馬朝霞

摘? 要 新時(shí)期隨著互聯(lián)網(wǎng)技術(shù)和信息化水平的日益發(fā)展與提高，面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也日益突出，特別是對(duì)于高職院校教育信息化發(fā)展有較高要求的前提下，其信息化安全方面的管理能力還相對(duì)薄弱，完全達(dá)到等保2.0標(biāo)準(zhǔn)還存在一定差距，需要進(jìn)一步探究信息安全存在的問題和找到有效的改進(jìn)措施，加快推進(jìn)高職安全等級(jí)保護(hù)測(cè)評(píng)工作。結(jié)合等保2.0要求，以建設(shè)實(shí)施信息安全等保工作為例，深入了解高職院校具體情況，為高職院校信息安全建設(shè)提供參考。

關(guān)鍵詞 等保2.0;高職院校;信息安全;教育信息化

中圖分類號(hào)：TP393? ? 文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：1671-489X（2021）11-0010-03

0? 引言

在高職院校邁入“雙高”時(shí)代的大環(huán)境下，各高職院校都處在加快啟動(dòng)中國(guó)特色高水平高職學(xué)校和專業(yè)建設(shè)的關(guān)鍵時(shí)期，教育信息化建設(shè)和發(fā)展作為有效促進(jìn)“雙高”建設(shè)的重要考核指標(biāo)，對(duì)高職院校信息化建設(shè)水平提出較高要求。目前，高職教育信息化應(yīng)用普及率較高，建設(shè)有大量業(yè)務(wù)管理信息系統(tǒng)、網(wǎng)站及基于互聯(lián)網(wǎng)的移動(dòng)應(yīng)用，面臨學(xué)校范圍內(nèi)網(wǎng)絡(luò)信息應(yīng)用范圍廣、師生人員較多、產(chǎn)生數(shù)據(jù)量大、網(wǎng)絡(luò)信息關(guān)注度較高的現(xiàn)實(shí)特點(diǎn)，網(wǎng)絡(luò)安全方面的影響力也越來越大?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施順應(yīng)了新時(shí)代當(dāng)前形勢(shì)下的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，對(duì)各單位重視網(wǎng)絡(luò)安全，推進(jìn)等保測(cè)評(píng)工作是十分有利的。高職院校在等級(jí)保護(hù)方面對(duì)照國(guó)家等保2.0標(biāo)準(zhǔn)還存在一定差距，需要借助等保實(shí)施過程進(jìn)一步改進(jìn)和加強(qiáng)自身安全管理和建設(shè)能力。

1? 等級(jí)保護(hù)2.0標(biāo)準(zhǔn)新要求

等保2.0中“安全通用要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理”[1]這幾個(gè)方面的重要內(nèi)容，同時(shí)在云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和移動(dòng)互聯(lián)安全等安全方面也作出明確要求。

1.1? 技術(shù)方面

首先是物理環(huán)境，要求機(jī)房應(yīng)配置電子門禁系統(tǒng)、安防系統(tǒng)、視頻監(jiān)控系統(tǒng)等;機(jī)房劃分區(qū)域進(jìn)行管理，要配備防雷、電設(shè)施設(shè)備，電力電纜線路設(shè)置冗余或并行，針對(duì)突然斷電的情況要有備用供電措施和應(yīng)急預(yù)案;應(yīng)有智能感知和采集系統(tǒng)，實(shí)現(xiàn)機(jī)房對(duì)煙霧、溫度、濕度等環(huán)境情況的感應(yīng)和遠(yuǎn)程報(bào)警。通信網(wǎng)絡(luò)要求網(wǎng)絡(luò)設(shè)備和帶寬應(yīng)該滿足業(yè)務(wù)需求，提供滿足師生教學(xué)和科研使用的校園網(wǎng)絡(luò)接入條件，網(wǎng)絡(luò)接入覆蓋校內(nèi)所有區(qū)域，確保通信數(shù)據(jù)安全性、完整性和保密性。保證非授權(quán)設(shè)備、無線網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)時(shí)通過邊界設(shè)備受控，對(duì)遠(yuǎn)程訪問、應(yīng)用程序執(zhí)行過程進(jìn)行訪問控制。計(jì)算環(huán)境要求具有數(shù)據(jù)存儲(chǔ)、容災(zāi)備份能力，用戶身份認(rèn)證應(yīng)具備密碼技術(shù)確認(rèn)等多種鑒別技術(shù)，加強(qiáng)審計(jì)進(jìn)程中未授權(quán)管理，重要節(jié)點(diǎn)應(yīng)進(jìn)行入侵檢測(cè)，要有惡意代碼攻擊的技術(shù)防范措施，具有高可靠性、高可用性，能夠保障學(xué)校網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)中心。要加強(qiáng)網(wǎng)絡(luò)設(shè)備、服務(wù)器、網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)安全事件等方面的安全管理。

