◆張彬 張曉軍 胡昱潔 周俐軍

黨建引領(lǐng)助推高校網(wǎng)絡(luò)安全邁上新臺階———以山東科技大學(xué)為例

◆張彬1張曉軍2胡昱潔3周俐軍4

（1.山東科技大學(xué) 研究生院 山東 266590；2.山東科技大學(xué) 馬克思主義學(xué)院 山東 266590；3.山東科技大學(xué) 地球科學(xué)與工程與工程學(xué)院 山東 266590；4.山東科技大學(xué) 網(wǎng)絡(luò)安全與信息化辦公室 山東 266590）

隨著互聯(lián)網(wǎng)、AI、大數(shù)據(jù)、區(qū)塊鏈為代表的“新基建”迅猛發(fā)展，網(wǎng)絡(luò)安全問題日益受到重視。習(xí)近平總書記強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全”、“沒有信息化就沒有現(xiàn)代化”，為新時(shí)代網(wǎng)絡(luò)強(qiáng)國建設(shè)指明了前進(jìn)方向?！靶禄ā蓖苿?dòng)著傳統(tǒng)高校的數(shù)字化轉(zhuǎn)型，為高校智慧校園建設(shè)增添了新動(dòng)能。隨著智慧校園建設(shè)的開展，高校信息化系統(tǒng)應(yīng)用不斷增多，其安全問題也日益突出。本文以山東科技大學(xué)為例，就新網(wǎng)絡(luò)時(shí)代背景下高校智慧校園網(wǎng)絡(luò)安全研究進(jìn)行了分析，從安全防護(hù)系統(tǒng)建設(shè)、態(tài)勢感知中心建設(shè)、開展信息安全培訓(xùn)、強(qiáng)化安全隊(duì)伍、安全審計(jì)、業(yè)務(wù)連續(xù)性管理等5個(gè)方面構(gòu)建高校網(wǎng)絡(luò)安全技術(shù)支撐體系，為其他高校提升網(wǎng)絡(luò)安全保障能力提供了有益借鑒和參考。

校園網(wǎng)；黨建引領(lǐng)；網(wǎng)絡(luò)安全；技術(shù)支撐體系

1 引言

教育信息化的發(fā)展水平已成為衡量一個(gè)國家教育現(xiàn)代化水平的重要標(biāo)志。隨著我國信息化建設(shè)進(jìn)程的加快，教育信息化發(fā)展面臨著新的發(fā)展機(jī)遇和挑戰(zhàn)。網(wǎng)絡(luò)安全正日益受到重視。黨的十八大以來，以習(xí)近平同志為核心的黨中央統(tǒng)籌協(xié)調(diào)涉及政治、經(jīng)濟(jì)、文化等領(lǐng)域網(wǎng)絡(luò)安全和信息化重大問題，推動(dòng)我國網(wǎng)信事業(yè)取得歷史性成就。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行；2018年4月，全國網(wǎng)絡(luò)安全和信息化工作會議在北京召開。習(xí)近平總書記高度重視網(wǎng)絡(luò)安全工作，多次強(qiáng)調(diào)要建設(shè)風(fēng)清氣正網(wǎng)絡(luò)空間、共筑網(wǎng)絡(luò)安全防線，“讓互聯(lián)網(wǎng)更好造福人民”。

山東科技大學(xué)是山東省第一批教育信息化的試點(diǎn)單位，認(rèn)真貫徹落實(shí)《教育信息化2.0行動(dòng)計(jì)劃》，實(shí)施“智慧校園工程”，認(rèn)真做好網(wǎng)絡(luò)安全頂層設(shè)計(jì)，保障了全校信息化科學(xué)、健康、持續(xù)的發(fā)展，為以教育教學(xué)改革、科研體制改革、人事制度改革、財(cái)務(wù)資產(chǎn)管理改革、學(xué)生管理改革為主要內(nèi)容的學(xué)校綜合改革提供了重要的支撐保障。學(xué)校學(xué)習(xí)貫徹習(xí)近平總書記關(guān)于“網(wǎng)絡(luò)安全”的重要講話精神，強(qiáng)化黨建引領(lǐng)，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，深入學(xué)習(xí)貫徹會議精神，不斷加強(qiáng)網(wǎng)絡(luò)安全統(tǒng)籌協(xié)調(diào)力度，著力保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，積極開展網(wǎng)絡(luò)安全宣傳教育，努力提升網(wǎng)絡(luò)安全保障水平。積極與深信服科技股份有限公司、安恒信息技術(shù)有限公司、360企業(yè)安全集團(tuán)等企業(yè)黨組織聯(lián)合開展“以黨建為引領(lǐng)，確保學(xué)校網(wǎng)絡(luò)信息安全”活動(dòng)。

