基于等级保护2.0 的智慧校园新技术研究

郭 璞,聂永刚,董绍鹏

(山西警察学院,山西 太原 030401)

1 等级保护2.0

1.1 等级保护2.0 概述

《网络安全法》第二十一条规定,国家实行网络安全等级保护制度,网络运营者应当按照等级保护制度的要求,履行安全保护义务。 等级保护2.0 比之前的1.0 更注重主动防御,从被动防御到事件全流程的可靠、感知、审计,进行了一系列的优化改进,尤其是在物联网、云计算、大数据等新型产业中提供了安全可靠的建设标准。 在此安全形势下,新的安全要求被提出,使用这些新技术的同时,“通用要求”以及“安全扩展”要求必须被同时满足。

1.2 等级保护2.0 的新要求标准

1.2.1 覆盖范围变化

等级保护2.0 标准基于等级保护1.0 标准对覆盖范围进行扩充。 首先是全社会覆盖,即金融、电力、医疗、教育等各行各业的全方位覆盖。 其次是保护对象全面覆盖,即在传统信息系统的基础上增加对信息网络、云计算、工控系统、大数据、移动互联和物联网等的全覆盖。 对于使用新技术的信息系统,在满足通用安全要求的同时还需保证安全扩展要求。

1.2.2 技术要求变化

等级保护2.0 对技术要求进行了优化精炼,由原来的物理安全、网络安全、主机安全、应用安全和数据安全改进为安全物理环境、安全通行网络、安全区域边界、安全计算环境和安全管理中心。 最大的特点是把可信计算当做核心防御技术,一级到四级全部提出了可信验证空间,即这所有计算节点都应基于可信根,实现开机到操作系统启动,再到应用程序启动的可信验证,并将验证结果形成审计记录,极大推广可信计算及密码技术的应用。

1.3 等级保护2.0 对高校网络安全建设的要求

2018 年4 月,《教育信息化2.0 行动计划》提出了到2022 年基本实现“三全两高一大”的发展目标,将教育信息化发展水平在1.0 阶段的基础上提升至更高的层次。 在这个过程中,网络安全工作始终贯穿于整个教育信息化建设。

等级保护2.0 对高校网络安全工作提出的新要求有增强网信工作能力;落实网络安全责任制度和等级保护制度;加强网络安全教育培训;提升安全防护能力;开展安全监测和应急演练;重要时期加强统筹部署。

1.4 等级保护2.0 下的网络安全防护工作

随着新时代互联网的快速发展,物联网、云计算、大数据、人工智能等新兴技术不断涌现,等级保护制度对于新技术的出现提出了更高的防护要求。 等级保护2.0 按照“一个中心,三重防护”的要求对新兴技术实施安全维护。 一个中心是指安全管理中心,把安全管理、安全监测、安全审计等各类设备和应用平台集中管控的体现,三重防护是指安全通信环境、安全区域边界和安全计算环境。

2 等级保护2.0 下的物联网安全

2.1 物联网技术在高校网络中的现状

校园网中结合物联网进行教学,不仅使学生学习更加方便,还使教师的教学更加智能化。 物联网技术在课堂管理中,主要利用物联网技术的识别功能做到学习情况智能化签到,减少教师工作量的同时也有效保证学生的出勤率。 物联网技术在学校的图书管理网络中,主要通过将书、设备和人进行有效的连接来实现书籍的智能识别和定位,不仅能减少管理工作的负担,还能大幅提高工作效率。 物联网技术在校园的资源管理中,通过安装感应器实现智能照明,在没有人的时候关闭,减少资源的浪费。 物联网技术在校园的防卫工作中,在校园人力防卫基础上增设出入口智能识别系统,自动识别在校人员与车辆,防止外来人员随意出入。 总之,物联网技术在目前校园网中的应用已比较常见。

2.2 等级保护2.0 对物联网的要求

随着物联网应用逐渐普及,节点数据与终端设备规模骤增。 等级保护2.0 对物联网提出了针对性的要求,其中包括通用安全和其他扩展的相关技术要求。

等级保护2.0 对物联网的要求:保证只有授权感知节点能够访问,并限制与可感知节点通信的目的地址、与网关节点进行通信的目的地址。

对应的物联网安全解决方案:为所有感知节点烧制安全标识,并统一管理标识状态,切实从身份认证角度实现接入控制;利用物联网安全网关产品,实现对知节点、网关节点通信目标地址的限制。

2.3 疫情下物联网技术在校园网络中的提升

学生以及教职工返校期间,疫情频频爆发,为了确保师生安全,有效防控疫情,许多高校都在利用物联网对校园人员定位跟踪以及紧急通知系统做出改进。 其中,某些高校对学生、老师等的ID 卡进行升级,使得校园ID 卡成了校园人员追踪的一项重要设备,学校的工作人员可以通过升级后的ID 卡实时关注师生的活动轨迹,通过数据及时做出疫情应急措施。

疫情流行的最主要原因之一就是社交距离不当导致人群密集接触。 因此,在疫情防控常态化背景下,保持安全距离是疫情防控工作中的重要公共卫生举措。在防疫阶段,物联网在校园内人流密集的区域就做到了相当有力的防护措施,通过在公共场合安装物联网传感器,当某区域密集时就会发出警报,确保师生能够严格遵守社交距离的规定。 物联网在校园中的运用使得校园网更加安全可靠便捷。

