呂美敬

（中央財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息中心， 北京 100081）

1 引言

“互聯(lián)網(wǎng)+”是指將互聯(lián)網(wǎng)技術(shù)應(yīng)用于各個(gè)傳統(tǒng)行業(yè)中，充分發(fā)揮互聯(lián)網(wǎng)技術(shù)的優(yōu)勢(shì)。隨著“互聯(lián)網(wǎng)+”技術(shù)的飛速發(fā)展，“互聯(lián)網(wǎng)+”教育、“互聯(lián)網(wǎng)+”金融、“互聯(lián)網(wǎng)+”媒體、“互聯(lián)網(wǎng)+”醫(yī)療在生活中的廣泛普及，網(wǎng)絡(luò)則更加深刻地影響著高校師生的日常學(xué)習(xí)和工作。高校管理者和信息安全工作者為適應(yīng)信息化時(shí)代的發(fā)展要求，積極利用“互聯(lián)網(wǎng)+”的思維，采用先進(jìn)的互聯(lián)網(wǎng)信息技術(shù)來建設(shè)高校校園網(wǎng)絡(luò)。先進(jìn)的互聯(lián)網(wǎng)技術(shù)不僅可以讓高校教師更好地進(jìn)行教學(xué)、科研和管理，學(xué)生也能更好地利用校園網(wǎng)絡(luò)開拓視野、創(chuàng)新學(xué)習(xí)。高校師生在享受“互聯(lián)網(wǎng)+”技術(shù)帶來便利的同時(shí)，也應(yīng)該意識(shí)到基于“互聯(lián)網(wǎng)+”技術(shù)建設(shè)的校園網(wǎng)帶來的網(wǎng)絡(luò)安全問題。

2 “互聯(lián)網(wǎng)+”背景下的校園網(wǎng)絡(luò)安全現(xiàn)狀

根據(jù)2018年中國(guó)互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)調(diào)查數(shù)據(jù)顯示，截至2018年6月，在學(xué)校通過電腦接入互聯(lián)網(wǎng)的比例增長(zhǎng)了0.5個(gè)百分點(diǎn)。中國(guó)網(wǎng)民中學(xué)生群體最多，占比達(dá)24.8%?；ヂ?lián)網(wǎng)+模式在逐漸融入到師生工作和學(xué)習(xí)的方方面面，即時(shí)通信、搜索引擎、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)音樂、網(wǎng)上支付、網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)游戲、網(wǎng)上銀行、網(wǎng)絡(luò)文學(xué)、旅行預(yù)定、電子郵件、互聯(lián)網(wǎng)理財(cái)、地圖查詢、網(wǎng)上訂外賣、在線教育、網(wǎng)約出租車、網(wǎng)約專車或快車、網(wǎng)絡(luò)直播、共享單車等。智能水（電）表、門禁、節(jié)能路燈、電子班牌、攝像頭這些與學(xué)生生活、教學(xué)數(shù)字化相關(guān)的新型終端，越來越多地出現(xiàn)在校園，承載在校園網(wǎng)中。各種電腦設(shè)備以及移動(dòng)設(shè)備的接入互聯(lián)，有線網(wǎng)絡(luò)及無線網(wǎng)絡(luò)在學(xué)校的廣泛普及，使得校園網(wǎng)絡(luò)環(huán)境更加錯(cuò)綜復(fù)雜，校園中的某一臺(tái)設(shè)備遭受攻擊，如感染某種病毒，可能導(dǎo)致系統(tǒng)損壞或者大量數(shù)據(jù)信息泄露，也有可能在整個(gè)校園局域網(wǎng)中擴(kuò)散破壞整個(gè)網(wǎng)絡(luò)環(huán)境，導(dǎo)致校園網(wǎng)癱瘓，必將給高校的正常運(yùn)轉(zhuǎn)帶來巨大的損失。

