等保2.0下-高校如何設計網(wǎng)絡安全方案

等保2.0下，高校如何設計網(wǎng)絡安全方案？自“數(shù)字校園”的建設目標提出以來，全國各高校的信息化水平便以極大步調高速發(fā)展。在這樣的發(fā)展形勢下，各類網(wǎng)絡信息系統(tǒng)如雨后春筍一般在高校出現(xiàn)和發(fā)展。每一項工作，甚至每個項目，均能衍生出多個信息系統(tǒng)。時至今日，“數(shù)字校園”已升格為“智慧校園”，而高校教學的教學、科研、管理等均高度依賴于信息化手段的支撐。各類網(wǎng)絡信息系統(tǒng)的出現(xiàn)最初是為了解決高校的管理問題，而這些系統(tǒng)的盲目建設又引發(fā)了新一輪的管理問題。國家政策法規(guī)對于我們解決這些問題提供了依據(jù)和指導意見。早在2008年，我國公安部即頒布《信息安全技術信息系統(tǒng)安全等級保護基本要求(GB/T22239-2008)》（以下簡稱等保1.0）。根據(jù)標準，高校作為信息系統(tǒng)的建設者和運營者，應對其進行定級并實施分級保護。2019年12月1日，《信息安全技術網(wǎng)絡安全等級保護基本要求（GB/T22239-2019）》（以下簡稱等保2.0）的正式實施標志著我國的信息安全等級保護工作已從1.0時代跨入2.0時代[1]。等保2.0在等保1.0的基礎上進行了優(yōu)化和調整，擴大了等級保護對象的范圍，變被動防御為主動防御，明確了“一個中心，三重防護”的防護體系[2]。等保2.0明確指出，網(wǎng)絡運營者應根據(jù)保護對象的安全保護等級及其他級別保護對象的關系進行安全整體規(guī)劃和安全方案設計[3]。因此高校亟需對學校整體網(wǎng)絡安全進行規(guī)劃，形成安全方案。安全方案應該實現(xiàn)涵蓋全校網(wǎng)絡信息系統(tǒng)的目標，并綜合考慮學校信息化和網(wǎng)絡安全的現(xiàn)狀和發(fā)展趨勢，以便對學校網(wǎng)絡安全工作起到規(guī)范和指導作用。設計原則和總體安全架構設計原則高校網(wǎng)絡安全方案設計應遵循如下原則：1.符合等保2.0標準。在進行高校網(wǎng)絡安全方案設計時，應以等保2.0標準為基本依據(jù)，方案內容與標準中的控制點應形成對應關系，確保安全方案實施后學校的網(wǎng)絡安全工作切實符合等級保護相關要求。2.立足校級層面，力求通用性。應以高校整體管理的角度把握網(wǎng)絡安全方案的設計原則，避免將某個系統(tǒng)或某個部門作為設計的切入點。3.實現(xiàn)網(wǎng)絡安全等級保護全生命周期管理，實現(xiàn)可持續(xù)發(fā)展。每個網(wǎng)絡信息系統(tǒng)作為一個單獨的等級保護對象，有著建設、運維、優(yōu)化、更新迭代和注銷的生命周期。方案的設計應覆蓋保護對象的全部生命周期，充分考慮高校網(wǎng)絡安全工作各個環(huán)節(jié)，并在當前工作現(xiàn)狀的基礎上，預留發(fā)展的空間。安全框架設計高校網(wǎng)絡安全方案總體框架如圖1所示，分為相關依據(jù)、安全管理體系和安全技術體系三部分。圖1高校網(wǎng)絡安全方案整體框架1.相關依據(jù)。設計依據(jù)是高校網(wǎng)絡安全方案的基礎和出發(fā)點，包括網(wǎng)絡安全相關法律法規(guī)、等保2.0標準、監(jiān)管部門要求、上級主管部門要求和學校黨組（黨委）網(wǎng)絡安全工作責任制五個部分。