◆陳華清

（中山開放大學(xué) 廣東 528400）

當(dāng)前大數(shù)據(jù)、人工智能、云計(jì)算、物聯(lián)網(wǎng)、虛擬技術(shù)等信息技術(shù)的高速發(fā)展，促進(jìn)在線教育和教育領(lǐng)域信息化迅速發(fā)展。開放大學(xué)是以現(xiàn)代信息技術(shù)與遠(yuǎn)程教育深度融合為支撐，滿足全體社會(huì)成員終身學(xué)習(xí)需要為目標(biāo)的新型高校。隨著開放大學(xué)承擔(dān)的終身教育規(guī)模不斷擴(kuò)大，在線學(xué)習(xí)人數(shù)不斷增多，對(duì)網(wǎng)絡(luò)安全的要求也越來越高?；诰W(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 構(gòu)建開放大學(xué)網(wǎng)絡(luò)安全體系，為學(xué)習(xí)者提供安全可靠的網(wǎng)絡(luò)環(huán)境是至關(guān)重要的。

1 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)

2019 年5 月，國(guó)家標(biāo)準(zhǔn)化委員會(huì)發(fā)布了包括《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 國(guó)家標(biāo)準(zhǔn)體系（以下簡(jiǎn)稱等保2.0 標(biāo)準(zhǔn)），推動(dòng)了新形勢(shì)下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。

2.1 等保2.0 標(biāo)準(zhǔn)的特點(diǎn)

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全工作的基本制度，是履行安全保護(hù)義務(wù)、保障網(wǎng)絡(luò)免受破壞、防止網(wǎng)絡(luò)數(shù)據(jù)被竊取篡改的基本方法，等保2.0 具有以下特點(diǎn)。

（1）等級(jí)保護(hù)的對(duì)象更加廣泛。等級(jí)保護(hù)2.0 的對(duì)象更加廣泛，包括基礎(chǔ)信息網(wǎng)絡(luò)、物聯(lián)網(wǎng)、信息系統(tǒng)（含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)）、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、云計(jì)算平臺(tái)/系統(tǒng)、工業(yè)控制系統(tǒng)等。

（2）構(gòu)建了統(tǒng)一的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。等保2.0 標(biāo)準(zhǔn)采用系統(tǒng)化的設(shè)計(jì)方法，貫徹縱深防御和精細(xì)防御的安全保護(hù)理念，構(gòu)建“一個(gè)中心，三重防護(hù)”的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，形成了在安全管理中心統(tǒng)一管理下，安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)層層防護(hù)的綜合保障技術(shù)體系，規(guī)范了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求。

（3）強(qiáng)化了可信計(jì)算技術(shù)的運(yùn)用?？尚庞?jì)算是基于密碼的計(jì)算機(jī)體系架構(gòu)安全技術(shù)，等保2.0 標(biāo)準(zhǔn)將可信計(jì)算技術(shù)的運(yùn)用貫穿到各個(gè)安全保護(hù)級(jí)別，在安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)均提出可信驗(yàn)證要求，實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)由被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御、動(dòng)態(tài)防御，夯實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)。

2.2 等保2.0 標(biāo)準(zhǔn)的架構(gòu)與內(nèi)容概述

2.2.1 等保2.0 標(biāo)準(zhǔn)的架構(gòu)

等保2.0 構(gòu)建“一個(gè)中心，三重防護(hù)”的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，貫穿整體防護(hù)、精準(zhǔn)防控、主動(dòng)防御、動(dòng)態(tài)防御的安全保護(hù)理念，形成安全通用要求+新應(yīng)用安全擴(kuò)展要求的架構(gòu)，對(duì)各個(gè)級(jí)別的網(wǎng)絡(luò)安全保護(hù)要求分為安全通用要求和安全擴(kuò)展要求。

2.2.2 等保2.0 標(biāo)準(zhǔn)的內(nèi)容

（1）安全通用要求

（2）安全擴(kuò)展要求

安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級(jí)和使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。等保2.0針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求。