當(dāng)前互聯(lián)網(wǎng)受到的攻擊種類很多，首先來自學(xué)校內(nèi)部的惡意攻擊，高校學(xué)生的計(jì)算機(jī)能力參差不齊，有的學(xué)生好奇心強(qiáng)或者受利益驅(qū)動(dòng)，利用自己擅長(zhǎng)具備的網(wǎng)絡(luò)技術(shù)惡意攻擊學(xué)校的某些服務(wù)器或者其他師生的電腦，比如篡改他人成績(jī)、修改選課信息等，給校園網(wǎng)的安全運(yùn)行帶來嚴(yán)重影響；其次是外部黑客的蓄意攻擊，比如植入木馬病毒、DDoS 攻擊或數(shù)據(jù)盜竊等。2017年爆發(fā)的勒索病毒，攻擊了很多大型企業(yè)，包括高校，導(dǎo)致這些單位的辦公電腦藍(lán)屏，重要文件被破壞，病毒通過郵件、網(wǎng)頁(yè)甚至手機(jī)侵入，將電腦上的文件加密，受害者只有按要求支付一定的金額才能解密，不按時(shí)支付，病毒聲稱電腦中的數(shù)據(jù)信息將會(huì)永遠(yuǎn)無法恢復(fù)，這次病毒席卷全球，給多數(shù)企業(yè)和高校師生帶來嚴(yán)重?fù)p失；第三是高校校園網(wǎng)的建設(shè)包括硬件建設(shè)和軟件建設(shè)兩個(gè)部分，由于技術(shù)、人員、經(jīng)費(fèi)等各方面的限制，校園網(wǎng)在建設(shè)過程中存在一定的不合理性，部分高?？赡艽嬖谥赜布p軟件的建設(shè)模式，導(dǎo)致校園網(wǎng)在實(shí)際的運(yùn)行過程中造成一定的硬件資源浪費(fèi)，而軟件建設(shè)又投入不足，軟硬件發(fā)展不協(xié)調(diào)，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)問題難以排查追蹤，在一定程度上為校園網(wǎng)的安全埋下了隱患；第四是高校信息安全技術(shù)人員往往重管理輕技術(shù)，隨著網(wǎng)絡(luò)安全法的正式運(yùn)行，大部分高校已經(jīng)開始重視網(wǎng)絡(luò)安全管理，但是仍舊缺乏完善的規(guī)章制度和激勵(lì)機(jī)制，網(wǎng)絡(luò)管理人員沒有實(shí)行定崗明責(zé)，遇到問題不能及時(shí)排查，對(duì)網(wǎng)絡(luò)的日常監(jiān)管有所忽視，也給不法分子帶來可趁之機(jī)。

3 對(duì)策研究

高校網(wǎng)絡(luò)安全不僅僅是傳統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全，也包括管理層面及執(zhí)行層面的安全。我們從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、安全層和管理層等五個(gè)層面建立可信、可靠的高校網(wǎng)絡(luò)安全體系。物理層是網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，是校園網(wǎng)安全體系的核心和基礎(chǔ)；網(wǎng)絡(luò)層是實(shí)現(xiàn)數(shù)據(jù)通信安全的重要保障；系統(tǒng)層是實(shí)現(xiàn)信息采集、存儲(chǔ)、傳輸、存取和管理的途徑；安全層是校園網(wǎng)絡(luò)安全的技術(shù)支撐和保障；管理層是決策層，是校園網(wǎng)絡(luò)安全體系的政策導(dǎo)向和制度保障。

3.1 物理層

機(jī)房是企業(yè)整個(gè)網(wǎng)絡(luò)的核心和數(shù)據(jù)交換中心，匯聚了大量的網(wǎng)絡(luò)設(shè)備及數(shù)據(jù)信息，機(jī)房物理環(huán)境的安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全保障，是數(shù)據(jù)安全存儲(chǔ)的大前提。機(jī)房環(huán)境安全應(yīng)從機(jī)房選址、周圍環(huán)境、防火、防盜、防破壞、防雷擊、防水和防潮、防靜電和溫濕度控制方面嚴(yán)格按照國(guó)家對(duì)于核心機(jī)房建設(shè)的標(biāo)準(zhǔn)規(guī)范進(jìn)行，確保工程材料和設(shè)備都滿足標(biāo)準(zhǔn)規(guī)范的要求。有條件的單位應(yīng)在機(jī)房出入口安排專人值守，并對(duì)出入人員進(jìn)行控制、鑒別和登記。在機(jī)房設(shè)置視屏監(jiān)控記錄設(shè)備，視頻監(jiān)控范圍應(yīng)覆蓋到所有重要部位。機(jī)房建筑應(yīng)設(shè)置避雷裝置，且與大樓避雷分開，單獨(dú)建設(shè)機(jī)房避雷裝置。