1.2? 管理方面

在管理上應(yīng)建立健全安全管理制度體系，設(shè)立專門的安全管理機(jī)構(gòu)和配備專業(yè)管理人員隊(duì)伍。定期對(duì)軟硬件設(shè)施設(shè)備進(jìn)行安全檢查、登記備案，對(duì)管理人員權(quán)限要嚴(yán)格審查，特殊崗位應(yīng)簽訂保密協(xié)議和責(zé)任書。在運(yùn)維管理中對(duì)遠(yuǎn)程運(yùn)維、運(yùn)維變更、日常監(jiān)測(cè)、外部授權(quán)和配置信息變更都要嚴(yán)格控制管理，建立申報(bào)審批程序，登記備案。外包運(yùn)維服務(wù)也應(yīng)在協(xié)議中明確具備等級(jí)保護(hù)技術(shù)和管理上的要求。

2? 開展等級(jí)保護(hù)工作的必要性

開展安全等級(jí)保護(hù)工作是落實(shí)國(guó)家信息安全管理的重要任務(wù)，符合國(guó)家信息安全管理和行業(yè)要求，是對(duì)目前互聯(lián)網(wǎng)環(huán)境下高職院校落實(shí)信息安全管理的有效推動(dòng)，是保障教育信息化發(fā)展和維護(hù)信息安全的重要舉措。學(xué)校在開展安全等級(jí)保護(hù)測(cè)評(píng)的過程中有利于提高信息系統(tǒng)安全建設(shè)水平，同步完善在信息安全基礎(chǔ)設(shè)施、信息安全與信息化建設(shè)管理中的薄弱環(huán)節(jié)，能夠在信息安全資源配置和優(yōu)化、信息系統(tǒng)分級(jí)分類保護(hù)、關(guān)鍵基礎(chǔ)信息網(wǎng)絡(luò)和設(shè)施安全方面給予科學(xué)、系統(tǒng)的指導(dǎo)，降低安全風(fēng)險(xiǎn)，預(yù)防安全事故發(fā)生，針對(duì)存在的問題提供有效可行的解決辦法，進(jìn)一步落實(shí)信息安全責(zé)任管理，確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，促進(jìn)信息安全和教育信息化發(fā)展。

3? 高職院校等級(jí)保護(hù)現(xiàn)狀及存在問題

高職院校網(wǎng)絡(luò)安全意識(shí)有所提高，但各級(jí)領(lǐng)導(dǎo)在安全等級(jí)保護(hù)方面仍缺乏一定認(rèn)識(shí)和了解，在信息安全管理過程中仍舊面臨諸多問題，比如完全依賴網(wǎng)絡(luò)技術(shù)部門，以為在信息安全軟硬件方面投入足夠經(jīng)費(fèi)就能對(duì)抗網(wǎng)絡(luò)安全威脅，而校園網(wǎng)絡(luò)來自外部的網(wǎng)絡(luò)攻擊行為時(shí)有發(fā)生，針對(duì)網(wǎng)絡(luò)攻擊不能及時(shí)響應(yīng)，應(yīng)急策略和能力較弱。對(duì)安全等級(jí)測(cè)評(píng)重視程度也不夠，校園網(wǎng)絡(luò)安全管理制度已建立但不完善，安全管理機(jī)制不健全，具體落實(shí)監(jiān)管不到位等，具體表現(xiàn)在以下幾個(gè)方面。