2 加強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè)的路徑措施

學(xué)校從5個(gè)方面構(gòu)建網(wǎng)絡(luò)信息安全保障工程。

2.1 安全防護(hù)系統(tǒng)建設(shè)

部署漏洞掃描、安全評估、安全防范等硬件設(shè)施與管理系統(tǒng)，加強(qiáng)網(wǎng)站和信息系統(tǒng)的綜合技術(shù)保護(hù)措施，提升各類網(wǎng)絡(luò)安全事件的響應(yīng)處理能力。部署綜合安全防御、安全威脅預(yù)警、安全日志審計(jì)等支撐系統(tǒng)。

2.2 態(tài)勢感知中心建設(shè)

構(gòu)建基于環(huán)境、動(dòng)態(tài)、整體洞悉校園安全風(fēng)險(xiǎn)的感知中心，實(shí)時(shí)監(jiān)控校園網(wǎng)絡(luò)出口和主干網(wǎng)絡(luò)攻擊的主要指標(biāo)、學(xué)校各類網(wǎng)站的攻擊狀態(tài)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力，服務(wù)于決策行動(dòng)。

2.3 開展信息安全培訓(xùn)，強(qiáng)化安全隊(duì)伍

開展多層次的信息安全技術(shù)培訓(xùn)，提高網(wǎng)絡(luò)安全業(yè)務(wù)水平。面向師生、信息化聯(lián)絡(luò)員、信息化專職人員、合作企業(yè)，開展信息安全管理及技術(shù)培訓(xùn)。形成由專職隊(duì)伍、專家團(tuán)隊(duì)、信息化聯(lián)絡(luò)員及相關(guān)企業(yè)共同組成的網(wǎng)絡(luò)信息安全人才隊(duì)伍，提高全校網(wǎng)絡(luò)安全防御能力。

2.4 安全審計(jì)

內(nèi)網(wǎng)審計(jì)系統(tǒng)以旁路方式接入，通常采用交換機(jī)數(shù)據(jù)鏡像，將需要審計(jì)關(guān)注的數(shù)據(jù)鏡像到系統(tǒng)的數(shù)據(jù)采集端口。運(yùn)維審計(jì)系統(tǒng)采用物理旁路，邏輯串聯(lián)的方式接入用戶網(wǎng)絡(luò)。接入點(diǎn)為服務(wù)器區(qū)的出口。設(shè)備日志審計(jì)系統(tǒng)直接部署于網(wǎng)絡(luò)中保持與被采集設(shè)備網(wǎng)絡(luò)互通即可。

內(nèi)網(wǎng)審計(jì)管理系統(tǒng)包括：數(shù)據(jù)庫類（SQL Server、DB2、Oracle、MySQL）、運(yùn)維管理類（Telnet、FTP、NetBIOS）、業(yè)務(wù)類（HTTP、POP3、SMTP）；同時(shí)，系統(tǒng)支持對其他協(xié)議基本信息的審計(jì)，并能方便地?cái)U(kuò)展對其他協(xié)議更細(xì)粒度的支持；采用領(lǐng)先的協(xié)議識別和智能關(guān)聯(lián)技術(shù)，提供全面深入的協(xié)議分析、解碼、回放，審計(jì)內(nèi)容包括登錄賬號、持續(xù)時(shí)間、流量、操作命令、操作對象、操作參數(shù)、關(guān)鍵詞、敏感數(shù)據(jù)、涉密信息、操作執(zhí)行結(jié)果等。

設(shè)備日志審計(jì)采用典型設(shè)備日志采集協(xié)議：SNMP、SYSLOG、自定義等，對主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等基礎(chǔ)設(shè)施系統(tǒng)安全日志進(jìn)行采集、歸檔、分析、輸出，最終形成全面的報(bào)表，提供高危日志告警等預(yù)處理功能。

