案例分享丨等保2.0时代的高校网安体系

只有充分认识到网络安全等级保护的必要性,并在当前管理问题分析的基础上,依据网络安全等级保护2.0制度要求进行网络安全管理体系的规范建设,才能提升网络安全等级保护质量,有效提高高校网络安全管理水平。

等级保护对网络安全管理的要求

网络安全等级保护制度是国家网络安全领域的基本制度和管理办法,是维护国家安全、社会秩序和公共利益的根本保障,是教育行业开展网络安全体系建设的重要依据。网络安全等级保护工作对改进高校网络安全管理体系,提高网络安全建设整体水平,增强网络安全体系的完整性和可靠性等方面具有重要意义。

为保障学校网络安全,哈尔滨工程大学依据网络安全等级保护制度要求,通过网络安全等级保护相关工作实践,逐步规范学校网络安全管理。

随着网络信息技术的发展与广泛应用,网络安全问题也在不断变化。2019年5月,《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,意味着我国网络安全等级保护从1.0步入2.0时代。

网络安全等级保护制度2.0标准,安全管理指标包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。管理要求分类体现了从要素到活动的综合管理思想,安全管理需要的“机构”“制度”和“人员”三要素缺一不可,同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。

安全管理体系建设实践

哈尔滨工程大学高度重视网络信息安全工作。为保障学校网络信息安全,切实提高学校网络安全防护水平,加强网络安全管理,学校认真开展网络安全等级保护工作,以网络安全等级保护为工作抓手,落实网络安全等级保护对安全管理工作的要求,逐步完善学校网络安全管理体系建设。

01

安全管理制度建设

高校网络安全工作的开展,需要制定健全的网络安全管理制度作为工作依据,明确和落实学校各单位网络安全责任,以等保要求为基础确定网络安全管理制度覆盖的内容,实施网络安全等级保护制度。

学校出台《哈尔滨工程大学网络信息安全管理办法(试行)》,包括校园网与IT基础环境安全管理、网站与信息系统安全管理、数据信息安全管理、校园网用户与终端安全管理、账号密码与密钥安全管理、监测预警与应急处置等,对网络安全管理活动中的各类管理内容建立安全管理制度。

同时,根据网络安全工作要求的不断变化,学校将对网络安全管理制度的合理性和适用性进行论证和审定,对存在的不足或需要改进的内容进行修订。

02

安全管理机构

学校加强组织领导,落实网络信息安全责任制,成立哈尔滨工程大学网络安全和信息化领导小组,领导小组办公室设在信息化处。信息化处设置专职科室IT安全部,负责学校网络信息安全技术防护体系建设和网络信息安全日常工作。配备专职安全管理员,关键事物岗位配置多人共同管理。

制定授权及审批管理制度,明确系统变更、重要操作等事项的审批流程,通过在学校网上办事中心建立审批流程进行线上审批,保存审批记录,记录处理时间、审批人、审批状态等信息。学校组建各单位网络信息安全负责人和联络员队伍,明确各单位网络信息安全工作分管领导,加强各部门之间的沟通合作,建立上通下达的沟通渠道,有效提高网络安全问题的处理效率。学校加强外部沟通合作,与公安机关、主管部门、兄弟院校建立常态化网络安全联防工作机制,落实网络安全工作要求。

同时,引入多家符合网络安全资质要求的专业网络安全技术机构,为学校提供网络安全技术支持服务,并由业界专家对学校安全规划和重要项目进行安全评审,通过加强多方沟通合作,提高学校网络安全防护能力。

学校加强网络信息安全日常管理,开展全校网络信息安全检查,通过上线检查、专项检查、定期检查相结合,协助和督促各部门落实网络安全问题整改,减少安全风险。

03

安全管理人员

人员管理是网络信息安全中的关键因素,同时也是网络信息安全中的薄弱环节。

高校在网络安全管理人员方面普遍面临的问题是缺少专兼职网络安全人员、网络安全意识不强、网络安全培训宣传不到位、外部人员访问管理不严格等。网络安全人员管理的缺失或不完善,会导致网络信息安全受到影响,甚至引发安全事件。因此,高校需健全人员安全管理措施,落实工作职责、规范操作,减少内、外部人员带来的网络安全风险。