3.1? 日常運(yùn)維管理

各類安全管理制度不完善，特別是在日常運(yùn)維、系統(tǒng)安全、應(yīng)急響應(yīng)、安全培訓(xùn)等方面。在安全運(yùn)維管理中，部分安全運(yùn)維工作沒有落實(shí)到位，以前制定的制度不能根據(jù)實(shí)際需要及時(shí)更新，無法構(gòu)成完整的信息安全管理體系。

3.2? 系統(tǒng)安全技術(shù)防護(hù)

3.2.1? 物理安全方面? 機(jī)房建設(shè)滿足物理環(huán)境基本要求，能夠按照標(biāo)準(zhǔn)機(jī)房建設(shè)標(biāo)準(zhǔn)合理選擇機(jī)房位置，配備防雷、防火、備用電力保障等設(shè)備，安裝電子門禁和視頻監(jiān)控系統(tǒng)。但有些學(xué)校對(duì)機(jī)房管理要求不嚴(yán)，沒有建立嚴(yán)格的訪問控制管理制度，來訪人員獲得口頭許可便可進(jìn)出機(jī)房，且沒有進(jìn)行來訪人員的出入登記，也沒有安排專人陪同監(jiān)督來訪人員進(jìn)行技術(shù)操作并記錄備案。另外，對(duì)機(jī)房要求配備精密空調(diào)也不能達(dá)標(biāo)，無法實(shí)現(xiàn)智能調(diào)節(jié)室內(nèi)溫濕度，無法防止結(jié)露、凝水等現(xiàn)象和故障預(yù)警。

3.2.2? 主機(jī)安全方面? 主機(jī)身份鑒別、訪問控制、安全審計(jì)等存在默認(rèn)的策略配置。操作系統(tǒng)和數(shù)據(jù)庫賬號(hào)密碼配置具有一定的復(fù)雜度和長(zhǎng)度，但沒有配置密碼復(fù)雜度和非法登錄次數(shù)限制策略。系統(tǒng)重要文件訪問控制不嚴(yán)格，常常主用服務(wù)器已經(jīng)及時(shí)更新了操作系統(tǒng)安全補(bǔ)丁，而備用服務(wù)器沒有及時(shí)更新操作系統(tǒng)安全補(bǔ)丁等。

3.2.3? 應(yīng)用安全方面? 提供基于賬號(hào)密碼的身份鑒別方式，對(duì)用戶登錄失敗次數(shù)進(jìn)行了限制，但沒有提供用戶密碼復(fù)雜度檢查功能，存在較多弱密碼用戶賬號(hào)，甚至有些用戶的賬號(hào)密碼還處于原始默認(rèn)狀態(tài)，信息安全意識(shí)不強(qiáng)。

3.2.4? 在網(wǎng)絡(luò)安全方面? 部署了上網(wǎng)行為管理、防火墻、Web應(yīng)用防火墻、數(shù)據(jù)庫審計(jì)和運(yùn)維安全審計(jì)等安全設(shè)備，但由于安全防護(hù)策略配置不嚴(yán)格、不合理，存在訪問控制策略不嚴(yán)格，沒有實(shí)現(xiàn)對(duì)掃描類攻擊行為進(jìn)行檢測(cè)并阻斷，Web應(yīng)用防火墻未對(duì)管理后臺(tái)進(jìn)行防護(hù)，防控非法外聯(lián)措施不足，存在無認(rèn)證Wi-Fi接入點(diǎn)，接入后可直接與服務(wù)器網(wǎng)段通信，降低了系統(tǒng)的安全性。

