此落地。相比等級保護1.0時代，網(wǎng)絡安全等級保護2.0具有四點優(yōu)勢。

（1）適合《網(wǎng)絡安全法》中的專業(yè)表述。《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調信息系統(tǒng)安全等級保護;《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）中強調網(wǎng)絡安全等級保護，信息系統(tǒng)安全等級保護到網(wǎng)絡安全等級保護是落實《網(wǎng)絡安全法》中國家實行網(wǎng)絡安全等級保護制度的核心措施之一，是完善新時代網(wǎng)絡安全工作法治化的有效手段。

（2）提出安全通用要求和安全擴展要求概念模型。《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調各個級別的安全要求;《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）中強調安全通用要求和安全擴展要求，安全通用要求具有較強的普適性，安全擴展要求具有較強的可擴展性，包括云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等。

（3）等級保護對象不再限定。《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調信息系統(tǒng)安全等級保護的對象為單個的信息系統(tǒng);《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）中強調網(wǎng)絡安全等級保護的對象為基礎信息網(wǎng)絡、信息系統(tǒng)（含采用移動互聯(lián)技術的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。

（4）基本要求控制層面更加完善?！缎畔踩夹g 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中強調技術層面的物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和備份與恢復，管理層面的安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理;《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）中強調技術層面的安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心，管理層面的安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

3 等級保護2.0挑戰(zhàn)高校信息化建設

網(wǎng)絡安全等級保護2.0時代，相比1.0時代的“自主定級、自主保護、監(jiān)督指導”轉為“明確等級、增強保護、常態(tài)監(jiān)管”的安全體系建設。同時，等級保護2.0時代還突出風險評估、安全監(jiān)測、通報預警、應急響應與應急處置。構建一體化的網(wǎng)絡安全綜合防控體系是目前高校信息化建設遇到的主要挑戰(zhàn)。

（1）數(shù)據(jù)中心網(wǎng)絡安全等級保護2.0建設尚未落實。等級保護1.0時代，信息化建設以信息系統(tǒng)為基本單位，等級保護以信息系統(tǒng)為基本單位進行定級、備案、測評、整改。基于高校信息系統(tǒng)基數(shù)較高，互聯(lián)網(wǎng)訪問的信息系統(tǒng)數(shù)量以千為數(shù)量級的不在少數(shù)，以等級保護1.0的機制處理這類問題，存在工作量大、體制機制不完善、人員經(jīng)費不配套等一系列問題。網(wǎng)絡安全等級保護2.0為該項工作提供了一種較好的處理方案，以學校數(shù)據(jù)中心為等級保護對象，對數(shù)據(jù)中心進行定級、備案、測評、整改工作，其他服務以數(shù)據(jù)中心為底層架構，依附于學校數(shù)據(jù)中心，減少等級保護的工作量。然而，等級保護2.0啟動處于初始階段，高校數(shù)據(jù)中心網(wǎng)絡安全等級保護建設尚未落實，還需一定的時間進行完善。

（2）事前監(jiān)測預警工作尚未取得成效。網(wǎng)絡安全等級保護2.0明確提出網(wǎng)絡安全監(jiān)測預警工作，包括態(tài)勢感知、流量監(jiān)控、APT攻擊等，高校信息化建設是服務于學校的教學、科研和管理。信息化角色更多的體現(xiàn)在服務上，類似的態(tài)勢感知、APT攻擊都是基于網(wǎng)絡安全防控體系的構建，需要大量的經(jīng)費和人力支撐，目前尚未有高校有比較成熟的網(wǎng)絡安全監(jiān)測預警方案。多數(shù)高校采用購買服務的形式與監(jiān)測預警進行關聯(lián)，這種工作模式尚未真正達到事前監(jiān)測預警的目的，成效不顯著。

