廖鋒 陳玉菲

DOI：10.19850/j.cnki.2096-4706.2021.08.048

摘? 要：新冠肺炎疫情給網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)，新冠疫情發(fā)生以來，在高職學院校園上網(wǎng)負載和訪問流量大幅增加的情況下，網(wǎng)絡(luò)安全風險和攻擊事件數(shù)量趨于上升，在探索實踐中，安全運維人員可以圍繞高職院校校園網(wǎng)絡(luò)安全體系的現(xiàn)狀，從機構(gòu)優(yōu)化、制度落實、網(wǎng)絡(luò)優(yōu)化、私有云虛擬服務(wù)、云上移動運維、日常巡檢、定期培訓、應(yīng)急演練和上報反饋等幾方面對其進行優(yōu)化。

關(guān)鍵詞：網(wǎng)絡(luò)安全;體系優(yōu)化;私有云;數(shù)據(jù)中心

中圖分類號：TP309 ? ? ?文獻標識碼：A 文章編號：2096-4706（2021）08-0168-05

Optimization of Network Security System in Higher Vocational Colleges under the Background of COVID-19 Epidemic Situation

LIAO Feng，CHEN Yufei

（Jiangxi Technical College Of Manufacturing，Nanchang? 330095，China）

Abstract：The COVID-19 epidemic situation poses a new challenge to network security. Since the outbreak of the epidemic，in the situation that the campus internet load and access traffic in higher vocational colleges have increased significantly，the number of network security risk and attack events is increasing. In exploratory practice，the safety operation and maintenance personnel can optimize the campus network security system in higher vocational colleges based on its current situation from the aspects of organization optimization，system implementation，network optimization，private cloud virtual service，mobile operation and maintenance in cloud，daily inspection，regular training，emergency drill and reporting feedback.

Keywords：network security;system optimization;private cloud;data center

0? 引? 言

2019年12月被發(fā)現(xiàn)的新冠肺炎病毒已經(jīng)在全世界流行傳播，現(xiàn)在國內(nèi)戰(zhàn)疫形勢已經(jīng)進入疫情防控常態(tài)化管理階段。在當前新冠肺炎疫情防控常態(tài)化管理的新形勢下，線上移動教學、辦公、生活消費的信息流或資金流負載快速增加，也造成返校復學后高職學院校園網(wǎng)絡(luò)負載和訪問流量大幅提高，但校園網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)安全風險評估、賬號權(quán)限管理以及數(shù)據(jù)訪問、存儲和傳輸安全等方面存在大量薄弱環(huán)節(jié)，疫情防控期間的網(wǎng)絡(luò)安全體系也面臨著前所未有的風險和壓力，針對以上風險和挑戰(zhàn)，圍繞高職學院校園網(wǎng)絡(luò)安全的現(xiàn)狀，我們在網(wǎng)絡(luò)安全體系的優(yōu)化中做了如下可行的探索與實踐。

1? 高職校園網(wǎng)絡(luò)安全體系優(yōu)化的實踐

1.1? 機構(gòu)優(yōu)化

為了做到領(lǐng)導到位、機構(gòu)到位、人員到位、責任到位，高職學院需成立網(wǎng)絡(luò)安全和信息化領(lǐng)導小組，組長由學校黨委和行政一把手親自擔任，由分管領(lǐng)網(wǎng)絡(luò)安全和信息化的領(lǐng)導作為副組長，組員由職能部門負責人擔當，設(shè)辦公室作為領(lǐng)導小組的辦事機構(gòu)。網(wǎng)絡(luò)安全和信息化領(lǐng)導小組下設(shè)網(wǎng)絡(luò)安全辦公室和信息化辦公室，分別設(shè)在宣傳部和信息化中心，負責學院網(wǎng)絡(luò)安全和信息化領(lǐng)導小組日常事務(wù)工作，宣傳部負責網(wǎng)絡(luò)安全部署和輿情管控工作，信息化部門負責信息化建設(shè)和技術(shù)運維工作。