2.安全管理體系。安全管理體系是安全方案中的管理部分，也是安全方案具體實現(xiàn)的途徑。安全管理體系分為機構、人員和安全制度三部分。機構對應等保2.0中的安全管理機構，人員對應安全管理人員，安全制度對應安全管理制度和安全建設管理。安全管理體系是安全方案中極為重要的一部分，將在本文接下來的章節(jié)展開闡述。3.安全技術體系。安全技術體系包含機房設施、基礎網(wǎng)絡、邊界設備、設備及軟件、安全管理中心五部分。這五部分分別對應等保2.0中安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五個章節(jié)，是安全方案的技術部分，具體細節(jié)將在本文最后兩章節(jié)介紹。等級保護對象的確定和管理如前文所述，高校網(wǎng)絡信息系統(tǒng)有著數(shù)量龐大、管理層次復雜重疊的特點，不同系統(tǒng)安全防護水平差距較大。有些系統(tǒng)建設時間晚，在系統(tǒng)設計和安全防護上投入了較大的人力物力，因此安全防護水平相對樂觀。而一些在數(shù)字校園初期建設的系統(tǒng)，為了實現(xiàn)某些管理目標而倉促建設，在安全防護上存在較多的短板。而其中有些系統(tǒng)在完成階段性工作后便無人管理，成為高校網(wǎng)絡安全的重大隱患。在確定等級保護對象之前，需全面考慮全校網(wǎng)絡和信息系統(tǒng)的功能定位、相互聯(lián)系，關閉非必要系統(tǒng)，整合業(yè)務內容相似的系統(tǒng)，編制系統(tǒng)臺賬。再根據(jù)《信息安全技術網(wǎng)絡安全等級保護定級指南》和教育部指導文件，確定安全保護等級，繪制包含全部系統(tǒng)在內的校級網(wǎng)絡拓撲圖。在進行系統(tǒng)建設、改造工作時，需提前考慮系統(tǒng)的定級，并及時更新等級保護對象列表和網(wǎng)絡拓撲圖。一般部屬高校安全保護對象的最高等級為三級。除部分有特殊部署場景的系統(tǒng)外，大部分信息系統(tǒng)均集中部署于數(shù)據(jù)中心機房內。因此機房設施和學校整體網(wǎng)絡架構設計均應按照三級系統(tǒng)的要求進行設計。安全管理體系安全管理體系包含機構、人員、制度和三個部分。機構網(wǎng)絡安全機構是高校安全管理體系的實施主體，基本組成結構如圖2所示。圖2高校網(wǎng)絡安全機構網(wǎng)絡安全和信息化領導小組是高校網(wǎng)絡安全工作的最高決策機構，其最高領導由學校主管領導擔任。網(wǎng)絡安全和信息化辦公室是網(wǎng)絡安全管理工作的職能部門，負責網(wǎng)絡安全工作的規(guī)劃和管理。學校各學院、職能部門是學校網(wǎng)絡安全工作的責任主體，應在安全支撐廠商和專家隊伍的幫助下，完成一系列網(wǎng)絡安全工作。各機構均需制定明確的機構網(wǎng)絡安全職責、崗位職責以及溝通合作基本方案。人員高校網(wǎng)絡安全人員管理分為內部人員管理和外部人員管理兩方面，如圖3所示。圖3高校網(wǎng)絡安全人員管理內部人員管理涵蓋人員錄用、安全意識教育培訓、人員離崗三個環(huán)節(jié)。人員錄用一般由人事處和用人單位配合完成，人事處完成對入職人員相關資格的審查，用人單位對人員技能進行考核，并與錄用人員簽署崗位職責協(xié)議和保密協(xié)議。網(wǎng)絡安全和信息化辦公室負責制定培訓計劃以及對員工進行定期的技能考核。