高校基于等保2.0网络安全管理体系探究

admin 2023年3月20日22:05:25评论9 views字数 4250阅读14分10秒阅读模式

没有网络安全就没有国家安全,没有信息化就没有现代化。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。随着网络安全法和网络安全等级保护标准簇相继出台,我国网络安全正由被动防护转入主动感知阶段。


目前高校是等级保护制度落实的重点行业,然而在高校信息化广泛应用的同时,业务系统和网络环境也逐渐趋于复杂。因此,高校如何以等级保护制度为工作重点,完善安全管理体系,切实提升安全管理水平,保障业务应用系统和网络环境的安全稳定运行,是高校广泛关心的问题。


高校落实等级保护的必要性

在国家层面,落实网络安全等级保护制度,是履行国家安全责任,有效保障国家重要的互联网基础设施安全的重要制度,关乎经济社会的稳定和国家网络安全保护工作总体水平的提升。


在行业方面,随着高校行业的业务应用和网络环境日新月异,教育部已明确提出规定各高校的业务系统应落实等级保护制度。高校根据《信息安全技术  网络安全等级保护定级指南》(以下简称《定级指南》),结合自身网络安全现状,合理进行系统定级,以此确定安全需求,并以等保2.0“一个中心三重防护”的安全构架为基础,通过主动监测和防御和全方位安全管理体系,形成 “技术+管理”双重安全防护措施,从而提高高校信息安全防护能力,有效保障信息系统持续稳定运行。


高校安全管理现状分析

1.安全管理制度缺失

各高校网络安全管理体系不健全的情况是普遍存在的,从而阻碍学校信息化发展。不少院校还不能意识到这些问题,在整个高校网络运行过程中,由于高校网络安全管理机构缺位,安全管理责任制度缺失,安全相关管理策略不够全面,严重影响了学校的网络安全管理效率,导致安全风险无法及时被发现并有效解决。


2.安全组织机构不完善,职能不清晰

在高校的信息化建设初期,由于网络安全设计和信息化建设没有同步进行,在信息化建设和网络基础环境管理方面的安全组织机构并不完善,导致网络安全的决策层、安全管理层和运维执行层的职能不清晰,无法有效应对网络安全风险。


3.缺乏专职网络安全人才

高校网络安全人员的培养和队伍建设投入不足,信息化管理部门在网络安全工作方面面临人才短缺,许多高校的网络安全工作大部分由计算机系的教师兼职负责,导致对网络安全知识结构的认识并不健全,使得高校网络安全防御的意识逐渐淡薄。由于缺乏专职网络安全人员,各学校针对网络安全事件基本上采取事后处理的手段,无法及时主动发现并应对安全风险。


4.信息化建设缺乏安全意识

高校业务系统在需求立项、设计、开发和实施阶段往往只考虑功能需求是否完善,在整个信息化生命周期中缺乏对网络安全的同步建设与规划,大多没有对信息系统安全设计方案和安全测试验收提出要求,导致高校各业务系统在使用过程中存在安全隐患,从而提升后续安全运维成本。


5.安全运维管理不成体系

许多高校存在业务应用系统以第三方完全托管的形式进行管理,但大部分高校对第三方托管单位的运维监督管理上往往会出现疏漏,缺乏安全运维管理制度对第三方托管单位加以制约,一旦业务系统因第三方托管单位运维造成严重损失或社会危害及法律风险和后果由学校主体单位负责。


高校基于等保2.0的网络安全管理体系建设

建立高校的网络安全体系是强化高校网络安全的第一步,目的在于科学规范的建设高校安全网络环境,发现重大网络安全管理问题,确定安全控制的具体范畴与内容,以下探究高校基于等保2.0的网络安全管理体系建设重要领域,如图1所示。


高校基于等保2.0网络安全管理体系探究

图1  等保2.0网络安全管理体系重点建设方向


1.设置合理的安全组织机构

安全组织机构作为高校网络安全工作的职能部门,日常安全管理制度的建设与运维都需要在合理的安全组织机构基础下完成。在安全组织机构中,任何负责网络与信息安全管理工作的人员都可以称作安全管理人员,而安全管理人员也可细分为管理层和执行层。管理层主要负责策略与机制的建立与评估、对安全管理管活动的领导与监管,以确保安全管理活动能够顺利有序的开展;执行层负责按照安全管理标准制定各种安全管理制度和规章程序,反馈高校管理制度体系建设与执行规范和流程建设在高校实际管理工作过程中产生的具体实践和效果,帮助高校相关管理部门在实践中进一步有效地建立健全高校管理的制度体系。组织机构的各角色可以大体区分为决策层、管理层与执行层,如图2所示。


高校基于等保2.0网络安全管理体系探究

图2  典型的信息安全管理组织机构框架


校级网络安全与信息化领导组为网络安全事务的最高决策机构,由学校党委领导班子组成,总体负责学校网络安全领导、协调、部署等工作,决策学校网络安全重大事宜;校级网络安全与信息化工作组是校网信领导组的下属机构,组长由校网信领导组副组长担任,各处级单位负责人担任成员,负责学校各项网络安全工作的规划、审批和日常管理;学校各处级单位是网络安全执行层,各处级单位党政领导作为高校网络安全的第一责任人;学校监督层为上级监督单位,依据合规部门发布的相关的网络安全法规、要求、制度制订年度审计计划,开展对学校网络安全稽核审计,并出具安全审计报告。


2.建立健全的网络安全管理制度体系

健全的网络安全管理制度一直是围绕着体系而展开,网络安全管理体系通常采用金字塔层级的结构,这种结构的管理体系不仅能够帮助高校安全管理人员进行日常的安全管理工作,还可以利用高校安全管理人员的反馈情况完善高校安全组织机构和安全管理制度的建设,形成持续完善和改进的循环模式,并根据等保2.0中所涉及的制度、规程和记录梳理成较为完备的制度体系。此体系架构如图3所示,展现各层的功能可以总结如下。