3.3? 安全建設(shè)經(jīng)費(fèi)和人員

部分學(xué)校雖在教育信息化方面投入經(jīng)費(fèi)較大，但在信息安全方面專項(xiàng)經(jīng)費(fèi)不足，所占整個(gè)信息化建設(shè)資金比重較小，不能滿足網(wǎng)絡(luò)安全建設(shè)基本保障。網(wǎng)絡(luò)安全專業(yè)技術(shù)人才缺乏，專業(yè)管理人員配置不足，無法滿足現(xiàn)有安全管理和技術(shù)需求。

4? 針對(duì)相關(guān)問題的改進(jìn)措施和建議

4.1? 加強(qiáng)安全管理

建立重要操作的審批流程，保存審批記錄。日常巡檢、安全檢查記錄備案。加強(qiáng)人員安全管理，制訂安全教育培訓(xùn)計(jì)劃，每年對(duì)信息安全工作人員進(jìn)行崗位技能培訓(xùn)和考核。制訂或完善安全設(shè)計(jì)方案，定期聘請(qǐng)第三方機(jī)構(gòu)對(duì)系統(tǒng)安全性進(jìn)行檢測(cè)。建議每年進(jìn)行應(yīng)急預(yù)案的演練和培訓(xùn)。完善相應(yīng)的安全管理制度，落實(shí)安全運(yùn)維管理工作，定期對(duì)安全防護(hù)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫的日志進(jìn)行分析，根據(jù)安全防護(hù)設(shè)備、主機(jī)、數(shù)據(jù)庫的日志分析結(jié)果，出具運(yùn)維報(bào)告或安全事件處置報(bào)告。建立信息安全工作的總體方針和安全策略，要及時(shí)梳理現(xiàn)有管理制度，根據(jù)實(shí)際管理作出修訂和更新制度內(nèi)容，廢除已經(jīng)不適用的管理制度。

4.2? 加固技術(shù)防護(hù)

4.2.1? 在物理安全方面? 建立機(jī)房出入管理審批流程，填寫出入登記表，內(nèi)容包含出入人員、攜帶設(shè)備、審批人員、出入時(shí)間等。外來人員進(jìn)行機(jī)房作業(yè)時(shí)，機(jī)房管理員應(yīng)全程陪同。

4.2.2? 在網(wǎng)絡(luò)安全方面? 根據(jù)不同的系統(tǒng)劃分不同的子網(wǎng)，啟用訪問控制功能對(duì)不同的系統(tǒng)之間不必要的互訪數(shù)據(jù)進(jìn)行阻斷，細(xì)化訪問控制規(guī)則。部署終端安全管控系統(tǒng)，對(duì)內(nèi)部用戶非法連接外部網(wǎng)絡(luò)的行為進(jìn)行檢查、定位、阻斷，關(guān)閉無認(rèn)證的Wi-Fi接入點(diǎn)。應(yīng)提高網(wǎng)絡(luò)系統(tǒng)的安全性能，及時(shí)調(diào)整防火墻端口防護(hù)參數(shù)，啟用防火墻日志管理功能。加強(qiáng)管理員分配賬號(hào)和權(quán)限、密碼管理。

4.2.3? 在主機(jī)安全方面? 在服務(wù)器操作系統(tǒng)安全策略中配置密碼復(fù)雜度策略、非法登錄次數(shù)限制策略，并定期更改操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)賬號(hào)的密碼。配置僅允許通過堡壘機(jī)訪問服務(wù)器，不允許其他IP地址直接遠(yuǎn)程訪問服務(wù)器。開啟操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全審計(jì)功能，對(duì)用戶管理、權(quán)限管理、重要命令操作和系統(tǒng)異常等進(jìn)行安全審計(jì)，以彌補(bǔ)審計(jì)功能的不足，并部署日志服務(wù)器對(duì)安全審計(jì)日志進(jìn)行存儲(chǔ)和保護(hù)，防止日志丟失。及時(shí)更新數(shù)據(jù)庫服務(wù)器操作系統(tǒng)安全補(bǔ)丁，配置終端會(huì)話超時(shí)鎖定或結(jié)束會(huì)話功能。

