智慧校园网络安全等级保护问题研究与对策

    翟永刚 李金亮

    摘要:依照有关法律和规范,高校应构建完备的网络安全防护体系,及时解决应对发现的网络安全问题。因此本文在研究分析当前智慧校园网络安全存在问题的基础上,针对网络安全等级保护建设问题提出了如下对策:统一规划、统一领导,加强制度体系建设;合理定级,提出明确要求;做好顶层设计,科学合理规划网络建设和调配安全资源;重视并加强终端准入控制系统的作用;在推广应用新技术的同时,将等级保护相关拓展要求通盘考虑;注重新的技术手段在网络安全等级保护自身建设上的应用。作者指出,对以上策略进行有针对性的加强和优化,为智慧校园长期稳定运行提供保障。

    关键词:智慧校园;网络安全;等级保护

    中图分类号:TP393 ?文献标识码:A ?论文编号:1674-2117(2020)20-0000-03

    智慧校园的建设发展在有效促进校园管理和服务水平提升的同时,也使得教学、管理、服务、生活等各项事务变得越来越依赖于智慧校园的稳定运行,网络安全体系建设的关键性日益凸显。在此背景下,《智慧校园总体框架》(GB/T 36342-2018)明确提出了智慧校园等级保护建设要求,高校应依照有关法律和规范,构建完备的网络安全防护体系,加强和保障网络安全,实现智慧校园的长期稳定运行。

    高校智慧校园网络安全问题分析

    1.网络安全等级保护建设不成体系

    网络安全建设滞后于信息化应用,重建设、轻运维,缺乏行之有效的全局性网络安全防护体系,缺少顶层设计和统一的网络安全规划。没有统一的安全策略,智慧校园平台上各信息系统安全防护水平参差不齐。基础网络运维部门和数据信息系统管理部门缺少协调配合,面对紧急安全事件缺少联动机制,进一步削弱了安全防护体系运转效率。

    2.安全资源配置不合理

    智慧校园条件下,高校网络安全设备增多,管理难度增大,使得网络安全形势更加复杂,同时,受限于人员编制、运维成本等因素,缺乏顺畅的管理机制、精细的管控服务、规范的运维流程。不能落实“分级分网分区”的网络安全要求,对一般通用网络信息资源和敏感业务应用系统未加以区分,在同一安全防护体系下,安全资源配置不合理,造成一部分业务应用过度防护,另一部分业务应用安全资源紧张。在新冠疫情期间,相对于一般通用网络资源,少部分非必要部署的网关型安全设备难以承受大规模在线教育的网络流量的冲击,造成数据传输瓶颈,影响了网络在线教学效果。

    3.网络安全等级保护定级不明确或偏低

    智慧校园条件下数据信息数量急剧增长,需要更高安全防护等级要求。网络安全建设推动力主要源自行政性要求和事件驱动,更多的是关停访问、事后修补漏洞,没有明确的网络安全等级保护定级要求或顶级标准偏低。

    4.终端安全防护依赖于用户自身知识技能水平

    用户终端网络安全防护水平参差不齐,高校网络对终端安全防护技术手段的落实缺少行之有效的技术监督手段,高校网络安全终端防护水平基本上取决于用户对于网络安全重要性的认知。

    5.对新技术带来的网络安全挑战准备不足

    由于智慧校园智能感知、智慧管理的需要,物联网、虚拟化、云计算等技术迅速普及并得到大规模推广应用,与此同时,一系列安全问题也随之而来。例如,如何准确识别认证并防止智能终端被仿冒;云计算平台的安全防护,用户数据隔离问题;数据在虚拟化中间层的安全传递问题,以及病毒防范会造成的额外全资源消耗问题等。随着智慧校园的深入发展,新技术带来的各种新问题还会不断涌现。高校现有安全防护体系,对这些新问题的研究不充分,准备不足。

    采取的对策

    1.统一规划、统一领导,加强制度体系建设

    明确学校一级网络安全管理机构和管理岗位职责,将安全责任落到实处。制订并落实网络安全總体规划和安全防护策略,制订安全建设方案,坚持网络安全防护系统与网络应用系统同步建设、动态调整。指导监督各业务部门贯彻落实网络安全中建设与管理规章制度,对智慧校园范围内部署、集成的业务应用提出明确的安全等级保护要求,实行有效的安全管理,强调业务主管部门在业务信息安全和系统服务安全的主导作用。统一组织网络安全应急响应及演练测试,使各部门安全建设与管理工作协调一致。设置网络安全专业技术人员岗位,专职从事学校网络安全管理工作。

