張小林 魯雷 羅漢云

摘要：隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、智能終端的快速發(fā)展，各行各業(yè)對信息化的需求也越來越強烈，信息系統(tǒng)大量涌現(xiàn)在各個行業(yè)，這些系統(tǒng)的開發(fā)技術(shù)參差不齊，存在很大的安全隱患。尤其是在高校，有大量的信息系統(tǒng)以及重要的數(shù)據(jù)信息，為加強信息系統(tǒng)的安全防護，只有落實等級保護制度，完善網(wǎng)絡(luò)安全等級保護體系建設(shè)。論文從網(wǎng)絡(luò)安全等級保護建設(shè)的必要性、重要性，提出了等級保護系統(tǒng)建設(shè)方案。并根據(jù)整改建議書，從技術(shù)和管理兩個方面提出了詳細的整改方案，最終達到相應(yīng)的等級保護要求。

關(guān)鍵詞：信息系統(tǒng);網(wǎng)絡(luò)安全;等級保護;安全整改;制度建設(shè)

中圖分類號：TP393.09 文獻標識碼：A

文章編號：1009-3044（2020）22-0071-03

開放科學（資源服務(wù)）標識碼（OSID）：

1 引言

隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、智能終端的快速發(fā)展，各行各業(yè)對信息化的要求也是越來越多，也越來越依賴，促使了信息系統(tǒng)和智能終端APP的大量涌現(xiàn)。國家也在提倡讓數(shù)據(jù)多跑路，可以通過網(wǎng)絡(luò)解決的，盡量不用到現(xiàn)場，伴隨4G、6G的快速推廣和應(yīng)用，手機終端APP給人們的工作生活帶來了很多的便利，但是也隨之而來產(chǎn)生了很多網(wǎng)絡(luò)安全問題，如個人隱私泄露等。在高校也面臨著同樣的問題，隨著國家對教育信息化的不斷重視，高校擁有著大量的應(yīng)用信息系統(tǒng)，如何安全、穩(wěn)定的保障這些信息系統(tǒng)的運行，必須盡快開展落實等級保護建設(shè)工作[1]。

2 落實網(wǎng)絡(luò)安全等級保護的必要性

網(wǎng)絡(luò)安全又稱為第五空間，國家建設(shè)、交通運行、科研學習、生活購物等等都離不開網(wǎng)絡(luò)。近幾年，隨著智慧城市、智慧校園、智慧社區(qū)等等的興起，5G的推廣應(yīng)用帶到了物聯(lián)網(wǎng)的快速發(fā)展，這些迫切需要提供一個安全穩(wěn)定的網(wǎng)絡(luò)。2017年6月1日，國家正式頒布《中華人民共和國網(wǎng)絡(luò)安全法》，在網(wǎng)絡(luò)安全法中明確地指出網(wǎng)絡(luò)安全和信息化發(fā)展并重原則以及國家實行網(wǎng)絡(luò)安全等級保護制度[2]。實施網(wǎng)絡(luò)安全等級保護制度，主要目的是提前分析如果信息系統(tǒng)遭受到破壞，從受眾面上來判斷對國家、社會秩序和公共利益造成的影響程度來進行等級劃分。網(wǎng)絡(luò)安全等級保護的保護對象，除了傳統(tǒng)的基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)外，還將國家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺等全部納入等級保護監(jiān)管對象[3]。

3 落實網(wǎng)絡(luò)安全等級保護的重要性

高校信息化發(fā)展很快，在經(jīng)歷了數(shù)字化校園建設(shè)過程中，建設(shè)完成了大量的信息系統(tǒng)，在給用戶帶來便捷的同時也給學校的管理者增加了一種管理手段，極大地提高了工作效率。高校作為一個群體，有著相同的特性，信息系統(tǒng)主要有教務(wù)系統(tǒng)、一卡通系統(tǒng)、校園門戶網(wǎng)站等等。但數(shù)字化校園建設(shè)初期，由于各種原因，很多信息系統(tǒng)都是由相關(guān)的業(yè)務(wù)部門自行采購、管理維護，這樣就導(dǎo)致后期的一種通病，輕安全、輕管理，對網(wǎng)絡(luò)安全沒有引起足夠的重視，隨著現(xiàn)在攻擊手段的不斷豐富、病毒、木馬的泛濫、黑客的低門檻等等，造成數(shù)據(jù)丟失、重要信息泄露、網(wǎng)站被掛鏈等。這些安全隱患對學校的正常工作的開展以及學校的形象造成很大的影響。因此，落實網(wǎng)絡(luò)安全等級保護制度，不僅是法律的要求，更重要的是保障業(yè)務(wù)數(shù)據(jù)的安全、業(yè)務(wù)系統(tǒng)穩(wěn)定安全運行的一個保障[4][5]。

