◆仇靜

基于等保2.0標(biāo)準(zhǔn)的高校內(nèi)網(wǎng)安全防護(hù)的探究

◆仇靜

（南京工程學(xué)院 江蘇 211167）

等保2.0標(biāo)準(zhǔn)發(fā)布以來(lái)，高校信息安全態(tài)勢(shì)面臨新的挑戰(zhàn)。為更好地應(yīng)對(duì)新的形勢(shì)和風(fēng)險(xiǎn)，本文通過(guò)對(duì)新標(biāo)準(zhǔn)中的要求進(jìn)行簡(jiǎn)要分析，結(jié)合高校內(nèi)網(wǎng)安全現(xiàn)狀，對(duì)內(nèi)網(wǎng)安全防護(hù)提出新的思考，為后續(xù)高校信息化建設(shè)中網(wǎng)絡(luò)安全保障工作提供參考。

等保2.0；高校信息化；內(nèi)網(wǎng)防護(hù)

在網(wǎng)絡(luò)和信息技術(shù)飛速發(fā)展的今天，各行各業(yè)的信息化進(jìn)程日新月異，網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻，高校在信息化建設(shè)進(jìn)程中也面臨著多種多樣的網(wǎng)絡(luò)安全問(wèn)題。2019年，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的發(fā)布對(duì)高校網(wǎng)絡(luò)安全建設(shè)提出了新的要求。為了應(yīng)對(duì)愈演愈烈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提升高校網(wǎng)絡(luò)安全防護(hù)水平，本文分析等保2.0標(biāo)準(zhǔn)下，高校內(nèi)網(wǎng)防護(hù)存在的常見(jiàn)問(wèn)題，提出高校內(nèi)網(wǎng)安全防護(hù)相關(guān)策略。

1 高校校園內(nèi)網(wǎng)安全現(xiàn)狀

目前國(guó)內(nèi)高校校園網(wǎng)采用的網(wǎng)絡(luò)安全防護(hù)策略通常是以防備外網(wǎng)的主動(dòng)攻擊為主要工作內(nèi)容，而對(duì)內(nèi)網(wǎng)終端默認(rèn)為信任或者安全狀態(tài)。有些高校將內(nèi)網(wǎng)與互聯(lián)網(wǎng)進(jìn)行物理隔離，并讓內(nèi)網(wǎng)用戶統(tǒng)一通過(guò)網(wǎng)關(guān)訪問(wèn)互聯(lián)網(wǎng)。雖然采用了許多安全措施，網(wǎng)絡(luò)安全事件依然在不斷發(fā)生。內(nèi)網(wǎng)一臺(tái)主機(jī)出現(xiàn)威脅網(wǎng)絡(luò)安全行為，其他主機(jī)將大概率會(huì)遭殃[1]。究其原因：

1.1 校園內(nèi)網(wǎng)邏輯邊界不清晰

校園內(nèi)網(wǎng)實(shí)現(xiàn)資料共享、網(wǎng)絡(luò)互通，則必須將內(nèi)網(wǎng)主機(jī)之間建立互信關(guān)系。一方面，借智能手機(jī)為支撐的移動(dòng)計(jì)算技術(shù)，傳統(tǒng)的工作方式從固定計(jì)算機(jī)辦公轉(zhuǎn)變?yōu)橐苿?dòng)化的辦公方式，一些系統(tǒng)需隨時(shí)隨地進(jìn)行數(shù)據(jù)訪問(wèn)；學(xué)校分工與對(duì)外協(xié)作越來(lái)越復(fù)雜，外部的人員也將對(duì)校內(nèi)數(shù)據(jù)進(jìn)行訪問(wèn)。另一方面，大部分高校采用了云計(jì)算和大數(shù)據(jù)技術(shù)，將大量業(yè)務(wù)和數(shù)據(jù)遷移到公有云上，這些集中數(shù)據(jù)的集中，也導(dǎo)致了這些內(nèi)網(wǎng)數(shù)據(jù)邏輯邊界的不清晰。

1.2 校園內(nèi)網(wǎng)終端漏洞沒(méi)有及時(shí)修復(fù)

目前國(guó)產(chǎn)操作系統(tǒng)還不成熟，計(jì)算機(jī)及服務(wù)器主要采用微軟公司的Windows系統(tǒng)，根據(jù)網(wǎng)絡(luò)安全調(diào)查結(jié)果顯示，全球大約 80%以上的病毒都是基于Windows系統(tǒng)的漏洞而進(jìn)行攻擊的。雖然微軟公司不斷推出各種補(bǔ)丁，但對(duì)于高校，內(nèi)網(wǎng)管理面積達(dá)，主機(jī)數(shù)量多，管理人員有限，如果漏洞沒(méi)有得到及時(shí)修復(fù)，導(dǎo)致被黑客利用，對(duì)內(nèi)網(wǎng)中的其他終端主機(jī)產(chǎn)生巨大威脅，嚴(yán)重時(shí)可導(dǎo)致整個(gè)內(nèi)網(wǎng)癱瘓。

