張瑞英 劉永鐸 武永嬌

摘要：隨著數(shù)字化網(wǎng)絡(luò)發(fā)展的不斷深入，日益成熟的網(wǎng)絡(luò)基礎(chǔ)建設(shè)和互聯(lián)網(wǎng)資源大大提高了高校各項(xiàng)工作的開展和完成效率。但是，網(wǎng)絡(luò)在帶來各種便利的同時，也帶來了很多的網(wǎng)絡(luò)安全風(fēng)險。隨著教師教學(xué)、學(xué)生上課、辦公等工作對校園網(wǎng)平臺的日益依賴，國家對網(wǎng)絡(luò)安全日益重視，高校網(wǎng)絡(luò)安全的加強(qiáng)也迫在眉睫。文章通過對高校信息化網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)信息安全面臨的問題進(jìn)行研究分析，在建設(shè)、運(yùn)維管理等方面提出了有效措施。

關(guān)鍵詞：信息化建設(shè)：運(yùn)維管理：網(wǎng)絡(luò)安全

中圖分類號：TN915. 07

文獻(xiàn)標(biāo)志碼：A

0 引言

在當(dāng)前云計算、大數(shù)據(jù)、人工智能、移動應(yīng)用等新一代數(shù)字化技術(shù)高速發(fā)展的形勢下，各高校廣泛應(yīng)用新興技術(shù)進(jìn)行學(xué)?；A(chǔ)建設(shè)、應(yīng)用系統(tǒng)的建設(shè)和數(shù)據(jù)的存儲、處理、傳遞和分析等。例如通過云計算技術(shù)將計算、存儲、網(wǎng)絡(luò)等資源整合為統(tǒng)一的資源池，從而實(shí)現(xiàn)對硬件資源的二次分配，有效利用空閑資源[1]。通過運(yùn)用大數(shù)據(jù)、人工智能等數(shù)字化技術(shù)，實(shí)現(xiàn)業(yè)務(wù)與技術(shù)的深度融合，打通部分內(nèi)外業(yè)務(wù)流程、優(yōu)化業(yè)務(wù)管理及服務(wù)。高校作為人才培養(yǎng)、新興技術(shù)研究和廣泛應(yīng)用的區(qū)域，涵蓋大量重要數(shù)據(jù)，其網(wǎng)絡(luò)和應(yīng)用系統(tǒng)是黑客攻擊的重要目標(biāo)之一，對于高校面臨的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等問題，必須采取有效的應(yīng)對措施，對加強(qiáng)高校網(wǎng)絡(luò)安全具有非常重要且積極的意義[2]。本文主要從高校網(wǎng)絡(luò)現(xiàn)狀出發(fā)，進(jìn)一步分析高校的信息化建設(shè)，并對網(wǎng)絡(luò)安全運(yùn)行運(yùn)維提出一些建議。

1 高校信息化網(wǎng)絡(luò)現(xiàn)狀分析

高校網(wǎng)絡(luò)分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)兩部分，其中有線網(wǎng)絡(luò)用于提供高速可靠的數(shù)據(jù)傳輸服務(wù)，而無線網(wǎng)絡(luò)主要用于移動終端的網(wǎng)絡(luò)接入。校園網(wǎng)絡(luò)建設(shè)必須具備高速、穩(wěn)定、安全、便捷、易管理等特點(diǎn)，根據(jù)校園網(wǎng)絡(luò)建設(shè)的特點(diǎn)和等級保護(hù)2.0的要求，經(jīng)過近年來的不斷強(qiáng)化建設(shè)，校園網(wǎng)絡(luò)已經(jīng)基本完善，但是也存在一些問題。