（3）網(wǎng)絡安全綜合防控體系尚未建成。網(wǎng)絡安全綜合防控體系是等級保護2.0時代和網(wǎng)絡安全法治時代對網(wǎng)絡安全工作的建設要求，網(wǎng)絡安全綜合防控體系最典型、最顯著的一個成效就是365×24的監(jiān)控體系的建成。例如，國家重要網(wǎng)絡安全保障時段、各省份重要網(wǎng)絡安全保障時段、各高校寒暑假時段等，如何應對此類時間段的365×24的網(wǎng)絡安全保障。目前尚未有較為成型或者參考的方案，各高校網(wǎng)絡安全綜合防控體系尚未建成。

（4）網(wǎng)絡安全執(zhí)法檢查力度進一步加強?！毒W(wǎng)絡安全法》正式實施，為網(wǎng)絡安全等級保護工作的執(zhí)法檢查提供了明確的法律支撐。然而高校網(wǎng)絡安全建設與信息化建設未落實“同步規(guī)劃、同步實施”的原則，網(wǎng)絡安全建設遠遠滯后于信息化建設?；诖?，公安部門對高校的網(wǎng)絡安全執(zhí)法力度相對較頻繁，以華東師范大學為例，每年公安網(wǎng)絡安全等級保護執(zhí)法檢查2次。

（5）移動互聯(lián)應用尚未納入等保工作范疇。隨著移動APP的發(fā)展，各高校都建設有自己的官方移動APP、教學APP、科研APP等，但這類移動APP的建設工作尚未納入網(wǎng)絡安全等級保護工作要求。移動互聯(lián)應用未完成網(wǎng)絡安全等級保護備案、互聯(lián)網(wǎng)信息服務備案、教育移動應用程序備案等一系列規(guī)范化的工作。

4 基于等級保護2.0框架下高校網(wǎng)絡安全建設模型

《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）規(guī)定，網(wǎng)絡安全等級保護第一級到第四級的保護對象均按照安全通用要求和安全擴展要求構成，即安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求、大數(shù)據(jù)安全擴展要求，建立“可信、可控、可管”的網(wǎng)絡安全防護體系。

（1）可信。即可信認證為基礎，構建一個可信的業(yè)務系統(tǒng)執(zhí)行環(huán)境，即用戶、平臺、程序都是可信的，確保用戶無法被冒充、病毒無法執(zhí)行、入侵行為無法成功?？尚诺沫h(huán)境保證業(yè)務系統(tǒng)永遠都能夠按照設計的預期的方式執(zhí)行，不會出現(xiàn)非預期的流程，從而保障業(yè)務系統(tǒng)安全可信。

（2）可控。即以訪問控制技術為核心，實現(xiàn)主體對客體的受控訪問，保證所有的訪問行為均在可控范圍之內進行，在防范內部攻擊的同時有效地防止從外部發(fā)起的攻擊行為。對用戶訪問權限的控制可以確保系統(tǒng)中的用戶不會出現(xiàn)越權操作，永遠都按照系統(tǒng)設計的策略進行資源訪問，保證系統(tǒng)的信息安全可控。

（3）可管。即通過構建集中管控、最小權限管理和三權分立的管理平臺，為管理員創(chuàng)建一個工作平臺，使其可以進行技術平臺支撐下的安全策略管理，從而保證信息系統(tǒng)安全可管。

網(wǎng)絡安全層面建立以結構安全、訪問控制、安全審計、邊界安全檢查、入侵防范、惡意代碼防范、設備防護為主要控制點;主機安全層面建立以身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制為主要控制點;應用層面建立以身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、防抵賴、軟件容錯、資源控制為主要控制點;數(shù)據(jù)安全層面建立以數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復為主要控制點?；凇缎畔踩夹g 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）的網(wǎng)絡安全等級保護技術體系。 結合高校信息化建設的現(xiàn)狀，以解決網(wǎng)絡安全等級保護2.0時代高校信息化建設的挑戰(zhàn)為目標，設計符合普適性、安全性、有效性并舉的高校網(wǎng)絡安全綜合防御體系是教育行業(yè)網(wǎng)絡安全工作者需要探索的課題。