对照网络安全等级保护安全管理人员工作要求,学校信息化处网络安全相关岗位人员签署保密协议,并制定关键岗位人员离岗离职安全管理规定,人员离职时,及时终止离岗人员的访问权限。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。制定了第三方人员安全管理规定,对外来建设和维保公司,以及来访参观学习的单位可能接触到的敏感信息和技术,须上报领导批准,相应安全岗位责任人必须全程陪同,并了解和记录重要操作过程。

04

安全建设管理

高校网络安全建设管理风险主要来源于信息系统建设管理体系的不健全,以及安全要求、控制措施的缺失而导致的信息系统规划设计、软件开发、工程实施、测试验收及系统交付等阶段,关于网络安全的工作内容和工作流程的不全面、不规范问题,进而导致信息系统在安全方面存在天然的缺陷,为信息系统安全运行埋下隐患。

哈尔滨工程大学校园信息门户

在信息系统安全建设方面,学校发布《哈尔滨工程大学数据信息管理规定(试行)》《哈尔滨工程大学信息系统项目建设管理办法(试行)》等校级管理文件,对学校信息系统建设进行规范,依据网络安全等级保护要求,组织校内外专家进行等保定级评审,完成等保定级、备案工作。信息系统建设方案论证需经专家评审,对安全方案进行论证和审定,通过专家评审后方可提交采购。

在与信息技术外包服务商签订服务合同中,要求提供的服务或产品必须符合安全要求,必须履行网络安全与保密责任。学校信息化建设各个项目均设立项目负责人,由项目负责人负责管理。网站、信息系统通过检测无安全问题方可允许上线。

05

安全运维管理

安全运维管理是网络安全日常工作极其重要的方面,是保障网络安全的重要因素。为保障校园网、信息系统的安全稳定运行,学校校园网机房完成升级改造,采取防盗窃、防火等安全措施,制定机房日常巡检规范,加强了物理安全保障。针对信息系统、网站、设备等软硬件资产进行梳理,建立资产台账,并对信息系统、网站、设备进行日常监控检查,做好日常监控检查记录,发现问题及时处理。

学校定期对校内所有网站和信息系统进行安全漏洞扫描,对危险主机、高危网站、弱密码系统等存在安全问题的网站和系统进行通报,采取相应访问控制策略,限期整改,督促落实,对整改情况进行核查,保证整改效果,整改完成后才可恢复运行。

学校部署防火墙、云安全防护系统、WAF、IDS、堡垒机、数据库审计、DPI等网络安全软硬件,提高网络安全监测预警、防护审计能力。建立《哈尔滨工程大学网络安全突发事件专项应急预案》,进一步明确了应急处置流程,并借助专业安全厂商的网络安全服务提升学校网络安全防护能力,对指定站点和业务系统进行7×24小时监控,及时发现并处理网站异常情况,充实学校网络安全技术力量,提升对网络安全突发事件的应急处理能力,完善应急响应体系。

网络安全等级保护制度为高校信息系统安全管理提供了系统性、针对性、可行性的指导和服务。网络安全等级保护制度2.0标准安全管理体系建设对于高校网络信息安全具有重大意义。实践中,只有充分认识到网络安全等级保护的必要性,并在当前管理问题分析的基础上,依据网络安全等级保护2.0制度要求进行网络安全管理体系的规范建设,才能提升网络安全等级保护质量,有效提高高校网络安全管理水平。

作者:吴宇平 邢丽刃(哈尔滨工程大学)

(0)

相关推荐

  • 网络安全等级保护制度:法律与政策依据

    网络安全等级保护制度法律   政策  网络安全法政策依据   含义网络安全法要求网络运营者依照法律.行政法规和标准,采取技术措施和其他必要措施,保障网络安全.稳定运行,有效应对网络安全事件,维护网络数 ...

  • 【连载】2020网信自主创新调研报告-安全管控

    专家委员 主   任:倪光南 副主任:严 明.霍 炜.胡伟武.窦 强 委   员(按拼音排序):曹 冬.陈晓桦.邓小四.杜 胜.杜跃进.冯燕春.冯裕才.郭守祥.韩乃平.胡红升.黄志刚.姜海舟.李 斌. ...

