案例分享丨等保2.0时代的高校网安体系
只有充分认识到网络安全等级保护的必要性,并在当前管理问题分析的基础上,依据网络安全等级保护2.0制度要求进行网络安全管理体系的规范建设,才能提升网络安全等级保护质量,有效提高高校网络安全管理水平。
等级保护对网络安全管理的要求
网络安全等级保护制度是国家网络安全领域的基本制度和管理办法,是维护国家安全、社会秩序和公共利益的根本保障,是教育行业开展网络安全体系建设的重要依据。网络安全等级保护工作对改进高校网络安全管理体系,提高网络安全建设整体水平,增强网络安全体系的完整性和可靠性等方面具有重要意义。
为保障学校网络安全,哈尔滨工程大学依据网络安全等级保护制度要求,通过网络安全等级保护相关工作实践,逐步规范学校网络安全管理。
随着网络信息技术的发展与广泛应用,网络安全问题也在不断变化。2019年5月,《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,意味着我国网络安全等级保护从1.0步入2.0时代。
网络安全等级保护制度2.0标准,安全管理指标包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。管理要求分类体现了从要素到活动的综合管理思想,安全管理需要的“机构”“制度”和“人员”三要素缺一不可,同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。
安全管理体系建设实践
哈尔滨工程大学高度重视网络信息安全工作。为保障学校网络信息安全,切实提高学校网络安全防护水平,加强网络安全管理,学校认真开展网络安全等级保护工作,以网络安全等级保护为工作抓手,落实网络安全等级保护对安全管理工作的要求,逐步完善学校网络安全管理体系建设。
01
安全管理制度建设
高校网络安全工作的开展,需要制定健全的网络安全管理制度作为工作依据,明确和落实学校各单位网络安全责任,以等保要求为基础确定网络安全管理制度覆盖的内容,实施网络安全等级保护制度。
学校出台《哈尔滨工程大学网络信息安全管理办法(试行)》,包括校园网与IT基础环境安全管理、网站与信息系统安全管理、数据信息安全管理、校园网用户与终端安全管理、账号密码与密钥安全管理、监测预警与应急处置等,对网络安全管理活动中的各类管理内容建立安全管理制度。
同时,根据网络安全工作要求的不断变化,学校将对网络安全管理制度的合理性和适用性进行论证和审定,对存在的不足或需要改进的内容进行修订。
02
安全管理机构
学校加强组织领导,落实网络信息安全责任制,成立哈尔滨工程大学网络安全和信息化领导小组,领导小组办公室设在信息化处。信息化处设置专职科室IT安全部,负责学校网络信息安全技术防护体系建设和网络信息安全日常工作。配备专职安全管理员,关键事物岗位配置多人共同管理。
制定授权及审批管理制度,明确系统变更、重要操作等事项的审批流程,通过在学校网上办事中心建立审批流程进行线上审批,保存审批记录,记录处理时间、审批人、审批状态等信息。学校组建各单位网络信息安全负责人和联络员队伍,明确各单位网络信息安全工作分管领导,加强各部门之间的沟通合作,建立上通下达的沟通渠道,有效提高网络安全问题的处理效率。学校加强外部沟通合作,与公安机关、主管部门、兄弟院校建立常态化网络安全联防工作机制,落实网络安全工作要求。
同时,引入多家符合网络安全资质要求的专业网络安全技术机构,为学校提供网络安全技术支持服务,并由业界专家对学校安全规划和重要项目进行安全评审,通过加强多方沟通合作,提高学校网络安全防护能力。
学校加强网络信息安全日常管理,开展全校网络信息安全检查,通过上线检查、专项检查、定期检查相结合,协助和督促各部门落实网络安全问题整改,减少安全风险。
03
安全管理人员
人员管理是网络信息安全中的关键因素,同时也是网络信息安全中的薄弱环节。
高校在网络安全管理人员方面普遍面临的问题是缺少专兼职网络安全人员、网络安全意识不强、网络安全培训宣传不到位、外部人员访问管理不严格等。网络安全人员管理的缺失或不完善,会导致网络信息安全受到影响,甚至引发安全事件。因此,高校需健全人员安全管理措施,落实工作职责、规范操作,减少内、外部人员带来的网络安全风险。
对照网络安全等级保护安全管理人员工作要求,学校信息化处网络安全相关岗位人员签署保密协议,并制定关键岗位人员离岗离职安全管理规定,人员离职时,及时终止离岗人员的访问权限。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。制定了第三方人员安全管理规定,对外来建设和维保公司,以及来访参观学习的单位可能接触到的敏感信息和技术,须上报领导批准,相应安全岗位责任人必须全程陪同,并了解和记录重要操作过程。
04
安全建设管理
高校网络安全建设管理风险主要来源于信息系统建设管理体系的不健全,以及安全要求、控制措施的缺失而导致的信息系统规划设计、软件开发、工程实施、测试验收及系统交付等阶段,关于网络安全的工作内容和工作流程的不全面、不规范问题,进而导致信息系统在安全方面存在天然的缺陷,为信息系统安全运行埋下隐患。
哈尔滨工程大学校园信息门户
在信息系统安全建设方面,学校发布《哈尔滨工程大学数据信息管理规定(试行)》《哈尔滨工程大学信息系统项目建设管理办法(试行)》等校级管理文件,对学校信息系统建设进行规范,依据网络安全等级保护要求,组织校内外专家进行等保定级评审,完成等保定级、备案工作。信息系统建设方案论证需经专家评审,对安全方案进行论证和审定,通过专家评审后方可提交采购。
在与信息技术外包服务商签订服务合同中,要求提供的服务或产品必须符合安全要求,必须履行网络安全与保密责任。学校信息化建设各个项目均设立项目负责人,由项目负责人负责管理。网站、信息系统通过检测无安全问题方可允许上线。
05
安全运维管理
安全运维管理是网络安全日常工作极其重要的方面,是保障网络安全的重要因素。为保障校园网、信息系统的安全稳定运行,学校校园网机房完成升级改造,采取防盗窃、防火等安全措施,制定机房日常巡检规范,加强了物理安全保障。针对信息系统、网站、设备等软硬件资产进行梳理,建立资产台账,并对信息系统、网站、设备进行日常监控检查,做好日常监控检查记录,发现问题及时处理。
学校定期对校内所有网站和信息系统进行安全漏洞扫描,对危险主机、高危网站、弱密码系统等存在安全问题的网站和系统进行通报,采取相应访问控制策略,限期整改,督促落实,对整改情况进行核查,保证整改效果,整改完成后才可恢复运行。
学校部署防火墙、云安全防护系统、WAF、IDS、堡垒机、数据库审计、DPI等网络安全软硬件,提高网络安全监测预警、防护审计能力。建立《哈尔滨工程大学网络安全突发事件专项应急预案》,进一步明确了应急处置流程,并借助专业安全厂商的网络安全服务提升学校网络安全防护能力,对指定站点和业务系统进行7×24小时监控,及时发现并处理网站异常情况,充实学校网络安全技术力量,提升对网络安全突发事件的应急处理能力,完善应急响应体系。
网络安全等级保护制度为高校信息系统安全管理提供了系统性、针对性、可行性的指导和服务。网络安全等级保护制度2.0标准安全管理体系建设对于高校网络信息安全具有重大意义。实践中,只有充分认识到网络安全等级保护的必要性,并在当前管理问题分析的基础上,依据网络安全等级保护2.0制度要求进行网络安全管理体系的规范建设,才能提升网络安全等级保护质量,有效提高高校网络安全管理水平。
作者:吴宇平 邢丽刃(哈尔滨工程大学)