◆劉鵬飛 王鐵柱 韓佳樂 宮志強

高校網(wǎng)絡(luò)安全發(fā)展實踐與研究

◆劉鵬飛 王鐵柱 韓佳樂 宮志強

（河北中醫(yī)學院 河北 050200）

網(wǎng)絡(luò)安全已成為高校推進教育信息化的關(guān)鍵環(huán)節(jié)。本文主要以近年來高校網(wǎng)絡(luò)安全發(fā)展歷程為研究對象，通過分析高校網(wǎng)絡(luò)安全現(xiàn)狀及存在的安全風險，并結(jié)合某高校的網(wǎng)絡(luò)安全改革實踐情況和取得的效果，提出高校網(wǎng)絡(luò)安全防護的具體防御策略，為高校構(gòu)建一體化的網(wǎng)絡(luò)安全保障體系，為促進智慧校園網(wǎng)的建設(shè)和發(fā)展提供重要參考。

網(wǎng)絡(luò)安全；教育信息化；高校

隨著人工智能、大數(shù)據(jù)等新型信息技術(shù)的快速應用和發(fā)展，高等教育信息化不斷升級和創(chuàng)新，為教、學、研、工提供了廣泛的信息化服務(wù)。然而，在信息化、智慧化校園不斷發(fā)展的同時，如何構(gòu)建校園網(wǎng)安全防御體系，對于保障校園網(wǎng)和信息系統(tǒng)的安全穩(wěn)定運行具有重要意義。

1 高校網(wǎng)絡(luò)安全現(xiàn)狀

當前，新一代信息技術(shù)不斷推動教育管理信息化、教育教學信息化、科研創(chuàng)新信息化和實驗實訓信息化，在深化教育教學改革和培養(yǎng)創(chuàng)新型人才等方面發(fā)揮了重要作用，高等教育信息化逐漸由數(shù)字化向智慧化方向邁進[1-2]。

近年來，高校網(wǎng)絡(luò)安全形勢日益嚴峻，數(shù)據(jù)泄密、勒索病毒、網(wǎng)頁篡改和網(wǎng)站癱瘓等網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，對學校和社會造成了負面影響，促使網(wǎng)絡(luò)安全成為高校教育信息化實施中的關(guān)鍵環(huán)節(jié)。雖然建設(shè)了各類網(wǎng)絡(luò)安全防護平臺，完善了網(wǎng)絡(luò)安全管理體系，但是仍然存在一些不足，例如：網(wǎng)絡(luò)安全管理機制不夠精細，安全防御和監(jiān)測預警體系不健全等。因此，高校應高度重視網(wǎng)絡(luò)安全建設(shè)和保障工作，最大限度降低網(wǎng)絡(luò)安全事件發(fā)生的概率，保障教學、科研和辦公的正常進行。

2 高校網(wǎng)絡(luò)安全風險因素

2.1 校園網(wǎng)外部威脅形勢嚴峻

隨著高校智慧校園建設(shè)的不斷深入，教育數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)站癱瘓和頁面篡改，成為主要的安全風險，容易遭受來自校園網(wǎng)外部的黑客、病毒攻擊。各高校雖然已建立了相應的安全防護措施，但是面對網(wǎng)絡(luò)攻擊工具日益專業(yè)化、手段日趨多樣化和攻擊更加組織化等特點，校園網(wǎng)外部威脅的防御形勢依然十分嚴峻。

2.2 安全管理中心尚未建立

網(wǎng)絡(luò)安全等級保護2.0標準（以下簡稱：等保2.0標準）中提出：建設(shè)“一個中心，三重防護”的安全防御體系[3]。其中，一個中心是指建立安全管理中心，實現(xiàn)對安全運維、安全事件、安全管理和安全建設(shè)的集中管控。三重防護是指通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全。目前，大部分高校雖然建設(shè)了堡壘機、日志審計、數(shù)據(jù)庫審計和漏洞掃描等安全運維系統(tǒng)，但是各系統(tǒng)都是單獨部署，系統(tǒng)之間相互獨立，無法統(tǒng)一管控，并且在等保2.0標準中對于管理體系的相關(guān)要求，未能完全落地，未能通過流程化的體系，將技術(shù)和管理相結(jié)合，建立一體化的安全管理中心。