1.1 高校信息化網(wǎng)絡(luò)現(xiàn)狀

高校校園網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的三層物理網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，即核心層、匯聚層和接人層三層網(wǎng)絡(luò)邏輯架構(gòu)。校園網(wǎng)絡(luò)核心層采用雙冗余模式，部署兩臺核心交換機(jī)，核心交換機(jī)之間通過雙萬兆鏈路互聯(lián)，采用熱備技術(shù)和虛擬化技術(shù)，大大提高了網(wǎng)絡(luò)的穩(wěn)定性和轉(zhuǎn)發(fā)性能，骨干鏈路根據(jù)學(xué)校規(guī)模及業(yè)務(wù)運(yùn)行特點(diǎn)，選擇了合理帶寬，從而保障了校園網(wǎng)的穩(wěn)定運(yùn)行。核心交換機(jī)下連兩臺交換機(jī)作為核心匯聚設(shè)備，主要進(jìn)行核心層到接入層網(wǎng)絡(luò)的匯合，通過千兆及以上光纖鏈路連接到接入層。接入層根據(jù)終端的類型（臺式電腦或移動終端），配備接入交換機(jī)或PoE交換機(jī)（支持對外供電）．用于連接臺式電腦等網(wǎng)絡(luò)終端或無線接入點(diǎn)（ AP）．從而實(shí)現(xiàn)千百兆到桌面。高?；緦?shí)現(xiàn)校園無線網(wǎng)絡(luò)全覆蓋，根據(jù)當(dāng)前應(yīng)用需求和未來幾年的網(wǎng)絡(luò)需求，構(gòu)建了千兆高速無線網(wǎng)，無線控制器（AC）負(fù)責(zé)管理無線接入點(diǎn)（ AP），采用N+1冗余模式，并使用雙鏈路與雙核心交換機(jī)相連．AC通過核心交換機(jī)、匯聚交換機(jī)、PoE接入交換機(jī)與無線接入AP連接，形成邏輯二層的無線網(wǎng)絡(luò)。

隨著云計算技術(shù)的不斷發(fā)展，云計算技術(shù)已經(jīng)廣泛應(yīng)用于教育行業(yè)，云計算通過使用虛擬化技術(shù)將數(shù)據(jù)中心的計算、存儲及網(wǎng)絡(luò)等資源進(jìn)行邏輯層面的化整為零，整合為統(tǒng)一的資源池，可以同時創(chuàng)建多臺邏輯云主機(jī)，每臺邏輯云主機(jī)上可安裝運(yùn)行不同的操作系統(tǒng)和不同的應(yīng)用程序，不同云主機(jī)上的應(yīng)用程序之間互不影響，提升了基礎(chǔ)設(shè)施的資源利用率。云計算主要有基礎(chǔ)設(shè)施即服務(wù)（ IaaS）、平臺即服務(wù)（PaaS）和軟件即服務(wù)（ SaaS）3種模型，按照不同的部署方式可以分為公有云、私有云和混合云，混合云融合了公有云的強(qiáng)擴(kuò)展性和私有云的安全性等特點(diǎn)[3]。高校除了在本地數(shù)據(jù)中心物理服務(wù)器上部署一些應(yīng)用，也結(jié)合當(dāng)前實(shí)際情況在信息化基礎(chǔ)設(shè)施建設(shè)上構(gòu)建了混合云平臺，將站群、OA等應(yīng)用系統(tǒng)部署在本地中心機(jī)房的私有云平臺上運(yùn)行管理，實(shí)現(xiàn)將內(nèi)部重要數(shù)據(jù)保存在本地數(shù)據(jù)中心，從而有效保障了數(shù)據(jù)的安全性，將部分應(yīng)用系統(tǒng)部署在公有云平臺上，解決了帶寬限制等問題。私有云與公有云之間采用雙鏈路數(shù)據(jù)專線互聯(lián)互通，同時在本地數(shù)據(jù)中心部署一臺備份設(shè)備集中備份、存儲公有云和私有云的重要業(yè)務(wù)及數(shù)據(jù)，以解決故障導(dǎo)致的數(shù)據(jù)丟失問題。