1.2? 制度落實和優(yōu)化

參照國家網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護2.0制度文件，各職能部門按照“誰主管，誰負責;誰使用，誰負責;誰運維，誰負責”的主體責任原則開展網(wǎng)上業(yè)務(wù)系統(tǒng)的安全運維工作。對校園網(wǎng)中的關(guān)鍵基礎(chǔ)信息在等保2.0的基礎(chǔ)上進行優(yōu)化，重新進行系統(tǒng)定級、備案管理、建設(shè)整改、等級測評和監(jiān)督反饋。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國保守國家秘密法》和《關(guān)于加強疫情防控期間網(wǎng)絡(luò)安全保障和個人信息保護工作的通知》（贛教新冠防控字〔2020〕90號）文件要求及規(guī)范，在制度方面優(yōu)化了相關(guān)制度條款，重新梳理優(yōu)化印發(fā)的《***學院落實網(wǎng)絡(luò)安全工作責任制的實施細則》《校園網(wǎng)絡(luò)安全管理辦法》《校園網(wǎng)絡(luò)安全應(yīng)急預案和處置流程》《校園實訓機房管理制度》《數(shù)據(jù)中心管理暫行辦法》《網(wǎng)絡(luò)安全保密工作制度》等文件條款以適應(yīng)疫情防控常態(tài)化管理的要求，并與職能部門或相關(guān)系統(tǒng)運維外包公司責任人續(xù)簽《網(wǎng)絡(luò)安全和保密承諾書》，做到線上業(yè)務(wù)網(wǎng)絡(luò)安全主體責任人和線下業(yè)務(wù)安全主體責任人的一致性，從而提升業(yè)務(wù)部門安全上網(wǎng)，安全用網(wǎng)的責任感。

1.3? 網(wǎng)絡(luò)拓撲結(jié)構(gòu)優(yōu)化

高職學院在進行網(wǎng)絡(luò)安全頂層設(shè)計時，首先要根據(jù)校園網(wǎng)絡(luò)出入口的風險管理，根據(jù)網(wǎng)絡(luò)安全等保2.0新增的云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的要求，業(yè)務(wù)系統(tǒng)大部分按照網(wǎng)絡(luò)等級保護二級的標準進行定級管理。高職學院需要對現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)重新設(shè)計和優(yōu)化，在現(xiàn)有邊界防火墻、行為管控、審計管理、存儲備份、環(huán)控管理的基礎(chǔ)上，我們以學院私有云數(shù)據(jù)中心為邊界，重新劃定和增加學院私有云為網(wǎng)絡(luò)安全核心區(qū)，通過架設(shè)核心區(qū)邊界防火墻，在核心區(qū)以外的校園網(wǎng)絡(luò)都可以稱為不安全的外部互聯(lián)網(wǎng)絡(luò)，師生在校園內(nèi)網(wǎng)如果要訪問學校私有云中的服務(wù)器，必須經(jīng)過邊界防火墻審核過濾。下圖1是某高職學院的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，雖然有防火墻等安全設(shè)備，但學校內(nèi)的服務(wù)器和數(shù)據(jù)中心分散在各不同的區(qū)域，也沒有架設(shè)上網(wǎng)行為管理和VPN等遠程訪問設(shè)備，師生從外網(wǎng)訪問校園內(nèi)網(wǎng)資源較麻煩和不安全，網(wǎng)絡(luò)安全層次也不夠清晰，容易產(chǎn)生校內(nèi)網(wǎng)絡(luò)安全事故。

經(jīng)過網(wǎng)絡(luò)拓撲結(jié)構(gòu)的改進和優(yōu)化后，高職學院可以采用超融合私有云方案，把業(yè)務(wù)服務(wù)器通過虛擬化技術(shù)全部遷移到私有云數(shù)據(jù)中心，并增加遠程VPN通道訪問設(shè)備方便校園外網(wǎng)用戶對校內(nèi)核心免費資源的訪問。同時在私有云的總出入口架設(shè)邊界防火墻，同時數(shù)據(jù)中心的外部增加校內(nèi)上網(wǎng)行為管控設(shè)備，圖2是增加了超融合技術(shù)的私有云數(shù)據(jù)中心（單位自建的校內(nèi)云化數(shù)據(jù)中心）、行為管控、安全智慧管理區(qū)和VPN通道的優(yōu)化網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

