距离2021版等保测评计分标准的全面调整已经过去四个月。随着“缺陷扣分法”的落地,等保测评项得分越来越难,通过难度也再加大。新计分规则下,不少高校开始为如何通过这场“新等保大考”而头疼。
近期,深信服特别采访了中国矿业大学(北京)网络与信息中心副主任霍跃华,他也是北京教育系统等保建设最早的见证者和参与者之一。他带来了等保建设亲身经历分享以及他所在职的中国矿业大学(北京)的等保2.0建设思考。
教育系统等保建设最早一批的见证者
霍跃华谈等保建设的那些事儿
“2007年,我和其他74所高校的80位老师一起参加了北京市教育系统的等级保护工作会议,这是教育系统最早提及信息安全等级保护的一次会议。”作为教育等保建设最早的见证者和参与者之一,霍跃华对十四年前的那场等保会议记忆犹新。
2007年,教育系统首次提出了信息安全等级保护。当时,参加等保的信息系统按照损害程度为 “一般损害、严重损害和特别严重损害”的评审标准进行定级。正所谓“一千个人眼中有一千个哈姆雷特”,定性的评审标准在缺乏定量指标的指导下,导致了不同学校在评审标准理解上的分歧。相对而言,标准也很难执行落地。后来,相关部门又持续优化了等级保护的测评工作,等保也从1.0到2.0,再到今年6月提出新计分标准。
“其实,每一次标准的迭代更新都见证了等保工作的与时俱进。”霍跃华回忆起他参与等保工作的亲身经历感慨道,教育系统等保工作历经十多年发展,测评指标和评价体系越来越明确和规范,管理制度也更加完善。虽然测评标准越来越严格和复杂,需要学校做的等保相关工作越来越多,但是却全面加强了校园网络安全保障体系和能力建设,织密了整个教育系统的网络安全屏障。
高校等保2.0怎么做?
首批完成等保2.0备案的中国矿业大学(北京)有话说
在2019年,中国矿业大学(北京)就启动了等保测评工作。经过八、九个月的时间通过了包括统一身份认证、教务系统等在内9个二级信息系统的等保测评,由于恰逢等保2.0标准正式实施,中国矿业大学(北京)成为首批按照等保2.0标准开展等保测评工作的高校。
在中国矿业大学(北京)十几年的等保建设过程中,霍跃华作为其中的全程参与者深有体会。他总结道:“以等保工作为抓手,建立有利于网络安全工作和网信工作的软环境,提高师生和各部门的配合度是我校顺利推进等保建设的关键之举。”
在等保建设的具体举措上,中国矿业大学(北京)则选择携手在网络安全领域有着丰富实践经验的深信服,共同守护网络安全。
深信服以网络安全法、等级保护2.0标准体系等为依据,特别针对等保2.0新增和加强的要求,结合中国矿业大学(北京)的等级保护现状和业务需求,确立了“持续保护,不止合规”的等保核心价值,共同规划了“一个中心、四重防护”的等保建设方案,并驱动“资产梳理”和“制度保障”,形成等保规划的三驾马车,推动学校搭建立体化网络安全防护体系。
1. “一个中心、四重防护”等保建设规划。深信服将学校的网络安全技术、管理现状与等保测评项逐一进行匹配分析,明确了中国矿业大学(北京)的网络安全工作与等保2.0要求之间存在的差距,并依据“一个中心、四重防护”提出了等保建设方案。霍跃华表示:“该方案以安全管理为中心,以物理环境、安全区域边界、安全通信网络、安全计算环境作为防护重点,不仅为学校提供了技术措施的增补,还优化了网络安全配置和管理体系,全面提升了学校现有的二级等保业务系统的合规能力,健全了安全技术和管理能力,为我校顺利通过9个二级系统测评打下了坚定基础。”
2. 资产梳理加固网络安全。中国矿业大学(北京)基于“一个中心、四重防护”的建设思想,对“安全管理中心、安全边界防护、安全通信网络、安全计算环境、安全物理环境”展开网络结构梳理和自查。霍跃华认为,资产梳理的过程不仅是一个“发现潜在风险,加固网络安全”的合规过程;更为今后学校的网络安全项目申报(如关键设备的采购,现有网络安全设备配置或位置变更)提供了指导。
3. 安全制度保障等保实践。“为了便于其他部门理解和接受,我们参考了深信服,将38个等保制度模板进行合理整合,结合实际情况,制定出最适合中国矿业大学(北京)的安全制度,并且落地执行。”霍跃华表示,学校以等保制度为标尺,在等保合规基础之上针对学校的关键网络、核心业务、重要数据实施重点保护。
回顾中国矿业大学(北京)十几年的等保建设历程,霍跃华建议:“高校不要把等保合规工作仅仅作为一件具体的事情去完成,而是要通过这个具体的事情,把学校的网络安全工作变成一个系统的工作,全面提升网络安全工作在学校范围内的认可度,更好地推动学校网络安全工作的开展。”