人員離崗時，用人單位應終止其全部訪問權限并辦理調離手續(xù)，手續(xù)中包含承諾保密義務的環(huán)節(jié)。外部人員管理的主要內容是外部人員訪問管理，包括訪問受控區(qū)域或介入受控網(wǎng)絡前需進行書面申請、全程陪同、登記備案、離場后清理權限以及保密協(xié)議的簽署等。安全制度高校網(wǎng)絡安全管理的各個層面，上至機構的規(guī)劃和人員的管理，下至各項工作的開展，均需由相應制度提供支撐。同時制度也是使安全管理體系和安全技術體系相互配合的重要聯(lián)系方式。安全制度體系可劃分為總體規(guī)劃、機構人員、建設管理、運維管理和數(shù)據(jù)管理五個層面?？傮w規(guī)劃包括年度網(wǎng)絡安全工作要點和網(wǎng)絡安全總體方案，作為指導全校網(wǎng)絡安全工作的綱領性文件。在機構人員方面，制度體系包括網(wǎng)絡安全和信息化領導小組成立文件、網(wǎng)絡安全崗位職責、安全培訓管理規(guī)定、辦公環(huán)境安全管理規(guī)定、保密工作制度。建設管理層面包括儀器設備采購管理規(guī)定、招標采購管理規(guī)定、信息系統(tǒng)建設與管理規(guī)定和網(wǎng)站建設與管理規(guī)定。運維管理層面包括網(wǎng)絡安全管理規(guī)定、網(wǎng)絡應急預案、機房管理規(guī)定、設備操作管理規(guī)定、儀器設備報廢管理辦法、介質安全管理規(guī)定、設備配置安全基線規(guī)范、系統(tǒng)安全管理規(guī)定、系統(tǒng)變更管理規(guī)定、系統(tǒng)備份與恢復、惡意代碼防范管理規(guī)定。數(shù)據(jù)管理應包括數(shù)據(jù)管理辦法和個人信息保護管理辦法。安全技術體系安全技術體系分為機房安全、基礎網(wǎng)絡、安全防護設備、主機及軟件安全防護、安全管理中心五個部分。安全管理中心由于其組成和地位的特殊性獨立作為一個章節(jié)來闡述，以下介紹其余四個部分：機房安全除特殊應用場景要求外，高校內各信息系統(tǒng)均應集中部署于數(shù)據(jù)中心機房，實現(xiàn)物理環(huán)境標準的統(tǒng)一。按照等保2.0要求，機房應滿足以下要求或具備以下設施：1.機房位置選擇。機房設置在抗震、防風、防雨、防雷擊，且建筑材料耐火等級在B2級以上的建筑物一層。2.機房設施。機房配備電子門禁、視頻監(jiān)控設備、防雷保安器、自動消防系統(tǒng)、新風換氣、動力環(huán)境監(jiān)測系統(tǒng)、專用空調、接地系統(tǒng)和UPS；機房放置防靜電手環(huán)供運維人員使用；機房劃分網(wǎng)絡設備、安全設備、業(yè)務服務器等區(qū)域，并設置隔離防火措施。3.電力供應。機房配置雙路供電，實現(xiàn)電源冗余。網(wǎng)絡拓撲安全方案中應包括網(wǎng)絡拓撲圖，如圖4所示。圖4網(wǎng)絡拓撲示意拓撲圖應符合學校網(wǎng)絡實際部署情況，標明網(wǎng)絡設備、安全設備、服務器等的具體位置。由于學校的網(wǎng)絡拓撲結構會經(jīng)常調整，網(wǎng)絡拓撲圖應當至少每年更新一次。安全防護設備方案中應明確列出校園網(wǎng)及數(shù)據(jù)中心機房內已部署的安全防護設備清單和其防護作用范圍。建有三級信息系統(tǒng)的高校至少需配備以下安全防護設備，參見表1。