2.3 區(qū)域邊界安全防護措施不足

等保2.0標準要求，建立區(qū)域邊界的安全防護措施。高校在區(qū)域邊界的建設(shè)實施中，僅通過部署防火墻、IPS（Intrusion Prevention System，入侵防御系統(tǒng)）和WAF（Web Application Firewall，網(wǎng)站應用級入侵防御系統(tǒng)）等安全防護平臺，防范針對校園網(wǎng)的互聯(lián)網(wǎng)攻擊，對于區(qū)域邊界的安全防護仍停留在校園網(wǎng)出口。未按照安全防護等級劃分不同的區(qū)域，各區(qū)域未制定相應安全防控和入侵防御策略，未在校園網(wǎng)核心服務(wù)器區(qū)域建設(shè)相關(guān)的安全措施，無法防御校園網(wǎng)內(nèi)部的攻擊，保障計算環(huán)境的安全。

2.4 安全防范意識缺乏

高校信息系統(tǒng)的用戶大多為全校教職工，有的還面向社會人員，具有用戶數(shù)量大、類型廣、用戶網(wǎng)絡(luò)安全知識參差不齊等特點，師生對于病毒、惡意鏈接或釣魚郵件的辨別能力不足，安全防范意識缺乏，容易遭受病毒攻擊，發(fā)生數(shù)據(jù)泄露、丟失或篡改等網(wǎng)絡(luò)安全事件，威脅校園網(wǎng)的安全，需要在全校范圍加大網(wǎng)絡(luò)安全培訓和宣傳力度[4-5]。

3 高校網(wǎng)絡(luò)安全發(fā)展實踐

高校的信息化發(fā)展迅速，已逐步由數(shù)字化向智能化、智慧化方向過渡，在一定程度上推動了網(wǎng)絡(luò)安全的改革和創(chuàng)新。近年來，在《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》和等保2.0標準等國家政策的推動下，以及行業(yè)主管部門的監(jiān)督下，通過成立專門管理機構(gòu)，完善相應規(guī)章制度，建設(shè)各類防護平臺，大多數(shù)高校已基本建立管理和技術(shù)相結(jié)合的網(wǎng)絡(luò)安全防御體系。下面，以某高校的網(wǎng)絡(luò)安全發(fā)展歷程為例，介紹其主要的網(wǎng)絡(luò)安全技術(shù)防御措施，網(wǎng)絡(luò)安全架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全架構(gòu)

如圖1所示，主要建立了校園網(wǎng)出口安全區(qū)域、重要服務(wù)器安全區(qū)域和安全管理區(qū)域。在校園網(wǎng)出口安全區(qū)域，通過建立負載均衡、防火墻、IPS和上網(wǎng)行為等安全設(shè)備，禁用非必要端口和服務(wù)，防范針對校園網(wǎng)的互聯(lián)網(wǎng)攻擊；在重要服務(wù)器安全區(qū)域，部署以防火墻和WAF為主要的安全防護設(shè)備，并建立防篡改策略，保障門戶網(wǎng)站、辦事大廳等重要對外系統(tǒng)和網(wǎng)站的安全。在安全管理區(qū)域，建立日志審計、堡壘機、EDR（Endpoint Detection and Response，終端檢測與響應）、態(tài)勢感知、漏洞掃描和數(shù)據(jù)容災安全平臺，實現(xiàn)對系統(tǒng)的安全審計、監(jiān)測和預警。