4.2.4? 在應(yīng)用安全方面? 增加系統(tǒng)相應(yīng)的口令復(fù)雜度安全策略，細(xì)分管理員賬戶權(quán)限。重要操作進(jìn)行采用HTTPS

協(xié)議進(jìn)行通信，保證系統(tǒng)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾浴Ｏ到y(tǒng)配置會(huì)話超時(shí)功能，對(duì)系統(tǒng)的最大并發(fā)連接會(huì)話數(shù)進(jìn)行合理配置。

4.2.5? 數(shù)據(jù)安全及備份恢復(fù)? 對(duì)系統(tǒng)重要數(shù)據(jù)要進(jìn)行完整性檢測(cè)，保證重要系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備等數(shù)據(jù)的安全，同時(shí)具備完整性受損時(shí)能夠及時(shí)采取數(shù)據(jù)恢復(fù)措施，還要確保數(shù)據(jù)在傳輸過程中的保密性。做好數(shù)據(jù)本地和異地備份，提供重要信息、數(shù)據(jù)的恢復(fù)功能。建議在條件允許的情況下，考慮對(duì)重要的安全設(shè)備進(jìn)行硬件冗余，通信鏈路采用冗余技術(shù)設(shè)計(jì)，提高網(wǎng)絡(luò)系統(tǒng)可靠性。

4.3? 加大經(jīng)費(fèi)和人員保障

應(yīng)該加強(qiáng)重視等級(jí)保護(hù)工作，加大在網(wǎng)絡(luò)安全建設(shè)方面的專項(xiàng)經(jīng)費(fèi)，納入年度信息化經(jīng)費(fèi)項(xiàng)目，保障?？顚Ｓ谩Ｖ匾暰W(wǎng)絡(luò)安全技術(shù)高級(jí)人才引進(jìn)，保障技術(shù)人員培訓(xùn)和繼續(xù)教育，建立科學(xué)合理的績(jī)效考評(píng)機(jī)制，促進(jìn)網(wǎng)絡(luò)信息安全技術(shù)人才隊(duì)伍培養(yǎng)和建設(shè)。

5? 結(jié)語

習(xí)近平總書記在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上指出：“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全。”高職院校做好網(wǎng)絡(luò)信息安全工作，需要從思想上進(jìn)一步重視，在組織機(jī)構(gòu)、人員配置、資金支持、技術(shù)設(shè)施等方面準(zhǔn)備到位，有準(zhǔn)備有計(jì)劃地推動(dòng)落實(shí)。要根據(jù)辦學(xué)規(guī)模和業(yè)務(wù)范圍、社會(huì)影響力等因素做好前期安全評(píng)估，明確系統(tǒng)定級(jí)備案等工作，制訂實(shí)施方案，重點(diǎn)要結(jié)合實(shí)際高標(biāo)準(zhǔn)、嚴(yán)要求，總結(jié)經(jīng)驗(yàn)，進(jìn)一步完善信息安全防護(hù)體系，提升整體安全防護(hù)能力。

參考文獻(xiàn)

[1]馬力，祝國(guó)邦，陸磊.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239—2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019（2）：77-84.

[2]張旭剛，謝宗曉.網(wǎng)絡(luò)安全等級(jí)保護(hù)及其相關(guān)標(biāo)準(zhǔn)介紹[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2019（9）：12-15.

[3]張建剛.網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度探究[J].現(xiàn)代信息科技，2019（11）：163-164.

[4]袁慧.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度的研究和探討[J].信息與電腦（理論版），2020（1）：223-224.