2.4 物联网技术的防护要求

2.4.1 安全区域边界

设置安全区域边界可避免陌生区域的接入以及外部的不合法攻击行为,以免扰乱物联网感知区域的有序性和稳定性,因此只有规定范围内的感知节点才可以接入使用。

2.4.2 安全运维管理

当物联网出现异常时,管理人员应实时检测、维护、检修物联网感知设备接入的安全性,并记录维修过程和方法,为日后的突发情况提供数据支撑。

3 等级保护2.0 下的云计算安全

等级保护2.0 是网络安全的一次重大升级,等级保护对象范围也在传统系统的基础上扩大,其中云计算对等级保护制度也提出了新的要求,要明确云计算环境中的安全责任,对系统的定级、云计算平台的结构、平台安全、资源隔离、访问控制、数据安全、审计与监控等提出了新的要求。

3.1 系统的结构

根据等级保护2.0 规定,云计算的结构既包含对于云计算平台的技术要求,也包括对其的管理要求,具体如下所示:

3.1.1 技术要求

(1)物理和环境安全。

(2)网络和通信安全。

(3)设备和计算安全。

(4)应用和数据安全。

3.1.2 管理要求

(1)安全策略和管理制度。

(2)安全管理机构和人员。

(3)系统安全建设管理。

(4)系统安全运维管理。

3.2 平台安全

等级保护2.0 对于平台安全提出了新的要求:登录云管理平台的管理用户进行相应等级身份鉴别。 在进行远程管理时,管理终端和云平台边界设备之间应建立双向身份验证机制,具备对异常流量的识别、监控和处理能力,对发布到互联网的有害信息进行实时监测和告警。 网络策略控制器和网络设备(或设备代理)之间双向认证、数据加密传输[1]。

3.3 数据安全

等级保护2.0 对于数据安全提出了新的要求:应提供查询云服务客户数据及备份存储位置的方式,保证虚拟机迁移过程中重要数据的完整性和保密性,提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改,对虚拟机快照中的敏感信息进行加密保护,支持云服务客户部署密钥管理解决方案,确保云服务客户自行实现数据的加解密过程[2]。

4 云计算技术防护要求

4.1 基础设施安全要求

保护对象主要为校园机房和网络基础设施,避免遭受环境、天气、人为等不良影响。 在建设过程中,应考虑地理位置、环境因素,为校园网络基础设施提供最基本的安全保障。

4.2 设备使用安全要求

利用云计算技术为校园网络的设备使用提供一个安全平台,可利用访问控制、入侵防范、安全审计等要求对校园网络进行保护,合理部署访问控制机制,合理设置入侵防范体系,分级分步多重管理。

5 等级保护2.0 下的大数据安全

等级保护2.0 明确指出,网络运营者应根据保护对象的安全保护等级及其他级别保护对象的关系进行安全整体规划和安全方案设计[3]。 各高校校园网络安全体系均依赖于国家出台的各项网络安全法律法规,以支撑利用校园网络进行的各项校园教学、科研及教务管理。 高校校园网络体系建设涵盖信息管理、教学应用、生活服务等各个方面,会涉及大量的数据管理与统计,因此借助大数据存储量大、处理速度快等优势,推进大数据技术在校园网络建设中的深度应用。

5.1 等级保护2.0 中的大数据需求

在等级保护2.0 新标准中,针对大数据安全提出了新的扩展需求,包括:流量分离;大数据授权管理;分类别、级别管理;大数据入侵防御;大数据应用系统安全如图1 所示。

图1 等级保护2.0 对大数据的新需求

5.2 等级保护2.0 下的智慧校园数据安全

大数据时代的到来,数字化、信息化建设应用于各大高校。 教学、科研、校园管理、日常生活随处都会产生大量数据,那么大数据技术的产生不仅为校园网络服务提供了一个安全、高效的技术支撑,而且还提高了校园网络服务的精准性以及校园网络用户的个人隐私性。 等级保护2.0 规定大数据安全保护等级不得低于三级标准,而且明确指出相关于大数据设计技术要求:可信访问控制、数据保密性保护、剩余信息保护[4]。

5.2.1 身份认证技术

利用身份认证技术来保障数据的安全性和保密性。 校园网络应用系统有教职工、学生、系统管理员等使用者。 其中,教职工和学生是校园网络数据的生产者,系统管理员则负责校园网络管理与后期维护工作,他们在使用校园网络过程中有着不同的需求和权限,因而需要不同的身份认证机制。

5.2.2 数据加密技术

在当前高校校园网络中,由于校园网络安全体系不完善,个别用户网络安全意识不强以及校园用户数量的庞大,常常会发生各种信息泄露问题。 国内首例高校网络安全违反案例:2017 年9 月,淮南某一高校因未落实网络安全等级保护制度以及未做好数据分类、备份和加密工作,导致校园网络系统存在严重的漏洞问题,最终造成学生信息泄露。 信息数据泄露逐渐成为智慧校园的重大隐患,数据的加密显得尤为重要。 在等级保护2.0 时代,采用对称加密技术、非对称加密技术、数字签名、数字摘要、数字证书和公钥基础设施等技术来保障数据在存储和传输过程中的机密性[5]。

6 结语

高校是当前科研任务的重要载体,这就使得校园网络成为新时期网络攻击的重灾区。 由此可见,提高校园网络安全防护能力,强化校园网安全建设成了当务之急。 本文从等级保护2.0 角度出发,结合当前校园网络安全现状进行了分析,并提出了一些关于智慧校园网络安全新技术保障工作的建议。 此外,如何在使用新技术和安全之间找到一个平衡点,也是今后需要研究的重要课题。