1.3 缺乏對(duì)虛擬網(wǎng)絡(luò)的安全防護(hù)措施

傳統(tǒng)數(shù)據(jù)中心的三層架構(gòu)無(wú)法滿足海量虛擬機(jī)的配置和不斷擴(kuò)大的業(yè)務(wù)需求，越來(lái)越多的高校在數(shù)據(jù)中心設(shè)計(jì)中采用虛擬化技術(shù)。服務(wù)器虛擬化導(dǎo)致在物理服務(wù)器內(nèi)部存在多臺(tái)虛擬機(jī)，每臺(tái)虛擬機(jī)承載不同的應(yīng)用，同時(shí)，在物理服務(wù)器內(nèi)引入了虛擬交換機(jī)，這樣在同一物理服務(wù)器中的虛擬機(jī)之間的通訊不需要經(jīng)過(guò)物理網(wǎng)卡而是在虛擬交換機(jī)中直接通過(guò)鏈路轉(zhuǎn)發(fā)，因而也不會(huì)通過(guò)外部的防火墻等安全防護(hù)設(shè)備，原有的安全防護(hù)機(jī)制變得無(wú)效[2]。加強(qiáng)東西流量安全防護(hù)，是目前虛擬化網(wǎng)絡(luò)安全領(lǐng)域亟待解決的問(wèn)題。

1.4 資源訪問(wèn)權(quán)限控制機(jī)制的缺失

目前高校的校園網(wǎng)用戶一旦接入內(nèi)網(wǎng)，就可以隨意訪問(wèn)內(nèi)網(wǎng)公共資源，這也造成了許多的安全問(wèn)題。在資源訪問(wèn)權(quán)限未做分級(jí)管理的情況下，一些安全事故就在所難免。如果內(nèi)網(wǎng)建立資源訪問(wèn)權(quán)限分級(jí)管理就能讓用戶在訪問(wèn)內(nèi)網(wǎng)資源時(shí)變得可控，可管，那么就能減少一些網(wǎng)絡(luò)安全事故的發(fā)生。

1.5 網(wǎng)絡(luò)安全管理機(jī)制尚不健全

高校在校園網(wǎng)設(shè)計(jì)之初，普遍注重網(wǎng)絡(luò)的實(shí)用和高效，建設(shè)資金重點(diǎn)用在關(guān)鍵網(wǎng)絡(luò)、硬件設(shè)備和軟件系統(tǒng)的投入，而忽略網(wǎng)絡(luò)安全問(wèn)題，目前很多高校網(wǎng)絡(luò)安全技術(shù)崗位都是由其他崗位人員兼任，致使網(wǎng)絡(luò)安全管理機(jī)制不健全，技術(shù)力量薄弱，難以高效率地預(yù)防和處理網(wǎng)絡(luò)安全問(wèn)題。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的要求

2019 年 5 月，《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（“等保 2.0”）正式發(fā)布，并于 2019 年 12月 1 日開(kāi)始實(shí)施，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度建設(shè)開(kāi)始進(jìn)入 2.0 時(shí)代。相比舊標(biāo)準(zhǔn)體系，等保2.0統(tǒng)一了基本要求與設(shè)計(jì)要求的安全框架（通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境），充分體現(xiàn)“一個(gè)中心，三重防護(hù)”的縱深防御思路，強(qiáng)化可信計(jì)算安全技術(shù)要求應(yīng)用。等保2.0標(biāo)準(zhǔn)對(duì)通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、主機(jī)設(shè)備、應(yīng)用和數(shù)據(jù)、以及云計(jì)算擴(kuò)展、移動(dòng)互聯(lián)擴(kuò)展、物聯(lián)網(wǎng)擴(kuò)展和工業(yè)控制擴(kuò)展等方面都有新的要求[3]。