4 高校網(wǎng)絡(luò)安全防御策略

4.1 落實網(wǎng)絡(luò)安全責任制度

學校成立網(wǎng)絡(luò)安全和信息化領(lǐng)導小組，領(lǐng)導班子主要負責人擔任領(lǐng)導小組組長，設(shè)置網(wǎng)絡(luò)安全與信息化領(lǐng)導小組辦公室，對全校網(wǎng)絡(luò)安全和信息化工作統(tǒng)籌監(jiān)管，按“誰主管誰負責，誰運維誰負責，誰使用誰負責”的原則，各二級單位落實相關(guān)主管責任，信息技術(shù)中心或網(wǎng)絡(luò)中心落實相關(guān)運維責任，加強學校對網(wǎng)絡(luò)安全的管理工作機制建設(shè)。學校黨委定期研究部署網(wǎng)絡(luò)安全工作，主管領(lǐng)導每季度聽取網(wǎng)絡(luò)安全工作匯報，制定年度工作要點，切實將網(wǎng)絡(luò)安全工作納入學校重點工作范疇。

4.2 實施網(wǎng)絡(luò)安全等級保護制度

按照等保2.0標準，在技術(shù)方面，落實“一個中心，三重防護”的防控措施，即：建立安全管理中心、落實通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全，劃分網(wǎng)絡(luò)安全區(qū)域，各區(qū)域建立相應防御策略，建立重要網(wǎng)絡(luò)安全防護區(qū)域。在管理方面，落實管理制度、管理機構(gòu)、管理人員、安全建設(shè)和安全運維的相關(guān)要求，實現(xiàn)對網(wǎng)絡(luò)安全的主動防御和監(jiān)測，全面完成信息系統(tǒng)的定級、備案、測評和整改等等保工作。同時，在落實等保2.0相關(guān)要求后，仍然必須高度關(guān)注和重視網(wǎng)絡(luò)安全，加強網(wǎng)絡(luò)安全防護。

4.3 強化關(guān)鍵信息基礎(chǔ)設(shè)施保護

首先，按照主管部門要求，做好關(guān)鍵信息基礎(chǔ)設(shè)施的識別，明確網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。然后，對納入關(guān)鍵信息基礎(chǔ)設(shè)施范圍的網(wǎng)絡(luò)設(shè)施或信息系統(tǒng)，在落實等保安全措施基礎(chǔ)上，建立“打擊、預防、管理、控制”的綜合防御體系，實現(xiàn)重點保護，防止發(fā)生網(wǎng)絡(luò)安全事件，切實維護國家和社會的安全穩(wěn)定。

4.4 提升數(shù)據(jù)安全防護水平

學校成立數(shù)據(jù)安全工作領(lǐng)導小組，對數(shù)據(jù)安全工作統(tǒng)一領(lǐng)導，落實數(shù)據(jù)安全法各項管理和防護要求。建設(shè)數(shù)據(jù)審計系統(tǒng)、數(shù)據(jù)庫加密系統(tǒng)和數(shù)據(jù)資產(chǎn)安全管理等系統(tǒng)，建設(shè)數(shù)據(jù)交換和共享中心，建立數(shù)據(jù)安全防護措施，加強對數(shù)據(jù)收集、數(shù)據(jù)傳輸、數(shù)據(jù)共享和數(shù)據(jù)使用等數(shù)據(jù)流程的重點防護和審計，加強對教學、業(yè)務(wù)和個人信息數(shù)據(jù)的安全防護。

4.5 開展網(wǎng)絡(luò)安全監(jiān)測和應急演練

針對門戶網(wǎng)站、辦事大廳和教學資源平臺等重要對外服務(wù)網(wǎng)站開展網(wǎng)絡(luò)安全監(jiān)測，實現(xiàn)7×24小時對網(wǎng)站敏感內(nèi)容、網(wǎng)站篡改和網(wǎng)站掛馬等事件的監(jiān)測，網(wǎng)絡(luò)流量分析，以及定期的Web漏洞掃描，提高監(jiān)測預警能力，保障網(wǎng)絡(luò)安全。

定期開展桌面推演或?qū)崙?zhàn)攻防演練，詳細編制《應急預案》、《演練工作方案》和《演練實施方案》等配套管理制度，提高安全事件發(fā)生時的應急處置能力。

4.6 提高數(shù)據(jù)容災備份能力

建設(shè)數(shù)據(jù)容災備份系統(tǒng)，對信息系統(tǒng)和服務(wù)器的重要數(shù)據(jù)進行定時備份，重要系統(tǒng)實現(xiàn)及時的掛載恢復，保障數(shù)據(jù)的安全性和業(yè)務(wù)的連續(xù)性。