3.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層主要負(fù)責(zé)網(wǎng)絡(luò)間的通信，為網(wǎng)絡(luò)通信提供路由選擇，提供透明傳輸，校園網(wǎng)中的重要網(wǎng)絡(luò)設(shè)備如路由器、三層交換機(jī)均位于網(wǎng)絡(luò)層。在日常的網(wǎng)絡(luò)維護(hù)過程中，路由器和三層交換機(jī)等設(shè)備不能使用缺省的密碼來驗(yàn)證用戶身份，并且禁止通過HTTP或者遠(yuǎn)程Telnet方式訪問，均采用SSH或者HTTPS等安全方式登錄，網(wǎng)絡(luò)設(shè)備上啟用登錄失敗處理和登錄超時(shí)功能，并設(shè)置合理的參數(shù)。限制網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理地址，其顆粒度應(yīng)達(dá)到主機(jī)級(jí)。為不同級(jí)別的管理員設(shè)置獨(dú)立賬戶并定期更換網(wǎng)絡(luò)設(shè)備的口令。

3.3 系統(tǒng)層

系統(tǒng)層主要包括信息系統(tǒng)建設(shè)安全與運(yùn)維管理安全。隨著智慧校園的建設(shè)和各類應(yīng)用系統(tǒng)的普及，師生對(duì)業(yè)務(wù)系統(tǒng)的的訪問量也逐漸加大，網(wǎng)絡(luò)安全問題也隨之產(chǎn)生。信息系統(tǒng)在設(shè)計(jì)方案中應(yīng)考慮安全防護(hù)設(shè)計(jì)，在軟件開發(fā)過程中應(yīng)該規(guī)范系統(tǒng)開發(fā)的流程和管理，建立安全編碼規(guī)范和代碼安全審查制度，確保系統(tǒng)建設(shè)安全可控。信息系統(tǒng)安全貫穿于系統(tǒng)需求分析階段、設(shè)計(jì)與分析階段、實(shí)施階段、測(cè)試階段、驗(yàn)收階段、系統(tǒng)維護(hù)階段的整個(gè)生命周期，每個(gè)階段都需要確定信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)需求和安全基線要求。系統(tǒng)運(yùn)維人員定期安裝系統(tǒng)補(bǔ)丁程序，啟用所有用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用，加強(qiáng)信息系統(tǒng)中數(shù)據(jù)輸入模塊的源代碼審計(jì)，增強(qiáng)對(duì)數(shù)據(jù)輸入的驗(yàn)證。系統(tǒng)的關(guān)鍵頁(yè)面，如網(wǎng)站后臺(tái)管理頁(yè)面、Tomcat等Web服務(wù)及中間件的管理頁(yè)面，應(yīng)限制特定IP地址訪問，不允許用戶直接訪問這些頁(yè)面；信息系統(tǒng)的目錄文件夾應(yīng)禁止訪問，避免目錄列出漏洞。對(duì)于已建設(shè)完成的信息系統(tǒng)，應(yīng)定期進(jìn)行漏洞掃描工作，并對(duì)產(chǎn)生的漏洞定期進(jìn)行整改。按照《網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等重要等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)，對(duì)重要信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作。