在以上優(yōu)化后的校園網(wǎng)絡(luò)互聯(lián)拓撲結(jié)構(gòu)中，網(wǎng)絡(luò)拓撲劃分了校園網(wǎng)邊界安全區(qū)、流控與行為管理區(qū)、DMZ服務(wù)區(qū)、私有云數(shù)據(jù)中心區(qū)、安全運維管理區(qū)、核心網(wǎng)絡(luò)區(qū)、網(wǎng)絡(luò)接入?yún)^(qū)等主要功能區(qū)域。數(shù)據(jù)中心采用了全球領(lǐng)先的國產(chǎn)化數(shù)據(jù)中心超融合方案，以虛擬方式建設(shè)智慧校園的數(shù)據(jù)中心私有云和數(shù)字大腦，并部署了Rill智慧校園運維系統(tǒng)和VPN硬件遠程訪問通道，優(yōu)化了無線有線認證的單點登陸方式。信息化運維人員在安全運維管理區(qū)通過智慧運維系統(tǒng)管理所有校區(qū)的網(wǎng)絡(luò)設(shè)備和弱終端設(shè)備，在安全運維管理區(qū)的邊界也加裝了防火墻3，對進入的信息流進行過濾審核。

經(jīng)過網(wǎng)絡(luò)拓撲結(jié)構(gòu)的優(yōu)化，只有私有云數(shù)據(jù)中心才是核心內(nèi)網(wǎng)，私有云以外都劃歸不安全的外部互聯(lián)網(wǎng)，高職校園即使有多個校區(qū)，其他校區(qū)要接入主校區(qū)訪問主校區(qū)的私有云服務(wù)（數(shù)據(jù)中心）或共享主校區(qū)的軟硬件資源及帶寬，如果是在外地出差辦公的教工可以通過私有云數(shù)據(jù)中心內(nèi)部架設(shè)的VPN服務(wù)，提供校內(nèi)資源的免費訪問。如果另一校區(qū)（比如上海路校區(qū)）的師生要訪問共享主校區(qū)的數(shù)據(jù)資源，就必須先認證登錄后，通過防火墻2過濾后，才能訪問私有云中的信息資源。

在新冠肺炎病毒流行后的網(wǎng)絡(luò)安全常態(tài)化管理新形勢下，這些高職校園網(wǎng)絡(luò)拓撲結(jié)構(gòu)上的優(yōu)化不但符合網(wǎng)絡(luò)安全等保2.0二級標準的要求，也符合數(shù)據(jù)資源分類分區(qū)域管控的原則。

