霍跃华：把等保合规建设变成一个系统工作

　　距离2021版等保测评计分标准的全面调整已经过去四个月。随着“缺陷扣分法”的落地，等保测评项得分越来越难，通过难度也再加大。新计分规则下，不少高校开始为如何通过这场“新等保大考”而头疼。

　　近期，中国矿业大学（北京）网络与信息中心副主任霍跃华接受采访，他是北京教育系统等保建设最早的见证者和参与者之一，分享了他对等保建设的思考。

　　教育系统等保建设最早一批的见证者

　　霍跃华谈等保建设的那些事儿

　　“2007年，我和其他74所高校的80位老师一起参加了北京市教育系统的等级保护工作会议，这是教育系统最早提及信息安全等级保护的一次会议。”作为教育等保建设最早的见证者和参与者之一，霍跃华对十四年前的那场等保会议记忆犹新。

　　2007年，教育系统首次提出了信息安全等级保护。当时，参加等保的信息系统按照损害程度为 “一般损害、严重损害和特别严重损害”的评审标准进行定级。正所谓“一千个人眼中有一千个哈姆雷特”，定性的评审标准在缺乏定量指标的指导下，导致了不同学校在评审标准理解上的分歧。相对而言，标准也很难执行落地。后来，相关部门又持续优化了等级保护的测评工作，等保也从1.0到2.0，再到今年6月提出新计分标准。

　　“其实，每一次标准的迭代更新都见证了等保工作的与时俱进。”霍跃华回忆起他参与等保工作的亲身经历感慨道，教育系统等保工作历经十多年发展，测评指标和评价体系越来越明确和规范，管理制度也更加完善。虽然测评标准越来越严格和复杂，需要学校做的等保相关工作越来越多，但是却全面加强了校园网络安全保障体系和能力建设，织密了整个教育系统的网络安全屏障。

　　高校等保2.0怎么做？

　　首批完成等保2.0备案的中国矿业大学（北京）有话说

　　在2019年，中国矿业大学（北京）就启动了等保测评工作。经过八、九个月的时间通过了包括统一身份认证、教务系统等在内9个二级信息系统的等保测评，由于恰逢等保2.0标准正式实施，中国矿业大学（北京）成为首批按照等保2.0标准开展等保测评工作的高校。

　　在中国矿业大学（北京）十几年的等保建设过程中，霍跃华作为其中的全程参与者深有体会。他表示，“以等保工作为抓手，建立有利于网络安全工作和网信工作的软环境，提高师生和各部门的配合度是我校顺利推进等保建设的关键之举。”

　　在等保建设的具体举措上，中国矿业大学（北京）则选择携手在网络安全领域有着丰富实践经验的深信服，共同守护网络安全。

　　中国矿业大学（北京）以网络安全法、等级保护2.0标准体系等为依据，特别针对等保2.0新增和加强的要求，结合等级保护的现状和业务需求，将系统论的思想引入等保建设工作， 确立了“持续保护，不止合规”的等保核心价值，规划了“一个中心、四重防护”的等保建设方案，并驱动“资产梳理”和“制度保障”，形成等保规划的三驾马车，推动学校搭建立体化网络安全防护体系。

　　1. “一个中心、四重防护”等保建设规划。学校将网络安全技术、管理现状与等保测评项逐一进行匹配分析，明确了网络安全工作与等保2.0要求之间存在的差距，深信服依据“一个中心、四重防护”提出了等保具体建设方案。霍跃华表示：“以安全管理为中心，以物理环境、安全区域边界、安全通信网络、安全计算环境作为防护重点，不仅为学校提供了技术措施的增补，还优化了网络安全配置和管理体系，全面提升了学校现有的二级等保业务系统的合规能力，健全了安全技术和管理能力，为我校顺利通过9个二级系统测评打下了坚定基础。

　　2. 资产梳理加固网络安全。中国矿业大学（北京）基于“一个中心、四重防护”的建设思想，对“安全管理中心、安全边界防护、安全通信网络、安全计算环境、安全物理环境”展开网络结构梳理和自查。霍跃华认为，资产梳理的过程不仅是一个“发现潜在风险，加固网络安全”的合规过程；更为今后学校的网络安全项目申报（如关键设备的采购，现有网络安全设备配置或位置变更）提供了指导。

　　3. 安全制度保障等保实践。“为了让我校等保工作产生持久的效果，我们将38个等保制度模板进行合理整合，结合实际情况，制定出最适合中国矿业大学（北京）的安全制度，并且落地执行。”霍跃华表示，学校以等保制度为标尺，在等保合规基础之上针对学校的关键网络、核心业务、重要数据实施重点保护。

　　回顾中国矿业大学（北京）十几年的等保建设历程，霍跃华建议，高校不要把等保合规工作仅仅作为一件具体的事情去完成，而是要通过这个具体的事情，把学校的网络安全工作变成一个系统的工作，全面提升网络安全工作在学校范围内的认可度，更好地推动学校网络安全工作的开展。