新形势、新挑战、新标准下高校网络安全建设管理思路和举措探讨

文/范黎林 河南师范大学网络中心主任

习总书记说:没有网络安全就没有国家安全,没有信息化就没有现代化;网络安全和信息化是一体之两翼、驱动之双轮。随着新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家安全的新挑战。

一、我国网络安全相关基础法律框架已经搭建完毕

为保障网络空间安全,我国网络安全法治建设持续推进,《网络安全法》、《密码法》等多部法律已颁布实施。2021 年7月,《数据安全法》通过并于2021 年9 月1 日开始实施;同月,《网络安全审查办法(征求意见稿)》发布;8 月,国务院发布《关键信息基础设施安全保护条例》,人大常委会表决通过《个人信息保护法》。至此,我国网络安全相关的基础法律框架已经搭建完毕,网络运营、数据处理和个人信息使用实现了有法可依。

二、等保2.0:最基础、最核心、最重要的一部权威标准规范

为应对网络空间安全面临的全新形势和挑战,《网络安全法》进一步明确了信息化发展与网络安全并重的原则,指出“国家实行网络安全等级保护制度”,“对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,并“保证安全技术措施同步规划、同步建设、同步使用”。

网络安全等级保护制度是我国在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护制度2.0标准和规范,并于2019年12月1日开始实施,等级保护制度进入2.0时代,等保2.0全面指明了我国关键信息基础设施安全保障的原则、方法与手段,成为我国未来十年关键信息基础设施安全保障最基础、最核心、最重要的一部权威标准规范。

总体来看,等保2.0是一部完整的以主动防御为目标、以技术保障为基础、以管理运营为核心、以监测预警为支撑的网络安全防御体系框架性指导标准与规划建设指南。

三、河南师范大学网络安全建设管理思路与实践

河南师范大学(以下简称:我校)在没有充裕资金采购大量先进设备及全面安全服务的现实情况下,探索出一条网络空间安全建设的可持续发展和管理运营思路与实践。

1.将安全保障对象扩展为基础设施和业务应用

等保2.0在继承了等保1.0中以资产防护为目标的成功实践基础上,结合近些年网络与信息技术的新变化,补充提出了对云计算、物联网、移动互联网和工业控制系统的安全防护要求。

当前网络空间安全建设需要考虑传统网络与信息系统与云计算、物联网、移动互联网和工业控制系统如何建立协调、统一的安全保障机制。我校采取了“分散+统一”的方式,即对于资产的安全控制采用分散方式进行,对于安全监测、通报预警、应急处置、态势感知、安全运营等采取集中方式进行。

2.未知威胁与安全分析成为安全建设能力目标

等保2.0标准对新型攻击分析、网络内部攻击、用户行为分析等高级威胁提出了条款要求。对这些未知威胁与潜在威胁监测预警的能力要求,充分体现了等保2.0在防御过程中变被动为主动、变静态防护为动态防护,变单点防护为整体防护,变粗放防护为精准防护。

我校建设了网络安全预警平台,一方面可以通过威胁情报关联分析进行,另一方面可以通过异常检测进行,包括网络异常、行为异常、状态异常等;关于潜在威胁,平台利用关联分析、行为建模、异常分析,将那些远离合法和正常行为进行多维度长周期分析,从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等潜在高级威胁的目的。

3.分析研判与追踪溯源成为主动安全防御趋势

网络安全的本质在于攻防对抗,等保2.0所提倡的主动防御、动态防御的思想,其目的也是在攻防对抗中能够占得先机。我校建设了日志大数据平台,一方面满足等保2.0合规性要求,另一方面有效地融合威胁检测、安全预警、分析研判、追踪溯源能力,使之相辅相成、互为补充,构成完整的主动安全防御能力,达到主动安全防御的目的与效果。

4.集中统一的安全运营管理成为安全建设核心

等保2.0中强调了安全管理中心的作用与要求,体现了对较高级别的等级保护对象进行集中安全管理的思想,保证分散于各个层面的安全能力在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,保证等级保护对象的整体能力。

我校按照网络安全与信息化全生命周期管理设计思路,将人、流程、产品更好地融合,做到“同步规划、同步建设、同步运行”, 让网络安全“关口前移”,实现安全运营工作的集中化、平台化、自动化,极大地提高了安全运营的效果和效率。在具体建设过程中将网络安全建设融入到信息化项目的立项、采购、建设开发、验收、运维以及结束等各环节中,确保信息化项目在全生命周期内达到并保持相应的等保2.0要求,降低各项目潜在的安全风险,从而提高我校整体的网络安全防护水平。(来源:河南教育信息化)

回到顶部