    2.合理定级,提出明确要求

    在教育部《智慧校园总体框架》和《教育信息系统等级保护定级指南》基础上,参考《网络安全等级保护定级指南》和《网络安全等级保护基本要求》等文件,明确定级对象主要责任单位,按照信息系统网络服务范围和安全需求重新确定适当的保护等级和安全要求。各信息系统不以网络上运行的信息系统安全防护最高等级和最低等级为标准,即“不就高、不就低”。涉及工作秘密、敏感信息和个人隐私,受到破坏会对师生和高校合法权益造成损害的信息系统应严格按照第三级标准建设安全技术防护体系。其他智慧校园应用可以根据需要采取低级别安全等级保护措施。达不到等级保护建设要求的信息系统,不能上线部署到智慧校园软件平台。

    3.做好顶层设计,科学合理规划网络建设和调配安全资源

    做好智慧校园网络安全等级保护建设顶层设计,以用户和业务应用为核心,体系化设计,结合技术体系建设和管理体系建设,从技防和人防两条线着手,为智慧校园应用效果服务,结束以往粗放型的网络安全管理。根据现有的网络结构和管理模式,优先采用支持SDN软件自定义网络技术和虚拟化技术的网络设备和安全防护设备,根据细分的网络安全需求划分优先级,在尽可能不改变网络物理架构的前提下,以较小的代价完成安全域重新划分和网络梳理,主动防御、整体防控、突出重点、综合保障,达到合理调配网络资源和安全资源的目的。

    4.重视并加强终端准入控制系统的作用

    及时修复系统和软件漏洞,安装具备查杀病毒木马等功能的安全软件仍然是最基础、最有效的终端安全防护手段。在加强网络安全保密教育培训的同时,通过强化准入控制系统功能,将安全防护技术措施重心从网络传输交换的层面向着用户端延伸拓展,对终端进行合规性检测,通过技术手段辅助并强制入网终端达到网络安全防护要求。在终端允许接入网络之前,阻止不符合安全规范的终端连接网络,并切断非法外联,在传统封闭的网络边界被打破的情况下,重新构筑起网络安全的第一道防线。

    5.在推广应用新技术的同时,将等级保护相关拓展要求通盘考虑

    虚拟化、云计算、物联网和大数据等新技术的网络安全等级保护基本要求应与传统网络相一致。在物理环境、边界防护、访问控制、入侵和恶意代码防范、安全审计等基础上,还须按照网络安全等级保护扩展要求,针对云计算、物联网等技术特点,进一步增强智慧校园平台安全性。例如,高校采用的云计算平台应能够支持用户根据业务需要自主设置安全策略的能力,支持虚拟机隔离机制,采取可信计算、安全监控虚拟机自省等措施;支持虚拟机病毒查杀,支持设置东西向防火墙对业务应用进行隔离;在云数据生命周期内实现数据存储和传输过程的加密;针对物联网终端限制与感知节点通信的目标地址,并确保只有授权的感知节点可以接入,过滤非法和伪造节点数据,鉴别数据的新鲜性,避免历史重放数据攻击。

    6.注重新的技术手段在网络安全等级保护自身建设上的应用

    注重新技术在智慧校园条件下发挥的作用。例如在大数据环境下,利用超融合架构,对动辄以T为计量数据的处理,实施大规模数据备份,突破传统体系结构进行物理隔离、备份及访问的限制;依托云安全防御平台,实现对Web应用程序的攻击分析、智能扫描、云端加固、防御告警、敏感信息泄露防护等功能。建设云密码机和密钥管理服务,适应云环境中使用密码设备的需要,实现密钥管理与设备管理的分离。建立大数据安全分析系统,利用大数据异常检测技术,增强智慧校园网络安全。

    结束语

    智慧校园在教育管理生活中发挥的作用越来越重要,网络安全管理人员应不断进行智慧校园网络安全等级保护建设研究,及时解决应对智慧校园建设中发现的安全问题,避免安全管控力度逐步弱化,探索出一条符合高校自身特点的网络安全等级保护建设发展道路,保障智慧校园长期稳定运行。

    參考文献:

    [1]龚汉明.高校网络安全问题与应对研究[J].北京教育(高教版),2019(03):8-12.

    [2]高薇,许浩,宁玉文,等.基于安全态势感知平台的高校网络SOC研究——以第四军医大学为例[J].计算机技术与发展,2018(01):150-154.

    [3]孙洪涛.大数据环境下高校网络安全研究[J].无线互联科技,2017(24):25-26.

    [4]郭启全,葛波蔚,祝国邦,等.网络安全法与网络安全等级保护制度培训教程[M].北京:电子工业出版社,2018.

    [5]刘云席.网络安全管理[M].北京:电子工业出版社,2018.

    [6]杨瑛霞,王静.智慧校园网络安全体系构建研究[J].网络安全技术与应用,2019(03):59-60.

    [7]姜鹏,赵正利.智慧校园的网络安全规划[J].中国教育网络,2018(11):53-56.

    [8]罗国富,王乙明.校园网络安全防范体系研究与应用[J].现代教育技术,2012,22(09):53-56.