“安全保障能力”解读

来源：本站 作者：张太行 河南中医药大学信息化办公室 发表于：2023.12.31  269浏览

文/张太行 河南中医药大学信息化办公室（网络中心）副主任

安全保障能力是指为保护网络空间中的信息的机密性、完整性和可用性所采取的一系列措施，主要包括网络安全、数据安全、运维安全和应急能力等。

一、网络安全

网络安全主要从制度制定、安全责任、安全基础设施建设、技术保障等方面出发，落实保障单位的网络与信息系统安全。

1.安全保障措施

安全保障措施主要包括制度建设、等保测评、网络安全应急演练、软件正版化以及师生安全意识的提升。

（1）制定并发文网络安全工作责任制或者网络安全责任制实施细则。在实施细则中明确网络安全具体责任人、各单位部门的具体职责。

（2）统计单位信息系统，对信息系统定级，针对二级信息系统，邀请第三方测评公司，每两年进行一次等级保护测评。三级系统每年进行一次等级保护测评。依据扫描、测评结果整改，最终取得系统等保测评证书。

（3）制定并发文单位网络安全事件应急预案。依据单位实际情况，撰写单位年度应急演练方案，在第三方安全公司、各部门单位的配合下，模拟演练；然后，从应急演练中找到单位存在的问题并整改；最后，撰写应急演练工作总结。  

（4）要求单位统一购买正版化软件——主要包括操作系统、办公软件、安全软件和数据库管理系统等基础软件，以供师生使用。

（5）要求开展师生的网络与信息安全意识培训工作，提升师生的网络安全意识，并留存培训相关的支撑材料。

2.技术防护能力

技术防护能力指网络安全保障体系的建设情况，主要包括安全设备部署情况、日志记录情况、安全预警情况等。

（1）构建完善的网络安全保障体系。保障体系主要包括边界安全、安全运维、安全检测、安全审计等。边界安全设备是指建设软硬件防火墙、应用防火墙；安全运维是指通过建设堡垒机、VPN等设备提升运维的安全性。安全检测是指建设漏洞扫描设备提前发现系统中存在的安全问题。安全审计是指建设流量审计、数据库审计、恶意代码防范系统等设备发现正在运行的系统中存在的问题。建立从系统上线、运行、运维一体化的网络安全保障体系，更新特征库，配置安全可靠的策略，保障系统的网络安全。

（2）针对数据中心DMZ区划分明确的边界，通过防火墙、Waf等设备实现南北向流量的过滤与防护；通过在服务器上安装终端安全设备，设置相关的策略，实现数据中心东西向流量的过滤与防护。在数据中心部署资产管理系统，当发现业务出现问题时，通过一键断网的方式切断业务的访问。

（3）建设统一日志管理中心，配置操作系统、安全设备、网络设备以及数据库等日志，将其发送至日志管理中心，通过日志管理中心对相关日志进行分析、预警、查询。按照《网络安全法》，所有的日志存储时间均为180天。另外，针对校园网用户，建设上网认证系统以及上网行为管理平台，记录分析校园网用户的上网行为。针对存在风险的用户，通过实名可追溯到相关人员。

（4）通过流量镜像采集单位的流量，同时将日志管理平台的日志发送至网络安全态势感知平台，通过态势感知平台的特征库和威胁情报库分析，对资产的安全情况进行检测、预警。如发现存在高风险的资产，对其进行通报、处置以及整改，保证网络安全的正常运营。

二、 数据安全

数据安全主要从管理制度、生物信息采集、网站内容准确性以及网站SSL证书配置等方面考察单位对数据信息的管理与使用。数据安全保护措施主要包括对网站内容安全以及个人数据的保护。

1.建设网站与信息系统监控系统，保障网站与信息系统的可用性，对单位的网站以及信息系统配置SSL证书，启用HTTPS协议，保障在传输过程中的安全性。另外，对网站和信息系统定期扫描、进行渗透测试，如果发现安全风险，进行一键关停。

2.在教育部备案系统中备案学校使用的APP，并且与第三方APP公司签署数据安全协议，限制个人信息的使用范围。另外，对于个人信息的采集，需要经过学校领导班子决策同意并进行记录，严格控制个人生物信息的使用范围，落实《个人信息保护法》要求。

3.制定并发文数据管理办法，明确数据采集、存储、使用等相关规定。如果有第三方系统需要用到师生敏感信息的，需要签订数据保密协议。对于敏感信息，在数据库中存储时需要做加密或者脱敏处理。

4.提供信息系统评测机制，对信息系统进行扫描以及渗透测试，通报有问题的系统，对整改不到位的进行下架处理。

5.对网站内容（政治性错误、易炒作文字错误、国家领导人名字错误、涉黄涉毒涉暴等）进行监控检查并及时修正。同时开启网站防篡改功能，保证网站内容的准确性以及网站安全。

三、运维安全

运维安全主要指对机房、校园网、业务系统的运维管理，通过建设统一运维管理平台，监控各项设备、业务的运行情况，保证各项业务的运行。运维体系是一个综合性的系统，主要包括组织体系、制度体系、监控体系、响应体系等。

1.制定信息化建设“三统”管理文件或二级部门机房建设管理规定，说明二级部门建设私有云机房应该由学校统一规划和管理云计算资源。采用集中管控的方式确保网络安全。组织建立集中安全管控中心，负责制定和执行安全策略，监控和审计所有私有云机房的安全状况，及时发现和处理安全问题。