2 開放大學(xué)網(wǎng)絡(luò)安全現(xiàn)狀

隨著開放大學(xué)在線學(xué)習(xí)者規(guī)模越來越大，與互聯(lián)網(wǎng)技術(shù)進(jìn)一步深度融合，學(xué)習(xí)過程和課程資源等數(shù)據(jù)不斷增加，學(xué)習(xí)者信息化知識(shí)水平參差不齊，網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，網(wǎng)絡(luò)安全問題越來越突出。

2.1 網(wǎng)絡(luò)安全管理不到位

在網(wǎng)絡(luò)安全管理方面存在重視力度不足、落實(shí)等級(jí)保護(hù)制度2.0 情況不佳、管理職責(zé)不明確、管理制度不完善、人員安全意識(shí)薄弱等問題。

2.1.1 網(wǎng)絡(luò)安全重視力度不足

網(wǎng)絡(luò)安全設(shè)備設(shè)施不足，主要依靠防火墻設(shè)備，而上網(wǎng)行為管理系統(tǒng)、防病毒網(wǎng)關(guān)、安全審計(jì)系統(tǒng)、態(tài)勢(shì)感知系統(tǒng)的應(yīng)用率很低，防護(hù)類型單一。

2.1.2 落實(shí)等級(jí)保護(hù)制度2.0 情況不佳

等級(jí)保護(hù)制度2.0 在2019 年開始實(shí)施，開放大學(xué)未能及時(shí)落實(shí)等級(jí)保護(hù)制度2.0 標(biāo)準(zhǔn)開展等級(jí)保護(hù)測(cè)評(píng)。

2.1.3 網(wǎng)絡(luò)安全管理不到位

（1）網(wǎng)絡(luò)安全管理制度不完善。開放大學(xué)只有日常管理規(guī)范和操作表格，管理制度不夠完備，沒有跟隨國(guó)家相關(guān)法律法規(guī)盡快出臺(tái)相應(yīng)的日常管理規(guī)范和操作規(guī)程。

（2）網(wǎng)絡(luò)安全管理職責(zé)不明確。網(wǎng)絡(luò)安全專職人員的配置無法滿足工作的需求，網(wǎng)絡(luò)安全管理機(jī)構(gòu)職責(zé)不夠明確，網(wǎng)絡(luò)安全管理制度沒有發(fā)揮作用。

（3）網(wǎng)絡(luò)安全管理人員安全意識(shí)薄弱。網(wǎng)絡(luò)安全管理人員持有相關(guān)證書的人數(shù)偏少，缺乏足夠的網(wǎng)絡(luò)安全培訓(xùn)，安全意識(shí)和業(yè)務(wù)能力沒有保障。

2.2 網(wǎng)絡(luò)安全技術(shù)層面存在的風(fēng)險(xiǎn)

當(dāng)前基層開放大學(xué)網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，主要是網(wǎng)絡(luò)探測(cè)與攻擊、DDoS 攻擊增多、校園網(wǎng)內(nèi)部漏洞多等。

（1）校園網(wǎng)內(nèi)部存在漏洞。

校園網(wǎng)中各種網(wǎng)絡(luò)設(shè)備存在系統(tǒng)漏洞和缺陷，入侵者利用這些漏洞進(jìn)行非法操作。

（2）基層開放大學(xué)網(wǎng)絡(luò)應(yīng)用系統(tǒng)容易受到攻擊。

為滿足基層開放大學(xué)辦公、教學(xué)等方面的需求，校園網(wǎng)內(nèi)搭建了教務(wù)管理等應(yīng)用網(wǎng)站，攻擊者利用應(yīng)用網(wǎng)站漏洞上傳木馬病毒。

（3）受到分布式拒絕服務(wù)（DDoS）攻擊快速增長(zhǎng)。

基層開放大學(xué)的教務(wù)管理系統(tǒng)、數(shù)字圖書館、辦公OA 等應(yīng)用都在互聯(lián)網(wǎng)線上開展，不法分子運(yùn)用分布式拒絕服務(wù)攻擊方式，無限制消耗系統(tǒng)和網(wǎng)絡(luò)資源，使得學(xué)校無法向?qū)W習(xí)者提供正常服務(wù)。

