距離2021版等保測評計分標準的全面調整已經過去四個月。隨著“缺陷扣分法”的落地,等保測評項得分越來越難,通過難度也再加大。新計分規則下,不少高校開始為如何通過這場“新等保大考”而頭疼。
近期,中國礦業大學(北京)網絡與信息中心副主任霍躍華接受采訪,他是北京教育系統等保建設最早的見證者和參與者之一,分享了他對等保建設的思考。
教育系統等保建設最早一批的見證者
霍躍華談等保建設的那些事兒
“2007年,我和其他74所高校的80位老師一起參加了北京市教育系統的等級保護工作會議,這是教育系統最早提及信息安全等級保護的一次會議。”作為教育等保建設最早的見證者和參與者之一,霍躍華對十四年前的那場等保會議記憶猶新。
2007年,教育系統首次提出了信息安全等級保護。當時,參加等保的信息系統按照損害程度為 “一般損害、嚴重損害和特別嚴重損害”的評審標準進行定級。正所謂“一千個人眼中有一千個哈姆雷特”,定性的評審標準在缺乏定量指標的指導下,導致了不同學校在評審標準理解上的分歧。相對而言,標準也很難執行落地。后來,相關部門又持續優化了等級保護的測評工作,等保也從1.0到2.0,再到今年6月提出新計分標準。
“其實,每一次標準的迭代更新都見證了等保工作的與時俱進。”霍躍華回憶起他參與等保工作的親身經歷感慨道,教育系統等保工作歷經十多年發展,測評指標和評價體系越來越明確和規范,管理制度也更加完善。雖然測評標準越來越嚴格和復雜,需要學校做的等保相關工作越來越多,但是卻全面加強了校園網絡安全保障體系和能力建設,織密了整個教育系統的網絡安全屏障。
高校等保2.0怎么做?
首批完成等保2.0備案的中國礦業大學(北京)有話說
在2019年,中國礦業大學(北京)就啟動了等保測評工作。經過八、九個月的時間通過了包括統一身份認證、教務系統等在內9個二級信息系統的等保測評,由于恰逢等保2.0標準正式實施,中國礦業大學(北京)成為首批按照等保2.0標準開展等保測評工作的高校。
在中國礦業大學(北京)十幾年的等保建設過程中,霍躍華作為其中的全程參與者深有體會。他表示,“以等保工作為抓手,建立有利于網絡安全工作和網信工作的軟環境,提高師生和各部門的配合度是我校順利推進等保建設的關鍵之舉。”
在等保建設的具體舉措上,中國礦業大學(北京)則選擇攜手在網絡安全領域有著豐富實踐經驗的深信服,共同守護網絡安全。
深信服以網絡安全法、等級保護2.0標準體系等為依據,特別針對等保2.0新增和加強的要求,結合中國礦業大學(北京)的等級保護現狀和業務需求,確立了“持續保護,不止合規”的等保核心價值,共同規劃了“一個中心、四重防護”的等保建設方案,并驅動“資產梳理”和“制度保障”,形成等保規劃的三駕馬車,推動學校搭建立體化網絡安全防護體系。
1. “一個中心、四重防護”等保建設規劃。深信服將學校的網絡安全技術、管理現狀與等保測評項逐一進行匹配分析,明確了中國礦業大學(北京)的網絡安全工作與等保2.0要求之間存在的差距,并依據“一個中心、四重防護”提出了等保建設方案。霍躍華表示:“該方案以安全管理為中心,以物理環境、安全區域邊界、安全通信網絡、安全計算環境作為防護重點,不僅為學校提供了技術措施的增補,還優化了網絡安全配置和管理體系,全面提升了學校現有的二級等保業務系統的合規能力,健全了安全技術和管理能力,為我校順利通過9個二級系統測評打下了堅定基礎。”
2. 資產梳理加固網絡安全。中國礦業大學(北京)基于“一個中心、四重防護”的建設思想,對“安全管理中心、安全邊界防護、安全通信網絡、安全計算環境、安全物理環境”展開網絡結構梳理和自查。霍躍華認為,資產梳理的過程不僅是一個“發現潛在風險,加固網絡安全”的合規過程;更為今后學校的網絡安全項目申報(如關鍵設備的采購,現有網絡安全設備配置或位置變更)提供了指導。
3. 安全制度保障等保實踐。“為了便于其他部門理解和接受,我們參考了深信服,將38個等保制度模板進行合理整合,結合實際情況,制定出最適合中國礦業大學(北京)的安全制度,并且落地執行。”霍躍華表示,學校以等保制度為標尺,在等保合規基礎之上針對學校的關鍵網絡、核心業務、重要數據實施重點保護。
回顧中國礦業大學(北京)十幾年的等保建設歷程,霍躍華建議,高校不要把等保合規工作僅僅作為一件具體的事情去完成,而是要通過這個具體的事情,把學校的網絡安全工作變成一個系統的工作,全面提升網絡安全工作在學校范圍內的認可度,更好地推動學校網絡安全工作的開展。(科文)
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