在安全性方面，高校基本對數(shù)據(jù)中心整體網(wǎng)絡(luò)進(jìn)行了區(qū)域劃分，將校園網(wǎng)絡(luò)區(qū)域劃分為互聯(lián)網(wǎng)出口區(qū)、核心交換區(qū)、服務(wù)器區(qū)、辦公區(qū)、安全運(yùn)維管理區(qū)等區(qū)域，各區(qū)域間進(jìn)行了安全隔離。在網(wǎng)絡(luò)邊界部署了防火墻及入侵防御系統(tǒng)，對非法訪問、入侵行為和DDos等攻擊進(jìn)行檢測和防護(hù)，在核心交換機(jī)和防火墻上設(shè)置了不同網(wǎng)段、不同用戶對服務(wù)器的訪問控制權(quán)限。高校基本構(gòu)建了基于B/S架構(gòu)的有線無線一體化上網(wǎng)認(rèn)證系統(tǒng)，校園網(wǎng)用戶無論通過有線還是無線接入校園網(wǎng)絡(luò)，都必須經(jīng)過認(rèn)證后才可以訪問。在安全管理區(qū)部署了漏洞掃描設(shè)備，定期對內(nèi)部的服務(wù)器、網(wǎng)絡(luò)設(shè)備及應(yīng)用系統(tǒng)進(jìn)行漏洞掃描，及時發(fā)現(xiàn)漏洞并及時修復(fù)；部署了WAF設(shè)備防止soL注入、流量攻擊等：部署了數(shù)據(jù)庫審計設(shè)備對所有數(shù)據(jù)庫操作進(jìn)行審計及分析，防止管理員人員或惡意攻擊者對數(shù)據(jù)庫的誤操作、惡意操作及破壞等行為無法追溯：服務(wù)器和終端都安裝企業(yè)版殺毒軟件進(jìn)行安全防護(hù)，降低安全風(fēng)險：部署了上網(wǎng)行為管理系統(tǒng)對終端的上網(wǎng)行為和訪問的內(nèi)容進(jìn)行審計阻斷：部署了安全感知平臺獲取探針數(shù)據(jù)及其他安全設(shè)備的日志來實(shí)現(xiàn)智能分析、危險點(diǎn)防護(hù)及清查、統(tǒng)一呈現(xiàn)全網(wǎng)安全風(fēng)險并聯(lián)動其他安全設(shè)備及時處置安全威脅，同時為后續(xù)的跟蹤審計提供依據(jù)：部署了堡壘機(jī)可以進(jìn)行統(tǒng)一的安全運(yùn)維和審計，保證運(yùn)維人員的所有操作可溯源。

1.2 高校信息化網(wǎng)絡(luò)安全存在的問題

校園網(wǎng)絡(luò)安全是整個校園網(wǎng)絡(luò)的基本保障，除了為用戶提供高速便利的網(wǎng)絡(luò)服務(wù)，還必須采用有效的安全管理措施。通過分析發(fā)現(xiàn)，高校網(wǎng)絡(luò)安全存在問題如下：

（1）在資產(chǎn)管理方面，由于高校信息化建設(shè)早期管理不規(guī)范，沒有統(tǒng)一的管理標(biāo)準(zhǔn)，存在信息資產(chǎn)管理混亂、資產(chǎn)檔案不完善，更新不及時，交接檔案不完整等現(xiàn)象，使得網(wǎng)絡(luò)安全管理工作不能得到很好的落實(shí)。

（2）校園有線網(wǎng)絡(luò)的進(jìn)一步擴(kuò)展存在高成本和擴(kuò)展時間周期長等問題。無線網(wǎng)絡(luò)存在信號不穩(wěn)定、安全性能低和管理機(jī)制不完善等問題。安全體系通過部署防火墻、IPS、應(yīng)用防護(hù)系統(tǒng)WAF、漏掃系統(tǒng)、防病毒網(wǎng)關(guān)、上網(wǎng)行為管理、數(shù)據(jù)庫審計系統(tǒng)、態(tài)勢感知系統(tǒng)等網(wǎng)絡(luò)安全設(shè)施設(shè)備，應(yīng)對網(wǎng)絡(luò)和數(shù)據(jù)安全等問題，但是各類安全設(shè)備分屬不同廠商，產(chǎn)品之間存在孤立分散、無法有效對接，數(shù)據(jù)無法形成有效關(guān)聯(lián)等問題[4]。

（3）云計算應(yīng)用帶來很多優(yōu)勢，如多可用區(qū)架構(gòu)可以提供更好的容災(zāi)能力，中間件服務(wù)可以提供更好的安全運(yùn)維能力，容器化部署可以提高系統(tǒng)彈性擴(kuò)容能力，微服務(wù)系統(tǒng)解耦應(yīng)用模塊，避免單點(diǎn)故障。但是云計算應(yīng)用也存在一些問題：如系統(tǒng)穩(wěn)定性有待提高，服務(wù)鏈路更長更復(fù)雜，數(shù)據(jù)流轉(zhuǎn)更加復(fù)雜，一個異?；蚬收峡赡芤鹫麄€系統(tǒng)的故障，且故障呈現(xiàn)多樣化，云管理工具功能單一，需要大量定制開發(fā)服務(wù)，標(biāo)準(zhǔn)化程度有待提高。

（4）網(wǎng)絡(luò)安全相關(guān)管理制度需進(jìn)一步完善，大部分網(wǎng)絡(luò)管理員為非網(wǎng)絡(luò)安全專業(yè)的人員，網(wǎng)絡(luò)安全知識儲備和安全防范意識有待進(jìn)一步提高，在遇到復(fù)雜網(wǎng)絡(luò)安全問題或事件時，無法及時對其進(jìn)行分析判斷并采取正確應(yīng)對措施處理，導(dǎo)致網(wǎng)絡(luò)安全問題擴(kuò)大造成安全威脅[5]。