（4）校園網(wǎng)內(nèi)網(wǎng)絡(luò)病毒、木馬程序?qū)映霾桓F，蔓延迅速

開放大學(xué)校園網(wǎng)用戶規(guī)模大，因用戶安全意識(shí)淡薄，沒有使用殺毒軟件，造成網(wǎng)絡(luò)病毒、木馬程序泛濫。

3 基層開放大學(xué)網(wǎng)絡(luò)安全體系的構(gòu)建

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 國(guó)家標(biāo)準(zhǔn)體系已發(fā)布實(shí)施，基層開放大學(xué)應(yīng)嚴(yán)格按照“一個(gè)中心，三重防護(hù)”的理念，構(gòu)建包括網(wǎng)絡(luò)安全管理體系和網(wǎng)絡(luò)安全技術(shù)體系的網(wǎng)絡(luò)安全體系，為學(xué)習(xí)者提供安全可靠的網(wǎng)絡(luò)環(huán)境。

3.1 構(gòu)建開放大學(xué)網(wǎng)絡(luò)安全管理體系

要做好開放大學(xué)的網(wǎng)絡(luò)安全工作，關(guān)鍵是做好網(wǎng)絡(luò)安全管理工作，全面提升“三分靠技術(shù)、七分靠管理”的意識(shí)，要按網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 國(guó)家標(biāo)準(zhǔn)體系的第四級(jí)安全要求，建設(shè)網(wǎng)絡(luò)安全管理體系。

3.1.1 建立完善的開放大學(xué)安全管理制度體系

開放大學(xué)建立由安全策略、管理制度、操作規(guī)程、日常工作臺(tái)賬等構(gòu)成的安全管理制度體系，一是安全策略方面，制定《網(wǎng)絡(luò)安全工作總體方針》；二是管理制度方面，制定《網(wǎng)絡(luò)安全事故處理及應(yīng)急預(yù)案》、《數(shù)據(jù)備份與恢復(fù)管理規(guī)定》、《網(wǎng)絡(luò)與系統(tǒng)安全管理規(guī)定》、《中心機(jī)房安全管理規(guī)定》、《信息系統(tǒng)建設(shè)管理規(guī)定》、《外部人員訪問校園網(wǎng)管理規(guī)定》等；三是操作規(guī)程方面，制定《數(shù)字化校園系統(tǒng)操作手冊(cè)》、《協(xié)同辦公系統(tǒng)（OA）操作指南》、《信息系統(tǒng)運(yùn)維操作規(guī)程》等；四是日常工作臺(tái)賬方面，在日常網(wǎng)絡(luò)安全工作中，每項(xiàng)具體的事項(xiàng)應(yīng)以臺(tái)賬的形式做好記錄。

3.1.2 設(shè)立安全管理機(jī)構(gòu)、打造網(wǎng)絡(luò)安全專業(yè)團(tuán)隊(duì)

（1）設(shè)置網(wǎng)絡(luò)安全管理機(jī)構(gòu)

一是成立網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組，由校長(zhǎng)擔(dān)任組長(zhǎng)；二是成立網(wǎng)絡(luò)安全及信息化辦公室，職能是負(fù)責(zé)學(xué)校網(wǎng)絡(luò)安全管理工作；

（2）加強(qiáng)網(wǎng)絡(luò)安全人員管理，打造網(wǎng)絡(luò)安全專業(yè)團(tuán)隊(duì)

一是制定學(xué)校崗位職責(zé)時(shí)，完善網(wǎng)絡(luò)安全及信息化辦公室崗位設(shè)置，設(shè)立系統(tǒng)管理員、專職安全管理員、安全審計(jì)員等崗位，并定義這些崗位的工作職責(zé)。

二是制定學(xué)校的人事管理制度時(shí)，明確網(wǎng)絡(luò)安全管理人員的錄用條件、資格審查、技能考核、離崗要求等，與錄用人員簽訂保密協(xié)議，約定保密范圍、保密內(nèi)容等。

三是加強(qiáng)教職工網(wǎng)絡(luò)安全培訓(xùn)，主要加強(qiáng)安全意識(shí)、基本安全知識(shí)、安全責(zé)任教育。

四是加強(qiáng)網(wǎng)絡(luò)安全及信息化辦公室人員的培訓(xùn)和考核，主要是網(wǎng)絡(luò)安全專業(yè)技能方面的培訓(xùn)，半年進(jìn)行一次技能考核。