1.4? 虛擬服務(wù)和私有云數(shù)據(jù)中心部署優(yōu)化

在疫情常態(tài)化管理期間，通過采用全球領(lǐng)先的超融合技術(shù)部署的校內(nèi)私有云服務(wù)，校園內(nèi)原來各業(yè)務(wù)部門建立的數(shù)字校園認證服務(wù)、數(shù)據(jù)交換服務(wù)、教務(wù)管理、網(wǎng)絡(luò)云課堂服務(wù)、云上財務(wù)管理、云上資產(chǎn)管理、云上科研系統(tǒng)、單招專業(yè)云上確認等業(yè)務(wù)都可以從不穩(wěn)定的老式服務(wù)器無縫遷移到私有云中集中管理，遷移方案可以實現(xiàn)在線遷移和關(guān)機遷兩種模式。由于私有云數(shù)據(jù)中心不但采用了軟硬件資源冗余管理的負載均衡功能，而且采用了CDP（數(shù)據(jù)可續(xù)持性保護）功能，所以通過遷移前后對比發(fā)現(xiàn)，業(yè)務(wù)遷移后在私有云數(shù)據(jù)中心運行的服務(wù)要比在單臺服務(wù)器上在安全穩(wěn)定和管理性能方面要提高很多?？粘鰜淼睦鲜椒?wù)器又可以通過虛擬服務(wù)技術(shù)提供小流量高頻的課程共享服務(wù)或物聯(lián)網(wǎng)亞終端業(yè)務(wù)的定制服務(wù)。圖3是采用了超融合技術(shù)（各種服務(wù)器和安全服務(wù)可以按需生成、統(tǒng)一部署、免費使用和有序組合的虛擬仿真技術(shù)）的某高職學院私有云數(shù)據(jù)中心管理平臺，它可以對虛擬服務(wù)器、虛擬防火墻、SSL傳輸層保護、虛擬VPN安全通道、免費AD證書服務(wù)、CPU、內(nèi)存、硬盤集群等軟硬件資源實現(xiàn)統(tǒng)一調(diào)度、分配和空閑資源回收功能，這為高職學院網(wǎng)絡(luò)安全軟硬件資源集中式智能化便捷管理提供了技術(shù)支撐。

1.5? 云上移動運維

由于采用了虛擬服務(wù)和云計算技術(shù)，通過智能移動終端設(shè)備，管理人員隨時隨地24小時全天候運維管理成為新冠肺炎疫情背景下的常態(tài)化工作模式，這讓每年高職學院例行的網(wǎng)絡(luò)安全重保工作變得更安全和高效，如果在校園內(nèi)部署的虛擬服務(wù)器在網(wǎng)絡(luò)重保期間出現(xiàn)安全漏洞和病毒，運維人員接到上級相關(guān)部門指示后，在3分鐘內(nèi)，可以通過手機移動端APP登錄校內(nèi)私有云和外部公有云中心，快速關(guān)閉或停止出現(xiàn)安全問題的虛擬服務(wù)器，切斷涉事業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)訪問，再進行相關(guān)的安全處理和上報工作，云上移動運維方式為重保期間的應(yīng)急管理和信息化運維工作提高了效率，節(jié)省了工作環(huán)節(jié)，并縮短了應(yīng)急處置時間。圖4顯示的是某高職學院在電信天翼云上實現(xiàn)的彈性云主機（服務(wù)器虛擬化托管）遠程開關(guān)機服務(wù)。

1.6? 日常巡檢和培訓演練

網(wǎng)絡(luò)安全檢查分為定期安全巡檢和國家重大活動節(jié)日期間的抽檢兩類：

（1）定期安全巡檢。在工作日期間，由信息部門每日安排專人對指定區(qū)域的關(guān)鍵設(shè)備進行巡檢，并做好有無故障的記錄，再由負責人進行審核簽字，確讓網(wǎng)絡(luò)安全風險程序，進行相應(yīng)的處置，針對網(wǎng)絡(luò)連接硬件拓撲發(fā)生改變時，及時進行拓撲優(yōu)化和邊界檢查，對新建的信息化系統(tǒng)進行數(shù)據(jù)流、業(yè)務(wù)流和操作規(guī)程的優(yōu)化檢查和調(diào)整，疫情期間每日巡檢網(wǎng)絡(luò)安全和信息化設(shè)備表如下表1所示。

（2）在國家重大活動和節(jié)日期間及突發(fā)新冠疫情事件的大背景下，高職學院就要按照上級主管部門的要求對學院的網(wǎng)絡(luò)系統(tǒng)和管理進行抽檢及調(diào)整，實行7×24小時值班管理制度，以保證校園網(wǎng)絡(luò)空間風清氣朗。