結(jié)合新標(biāo)準(zhǔn)，高校內(nèi)網(wǎng)安全防護(hù)時(shí)應(yīng)該堅(jiān)持以下原則：首先，需求和風(fēng)險(xiǎn)保持平衡。在選擇網(wǎng)絡(luò)保障的時(shí)候，要充分考慮可能存在的風(fēng)險(xiǎn)，根據(jù)學(xué)校信息化建設(shè)的實(shí)際需求制定合理的安全防范措施；其次，詳細(xì)分析不同安全措施在網(wǎng)絡(luò)安全防御中的具體作用，根據(jù)學(xué)校網(wǎng)絡(luò)建設(shè)的實(shí)際需求，統(tǒng)一規(guī)劃，全面改造、建設(shè)；再次，要堅(jiān)持多重保護(hù)原則。隨著學(xué)校信息化建設(shè)的不斷推進(jìn)，校園網(wǎng)業(yè)務(wù)越來(lái)越多，種類也越來(lái)越繁雜，單一的網(wǎng)絡(luò)邊界防護(hù)已經(jīng)無(wú)法滿足其安全需求，更為細(xì)致的網(wǎng)絡(luò)管理手段應(yīng)該被考慮，并逐漸添加到安全管理中。最后，管理和技術(shù)并重。網(wǎng)絡(luò)安全措施需要專業(yè)工程師來(lái)進(jìn)行評(píng)估與制定，而過(guò)于復(fù)雜的安全操作無(wú)疑是加大了管理的難度，怎么均衡技術(shù)與管理也需要思考。

3 高校內(nèi)網(wǎng)安全防護(hù)探究

通過(guò)對(duì)等保 2.0 標(biāo)準(zhǔn)的初步分析研究，結(jié)合日常網(wǎng)絡(luò)安全建設(shè)和運(yùn)營(yíng)管理實(shí)踐工作中發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患，對(duì)照新標(biāo)準(zhǔn)的變化和技術(shù)要求要點(diǎn)，針對(duì)如何提高后續(xù)的技術(shù)防護(hù)能力，提出以下幾點(diǎn)實(shí)踐思考。

3.1 科學(xué)劃分區(qū)域，保障邊界安全

邊界區(qū)域的安全關(guān)乎網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)是否更好地運(yùn)用[4]，所以高校的網(wǎng)絡(luò)安全管理機(jī)構(gòu)需要統(tǒng)籌規(guī)劃，通過(guò)梳理學(xué)校信息資產(chǎn)、設(shè)置外網(wǎng)訪問(wèn)白名單等手段科學(xué)劃分內(nèi)外網(wǎng)區(qū)域；通過(guò)防火墻、入侵檢測(cè)等技術(shù)手段在校園網(wǎng)內(nèi)部和外部之間設(shè)置軟硬件手段，在確保合法用戶能夠正常訪問(wèn)網(wǎng)絡(luò)的情況下，增加攻擊者的攻擊難度并對(duì)攻擊行為及時(shí)監(jiān)測(cè)響應(yīng)。

3.2 增強(qiáng)安全意識(shí)，及時(shí)修補(bǔ)漏洞

內(nèi)網(wǎng)面臨的最大問(wèn)題是不能及時(shí)修補(bǔ)漏洞，補(bǔ)丁更新不及時(shí)，對(duì)此，高校網(wǎng)絡(luò)管理機(jī)構(gòu)可以通過(guò)一些技術(shù)手段要求計(jì)算機(jī)終端實(shí)施統(tǒng)一的安全策略，例如在撥號(hào)軟件中提示用戶安裝防病毒軟件和更新病毒庫(kù)，并對(duì)不滿足安全條件的終端進(jìn)行一定的聯(lián)網(wǎng)限制。另外，高校還需要定期對(duì)網(wǎng)絡(luò)中的設(shè)備和主機(jī)進(jìn)行安全評(píng)估，及時(shí)處理具有安全隱患的計(jì)算機(jī)終端。最后，加強(qiáng)師生的網(wǎng)絡(luò)安全防范意識(shí)，將網(wǎng)絡(luò)安全知識(shí)教育納入入職教育和入學(xué)教育中，增加非計(jì)算機(jī)相關(guān)專業(yè)人員對(duì)及時(shí)修補(bǔ)漏洞等基本防護(hù)手段的必要認(rèn)知，增強(qiáng)普通網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)攻擊的基礎(chǔ)防護(hù)能力。

3.3 做好東西向防護(hù)，保障虛擬通信安全

為了提高資源利用率，數(shù)據(jù)中心虛擬化技術(shù)將物理資源轉(zhuǎn)化為邏輯資源，將一臺(tái)服務(wù)器劃分為多個(gè)邏輯上獨(dú)立的服務(wù)器。當(dāng)其中一個(gè)虛擬機(jī)發(fā)生問(wèn)題時(shí)，整個(gè)內(nèi)網(wǎng)就會(huì)淪陷，任由攻擊者宰割。針對(duì)虛擬網(wǎng)絡(luò)，國(guó)外的研究學(xué)者提出微隔離的概念，旨在對(duì)虛擬網(wǎng)絡(luò)內(nèi)部東西流量細(xì)粒度安全防護(hù)。虛擬機(jī)之間的有效隔離能使其他虛擬機(jī)正常進(jìn)行服務(wù)。虛擬機(jī)的隔離包括基于硬件協(xié)助的隔離與基于訪問(wèn)控制的邏輯隔離兩種機(jī)制，目前都能很好地實(shí)現(xiàn)各虛擬機(jī)的安全獨(dú)立服務(wù)。另外，還應(yīng)該對(duì)虛擬機(jī)的運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控，保障虛擬機(jī)的安全。