3.1.3 加強(qiáng)網(wǎng)絡(luò)安全運(yùn)維管理

運(yùn)維管理是網(wǎng)絡(luò)安全日常工作最重要的部分，包括學(xué)校中心機(jī)房的管理、數(shù)字資產(chǎn)的管理、設(shè)備維護(hù)、網(wǎng)絡(luò)與系統(tǒng)安全管理、安全事件的應(yīng)急及處置管理、漏洞掃描及滲透測(cè)試等工作。

（1）嚴(yán)格落實(shí)《中心機(jī)房安全管理規(guī)定》，按等保2.0 標(biāo)準(zhǔn)配置中心機(jī)房的物理環(huán)境并定期維護(hù)管理，部署視頻監(jiān)控系統(tǒng)、門禁系統(tǒng)，建立中心機(jī)房出入登記臺(tái)賬，建立中心機(jī)房基礎(chǔ)設(shè)施維護(hù)臺(tái)賬。

（2）高度重視全面網(wǎng)絡(luò)安全檢查工作。每年完成一次滲透測(cè)試、每半年開展一次漏洞掃描、不定期進(jìn)行惡意代碼檢測(cè)等安全測(cè)評(píng)，建立安全測(cè)評(píng)整改臺(tái)賬，加強(qiáng)惡意代碼防范，嚴(yán)格落實(shí)安全測(cè)評(píng)整改責(zé)任到人，快速準(zhǔn)確排除安全漏洞和隱患。

（3）嚴(yán)格落實(shí)《網(wǎng)絡(luò)與系統(tǒng)安全管理規(guī)定》，規(guī)范安全策略、賬戶管理、配置管理、日志管理、日常操作、升級(jí)及打補(bǔ)丁、口令更新周期等方面的管理，建立網(wǎng)絡(luò)和系統(tǒng)運(yùn)維臺(tái)賬，嚴(yán)格控制遠(yuǎn)程運(yùn)維權(quán)限和運(yùn)維工具的使用，做好審計(jì)日志的存檔，加強(qiáng)密碼管理，密碼技術(shù)和產(chǎn)品務(wù)必要遵循國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

（4）制定《網(wǎng)絡(luò)安全事故處理及應(yīng)急預(yù)案》，明確不同等級(jí)安全事件報(bào)告及處理流程，明確跨單位安全事件報(bào)告和處置機(jī)制，規(guī)定統(tǒng)一的安全事件應(yīng)急預(yù)案，高度重視應(yīng)急預(yù)案演練，上下半年各開展一次應(yīng)急預(yù)案演練，根據(jù)演練情況修訂完善應(yīng)急預(yù)案。

3.2 構(gòu)建開放大學(xué)網(wǎng)絡(luò)安全技術(shù)體系

開放大學(xué)根據(jù)等保2.0 標(biāo)準(zhǔn)縱深防御和精細(xì)防御的安全保護(hù)理念，按照“一個(gè)中心，三重防護(hù)”的網(wǎng)絡(luò)安全體系結(jié)構(gòu)要求，結(jié)合開放大學(xué)的安全保障實(shí)際，推進(jìn)包括安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)等方面的網(wǎng)絡(luò)安全技術(shù)體系構(gòu)建。

3.2.1 重視網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)

網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全是網(wǎng)絡(luò)安全的前提，一要做好電源線和通信線纜隔離鋪設(shè)；二是做好中心機(jī)房的防盜竊、防破壞、防水、防火、防潮、防雷、防靜電等措施；三是配備穩(wěn)壓器和UPS 后備電源；四是做好各教學(xué)樓的網(wǎng)絡(luò)設(shè)備的安全。

3.2.2 根據(jù)等保2.0 標(biāo)準(zhǔn)，重新部署開放大學(xué)校園網(wǎng)安全通信網(wǎng)絡(luò)體系

（1）重新規(guī)劃學(xué)校校園網(wǎng)的網(wǎng)絡(luò)拓?fù)洌{(diào)整路由器、交換機(jī)和防火墻等部署，確保關(guān)鍵設(shè)備的硬件冗余和通信線路冗余。