表1安全防護設備參考主機及軟件安全防護業(yè)務系統(tǒng)服務器除按照要求集中部署在數(shù)據(jù)中心機房外，還應滿足以下安全要求。1.身份鑒別與訪問控制。各設備均應按照實際應用需要采取最小化原則分配賬戶和權限，采用高強度口令和密碼技術組合的形式實現(xiàn)用戶身份鑒別，鑒別信息在遠程管理時應采取加密傳輸方式。用戶登錄模塊應對登錄失敗次數(shù)進行限制，并在連接超時后自動斷開。2.安全審計。安全審計功能應覆蓋全部用戶的全部行為，定期備份，并對審計進程進行保護。審計記錄發(fā)送至安全管理中心。3.惡意代碼防護。設備應安裝防惡意代碼軟件。4.數(shù)據(jù)安全。重要數(shù)據(jù)應加密存儲、加密傳輸；除在本地保證實時備份和恢復外，還應實時備份到異地安全場所。當存儲空間移為他用時，應對其進行完全格式化。涉及到采集個人信息的業(yè)務環(huán)節(jié)時，應當對用戶進行聲明，并在用戶勾選同意后方可進入采集階段，采集的個人信息嚴格按照聲明進行使用。安全管理中心安全管理中心是安全技術體系的一部分，由于其特殊的功能和地位，所以本文將安全管理中心作為一個獨立的章節(jié)來闡述。等保2.0中要求網(wǎng)絡運營者劃分出獨立的網(wǎng)絡區(qū)域，建立安全傳輸信道，用于安全管理中心對網(wǎng)絡設備、安全設備等進行集中管控。安全管理中心并非單一的設備或獨立的物理區(qū)域，而是一個進行安全管理的虛擬區(qū)域，通常為多個安全管理系統(tǒng)的合集。安全管理中心的主要功能是實現(xiàn)系統(tǒng)管理、審計管理、安全管理和集中管控。一般來講，典型的高校安全管理中心包含堡壘機、網(wǎng)絡安全大數(shù)據(jù)平臺、惡意代碼防護軟件管理中心和操作系統(tǒng)補丁服務器。堡壘機堡壘機一般部署在數(shù)據(jù)中心機房中，用于實現(xiàn)集中可控的系統(tǒng)管理、審計管理、安全管理功能。校園網(wǎng)內安全設備、匯聚層以上的網(wǎng)絡設備、業(yè)務系統(tǒng)服務器等均應全部通過堡壘機配置相應賬號權限進行維護。網(wǎng)絡安全大數(shù)據(jù)平臺網(wǎng)絡安全大數(shù)據(jù)平臺基于高校網(wǎng)絡安全管理工作的實際需要進行設計，用于實現(xiàn)審計日志集中存儲和管理、上網(wǎng)行為管理、網(wǎng)絡流量監(jiān)測、設備運行狀態(tài)監(jiān)控和安全策略集中管理等功能。1.審計日志存儲與分析。平臺采集網(wǎng)絡設備、安全設備和服務器軟硬件運行的審計日志，集中存儲，結合在校園網(wǎng)不同位置部署的流量探針所采集到的數(shù)據(jù)進行分析，對網(wǎng)絡安全態(tài)勢進行研判。2.設備運行狀態(tài)監(jiān)控。在服務器中安裝代理程序，監(jiān)控設備運行狀況并發(fā)送至平臺。運行數(shù)據(jù)超過閾值時，平臺向管理員發(fā)送告警消息。3.安全策略收集與綜合管理。通過接口與防火墻、WAF等安全設備對接，集中管理各安全設備策略。惡意代碼防護管理系統(tǒng)企業(yè)版惡意代碼防護軟件一般都向管理員提供安全管理系統(tǒng)。通過惡意代碼防護管理系統(tǒng)，校級管理員可實時掌握惡意代碼軟件安裝、更新和惡意代碼查殺情況。操作系統(tǒng)補丁服務器在校內部署Windows操作系統(tǒng)補丁服務器，面