  • 解读 | 为什么要做“密评”?

    "密评"全称"密码应用安全性评估",是指在采用密码技术.产品和服务集成建设的网络和信息系统中,对其密码应用的合规性.正确性和有效性进行评估.弄清楚了什么是密评, ...

  • 网络安全等级保护:如何做好网络总体安全规划

    本期关键词: 总体安全规划.网络等级保护.需求分析.总体规划.建设规划 前面我们谈了定级.评审与备案三个工作项.接下来则是建设整改工作部分,但是从<信息安全技术 网络安全等级保护实施指南> ...

  • 学习国家网络安全等级保护制度的体系架构

    本期关键词: 法律  政策  标准 技术支撑  人才队伍  教育训练 网络安全等级保护制度 在1.0时代的描述里是这样,通过开展信息安全等级保护工作,可以充分体现"明确重点.突出重点.保护重 ...

  • 网络安全等级保护:一起回看2004年等保重要政策文件66号文

    上次,通过<网络安全等级保护:确立等级保护为基本制度的27号文>简要谈论了一下27号文,今天继续顺着我整理的<1994-2017等级保护政策及法律发展历程>继续往下看,看一20 ...

  • 案例分享丨线上一站式填报平台

    近年来,随着云计算.大数据.人工智能等新一代信息技术的不断成熟,高校信息化飞速发展,各类信息系统已然成为高校管理工作中不可或缺的支撑平台. 与此同时,数据价值得到充分认识,数据治理的作用也日益凸显.因 ...

  • 案例分享丨数字认证技术应用实践

    基于数字认证技术的可信电子单证服务提升了高校教务等管理部门的办事效率和治理水平,也为企业等用人单位.国内外高校提供了更加快捷.安全的服务. 目前在学生服务中,大多数高校以线下窗口.自助打印机等形式提供 ...

  • 案例分享丨疫情大数据平台的设计

    南航疫情大数据平台采用敏捷开发模型.协同开发模式,在微服务架构的支持下,多项开发工作并行开展.通过正确的技术选型.合理的模块划分,最大程度发挥微服务优势. 2020年初新冠肺炎(COVID-19)疫情 ...

  • 设计案例分享丨美式风格:诠释奢华的美感,太招人眼球啦

    ▲平面图 ▲平面布置图 ▲客厅 ▲沙发墙 ▲茶几 ▲茶几 ▲懒人沙发椅 ▲客厅 ▲横厅 ▲主卧室 ▲客厅 ▲餐厅 ▲地台窗 ▲餐椅 ▲厨房 ▲浴室柜 ▲黄色懒人沙发椅 [图源网络,侵权联删]

  • 案例分享丨因公出国管理流程再造

    教育部决定自2020年1月1日起授予包括北京交通大学在内的多所高校一定的外事审批权,学校可自行审批除党委书记和校长以外的本校人员因公临时出国和邀请外国相应人员来华事项. 教育部要求授权高校制定新的规章 ...

  • 案例分享丨电子签章如何推进高校“一网通办”?

    签名盖章是办事流程必不可少的环节,也是确保流程审批合规性和权威性的主要手段. 线下办事,一般采用纸质文档走审批流程,各流程节点需要相关人员进行手工签名或盖章. 当办事"无纸化"线上 ...

  • 案例分享丨一站式智能教学平台设计思路

    人工智能带领人类走向智能社会,其所带来的社会变革必然推动教育领域的根本转变,促使教育模式向智能化.精准化的方向发展.美国斯坦福大学人工智能研究中心N.J.尼尔逊教授定义人工智能为"关于知识的 ...

  • 案例分享丨在线考试系统规划与实践

    2020年春季学期,注定是一个多年后依然让教师们刻骨铭心的学期,新冠疫情对这一时段的教学产生了巨大影响. 广东工业大学积极响应教育部提出的"停课不停学"的要求,利用自建的蕴瑜课堂等 ...

  • 案例分享丨基于校园无线网的实时人员感知

    校园内人员感知是智慧校园的基础服务.如果在校园内能够做到精确.实时的人员流动和聚集感知,就可以为校内用户提供高质量.定制化的应用,同时也可以更高效地管理校园,防控可能存在的安全风险.特别是在新冠疫情期 ...