（2）結(jié)合校園網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)用的實(shí)際，采用VLAN 和防火墻技術(shù)，重新劃分學(xué)校的網(wǎng)絡(luò)系統(tǒng)區(qū)域，并在各區(qū)域之間部署網(wǎng)絡(luò)安全設(shè)備，設(shè)置安全策略，確保不同區(qū)域之間完全隔離，保障各區(qū)域的安全。

3.2.3 加大投入，構(gòu)建完善的安全區(qū)域邊界

一是根據(jù)等保2.0 標(biāo)準(zhǔn)要求，部署IDS/IPS、防病毒網(wǎng)關(guān)、WEB 應(yīng)用防火墻、資源監(jiān)控系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、堡壘機(jī)、抗DDoS 攻擊系統(tǒng)、日志審計(jì)設(shè)備、VPN 上網(wǎng)設(shè)備等，及時(shí)做好系統(tǒng)升級(jí)和規(guī)則庫(kù)更新，提高網(wǎng)絡(luò)安全防護(hù)能力。

二是在防火墻部署安全策略，完成互聯(lián)網(wǎng)與校園網(wǎng)、校園網(wǎng)內(nèi)部之間的訪問控制等。

三是在網(wǎng)絡(luò)安全設(shè)備中設(shè)置安全策略，監(jiān)測(cè)和阻止端口掃描、木馬攻擊、拒絕服務(wù)攻擊、緩沖區(qū)攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。

3.2.4 加強(qiáng)技術(shù)保障，建設(shè)安全計(jì)算環(huán)境

開放大學(xué)著重建設(shè)身份鑒別、安全審計(jì)、入侵防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、個(gè)人信息保護(hù)等安全計(jì)算環(huán)境。

（1）用戶身份鑒別是設(shè)備和信息系統(tǒng)安全的最重要防線之一。一要嚴(yán)格按照等保2.0 標(biāo)準(zhǔn)要求，設(shè)置網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)的口令，不得保留設(shè)備出廠默認(rèn)口令，不能存在弱口令；二要定期更新網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)的口令，三個(gè)月更新一次；三是使用各種技術(shù)達(dá)到雙因素身份鑒別方式；四是加強(qiáng)系統(tǒng)管理員賬號(hào)管理。

（2）加強(qiáng)訪問控制和網(wǎng)絡(luò)安全審計(jì)。在網(wǎng)絡(luò)中部署堡壘機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、綜合日志審計(jì)系統(tǒng)，加強(qiáng)操作全過程的審計(jì)，加強(qiáng)訪問核心數(shù)據(jù)庫(kù)的審計(jì)，采集學(xué)校服務(wù)器、網(wǎng)絡(luò)核心設(shè)備、網(wǎng)絡(luò)安全設(shè)備的系統(tǒng)日志，全面審計(jì)信息系統(tǒng)整體安全狀況。

（3）提升數(shù)據(jù)完整性和保密性保護(hù)技術(shù)能力，避免數(shù)據(jù)泄漏事件發(fā)生。一是應(yīng)用密碼技術(shù)保障學(xué)校的數(shù)據(jù)傳輸和存儲(chǔ)的完整和保密，避免關(guān)鍵信息以明文形式存儲(chǔ)；二是加強(qiáng)數(shù)據(jù)備份工作，建立異地災(zāi)難備份中心；三是切實(shí)落實(shí)《中華人民共和國(guó)個(gè)人信息保護(hù)法》，嚴(yán)格落實(shí)學(xué)習(xí)者個(gè)人信息的安全保護(hù)。

4 結(jié)束語

開放大學(xué)應(yīng)按照等保2.0 標(biāo)準(zhǔn)的規(guī)范，嚴(yán)格落實(shí)信息安全等級(jí)保護(hù)制度，部署網(wǎng)絡(luò)安全設(shè)備、配置安全的策略，完善各項(xiàng)安全管理制度，從網(wǎng)絡(luò)安全管理體系和網(wǎng)絡(luò)安全技術(shù)體系兩方面落實(shí)網(wǎng)絡(luò)安全責(zé)任制，為學(xué)校的高質(zhì)量轉(zhuǎn)型保駕護(hù)航。