2.实行日志记录机制，对所有操作系统、数据库、网络管理等的操作进行详细记录，确保记录包括操作时间、操作人员、操作内容等。建立审计系统，对机房所有操作进行实时监控和审计。确保审计系统能够识别并记录异常操作或者违规行为。使用最小权限原则，为每个用户或角色分配适当的访问权限，减少潜在的安全风险。

3.建设安全运营中心，对互联网发布的数字资产进行安全风险检测，包括但不限于网站、应用程序、数据等。通过定期和实时的安全扫描，发现并报告安全风险。对于连接到校园网的每一台主机，都进行安全风险检测。一旦发现安全风险或安全事件，立即启动通报机制，将信息通知到相关人员，便于迅速采取行动。

4.使用专业的网管软件对校园内的所有网络设备进行统一管理，确保网络设备的配置和操作符合统一的标准和规范。对校园网络与外部网络的连接点进行流量监控，预测可能的带宽瓶颈，并为扩容提供数据支持。对校园网络的核心交换机、路由器等关键设备进行流量监控，及时发现并处理异常流量。针对不同的教学楼、实验室等区域进行流量监控，了解各区域的网络使用情况。对校园内网络设备的运行状态进行实时监控。通过对网络设备运行数据的分析，发现性能瓶颈或潜在问题，并进行优化。

5.对虚拟化平台中的所有服务器、数据库、虚拟主机、中间件等进行实时监控，包括CPU、内存、磁盘、网络等关键指标，及时发现性能瓶颈或故障，采取相应的措施。当出现故障或性能问题时，能够迅速启动应急响应机制，减少对业务的影响。

6.对业务系统的关键指标进行实时监控，如系统响应时间、事务处理速度、用户活跃度等。设定合适的阈值，当业务系统的关键指标超过或低于这些阈值时，系统自动发出告警，通知管理员及时处理。利用日志分析、性能监控工具等手段，快速定位问题发生的原因和位置。

7.实现对所有IT资源（如服务器、数据库、中间件、网络设备等）的集中监控，将所有IT资源的状态和性能信息通过大屏展示给管理员，方便管理员实时了解IT环境的运行状态。根据业务需求和IT资源的关键指标，设置合适的告警规则和阈值，使得系统自动发出告警信息，通知管理员及时处理。

8.人员管理是确保IT运维安全的重要组成部分。通过使用运维审计系统，对运维员、审计员、管理员等人员进行行为管理，确保他们的操作合规，并防止潜在的安全风险。

四、应急能力

网络安全应急能力是指在网络出现安全事件时，能够及时、有效地应对和解决的能力。主要包括网络隐患及事件处置能力、灾难恢复能力。

1.网络隐患及事件处置能力

网络隐患及事件处置能力是指针对网络安全隐患和事件，能够及时发现、识别、评估和处理的能力。主要包含应急联络体系健全、应急响应流程合理、排查能力强等。

（1）网络安全应急联络体系健全，建立一个高效、全面的网络安全应急联络机制。通过这个机制，各参与方可以及时、有效地进行信息共享、协调行动和反馈情况，以确保在网络安全事件发生时能够快速响应和处置。该体系也能够促进各参与方的协作和信息共享，推动网络安全工作的持续发展和提升。

（2）制定并发文网络安全事件应急响应流程，针对数据泄露、勒索事件、病毒传播、网络攻击等制定专项应急处置响应计划，处理网络安全隐患。定期评估和更新应急响应流程和处置计划，结合实际情况不断完善和优化。加强员工安全培训，提高全员安全意识。

（3）详细记录供应商的名称、联系方式、业务范围等信息，定期对供应商进行评估，确保其服务质量和安全性满足要求。制定安全检查计划，确保及时发现潜在的信息系统安全隐患。使用自动化代码审计工具，提高审计效率。识别系统上线可能带来的各种风险，并制定针对性的风险应对策略，降低或消除风险。

2.灾难恢复能力

灾难恢复能力可以视为对中心面临灾害或中断情况时恢复数据和保障业务运行的能力。具体可以从数据备份能力、基础设施的冗余能力、灾难恢复计划、恢复时间目标（RTO）和数据恢复点目标（RPO）等方面考虑。

（1）具备灾难恢复能力对于确保本地数据中心运行的业务连续性和数据完整性至关重要。深入了解灾备系统的功能，制定合理的备份策略和详细的灾难恢复计划，实时监测数据中心的运行状况，以及任何潜在的故障或异常。定期审查和更新灾难恢复计划，以适应业务和技术环境的变化。

（2）业务连续性能力对于确保组织在面临各种风险和挑战时能够持续运营至关重要。为了确保重要应用具备双活备份和快速切换能力，实施双活备份策略，确保两个数据中心都处于活动状态；开发和应用快速切换流程，可以迅速将应用和流量切换到备份数据中心。重要应用系统采用CDP配置策略，保障重要业务系统数据不丢失。

五、应急处置

应急处置主要考察对网络安全事件处置的结果和及时程度。此部分只扣分，由河南省教育系统网络安全监测保障平台提供数据作为扣分依据。一般性网络安全事件发生一起扣1分，未及时处理每次扣10分；较大负面影响的网络安全事件发生一起扣25分，未及时处理每次扣50分；发生造成恶劣影响的重大及以上网络安全事件的，一级指标安全保障能力为0分。