4.7 建立重保期間網(wǎng)絡(luò)安全保障體系

在重保前期，由網(wǎng)絡(luò)安全和信息化領(lǐng)導小組統(tǒng)籌部署，加強主動防御措施，設(shè)立應急保障小組，做好應急事件處置準備工作。在重保期間，加強對重要信息系統(tǒng)和網(wǎng)站的監(jiān)測，優(yōu)化防御策略，執(zhí)行網(wǎng)絡(luò)機房7×24小時值守制度，確保發(fā)生網(wǎng)絡(luò)安全事件時，能夠第一時間處置和解決。在重保結(jié)束后，總結(jié)相關(guān)工作經(jīng)驗，不斷完善今后重保期間的保障和應急處置體系。

4.8 加強網(wǎng)絡(luò)安全教育培訓

對網(wǎng)絡(luò)安全管理和技術(shù)人員進行專業(yè)的教育培訓，提高日常運維、應急處置等各項專業(yè)保障技能。對全校教職工開展全員網(wǎng)絡(luò)安全意識培訓，提高對網(wǎng)絡(luò)安全重要性的認識，提升對釣魚網(wǎng)站、木馬等危險網(wǎng)站的辨別能力和防范意識，最大限度降低網(wǎng)絡(luò)安全事件的發(fā)生概率。

4.9 建立完善的保障措施

充分發(fā)揮教育信息化領(lǐng)導機構(gòu)的部門職責，加強組織領(lǐng)導和監(jiān)督，各部門按照“誰使用，誰負責”的原則，落實主管責任。加強人才隊伍建設(shè)，建立自上到下、相互協(xié)同的聯(lián)動工作機制。學校提供可持續(xù)建設(shè)、維護和保障經(jīng)費，保障教育信息化的可持續(xù)發(fā)展。

5 結(jié)束語

高校的信息化逐漸在教育教學、科研辦公和服務(wù)社會等領(lǐng)域發(fā)揮重要作用，需要通過落實網(wǎng)絡(luò)安全責任、實施網(wǎng)絡(luò)安全等級保護制度、強化關(guān)鍵信息基礎(chǔ)設(shè)施保護和提升數(shù)據(jù)安全防護水平等防御措施，形成以統(tǒng)籌管理、責任明確、技術(shù)防御、監(jiān)測預警、應急處置為一體的安全防御體系，進一步保障校園網(wǎng)、教學資源、信息系統(tǒng)和業(yè)務(wù)平臺的安全穩(wěn)定運行，防止發(fā)生網(wǎng)絡(luò)安全事件。

[1]劉鵬飛.信息化與中醫(yī)藥高等教育的融合機制研究[J].科技視界，2021（16）：131-132.

[2]劉鵬飛，宮志強，李波等.信息化視閾下中醫(yī)藥高等教育發(fā)展研究[J].電子元器件與信息技術(shù)，2021，5（04）：33-34.

[3]孔垂煜.等保2.0下高校網(wǎng)絡(luò)安全主動防御體系建設(shè)方向探析[J].湖南科技學院學報，2021，42（02）：66-68.

[4]周立志，朱尚明.高校網(wǎng)絡(luò)信息安全體系建設(shè)實踐和思考[J].深圳大學學報（理工版），2020，37（S1）：73-77.

[5]王士賢，吳馳，于俊清.高校信息化建設(shè)困境與對策[J].中國管理信息化，2020，23（19）：188-190.

[6]朱圣才.等保2.0框架下高校網(wǎng)絡(luò)安全體系建設(shè)[J].網(wǎng)絡(luò)空間安全，2020，11（04）：14-18.

[7]閻偉東，孫德強，王昌盛等.新時代高校信息化建設(shè)內(nèi)容趨勢探析[J].中國新通信，2019，21（20）：141-143.

[8]李鍇淞.對于校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全的探討[J].數(shù)字通信世界，2019（08）：131+27.

河北省高等學校社科研究2020年度基金項目（SQ201054）