4 網(wǎng)絡(luò)安全等級測評項目實施

在初步確定信息系統(tǒng)安全等級保護等級后，為了保證定級合理、準確，可以聘請公安部門和各地公安機關(guān)組織成立專家組進行評審，并出具專家評審意見。目前，國家等級保護分為五級。一級為最低級要求，五級為最高的等級保護要求。

落實網(wǎng)絡(luò)安全等級保護制度，可依據(jù)網(wǎng)絡(luò)安全等級保護定級指南對信息系統(tǒng)進行初步定級，定級完成后需要到當?shù)毓矙C關(guān)進行備案。備案完成后，需要對信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)環(huán)境、信息系統(tǒng)軟件等觀測點，按照等級保護的建設(shè)要求，進行安全建設(shè)、整改。通過技術(shù)和管理兩個方面的建設(shè)，達到相應(yīng)的等級，由具有等級測評的專業(yè)機構(gòu)對信息系統(tǒng)進行網(wǎng)絡(luò)安全等級測評。測評機構(gòu)到達現(xiàn)場從管理人員到機房環(huán)境、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件等進行一系列的技術(shù)手段，獲取相應(yīng)的測評指標，然后根據(jù)要求出具完整的信息系統(tǒng)測評報告。當測評報告給出的測評分達不到要求，則根據(jù)整改要求進行整改，最終達到等級的要求，并將最終的測評報告送交當?shù)氐膫浒腹矙C關(guān)，公安機關(guān)則對信息系統(tǒng)進行監(jiān)督檢查。

4.1信息系統(tǒng)定級、備案

根據(jù)行業(yè)定級指南，按照定級規(guī)范流程，通過專家論證，完成定級后，將定級報告和信息系統(tǒng)安全等級保護備案表，提交到當?shù)氐氖屑壒矙C關(guān)，待通過后，獲得備案證明。

4.2 信息系統(tǒng)安全整改

根據(jù)測評機構(gòu)在預(yù)測評中發(fā)現(xiàn)的問題，給出《信息安全整改建議書》，對比整改建議書以及測評要求，通過部署相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品、安全策略的調(diào)整、主機的系統(tǒng)安全加固等方式，解決存在的問題，提高信息系統(tǒng)的整體安全。整改的思路如圖2所示。

4.2.1安全技術(shù)整改思路

以安慶師范大學網(wǎng)站群系統(tǒng)為例，通過定級，備案，定為二級等級保護系統(tǒng)，通過測評后，收到信息系統(tǒng)安全等級測評報告，根據(jù)測評報告，提出信息系統(tǒng)安全保障建設(shè)的基本思路是：以保護信息系統(tǒng)為核心，從多個層面進行建設(shè)，主要從網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和數(shù)據(jù)層面的安全需求，建成后的信息安全保障體系將充分符合國家標準，能夠為重要的業(yè)務(wù)開展提供有力保障。主要從以下四個方面進行設(shè)計。

（1）構(gòu)建分域的控制體系

信息安全等級保護解決方案，在總體架構(gòu)上按照分域保護思路進行，通過將信息系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，以安全區(qū)域為單位進行安全防御技術(shù)措施的建設(shè)，各個安全區(qū)域內(nèi)部還根據(jù)安全需求的不同進一步劃分了子安全域，子安全域的邊界也采用了與一級安全域相同的邊界安全防護措施，從而構(gòu)成了分域的安全控制體系。

（2）構(gòu)建縱深的防御體系

根據(jù)等級保護測評的觀測點要求，從網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)設(shè)備安全、主機服務(wù)器安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及備份容災(zāi)恢復(fù)等方面進行安全技術(shù)和措施的設(shè)計，實現(xiàn)業(yè)務(wù)應(yīng)用的CIA特性，并通過各種安全技術(shù)組合提高綜合防護能力，從外到內(nèi)形成一個縱深的安全防御體系。

（3）保證一致的安全強度

通過將信息系統(tǒng)劃分在不同的子域，在相同子域的信息系統(tǒng)將采用同樣強度的安全措施，統(tǒng)一的防護策略，也為后期增加新的應(yīng)用系統(tǒng)提供了快速部署的能力。

（4）實現(xiàn)集中的安全管理

三分技術(shù)七分管理，技術(shù)層面很容易實現(xiàn)，通過部署安全設(shè)備就可以實現(xiàn)，但是管理方面需要制度化、精細化等。首先通過建設(shè)集中的安全管理平臺，收集來自網(wǎng)絡(luò)安全設(shè)備的安全日志、系統(tǒng)日志、安全事件、信息資產(chǎn)的錄入或自動發(fā)現(xiàn)等的統(tǒng)一分析與監(jiān)管，通過這些事件、日志等信息進行關(guān)聯(lián)技術(shù)分析，讓管理者通過此平臺能夠及時、快速的發(fā)現(xiàn)問題，有效應(yīng)對安全事件的發(fā)生。