綜合安全審計(jì)管理系統(tǒng)提供多級授權(quán)管理支持集成第三方認(rèn)證、高效查詢功能、強(qiáng)大的報(bào)表生成功能；系統(tǒng)管理支持配置備份、還原，支持雙機(jī)熱備，支持“集中管理、分級部署”，支持高性能高可用負(fù)起均衡集群部署，系統(tǒng)自身具有系統(tǒng)審計(jì)功能，對管理員配置變更、用戶操作登錄等信息有詳細(xì)的記錄和日志查詢。

2.5 業(yè)務(wù)連續(xù)性管理

2.5.1容災(zāi)備份參數(shù)

在設(shè)計(jì)容災(zāi)系統(tǒng)時(shí)，經(jīng)常涉及以下三個(gè)關(guān)鍵參數(shù)：

（1）恢復(fù)點(diǎn)目標(biāo)（Recovery-Point Objective - RPO）

恢復(fù)點(diǎn)目標(biāo)指在發(fā)生災(zāi)難的情況下企業(yè)可容忍的數(shù)據(jù)丟失量的衡量標(biāo)準(zhǔn)。

（2）恢復(fù)時(shí)間目標(biāo)（Recovery-Time Objective - RTO）

恢復(fù)時(shí)間目標(biāo)指災(zāi)難發(fā)生后，企業(yè)業(yè)務(wù)系統(tǒng)恢復(fù)運(yùn)營所需要耗費(fèi)的時(shí)間。

（3）備份成本

實(shí)現(xiàn)預(yù)定的RPO和RTO需要投入的資源總和。

成本、RPO和RTO關(guān)系如圖1所示。

圖1 成本、RPO和RTO關(guān)系

RPO越接近零，丟失的數(shù)據(jù)量越少，則成本越高；同理，RTO越接近零，系統(tǒng)恢復(fù)的時(shí)間越少，則成本也會越高。

2.5.2數(shù)據(jù)保護(hù)的挑戰(zhàn)

隨著企業(yè)的不斷發(fā)展，企業(yè)內(nèi)部的數(shù)據(jù)將呈現(xiàn)幾何式增長。如果將企業(yè)的數(shù)據(jù)分為：非結(jié)構(gòu)化數(shù)據(jù)（文檔、圖片等）、結(jié)構(gòu)化數(shù)據(jù)（數(shù)據(jù)庫數(shù)據(jù)）和半結(jié)構(gòu)化數(shù)據(jù)（電子郵件數(shù)據(jù)），根據(jù)國際權(quán)威分析機(jī)構(gòu)的分析結(jié)果：非結(jié)構(gòu)化數(shù)據(jù)在企業(yè)總數(shù)據(jù)中的比重最大、增長最迅速。如此海量的數(shù)據(jù)為企業(yè)數(shù)據(jù)保護(hù)工作帶來了極大的挑戰(zhàn)。

數(shù)據(jù)備份和恢復(fù)的成本越來越高（備份數(shù)據(jù)的存儲和維護(hù)成本），建議采用備份一體機(jī)，對核心重要的虛擬機(jī)進(jìn)行備份。備份一體機(jī)會與VMware的VADP API對接，支持對虛擬機(jī)進(jìn)行每天的全備份（之存儲變化的數(shù)據(jù)塊）。然后針對核心的數(shù)據(jù)庫建議通過腳本進(jìn)行定期的備份。

同時(shí)定期進(jìn)行備份恢復(fù)演練，編輯災(zāi)難恢復(fù)手冊。最終建立一個(gè)完整的備份系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫的本地備份。實(shí)現(xiàn)零宕機(jī)、零數(shù)據(jù)損失的故障切換，保障學(xué)校業(yè)務(wù)可用性和數(shù)據(jù)可恢復(fù)性。

2.5.3認(rèn)證與授權(quán)