在智慧校園時代，師生的網(wǎng)絡(luò)安全和信息化素養(yǎng)是校園網(wǎng)絡(luò)安全應(yīng)用推廣的關(guān)鍵。對于師生用戶，高職學院可以通過每年的國家網(wǎng)絡(luò)安全周，圍繞網(wǎng)絡(luò)購物、網(wǎng)絡(luò)沖浪、要防危害、防欺詐、防違法等主題，進行信息化素養(yǎng)的宣講教育和針對性培訓，提升安全上網(wǎng)，安全用網(wǎng)的法律意識;高職學院管理者也可以讓思政課與學生網(wǎng)絡(luò)安全和信息化素養(yǎng)教育緊密結(jié)合，提高師生網(wǎng)絡(luò)安全應(yīng)用水平;信息化部門也要安排廠家或集成商對管理運維人員進行專業(yè)化的業(yè)務(wù)安全培訓和應(yīng)急演練，掌握運維規(guī)范，不設(shè)弱口令，把系統(tǒng)的操作管理和審計管理分開。運維人員對網(wǎng)上資源分區(qū)域、分類別、分層次進行信息化治理，才能在網(wǎng)絡(luò)安全風險出現(xiàn)時，及時阻隔網(wǎng)絡(luò)攻擊破壞跨界傳遞，讓損失降到最低。

1.7? 上報反饋

按照《江西省網(wǎng)絡(luò)與信息安全信息通報任務(wù)分工及報送規(guī)范（試行）》和《江西省網(wǎng)絡(luò)與信息安全信息通報機制成員單位聯(lián)絡(luò)員管理辦法（試行）》文件，高職校園網(wǎng)絡(luò)安全上報工作已經(jīng)形成了常態(tài)化管理方式。網(wǎng)絡(luò)安全重保期間，如果校園內(nèi)未發(fā)生網(wǎng)絡(luò)安全事件，也應(yīng)該按照江西省教育信息化部門的文件要求，執(zhí)行網(wǎng)絡(luò)安全零報告制度。如果發(fā)生了相關(guān)的網(wǎng)絡(luò)安全高危事件，成功處置完成后，需要向上級主管部門上報處置方法和處理結(jié)果。

2? 結(jié)? 論

實踐證明，為滿足新冠肺炎疫情時期的網(wǎng)絡(luò)用戶應(yīng)用場景需求和安全規(guī)范，高職學院校園網(wǎng)絡(luò)安全體系的優(yōu)化是一個不斷演進迭代的動態(tài)過程，高職學院的網(wǎng)絡(luò)安全和信息化從業(yè)人員只有通過分析網(wǎng)絡(luò)安全體系難點、理清網(wǎng)絡(luò)安全體系重點、疏通網(wǎng)絡(luò)安全堵點，解決不同階段網(wǎng)絡(luò)安全的業(yè)務(wù)痛點，才能為高職院校信息化教學診斷和改進工作提供安全、穩(wěn)定和可控的校園網(wǎng)絡(luò)空間。

參考文獻：

[1] 全國人民代表大會常務(wù)委員會.中華人民共和國網(wǎng)絡(luò)安全法 [R/OL].（2017-06-01）.https：//www.fjcpc.edu.cn/jgdzz/20 20/0424/c2231a65107/page.htm.

[2] 劉春生.高職院校網(wǎng)絡(luò)安全防范體系的構(gòu)建 [J].職業(yè)技術(shù)教育，2008，29（20）：78+89.

[3] 王家紅.校園網(wǎng)絡(luò)的安全問題及對策 [J].現(xiàn)代信息科技，2018，2（8）：158-159.

[4] 李穎存.高校學生網(wǎng)絡(luò)安全教育對策探討 [J].勞動保障世界，2020（12）：66-67.

[5] 姬翔宇.網(wǎng)絡(luò)安全素養(yǎng)現(xiàn)狀研究——以鶴壁職業(yè)技術(shù)學院為例 [J].黑龍江科學，2019，10（17）：154-155.

作者簡介：廖鋒（1976.08—），男，漢族，江西贛州人，系統(tǒng)分析師，高級工程師，碩士，研究方向：網(wǎng)絡(luò)安全和信息化建設(shè)及管理、計算機網(wǎng)絡(luò)、電子商務(wù)。

收稿日期：2021-04-18