基于等级保护 2.0 的高校网络安全保障建设研究
摘要:在网络安全的新形式及新要求下,高校网络安全保障建设迫在眉睫。文
章从等级保护 2.0 的视角出发,分析了国内网络安全现状及某高校的网络安全痛
点,研究了该高校网络安全保障建设的具体措施。
关键词:等级保护;高校;网络安全保障建设
1 等级保护 2.0 标准的新要求
随着信息化的深入推进,高校信息化水平得到了显著提升,各信息系统也飞
速发展,其所面临的安全危险也与日俱增,为了适应新形式的发展,等级保护
2.0 的标准将云计算、移动互联、物联网、工业控制系统等列入了标准范围,构
成了“安全通用要求+新型应用安全扩展要求 ”的要求内容,新标准还将 “基本要求、
设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、
“安全计算环境”和“安全管理中心”支持下的三重防护体系架构,强化了可信计算
技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证
要求。
2 国内及某高校网络安全现状
目前,国内高校网络安全现状可以用“三多三缺”来概括,即“涉及人员多、系
统数量多、安全问题多,缺人手、缺技术、缺资源”。教师、学生数据超过 5 亿
条,数据敏感,境外黑客攻击多,僵尸网站多且缺少基础以及专业的维护,主要
还是缺少专业的人员。
2.1 各类恶意软件多态
恶意软件的种类近十年间翻了近七十倍,如图 1 所示。
2.2 攻击态势严峻
自 2019 年以来,全国甚至全世界范围内大规模爆发勒索病毒,国内遭遇勒索
攻击态势分布如图 2 所示,主要集中在北上广以及江浙一带,内蒙及西藏也遭遇
较严重攻击,且遭遇勒索病毒的攻击比例中,教育行业占 7%,如图 3 所示。
2.3 攻击人员团队化
现在的攻击从个人向规模团队化转变,他们怀有不同的动机,选择不同的目
标,掌握的资源也多种多样,拥有不同的能力,使用不同的方法。网络安全对抗
进入了全新的一页,需要研究新的思路,建设新的能力。
2.4 该高校网络安全现状
目前,该高校信息化建设初具规模,硬件建设基本完成,主机设备基本到位,
网络设备配备基本齐全,但是安全设备较欠缺,安全技术体系也不完善,未能严
格按照要求定期对重要服务器进行渗透测试和安全加固等。管理方面,安全管理
制度不完善,缺乏有效的安全运维机制和辅助运维的平台。
该高校目前面临的网络安全痛点主要有:(1)信息资产不明确。有部分未知
资产,被通报了才知道,关键基础设施有哪些、双非资产有哪些、未知资产还有
哪些、所属部门是哪个都不明确。(2)资产风险不明确。包括僵尸网站、失效
网站、域名过期、有无备案、等保状态等,都不能完全明确。(3)安全检测及
防护不到位。弱口令的检测及防护不到位,漏洞暴露检测不到位,防止反共、篡
资源评论
qq_427886622022-12-24资源很赞,希望多一些这类资源。