高校基于等保2.0网络安全管理体系探究

图3  网络安全管理制度体系金字塔型结构


总体方针和策略是指安全管理工作纲领性文件,明确了安全组织机构和网络安全管理工作的基本目标、范畴、准则,以及内部安全架构等。安全管理制度是指安全组织机构根据安全管理活动中的各项主要管理内容而形成的网络安全管理制度集,是规定和约束各岗位系统管理人员开展安全管理活动基础的拘束力文件。操作规程主要包含操作流程、管理与运维指南、操作指导书,以及各项批准手续、运维流程、应急处理流程等,是各岗位系统管理人员开展安全管理活动的重要指导性文件。安全管理工作中的各项记录包括规章制度的审查和制定记录、技术培训记录、会议纪要、操作运维记录、应急响应记录等,是各岗位系统管理人员有效实施各种制度或规范的凭证。


3.培养网络安全专业人才

在整个网络安全管理中,安全人员本身的心理、情绪和专业技术能力都起着重要作用。在构建网络安全人才队伍上,高校需设立专项资金,从两个方面制定出人才培养计划:首先是高校计算机系毕业学生的内部选拔;其次是面向社会引入网络安全人才,通过定期举行安全技能和知识培训,完善高校安全人才体系,形成跨学科、跨行业的复合型人才与队伍。


4.规范信息系统安全建设流程

高校信息系统建设通常包含需求立项、方案设计、项目实施、测试验收、运行使用和废弃等几个阶段。在业务应用系统新建时,可指派系统建设负责人着重加强信息系统在设计、实施、验收过程的监督管理;在系统方案设计环节,根据《定级指南》,组织开展信息系统定级备案工作,按照保护对象的安全保护级别选择基本安全措施,可同时依据风险分析的结果进行补充和调整,遵循信息化与网络安全同步规划、同步建设、同步使用的“三同步”原则进行方案设计,组织专家对建设方案的合理性进行论证;若信息系统为外包开发,需要与软件外包开发商签订明确履行网络安全相关义务的协议;在项目实施环节,高校领导、系统建设负责人和有关部门共同参与,对项目建设进行指导、协调和监督工作,对项目质量、进度和投资进行有效控制;在系统交付环节,要明确信息系统建设依据,对交付的设备、软件和文档进行清点,存留信息系统建设过程文档和运行维护文档;在测试验收环节,依据设计方案制定验收方案,系统上线前应组织安全测试,并委托具有测评资质的机构对系统进行等级保护测评,通过测评后方可投入运行。


5.提升网络安全运维和应急处置能力

由于高校业务应用系统种类繁多,当信息系统遭到破坏时,不仅会对高校的外在形象产生严重损害,也会导致高校师生的利益受损,甚至影响到公众利益。因此,提升网络安全运维和应急处置能力应从事前、事中和事后三个方面考虑。


 事前,建立健全规范的网络安全管理体系可以控制业务应用系统的安全运营,使高校网络安全运营和管理工作有据可依,向高效化、科学化的管理工作目标迈进;事中,通过制度体系反馈结果,持续跟踪网络安全运维情况,对于实行第三方托管的高校要在对托管方与外包方的管理积极采取措施,逐步建立与托管方和研发外包方相应的管理体系,以实现高校网络安全规范化、科学化安全管理体系建设;事后,强化应急处置能力,等保2.0基本要求建立网络安全应急预案制度,定期对业务应用系统相关工作人员开展相应工作措施训练与演示;剖析网络安全中可能存在的问题,并制定反复演习计划,通过不断演习查找网络中的潜在漏洞与问题,完善安全管理体系,以提升高校的安全防御技能,合理设定应急防御预案,在出现严重网络安全事件时,安全工作人员能够正确地进行处置,将损失减至最小。


打造高校网络安全的"一驱两翼"双循环

等保2.0基本要求针对保护对象,分别从安全技术和安全管理两个角度提出10个层面的安全要求。其中,技术方面包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等5个层面,安全管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等5个层面,而安全管理是可以对安全技术产生正向或负面影响,例如安全管理方面环境管理的符合程度能够决定安全技术方面安全物理环境的结论。因此,健全有效的管理手段,能够驱动技术的有效落实。而本文提出高校基于等保2.0安全管理体系重点建设理念,正是全面优化安全管理体系,以安全管理体系制度为驱动力,提升安全技术落实,达到网络安全“一驱两翼”(如图4所示),推动高校网络安全全面发展。


高校基于等保2.0网络安全管理体系探究

图4  高校网络安全“一驱两翼”


结语

安全管理体系是高校信息化建设的关键。通过构建高校基于等保2.0的安全管理体系,以实现制度“有法可依、有章可循”,通过管理手段有效驱动技术落实,在具体的规章制度要求下时刻反馈,不断完善,最终形成高校网络安全的“一驱两翼”,达到主动防御的安全态势。


来源:《网络安全和信息化》杂志

作者:外交学院  宗薇

(本文不涉密)

-END-

高校基于等保2.0网络安全管理体系探究

面向安全和运维人员,欢迎扫码订阅2023年《网络安全和信息化》杂志~

高校基于等保2.0网络安全管理体系探究

原文始发于微信公众号(网络安全和信息化):高校基于等保2.0网络安全管理体系探究

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月20日22:05:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   高校基于等保2.0网络安全管理体系探究https://cn-sec.com/archives/1616813.html

发表评论

匿名网友 填写信息