朱圣才

摘   要：网络安全等级保护2.0制度（以下简称等级保护2.0）已于2019年12月1日开始实施，为我国网络安全等级保护工作提供新的指南，是我国网络安全领域的基本国策、基本制度。相比等级保护1.0时代，等级保護2.0时代更加注重主动防御，在安全通用要求基础上对云计算、物联网、移动互联、工业控制、大数据提出了安全扩展的要求，覆盖度更加全面。文章基于等级保护2.0的防护框架，以高校信息化建设挑战为出发点，建设高校网络安全防护体系，是解决目前高校网络安全等级保护覆盖率低、推进高校信息化建设的重要途经，是落实高校网络安全建设的重要组成部分。

关键词：等级保护;网络安全;信息化;模型;体系建设

中图分类号： TP393.08          文献标识码：A

Abstract： The Cybersecurity Classified Protection 2.0 system has been formally implemented on December 1， 2019， which provides new guidance for the work of Cybersecurity Classified Protection in China. It is the basic national policy and basic system in the field of Cybersecurity. Compared with the 1.0 era， the 2.0 era pays more attention to active defense. On the basis of general security requirements， it puts forward security expansion requirements for cloud computing， Internet of things， mobile Internet， industrial control and big data， with more comprehensive coverage. Based on the protection framework of Classified Protection of Cybersecurity 2.0 and the challenge of information construction in Colleges and universities， the paper constructs the Cybersecurity protection system in Colleges and universities to solve the low coverage of Classified Protection of Cybersecurity 2.0. It is an important way to promote the information construction and an important part of the implementation of Cybersecurity construction in Colleges and universities.

Key words： classified protection; cybersecurity; informatization; model; system construction

1 引言

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）为网络安全等级保护制度的落地实施提供了基本的保护要求清单，网络安全等级保护系列标准的正式发布标志着网络安全等级保护由1.0时代迈入2.0时代，由此明确等级保护2.0时代的工作要求。高校作为各自网络安全等级保护的责任主体，有落实网络安全等级保护2.0的义务。因此，构建高校网络安全等级保护2.0框架下的高校网络安全体系，是构建完善的高校防御体系，赋予专业的运维管理、建立安全保护制度、落实安全责任的重要途经。

2 等级保护2.0

等级保护1.0时代，《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）为我国信息安全等级保护制度的推进与落实提供了指导，在等级保护1.0时代的10年里，《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）为各行业、各领域开展信息系统安全等级保护的建设、整改、测评提供了指导。随着云计算、大数据、物联网、工业控制、移动应用等新兴技术的发展，《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）在易用性、普适性、可操作性上需要进一步完善，适应新技术、新环境、新时代的需求。2017年6月1日，《中华人民共和国网络安全法》（本文简称《网络安全法》）正式实施，《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”，至此网络安全等级保护工作正式进入法治时代;2019年12月1日，网络安全等级保护2.0正式实施，标志着《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）正式实施。网络安全等级保护2.0时代就此落地。相比等级保护1.0时代，网络安全等级保护2.0具有四点优势。

（1）适合《网络安全法》中的专业表述。《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）中强调信息系统安全等级保护;《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中强调网络安全等级保护，信息系统安全等级保护到网络安全等级保护是落实《网络安全法》中国家实行网络安全等级保护制度的核心措施之一，是完善新时代网络安全工作法治化的有效手段。

（2）提出安全通用要求和安全扩展要求概念模型。《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）中强调各个级别的安全要求;《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中强调安全通用要求和安全扩展要求，安全通用要求具有较强的普适性，安全扩展要求具有较强的可扩展性，包括云计算、移动互联、物联网、工业控制等。

（3）等级保护对象不再限定。《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）中强调信息系统安全等级保护的对象为单个的信息系统;《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中强调网络安全等级保护的对象为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统等。

（4）基本要求控制层面更加完善。《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）中强调技术层面的物理安全、网络安全、主机安全、应用安全、数据安全和备份与恢复，管理层面的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中强调技术层面的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理层面的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

3 等级保护2.0挑战高校信息化建设

网络安全等级保护2.0时代，相比1.0时代的“自主定级、自主保护、监督指导”转为“明确等级、增强保护、常态监管”的安全体系建设。同时，等级保护2.0时代还突出风险评估、安全监测、通报预警、应急响应与应急处置。构建一体化的网络安全综合防控体系是目前高校信息化建设遇到的主要挑战。

（1）数据中心网络安全等级保护2.0建设尚未落实。等级保护1.0时代，信息化建设以信息系统为基本单位，等级保护以信息系统为基本单位进行定级、备案、测评、整改。基于高校信息系统基数较高，互联网访问的信息系统数量以千为数量级的不在少数，以等级保护1.0的机制处理这类问题，存在工作量大、体制机制不完善、人员经费不配套等一系列问题。网络安全等级保护2.0为该项工作提供了一种较好的处理方案，以学校数据中心为等级保护对象，对数据中心进行定级、备案、测评、整改工作，其他服务以数据中心为底层架构，依附于学校数据中心，减少等级保护的工作量。然而，等级保护2.0启动处于初始阶段，高校数据中心网络安全等级保护建设尚未落实，还需一定的时间进行完善。

（2）事前监测预警工作尚未取得成效。网络安全等级保护2.0明确提出网络安全监测预警工作，包括态势感知、流量监控、APT攻击等，高校信息化建设是服务于学校的教学、科研和管理。信息化角色更多的体现在服务上，类似的态势感知、APT攻击都是基于网络安全防控体系的构建，需要大量的经费和人力支撑，目前尚未有高校有比较成熟的网络安全监测预警方案。多数高校采用购买服务的形式与监测预警进行关联，这种工作模式尚未真正达到事前监测预警的目的，成效不显著。

