安全新形势下高校网络安全防护体系建设思路
2021-06-11覃仲宇
覃仲宇
摘 要: 根据网络安全法、等保2.0和关键信息基础设施保护条例等法律法规要求,结合高校网络安全现状,从安全意识教育、制度及责任体系、安全框架模型、安全技术框架、安全合规和网络安全队伍建设等方面,探讨了高校网络安全防护体系建设的思路,以期为同类院校提供参考。
关键词: 网络安全法; 等保2.0; 关键信息基础设施; 高校网络安全; 防护体系
中图分类号:G647 文献标识码:A 文章编号:1006-8228(2021)03-26-03
Thoughts on the construction of network security protection system in colleges
and universities under the new security situation
Qin Zhongyu
(Guangzhou Institute of Railway Technology, Guangzhou, Guangdong 510430, China)
Abstract: According to the requirements of "The Cyber Security Law of the People's Republic of China", "Classified Protection of Information Security 2.0" and "Regulations on the Protection of Critical Information Infrastructure" and other laws and regulations, combining with the current status of cyber security in colleges and universities, the construction of network security protection system in colleges and universities is discussed with the dimensions on security awareness education, system and responsibility system, security framework model, security technical frameworks, security compliance and construction of cyber security teams etc.
Key words: cyber security law; classified protection of information security 2.0; critical information infrastructure; network security in colleges and universities; protection system
0 引言
隨着《教育信息化2.0行动计划》、《教育信息化“十三五”规划》等相关国家政策文件的出台,各个高校加快了信息化建设的步伐。然而在信息化建设过程中还普遍存在“重建设轻安全”的现象,校园网络安全仍然存在不同程度的问题。《网络安全法》、等保2.0和《关键信息基础设施保护条例》等相关国家文件的相继出台和实施,对网络安全建设提出了新的要求。因此,高校应该按照网络安全相关法律法规要求,将网络安全建设贯穿于信息化建设全过程中,才能有效保障高校网络安全、稳定、持续运行。
1 安全新形势下网络安全发展的特点
1.1 网络安全上升至法律层面
2017年6月1号,《网络安全法》正式颁布实施[1]。《网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益[2],保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。
《网络安全法》的正式实施,对网络运营者提出了合规建设义务,即安全保护义务、要求用户提供真实身份信息的义务、保障用户信息和个人信息安全的义务、管理用户发布的信息的义务和协助、配合公安机关工作的义务等。高校作为网络运营者,在网络建设过程中必须遵循《网络安全法》的合规要求。
1.2 等级保护工作进入2.0时代
网络安全等级保护,是国家信息安全保障的一项基本制度[3],国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护[4]。《网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度”[5],要求所有网络运营者有义务按照网络安全等级保护制度的要求对系统进行安全保护。随着2019年5月13日《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》标准的正式发布,标志着国家网络安全等级保护工作正式进入2.0时代[6]。等保2.0的出台,给高校网络安全建设提出了新的要求,也指明了方向。
1.3 《关键信息基础设施安全保护条例》被纳入立法计划
近日,《国务院2020年立法工作计划》公布,其中,《关键信息基础设施安全保护条例》被纳入立法计划。此次《关键信息基础设施安全保护条例》被纳入2020年立法规划,将从制度机制、标准规范、教育培训、手段建设、技术创新等方面提升关键信息基础设施运营单位的安全保护能力。明确关键信息基础设施范围,规定运营者安全保护的权利和义务及其负责人的职责,要求建立关键信息基础设施网络安全监测预警体系和信息通报制度,违反本条例将会受到行政处罚、判处罚金甚至要承担刑事责任。《关键信息基础设施安全保护条例》对运营者履行的安全保护义务主要范围给出了具体的要求,为高校开展关基保护提供较为具体的指引规范。
2 高校网络安全现状及问题
当前,高校在信息化建设中取得了较为突出的成效,然而在网络安全建设上的投入力度远远不够,普遍存在制度不完善、制度执行不到位和网络安全人才缺失等问题:
2.1 制度不完善且无法有效执行
部分高校的规章制度没有从顶层设计,不系统、不完善,在网络安全管理过程中因人而异,没有做到依规管理。有的规章制度是因为上级要求而制定的,照搬上级文件,没有针对性,可操作性不强;有的规章制度更新不及时,无法适应网络安全的快速发展。网络安全制度无法有效执行,无法落地。
2.2 从上至下网络安全意识淡薄
高校网络用户群体复杂、人员众多,有教学人员、管理人员、科研人员和各层次的学生等,校园网用户水平参差不齐,大部分校园网用户存在“网络安全问题事不关己”、“出现网络安全问题不解决”和“网络安全防护意识差”等现象,给校园网带来了较大的安全隐患。
2.3 缺乏有效的内部威胁防范措施
以往的网络安全建设中,往往重点关注校外的网络安全威胁,对校内网络安全威胁不够重视甚至忽视,一般只是通过管理规定进行约束来实现网络安全需求,一旦内网某台主机被攻陷,整个校园网就会失去防护能力,这也是近几年教育行业成为网络安全重灾区的原因之一。
2.4 信息部门技术力量薄弱[7],缺乏信息安全专岗
相对于系统工程师、程序员和网络工程师等,网络安全人员的要求相对较高,需要跨多专业的知识广度,譬如CISP、CISSP认证需要掌握法律法规、信息资产生命周期、密码学、物理安全、通讯安全、身份安全、安全评估与测试、安全运营和软件开发安全等近九个领域的知识。高校受制于编制数,往往没有信息安全专员,大多数都是由网络工程师等岗位人员兼任,导致信息部门技术力量薄弱。
3 安全新形势下高校网络安全防护体系建设思路
基于安全新形势的要求,结合高校校园网自身特点,建设符合高校特性的网络安全防护体系,可通过以下几个方面进行。
3.1 持续开展网络安全意识教育,确保安全意识到位
加强全校师生安全意识,这是构建安全体系的第一步。安全意识教育可分两个维度来进行,一是培训对象维度,二是培训内容维度。面向校领导开展安全动态、安全风险、安全价值、安全事件和法律法规动态等培训内容;面向全校师生开展安全意识、基础安全技能和安全制度及处罚等培训内容;面向技术全员开展深度安全意识、安全识别能力、安全基础操作能力和基础应急响应等培训内容;面向开发人员开展漏洞及风险原理、代码基础安全能力和安全设计标准等培训内容。
3.2 建章立制,构建三级责任体系
网络安全管理制度是网络安全管理的核心,不能因为对制度落地期望低或实施效果差而拒绝建立制度,制度的建立是正视安全工作的第一步。网络安全管理不仅仅限于规定网络安全部门的人员配置、工作职责和流程制度,更重要的是要有相应的学校层面的组织保障,落实领导责任制,明确一名主管校长,负责学校网络安全管理工作,这是制定安全标准、流程的依据,是实施网络安全技术架构的基础,更是网络安全有效运营的核心。
构建三级责任体系。第一级为分管网络安全的学校主要领导,即网络安全第一责任人,研究制定学校网络安全工作规划、年度计划和政策措施,协调推进学校网络安全应急机制和工作体系建设;第二级为负责网络安全工作的部门负责人,即总体安全策略计划制定者,负责制订网络安全的技术方案,检查、指导和督促各单位的网络安全工作;第三级为网络安全攻防团队,负责PDCA(Plan、Do、Check、Action)执行,使安全策略有效运行和落地。三者缺一不可,相辅相成。
3.3 构建具有高校特性的安全框架模型
安全不能脱离于具体业务,需要与业务场景高度耦合,这个耦合的过程实际上就是框架建设的过程。好的规划和设计,对日后整体资源投入和能力构建都是有较好的战略指引性作用,一个基本的安全策略框架可以包括:安全策略方针、安全组织架构、安全技术体系、数据安全体系、安全合规体系、人员安全管理、外部安全管理和安全资质认证等方面构成,如图1所示。
3.4 构建符合高校自身特性的安全技术框架
基础安全具有通用型,但是不同行业都有行业的业务特性,在行业业务模式和数据流转流程的差异化之下,运营、管理和策略等都有很大的区别。通过梳理高校现状,建设具有高校特性的安全技术框架,是高校网络安全防护体系建设中重要的环节。可参考图2进行建设。
3.5 安全合规建设
安全合规要求主要包含基础安全能力要求、用户权益保障、业务合规性要求、用户协议和网络安全义务等方面。从国家层面来看,网络安全法奠定了安全基础,提出了“等级保护制度”的要求,各个行业也先后出台了相关制度。对于高校而言,除了满足等级保护制度中的要求之外,还应满足《GB/T35273个人信息安全规范》、《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》和《互聯网个人信息安全保护指南》等相关文件规范要求。
3.6 网络安全队伍建设
成立网络安全与信息化领导小组,下设网络安全与信息化工作小组、技术支持人员和专家库。其中网络安全与信息化工作小组由党政部门、宣传部门、信息中心、教务处和各职能部门组成;技术支持人员由信息中心技术人员、学生安全团队、第三方安服团队和安全厂家组成;专家库由教育界专家、企业及行业专家组成。
4 结束语
通过以上几方面的建设,可以有效构建高校网络安全防护体系。网络安全保障除了科学的体系建设之外,还需要大量的实践管理工作作为支撑,而后者应作为高校逐步积累、不断探索的长期工作之一。
参考文献(References):
[1] 肖伟.《网络安全法解读》——从高校视角出发[J].电脑知识与技术,2017.8(23):39-40
[2] 王春晖.《网络安全法》六大法律制度解析[J].南京邮电大学学报(自然科学版),2017.3(1):1-13
[3] 王大川,王永书,林红.浅议计算机信息系统安全等级保护[J].中国公共安全(学术版),2009.3(3):4-10
[4] 戴宗坤.信息安全管理指南[M].重庆大学出版社,2008.
[5] 王斌.基于等级保护体系下信息安全整改的设计[J].信息技术与信息化,2017.6:42-44
[6] 何占博,王颖,刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019.3:9-14,19
[7] 马金红,马男男.基层税务机关日常信息安全管理体系探析[J].天津经济,2018.10:33-38