校園網(wǎng)承載著多個(gè)業(yè)務(wù)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)都有自己獨(dú)立的用戶訪問認(rèn)證方式，雖然建設(shè)了統(tǒng)一身份認(rèn)證，對于特殊類型的用戶比如教師用工號進(jìn)行認(rèn)證缺乏必要的安全性，一旦工號丟失或被盜用，會給用戶或集體造成損失和風(fēng)險(xiǎn)；

另外，信息安全傳輸、安全存儲和抵抗攻擊缺乏有效的防護(hù)手段。

PKI/CA體系構(gòu)建在學(xué)校應(yīng)用系統(tǒng)前端，包括認(rèn)證中心、注冊中心、密鑰管理中心、統(tǒng)一身份認(rèn)證接口等幾個(gè)部分。PKI/CA認(rèn)證體系部署示意圖如圖2。

圖2 PKI/CA認(rèn)證體系部署示意圖

CA安全區(qū)：主要承載CA Server、主從LDAP、數(shù)據(jù)庫、加密機(jī)、OCSP等；其中CA服務(wù)器負(fù)責(zé)全網(wǎng)數(shù)字證書簽發(fā)、主從LDAP為全網(wǎng)數(shù)字證書的查詢提供服務(wù)、加密機(jī)用于產(chǎn)生CA中心的簽名密鑰對；OCSP服務(wù)器主要為數(shù)字證書應(yīng)用提供實(shí)時(shí)在線查詢服務(wù)。

KMC管理區(qū)：主要承載KMC Server、加密機(jī)等；KM Server為CA Server提供加密密鑰的存儲及管理服務(wù)；加密機(jī)用于產(chǎn)生通信加密的對稱密鑰；KMC管理區(qū)承載的各種設(shè)施部署在數(shù)字化校園的網(wǎng)絡(luò)安全域，并通過VLAN及防火墻等技術(shù)與CA安全區(qū)實(shí)現(xiàn)邏輯隔離。

RA注冊區(qū)：主要承載各院所的RA注冊服務(wù)器，為各院所的師生管理提供數(shù)字證書注冊服務(wù)；該區(qū)域與CA安全區(qū)的通信采用加密的安全方式傳輸，并在區(qū)域邊界實(shí)施邏輯隔離。

3 結(jié)語

高校網(wǎng)絡(luò)安全是一個(gè)長期、復(fù)雜又而龐大的系統(tǒng)工程，任重道遠(yuǎn)。本文介紹了山東科技大學(xué)以黨建為引領(lǐng)，構(gòu)建高校網(wǎng)絡(luò)安全技術(shù)支撐體系采取的路徑措施。學(xué)校近年來在網(wǎng)絡(luò)安全保障方面與時(shí)俱進(jìn)，不斷完善，圓滿完成了黨的十九大、青島上合峰會、海軍節(jié)、全國兩會、新中國成立70周年、建黨100周年、國家網(wǎng)絡(luò)安全宣傳周等一系列關(guān)鍵時(shí)期的網(wǎng)絡(luò)安全保障工作，為其他兄弟高校網(wǎng)絡(luò)安全發(fā)展思路提供新的視角和有益借鑒。

[1]湯湘林，陳方兵. 5G時(shí)代下高校網(wǎng)絡(luò)安全研究與應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021，（06）：89-90.

[2]周立志，朱尚明.高校網(wǎng)絡(luò)信息安全體系建設(shè)實(shí)踐和思考[J].深圳大學(xué)學(xué)報(bào)（理工版），2020，37（S1）：73-77.

[3]張彬，李巖. 基于大數(shù)據(jù)引擎的智慧校園建設(shè)探討——以山東科技大學(xué)為例[J].山東教育（高教），2020，（04）：44-47.

本文系2018年度山東省研究生導(dǎo)師指導(dǎo)能力提升項(xiàng)目“新舊動(dòng)能轉(zhuǎn)換背景下非全日制研究生產(chǎn)教融合培養(yǎng)路徑探索”（編號：Sdyz18006）；2020年度山東科技大學(xué)教育教學(xué)群星計(jì)劃“基于移動(dòng)互聯(lián)的視頻交互式仿真實(shí)驗(yàn)教學(xué)模式的研究與實(shí)踐”（編號：QX2020M95）；山東科技大學(xué)在線課程建設(shè)項(xiàng)目“遙感圖像解譯”（編號：ZXK2020017）研究成果