（3）网络安全综合防控体系尚未建成。网络安全综合防控体系是等级保护2.0时代和网络安全法治时代对网络安全工作的建设要求，网络安全综合防控体系最典型、最显著的一个成效就是365×24的监控体系的建成。例如，国家重要网络安全保障时段、各省份重要网络安全保障时段、各高校寒暑假时段等，如何应对此类时间段的365×24的网络安全保障。目前尚未有较为成型或者参考的方案，各高校网络安全综合防控体系尚未建成。

（4）网络安全执法检查力度进一步加强。《网络安全法》正式实施，为网络安全等级保护工作的执法检查提供了明确的法律支撑。然而高校网络安全建设与信息化建设未落实“同步规划、同步实施”的原则，网络安全建设远远滞后于信息化建设。基于此，公安部门对高校的网络安全执法力度相对较频繁，以华东师范大学为例，每年公安网络安全等级保护执法检查2次。

（5）移动互联应用尚未纳入等保工作范畴。随着移动APP的发展，各高校都建设有自己的官方移动APP、教学APP、科研APP等，但这类移动APP的建设工作尚未纳入网络安全等级保护工作要求。移动互联应用未完成网络安全等级保护备案、互联网信息服务备案、教育移动应用程序备案等一系列规范化的工作。

4 基于等级保护2.0框架下高校网络安全建设模型

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）规定，网络安全等级保护第一级到第四级的保护对象均按照安全通用要求和安全扩展要求构成，即安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求、大数据安全扩展要求，建立“可信、可控、可管”的网络安全防护体系。

（1）可信。即可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都能够按照设计的预期的方式执行，不会出现非预期的流程，从而保障业务系统安全可信。

（2）可控。即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效地防止从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按照系统设计的策略进行资源访问，保证系统的信息安全可控。

（3）可管。即通過构建集中管控、最小权限管理和三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。

网络安全层面建立以结构安全、访问控制、安全审计、边界安全检查、入侵防范、恶意代码防范、设备防护为主要控制点;主机安全层面建立以身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制为主要控制点;应用层面建立以身份鉴别、访问控制、安全审计、通信完整性、通信保密性、防抵赖、软件容错、资源控制为主要控制点;数据安全层面建立以数据完整性、数据保密性、备份和恢复为主要控制点。基于《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）的网络安全等级保护技术体系。 结合高校信息化建设的现状，以解决网络安全等级保护2.0时代高校信息化建设的挑战为目标，设计符合普适性、安全性、有效性并举的高校网络安全综合防御体系是教育行业网络安全工作者需要探索的课题。

人员角色是以高校网络安全与信息化团队为核心，以高校信息化建设用户为安全责任单位，以应用系统开发商为运维的角色划分。各司其职，完成“可信、可控、可管”体系中的可管。

分层设计是以高校数据中心建设为基础，高校网络安全与信息化团队建立学校高质量数据中心，对高校信息化建设用户提供操作系统、存储等部署环境。应用系统开发商在现有环境下完成系统部署。高校网络安全和信息化团队对学校数据中心下的安全负责，高校信息化建设用户对接收到的操作系统、存储等部署环境负责，应用系统开发商对应用系统及所需的中间件安全负责。

分类等保是以高校数据中心为核心，首先完成高校数据中心的网络安全等级保护定级、备案、测评、整改，由高校网络安全与信息化团队为主要责任单位落实;以各级应用系统为子对象，以高校数据中心网络安全等级保护材料为底层支撑，由各二级单位负责响应子对象的网络安全等级保护工作。

网络分区是以数据中心核心区、有线网络办公区、无线网络用户区进行网络策略管控，数据中心执行最严格的网络管控策略。

综合上述，由此建立高校网络安全综合防御体系。

构建基于网络安全等级保护2.0框架下的高校网络安全综合防御体系，能够进一步提高高校网络安全防护能力，促进高校网络安全稳定运行，为网络安全等级保护在高校进一步落地实施提供了方案。因此，该设计模型严格遵守网络安全等级保护2.0系列标准原则，体系化设计，保障了网络安全防护体系高效且可操作。

5 结束语

本文基于网络安全等级保护2.0安全架构防护体系和高校网络安全现状工作机制，建立基于等保2.0框架下的高校网络安全体系建设模型，以《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）为安全保障依据，以高校现有网络安全环境为设计背景，以高校人员队伍数量为前提，建立了等保2.0框架下的动态安全防护，实现高校网络安全等级保护“一个中心，三重防御”的主动防御、动态防护的思想，让“可信、可控、可管”策略在高校信息化建设中得以落地。

参考文献

[1] 曲潔，范春玲，陈广勇，等.新时代下网络安全服务能力体系建设思路[J].信息网络安全，2019，19（1）：83-87.

[2] GB/T 22239-2008.信息安全技术信息系统安全等级保护基本要求[S].北京：中国标准出版社，2008.

[3] GB/T 28448-2012.信息安全技术信息系统安全等级保护测评要求[S].北京：中国标准出版社，2012.

[4] 中华人民共和国网络安全法[EB/OL].http：//www.npc.gov.cn/npc/，2016-11-7.

[5] 郭启全.网络安全法与网络安全等级保护制度培训教程[M].北京：电子工业出版社，2018.

[6] 马力，祝国邦，陆磊，等.《网络安全等级保护基本要求》（GB/T 22239-2019）标准解读[J]. 信息网络安全，2019，19（2）：77-84.

[7] GB/T 22239-2019.信息安全技术网络安全等级保护基本要求[S].北京：中国标准出版社，2019.