4.2.2 安全整改內(nèi)容

具體實施過程，主要通過技術(shù)架構(gòu)整改，具體措施如下：

（1）對業(yè)務(wù)區(qū)域進行梳理和確認，將不同重要程度的信息系統(tǒng)進行梳理，請確認相關(guān)訪問流向和規(guī)則。

（2）網(wǎng)絡(luò)結(jié)構(gòu)改造：通過架構(gòu)調(diào)整，對系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)進行改造，根據(jù)業(yè)務(wù)劃分不同的區(qū)域，實現(xiàn)安全架構(gòu)。

（3）在區(qū)域劃分的基礎(chǔ)上，盡可能利用現(xiàn)有安全設(shè)備或VLan劃分等方式，進行區(qū)域隔離。

（4）對現(xiàn)有過保安全設(shè)備，通過續(xù)保或者購買安全服務(wù)的方式，保證設(shè)備的充分利用。

（5）在安全防護基礎(chǔ)上，增加檢測和審計措施，建立全方位的安全保障體系。

（6）設(shè)備安全配置調(diào)整：協(xié)同系統(tǒng)集成商和設(shè)備廠家服務(wù)，根據(jù)改造后的網(wǎng)絡(luò)架構(gòu)，對系統(tǒng)現(xiàn)有及新增網(wǎng)絡(luò)、安全設(shè)備進行全面的配置調(diào)整。

（7）服務(wù)器、數(shù)據(jù)庫加固：對各信息系統(tǒng)的服務(wù)器、數(shù)據(jù)庫進行安全加固，進行漏洞修補、打補丁、服務(wù)最小化等。

（8）部署終端接人管控、數(shù)據(jù)防泄露等機制，杜絕外來設(shè)備私接內(nèi)部網(wǎng)絡(luò)、終端電腦私連外網(wǎng)、私接無線設(shè)備、濫用移動存儲和設(shè)備等行為。

（9）部署集中的態(tài)勢感知平臺，保證對全網(wǎng)數(shù)據(jù)流量分析，幫助學校看清業(yè)務(wù)、感知威脅、及時預(yù)警、快速響應(yīng)。

（10）部署堡壘機，實現(xiàn)對第三方運維人員的管理和操作審計。

（11）進行信息安全等級測評，在改造后的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機服務(wù)器、應(yīng)用系統(tǒng)等進行核查，保證安全措施真正有效發(fā)揮作用。

4.2.3 安全管理制度體系建設(shè)

在完成技術(shù)方面的整改后，更重要的是管理制度的指定，根據(jù)等級保護相關(guān)文件的要求和整改報告的要求，建立和完善相應(yīng)的規(guī)章制度。

（1）修訂完善現(xiàn)有制度，建立體系化制度，并覆蓋當前安慶師范大學相關(guān)工作內(nèi)容。

（2）制定空缺的制度、操作規(guī)程等。

（3）信息安全日常運行維護和管理工作中依照相關(guān)制度和規(guī)程進行，并形成的相關(guān)記錄和存檔。

根據(jù)整改方案，從技術(shù)和管理兩個方面進行整改。通過部署網(wǎng)絡(luò)安全設(shè)備，調(diào)整網(wǎng)絡(luò)架構(gòu)，做好每臺設(shè)備的安全策略，落實整改方案中的措施，保障重要信息系統(tǒng)的安全性。

4.3 信息系統(tǒng)等級保護測評

等級測評[6]工作，是指等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估活動。

信息系統(tǒng)等級保護測評是針對應(yīng)用系統(tǒng)，測評機構(gòu)通過訪談、文件審查、配置檢查、實地察看和工具測試等技術(shù)，主要是管理和技術(shù)兩個大的方面進行綜合測評。一個是管理方面，包括制度、機構(gòu)、人員的管理，另外是從信息系統(tǒng)所在的物理環(huán)境、所處的網(wǎng)絡(luò)環(huán)境、服務(wù)器安全、應(yīng)用系統(tǒng)安全以及數(shù)據(jù)的備份容災(zāi)等方面進行綜合測評。根據(jù)相應(yīng)的定級標準對系統(tǒng)進行測評，最終出具信息系統(tǒng)安全等級測評報告，如果測評結(jié)果達不到定級要求，則還需要進行安全建設(shè)、整改，直到各項指標達到標準，將最終的安全等級測評報告上報給當?shù)氐墓矙C關(guān)，備案公安機關(guān)出具相應(yīng)信息系統(tǒng)安全等級保護備案證明[7]。