3.4 安全層

啟用安全設(shè)備，構(gòu)建成“外—中—內(nèi)—基”四層網(wǎng)絡(luò)安全防護(hù)體系：第一層是網(wǎng)關(guān)層也是外部防護(hù)層，網(wǎng)關(guān)層是整個(gè)網(wǎng)絡(luò)安全架構(gòu)的關(guān)鍵組成部分，承擔(dān)著安全防護(hù)、應(yīng)用控制、安全連接、多運(yùn)營(yíng)商加速等多維度的復(fù)雜任務(wù)，網(wǎng)關(guān)層配置防火墻設(shè)備、VPN安全網(wǎng)關(guān)，以實(shí)現(xiàn)自動(dòng)防護(hù)功能；第二層是應(yīng)用層，也是中間防護(hù)層，隨著高校各類應(yīng)用的開放性和交互性增強(qiáng)，部署網(wǎng)站監(jiān)控預(yù)警平臺(tái)、防暴力破解系統(tǒng)、網(wǎng)站防篡改系統(tǒng)、入侵檢測(cè)防御系統(tǒng)等，來防護(hù)SQL注入、XSS跨站攻擊、網(wǎng)站掛馬、篡改攻擊、暗鏈黑鏈等攻擊，以實(shí)現(xiàn)對(duì)安全威脅的進(jìn)一步防護(hù)；第三層終端層，也是內(nèi)部防護(hù)層，對(duì)高校師生準(zhǔn)入采取安全防控措施，盜版軟件是電腦病毒的重要來源和傳播者，高校應(yīng)加強(qiáng)軟件的管理，杜絕盜版軟件，推進(jìn)操作系統(tǒng)、office辦公等軟件的正版化工作。終端PC和移動(dòng)設(shè)備安裝殺毒軟件，服務(wù)器定期打補(bǔ)丁，修復(fù)漏洞；第四層是審計(jì)層，也是基層防護(hù)層，部署漏洞掃描評(píng)估系統(tǒng)、上網(wǎng)行為管理與審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)、網(wǎng)絡(luò)日志服務(wù)器，記錄所有設(shè)備日志便于存檔和查看，以實(shí)現(xiàn)對(duì)物理、主機(jī)、應(yīng)用、數(shù)據(jù)等所有安全控制項(xiàng)的安全管理和防護(hù)。

3.5 管理層

圖2 校園網(wǎng)絡(luò)安全四層防護(hù)體系

成立高校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)相關(guān)工作。網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組應(yīng)嚴(yán)格按照《網(wǎng)絡(luò)安全法》《信息安全等級(jí)保護(hù)管理辦法》等政策文件對(duì)于網(wǎng)絡(luò)安全、信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的要求，解讀上級(jí)政策文件，配合上級(jí)部門的監(jiān)督檢查。利用國(guó)家網(wǎng)絡(luò)安全宣傳周等契機(jī)，加強(qiáng)在校師生進(jìn)行網(wǎng)絡(luò)安全法的教育，通過線上線下結(jié)合的宣傳渠道，努力將“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”的理念傳遞到學(xué)校內(nèi)外，提醒廣大師生要清楚個(gè)人在網(wǎng)絡(luò)虛擬環(huán)境下的權(quán)利、義務(wù)和責(zé)任，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，提高學(xué)院、部門和個(gè)人的網(wǎng)絡(luò)安全防范能力。為加強(qiáng)網(wǎng)絡(luò)安全管理，校園網(wǎng)準(zhǔn)入時(shí)，要進(jìn)行真實(shí)姓名和身份證號(hào)登記與驗(yàn)證。加強(qiáng)校園網(wǎng)絡(luò)管理人員的技能培訓(xùn)和網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，遇到問題及時(shí)處理，為日常教學(xué)工作和科研工作提供可靠的保障。

4 結(jié)束語(yǔ)

“互聯(lián)網(wǎng)+”時(shí)代下的高校校園網(wǎng)絡(luò)是不斷變化和錯(cuò)綜復(fù)雜的，隨著安全技術(shù)和智慧校園的綜合發(fā)展，業(yè)務(wù)系統(tǒng)、校園應(yīng)用、網(wǎng)絡(luò)安全這三者從相互分離的狀態(tài)逐漸走向融合，高校信息化工作者應(yīng)根據(jù)高校自身特點(diǎn)和校園網(wǎng)特征不斷完善，開拓思路，勇于創(chuàng)新，加強(qiáng)高校信息安全人才培養(yǎng)，建立一支與“互聯(lián)網(wǎng)+”快速發(fā)展相適應(yīng)的網(wǎng)絡(luò)安全管理專業(yè)隊(duì)伍，確保校園網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，以更好地姿態(tài)完成高校信息化建設(shè)工作。