人員角色是以高校網(wǎng)絡安全與信息化團隊為核心，以高校信息化建設用戶為安全責任單位，以應用系統(tǒng)開發(fā)商為運維的角色劃分。各司其職，完成“可信、可控、可管”體系中的可管。

分層設計是以高校數(shù)據(jù)中心建設為基礎，高校網(wǎng)絡安全與信息化團隊建立學校高質量數(shù)據(jù)中心，對高校信息化建設用戶提供操作系統(tǒng)、存儲等部署環(huán)境。應用系統(tǒng)開發(fā)商在現(xiàn)有環(huán)境下完成系統(tǒng)部署。高校網(wǎng)絡安全和信息化團隊對學校數(shù)據(jù)中心下的安全負責，高校信息化建設用戶對接收到的操作系統(tǒng)、存儲等部署環(huán)境負責，應用系統(tǒng)開發(fā)商對應用系統(tǒng)及所需的中間件安全負責。

分類等保是以高校數(shù)據(jù)中心為核心，首先完成高校數(shù)據(jù)中心的網(wǎng)絡安全等級保護定級、備案、測評、整改，由高校網(wǎng)絡安全與信息化團隊為主要責任單位落實;以各級應用系統(tǒng)為子對象，以高校數(shù)據(jù)中心網(wǎng)絡安全等級保護材料為底層支撐，由各二級單位負責響應子對象的網(wǎng)絡安全等級保護工作。

網(wǎng)絡分區(qū)是以數(shù)據(jù)中心核心區(qū)、有線網(wǎng)絡辦公區(qū)、無線網(wǎng)絡用戶區(qū)進行網(wǎng)絡策略管控，數(shù)據(jù)中心執(zhí)行最嚴格的網(wǎng)絡管控策略。

綜合上述，由此建立高校網(wǎng)絡安全綜合防御體系。

構建基于網(wǎng)絡安全等級保護2.0框架下的高校網(wǎng)絡安全綜合防御體系，能夠進一步提高高校網(wǎng)絡安全防護能力，促進高校網(wǎng)絡安全穩(wěn)定運行，為網(wǎng)絡安全等級保護在高校進一步落地實施提供了方案。因此，該設計模型嚴格遵守網(wǎng)絡安全等級保護2.0系列標準原則，體系化設計，保障了網(wǎng)絡安全防護體系高效且可操作。

5 結束語

本文基于網(wǎng)絡安全等級保護2.0安全架構防護體系和高校網(wǎng)絡安全現(xiàn)狀工作機制，建立基于等保2.0框架下的高校網(wǎng)絡安全體系建設模型，以《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）為安全保障依據(jù)，以高?，F(xiàn)有網(wǎng)絡安全環(huán)境為設計背景，以高校人員隊伍數(shù)量為前提，建立了等保2.0框架下的動態(tài)安全防護，實現(xiàn)高校網(wǎng)絡安全等級保護“一個中心，三重防御”的主動防御、動態(tài)防護的思想，讓“可信、可控、可管”策略在高校信息化建設中得以落地。

參考文獻

[1] 曲潔，范春玲，陳廣勇，等.新時代下網(wǎng)絡安全服務能力體系建設思路[J].信息網(wǎng)絡安全，2019，19（1）：83-87.

[2] GB/T 22239-2008.信息安全技術信息系統(tǒng)安全等級保護基本要求[S].北京：中國標準出版社，2008.

[3] GB/T 28448-2012.信息安全技術信息系統(tǒng)安全等級保護測評要求[S].北京：中國標準出版社，2012.

[4] 中華人民共和國網(wǎng)絡安全法[EB/OL].http：//www.npc.gov.cn/npc/，2016-11-7.

[5] 郭啟全.網(wǎng)絡安全法與網(wǎng)絡安全等級保護制度培訓教程[M].北京：電子工業(yè)出版社，2018.

[6] 馬力，祝國邦，陸磊，等.《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J]. 信息網(wǎng)絡安全，2019，19（2）：77-84.

[7] GB/T 22239-2019.信息安全技術網(wǎng)絡安全等級保護基本要求[S].北京：中國標準出版社，2019.