5 結(jié)束語

根據(jù)專業(yè)的測評機構(gòu)給出的《信息安全整改建議書》，對網(wǎng)絡(luò)拓撲結(jié)構(gòu)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)流、信息系統(tǒng)等的訪問權(quán)限等都進行了一個更加完整的梳理，按照要求對邊界網(wǎng)絡(luò)設(shè)備、交換機做到端口級防護，針對不同的應(yīng)用服務(wù)在防火墻和交換機嚴格做到端口限制，對服務(wù)器等進行安全加固，增加安全策略和審計策略等，從而提高信息系統(tǒng)的網(wǎng)絡(luò)安全防護。通過實施網(wǎng)絡(luò)安全等級保護測評，讓網(wǎng)絡(luò)管理和維護人員摸清家底，對信息系統(tǒng)的部署、管理都有很大的提高，通過統(tǒng)一安全管理實現(xiàn)了快速發(fā)現(xiàn)、有效處理安全事件提供了強有力的平臺。

參考文獻：

[1]詹申平，陳建宏.等級保護下政府部門門戶網(wǎng)站的安全管理措施的應(yīng)用[Jl.科技創(chuàng)新與應(yīng)用，2019（3）：195-196.

[2]劉強，王波.高校信息安全等級保護建設(shè)探討——以凱里學院為例[J].凱里學院學報，2018，36（6）：99-101.

[3]潘文杰.淺議高校信息系統(tǒng)安全等級保護工作的必要性[J].科技風，2018（33）：61.

[4]呂美敬.高校信息系統(tǒng)安全等級保護測評實施研究與分析[J].網(wǎng)絡(luò)空間安全，2018，9（8）：65-69.

[5]秦麗娜.基于等級保護的高校校園網(wǎng)絡(luò)安全建設(shè)研究[J].電腦知識與技術(shù)，2019，15（13）：54-55.

[6]傅星.校園信息化背景下的信息安全[Jl.首都經(jīng)濟貿(mào)易大學學報，2010，12（4）：123-128.

[7]詹申平，陳建宏.等級保護下政府部門門戶網(wǎng)站的安全管理措施的應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2019（3）：195-196.

【通聯(lián)編輯：代影】（上接第68頁）

測試結(jié)果：

通過Host上測試，Host可以telnet登錄到ISPI，telnet登錄ISP2失敗，Host可以Ping通ISP2的接口，telnet是基于TCP協(xié)議的應(yīng)用，而Ping使用的是ICMP協(xié)議，轉(zhuǎn)發(fā)路由策略生效。

路由器上測試，在R1上telnet登錄ISP1和ISP2均可以正常登錄，說明轉(zhuǎn)發(fā)路由策略對路由器本身產(chǎn)生的TCP報文不產(chǎn)生效果。

（4）應(yīng)用本地策略路由

[Rl]ip local policy-based-route tcp //應(yīng)用本地策略路由

經(jīng)測試：路由器上telnet登錄ISPI正常，telnet登錄ISP2失敗，R1可以Ping通ISP2的接口，本地策略路由生效。

4 結(jié)語

通過HCL仿真測試策略路由，測試了轉(zhuǎn)發(fā)策略路由和本地策略路由，策略路由可以根據(jù)協(xié)議、源IP或目的IP設(shè)置指定的下一跳和缺省的下一跳。可以根據(jù)企業(yè)用戶的需求進行相應(yīng)的設(shè)置，但策略路由的缺點是占用設(shè)備資源較多，只要配置了策略路由，路由器就要根據(jù)設(shè)定的規(guī)則檢查數(shù)據(jù)包，會一直占用網(wǎng)絡(luò)設(shè)備的資源，建議在真實網(wǎng)絡(luò)環(huán)境中，盡量使用路由策略而減少使用策略路由來實現(xiàn)用戶需求。

參考文獻：

[1]朱麟，劉源.H3C路由與交換實踐教程[M].北京：電子工業(yè)出版社，2018.

[2]彭偉.基于策略路由部署的網(wǎng)絡(luò)多出口設(shè)計研究[J].湖南工程學院學報（自然科學版），2019，29（3）：48-52.

[3]龔文濤，郎穎瑩.基于路由策略和策略路由的Web應(yīng)用防護架構(gòu)設(shè)計[Jl.計算技術(shù)與自動化，2018，37（2）：95-99.

【通聯(lián)編輯：代影】

基金項目：安徽協(xié)達軟件科技有限公司資助橫向課題（合同編號：20170712）;安慶師范大學“四成”資助項目（項目編號：Scjy112018-12）;賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項目資助（項目編號：NGII20170511）

作者簡介：張小林（1981-），男，安徽安慶人，安慶師范大學講師，碩士，主要研究方向為網(wǎng)絡(luò)安全、數(shù)據(jù)挖掘。