3.4 制定新的認(rèn)證架構(gòu)，向零信任轉(zhuǎn)型

為了保障學(xué)校網(wǎng)絡(luò)核心設(shè)備及數(shù)據(jù)資源的安全，降低內(nèi)網(wǎng)資源被惡意利用的風(fēng)險(xiǎn)，一些高校開(kāi)始著手研究零信任技術(shù)體系。零信任是網(wǎng)絡(luò)中的一切實(shí)體都是不可信的，都需要驗(yàn)證的理念。根據(jù)這種理念制定的策略，需要持續(xù)地監(jiān)測(cè)用戶的行為和環(huán)境的狀態(tài)，進(jìn)而制定基于信任得分的動(dòng)態(tài)訪問(wèn)策略[5]。

雖然零信任提供了一種基于身份的更細(xì)粒度的訪問(wèn)控制方法，但落地方式暫時(shí)還沒(méi)有標(biāo)準(zhǔn)的流程可依。零信任架構(gòu)應(yīng)該以數(shù)據(jù)和應(yīng)用的分類、改造為起點(diǎn)，以用戶和設(shè)備的識(shí)別為基礎(chǔ)，以 SDP 架構(gòu)為核心，以用戶角色為依據(jù)，以過(guò)渡白名單為保障，制定基于零信任網(wǎng)絡(luò)的高校網(wǎng)絡(luò)訪問(wèn)模型，依照此模型來(lái)進(jìn)行完整的權(quán)限校驗(yàn)，訪問(wèn)校園網(wǎng)的核心設(shè)備和數(shù)據(jù)資源。零信任是網(wǎng)絡(luò)安全中一種不斷發(fā)展的技術(shù)，零信任架構(gòu)是一種全新的網(wǎng)絡(luò)安全防護(hù)思路。

3.5 健全網(wǎng)絡(luò)安全管理機(jī)制，建設(shè)統(tǒng)一的安全運(yùn)營(yíng)中心

隨著國(guó)家網(wǎng)絡(luò)安全法的頒布和等保2.0的發(fā)布，高校對(duì)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越重視，很多走在信息化前列的高校開(kāi)始考慮建設(shè)統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)營(yíng)中心，用于全面監(jiān)控和管理學(xué)校網(wǎng)絡(luò)安全，為學(xué)校網(wǎng)絡(luò)安全建設(shè)提供強(qiáng)有力的支撐。在網(wǎng)絡(luò)安全管理機(jī)制的構(gòu)建中，應(yīng)考慮規(guī)范的組織管理、日常管理和應(yīng)急管理等多個(gè)方面，定期對(duì)學(xué)校師生進(jìn)行網(wǎng)絡(luò)安全相關(guān)知識(shí)的宣傳教育，將安全防護(hù)真正應(yīng)用到實(shí)際的管理之中。

4 結(jié)語(yǔ)

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)其相關(guān)安全建設(shè)思想及體系要求對(duì)高校網(wǎng)絡(luò)安全建設(shè)具有積極的指導(dǎo)作用。本文主要通過(guò)對(duì)照等保2.0標(biāo)準(zhǔn)，結(jié)合高校校園內(nèi)網(wǎng)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，給出一些網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)的建議，為保障高校信息化建設(shè)安全穩(wěn)定進(jìn)行，打造安全校園提供一些可參考的思路。

[1]張紅梅.內(nèi)網(wǎng)終端安全防護(hù)管理系統(tǒng)研究[D]. 西安電子科技大學(xué)，2018.

[2]游益鋒.面向虛擬化環(huán)境的微隔離技術(shù)的研究[D].電子科技大學(xué)，2019.

[3]藺旭冉.等保2.0標(biāo)準(zhǔn)技術(shù)要求淺析與初步實(shí)踐思考[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（10）：12-14.

[4]鐘錫寶.網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)實(shí)現(xiàn)與分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（2）：173-174.

[5]秦益飛，張英濤，張曉東.零信任落地途徑研究 [J]. 信息安全與通信保密，2021（01）：84-91.