肖 偉

(揚州大學 信息化建設與管理處，江蘇 揚州 225012)

0 引言

隨著信息技術的不斷進步和信息化應用的廣泛普及，網(wǎng)絡已深入到社會的各個方面，在工農業(yè)生產、交通運輸、醫(yī)療衛(wèi)生等領域發(fā)揮著重要作用，高等教育領域也不例外。隨著教育信息化進程的不斷推進，網(wǎng)絡已經(jīng)在高校的教學、科研、管理等方面表現(xiàn)出不可替代的作用。與此同時，高校的網(wǎng)絡安全風險也不斷增加。如何做好網(wǎng)絡安全工作，是眾多高校、信息化部門和工作人員面臨的一個共性問題。

1 高校網(wǎng)絡安全現(xiàn)狀

筆者在工作中發(fā)現(xiàn)，高校的網(wǎng)絡安全工作中存在的問題多種多樣，表現(xiàn)形式也五花八門。有大面積使用弱口令的，有公民個人信息泄露頻發(fā)的，有數(shù)據(jù)庫直接暴露在互聯(lián)網(wǎng)上的，如此種種，不一而足。筆者對之前數(shù)年在工作中遇到的問題進行總結，發(fā)現(xiàn)問題主要存在以下幾個方面。

一是網(wǎng)絡安全責任制落實不到位。近年來，從黨中央，教育部，到省教育廳，學校，各層各級都多次強調網(wǎng)絡安全的重要性。學校層面對網(wǎng)絡安全的重視程度也不斷提升，多數(shù)高校都成立了網(wǎng)絡安全與信息化領導小組。在這樣的大環(huán)境下，仍有少數(shù)二級單位在思想上對網(wǎng)絡安全不夠重視，認為網(wǎng)絡安全事件是小概率事件，作為二級單位，只管建設與使用，不用管防護，沒有將其視為重要議事日程[1]。由于網(wǎng)絡安全責任制僅落實到二級單位，單位管理員多為兼職人員，不熟悉本單位的信息系統(tǒng)，給網(wǎng)絡安全應急響應和處置帶來了很多不便，嚴重影響了網(wǎng)絡安全工作效率。

二是部分常見網(wǎng)絡安全問題頻發(fā)。筆者對之前數(shù)年發(fā)生的網(wǎng)絡安全漏洞進行統(tǒng)計，發(fā)現(xiàn)整體分布如圖1所示：發(fā)生頻次最高的是弱密碼漏洞，占27%；發(fā)生頻次第二高的是敏感信息泄露漏洞，占16%；排名第三的是SQL注入漏洞，占12%。排名前五的漏洞(弱密碼漏洞、敏感信息泄露、SQL注入、操作系統(tǒng)漏洞、任意文件上傳)合計占比72%?？梢哉f，解決了弱密碼漏洞、敏感信息泄露等五類漏洞，就解決了72%的網(wǎng)絡安全問題。

圖1 近年網(wǎng)絡安全漏洞統(tǒng)計情況

三是網(wǎng)絡安全防御手段不成體系。隨著技術的發(fā)展，網(wǎng)絡安全防護設備的種類和防護功能也不斷增加，新型網(wǎng)絡安全設備層出不窮[2]。很多高校面臨的情況是，學校投入了大量經(jīng)費，采購了眾多的網(wǎng)絡安全設備。但是這些設備“各自為戰(zhàn)”，沒有建立起網(wǎng)絡安全防護體系，不能發(fā)揮出“1+1>2“的效果，甚至有些設備之間還會相互影響，反而降低了各自的性能。

四是關鍵時段安全保障缺乏重點。近年來，在一些關鍵時段，境外非法黑客及組織多次攻擊國內網(wǎng)站，傳播發(fā)布非法信息，造成了惡劣的影響。這就對關鍵時段的安全工作提出了新的要求[3]。高校業(yè)務復雜且信息系統(tǒng)較多，面對新的形勢，如果不能制定一個完整的防御策略，可能會因為防護力量分散導致各點力量薄弱，防護人員疲于奔命卻無法做好安全防護工作。

五是缺乏網(wǎng)絡安全事后補救措施。雖然已經(jīng)部署了嚴密的網(wǎng)絡安全防護措施，但是“百密終有一疏“，面對紛繁復雜的網(wǎng)絡安全形勢，多種多樣的網(wǎng)絡安全攻擊，無法預防的設備自身故障，總有被突破防御遭受攻擊的情況[4-5]。筆者曾經(jīng)遇到某虛擬化集群上的一個數(shù)據(jù)存儲因故障宕機，數(shù)十臺在該存儲上虛擬機及相關業(yè)務受到影響，涉及多個二級單位，嚴重影響了工作。

2 高校網(wǎng)絡安全防護體系研究與設計

為了解決上述網(wǎng)絡安全問題，從嚴從實做好網(wǎng)絡安全工作，需要建立一套網(wǎng)絡安全防護體系，架構如圖2所示。

圖2 網(wǎng)絡安全防護體系架構

2.1 建立網(wǎng)絡安全責任制體系

首先制定學校層面的網(wǎng)絡安全責任制考核辦法，從制度層面落實網(wǎng)絡安全責任制。定期要求二級單位負責人簽訂網(wǎng)絡安全承諾書，以書面形式落實“誰主管誰負責，誰運維誰負責，誰使用誰負責“的要求[6]。將網(wǎng)絡安全責任制層級拓展，最終落實到信息系統(tǒng)管理員層級。經(jīng)過一年多的實踐，發(fā)現(xiàn)各單位對于網(wǎng)絡安全責任有了更明確的認識，各二級單位管理員對于本單位的信息系統(tǒng)有了初步了解，出現(xiàn)網(wǎng)絡安全問題時能夠快速定位到責任人，處理問題的效率也得到了提高。

2.2 建立信息系統(tǒng)上線檢測機制

在高校內部啟動新建信息系統(tǒng)上線檢測流程，信息系統(tǒng)建設完成需要上線時，由建設單位向信息化部門提出上線申請，信息化部門收到申請后，通過表1所示的標準化表格收集系統(tǒng)信息并提交給安全工程師進行滲透測試、漏洞掃描等一系列安全檢測，經(jīng)檢測不存在中高危漏洞且基線檢測合格的信息系統(tǒng)才允許上線[7]。據(jù)筆者統(tǒng)計，啟動該流程后，弱密碼、SQL注入等漏洞數(shù)量從2020年的96起降低到2021年的46起，同比下降52.1%，證明對新建信息系統(tǒng)在上線前進行全方位上線檢測，可以有效減少弱密碼、SQL注入等漏洞。

表1 系統(tǒng)上線檢測基本信息

2.3 網(wǎng)站發(fā)布啟用敏感信息檢測

通過事先在網(wǎng)站系統(tǒng)設定，可以建立一套檢測名單，內容包括身份證號、手機號等敏感信息。工作人員在網(wǎng)站發(fā)布文章時，系統(tǒng)會自動對文章內容進行檢測。如果檢測到身份證號等敏感信息，會通過彈窗進行提示，人工復核后可以選擇繼續(xù)發(fā)布或進行修改后再發(fā)布。據(jù)統(tǒng)計，自上線敏感信息檢測功能后，敏感信息泄露量從2020年的55起降低到2021年的28起，同比下降49.1%，證明敏感信息檢測功能可以有效降低敏感信息泄露的可能性。

2.4 構建全方位立體化安全防御網(wǎng)

“工欲善其事，必先利其器“，要做好學校網(wǎng)絡安全工作，就要建立一張包含網(wǎng)絡防火墻、Web應用防火墻、入侵防御設備等在內的全方位立體化安全防御網(wǎng)，發(fā)揮不同設備的長處，為學校網(wǎng)絡提供安全保障。以筆者所在學校為例，在校園網(wǎng)出口處部署了防火墻設備，對整個網(wǎng)絡的出入進行管控。在防火墻后方，部署入侵防御設備，對流量的深層行為進行分析判斷，結合特征庫可以有效攔截攻擊，同時增強抗DoS攻擊和抗掃描能力。在入侵防御設備后方，部署Web應用防火墻，對流量進行Web層面的檢測，可以有效抵御遠程代碼執(zhí)行、SQL注入等攻擊。傳統(tǒng)的網(wǎng)絡安全設備都是基于特征庫進行攔截的，缺乏對模擬合法人行為的自動化工具攻擊，如：撞庫、暴力破解、惡意爬蟲行為的防護能力，本體系引入了動態(tài)防護設備，加強對非特征模擬合法人行為攻擊的防護能力。整個體系架構如圖3所示。

2.5 制定關鍵時段分級保護策略

高校根據(jù)資產的重要程度和業(yè)務延續(xù)性要求，對所有信息資產實行分級管理。制定 “0+3”級安全策略，在不同時段實施不同的互聯(lián)網(wǎng)訪問策略，即：在關鍵時段當天，僅開放一級資產(如學校網(wǎng)站群)，保證主站等的正常訪問；在關鍵時段前后數(shù)天，僅開放一、二級資產(如智慧校園)；其他時段開放三級資產。一旦發(fā)生重大網(wǎng)絡安全事件，立即啟動0級安全策略(即一鍵斷網(wǎng))。

2.6 建立數(shù)據(jù)容災備份機制

通過數(shù)據(jù)備份實現(xiàn)網(wǎng)絡安全事后補救，對重要信息系統(tǒng)進行定期備份，實行每周一次完全備份，每天一次增量備份的備份計劃，確保每24小時進行一次備份操作。如因網(wǎng)絡攻擊或故障導致數(shù)據(jù)丟失，可以確保數(shù)據(jù)丟失量不超過24小時。在此基礎上，實施數(shù)據(jù)容災機制，在異地(如高校的不同校區(qū))設置具有信息系統(tǒng)服務功能的備份設備，平時做備份，一旦主系統(tǒng)出現(xiàn)故障，即時切換到備份系統(tǒng)，提供信息化服務。

3 結語

面臨復雜多變的網(wǎng)絡安全形勢，如何做好網(wǎng)絡安全工作對高校網(wǎng)絡安全管理者而言是一個難題。高校網(wǎng)絡安全管理者應該總結分析網(wǎng)絡安全現(xiàn)狀，剖析問題原因，理清工作思路，制定行之有效的網(wǎng)絡安全工作措施，保障好高校的網(wǎng)絡安全，為教學、管理、科研提供一個安全可靠的網(wǎng)絡環(huán)境。