2 信息化建設(shè)及管理

信息化建設(shè)是一個長期投入的過程，網(wǎng)絡(luò)設(shè)備有生命周期，不是一旦有，就可以一直用，需要根據(jù)發(fā)展要求及使用需求等因素做好迭代更新工作，且隨著信息化的變化發(fā)展，高校校園網(wǎng)絡(luò)及應(yīng)用系統(tǒng)也會存在新的安全隱患威脅，因此需要在現(xiàn)有網(wǎng)絡(luò)環(huán)境中不斷更新、完善設(shè)備及應(yīng)用系統(tǒng)。

2.1 建立“一網(wǎng)通辦”平臺

隨著校園信息化業(yè)務(wù)逐步增多，校內(nèi)各部門購置使用的多業(yè)務(wù)應(yīng)用系統(tǒng)不僅會浪費(fèi)存儲空間，還存在反復(fù)報送同樣的信息數(shù)據(jù)、各系統(tǒng)數(shù)據(jù)信息不同步不共享等現(xiàn)象。近幾年，政府建立“一網(wǎng)通辦”服務(wù)型政務(wù)大廳，加速了信息化的應(yīng)用，實(shí)現(xiàn)了向服務(wù)型政府的轉(zhuǎn)型升級，由此也帶動了高校建設(shè)“一網(wǎng)通辦”智能型服務(wù)大廳的熱潮?！耙痪W(wǎng)通辦”以網(wǎng)上辦事大廳為延展，擴(kuò)充教學(xué)辦公等工作，通過內(nèi)外網(wǎng)融合、角色融合、資訊與辦事融合、多終端融合，一站式集成業(yè)務(wù)處理、實(shí)現(xiàn)業(yè)務(wù)可視、智能協(xié)助、在線協(xié)同等功能，突破了各系統(tǒng)之間信息孤島現(xiàn)象，其技術(shù)架構(gòu)如圖1所示。

搭建“一網(wǎng)通辦”服務(wù)平臺，可實(shí)現(xiàn)對外辦事服務(wù)的統(tǒng)一注冊、登錄、授權(quán)、服務(wù)、審計、展示等功能，提升前端辦事服務(wù)能力，為用戶提供統(tǒng)一、標(biāo)準(zhǔn)、全面、便捷的“前端、中端、后端”一體化服務(wù)平臺，方便完成各類流程等事項(xiàng)辦理，實(shí)現(xiàn)數(shù)據(jù)共享，實(shí)現(xiàn)對PC端、移動端和各類白助終端的支撐?！耙痪W(wǎng)通辦”平臺，通過統(tǒng)一標(biāo)準(zhǔn)規(guī)范，用戶、應(yīng)用、服務(wù)管理等核心組件，對接入系統(tǒng)進(jìn)行有效管理、實(shí)現(xiàn)統(tǒng)一身份認(rèn)證、單點(diǎn)登錄、統(tǒng)一消息服務(wù)等。同時可縮短應(yīng)用建設(shè)周期，能夠迅速利用已有的基礎(chǔ)設(shè)施快速搭建需要的流程或應(yīng)用系統(tǒng)，避免各個項(xiàng)目在建設(shè)、運(yùn)行運(yùn)維等環(huán)節(jié)的重復(fù)投資，降低了總體成本。

2.2 零信任安全訪問

零信任技術(shù)的原理是基于網(wǎng)絡(luò)內(nèi)外部充滿威脅，基于網(wǎng)絡(luò)位置（IP地址）信任關(guān)系的判斷是不可靠的，所有設(shè)備、用戶和流量必須經(jīng)過認(rèn)證和授權(quán)，沒有權(quán)限的堅決不能放通，訪問控制策略應(yīng)該是動態(tài)的假設(shè)下，得出結(jié)論，即零信任必須驗(yàn)證用戶，驗(yàn)證用戶所使用的設(shè)備，給予最小權(quán)限，還需要自適應(yīng)動態(tài)控制以適應(yīng)零信任的理念。零信任架構(gòu)是一種新的安全架構(gòu)理念和思想，它使得安全建設(shè)視角從“基于風(fēng)險”向“基于業(yè)務(wù)訪問過程”轉(zhuǎn)變。并且從理論上構(gòu)建了一個端（人／終端／程序／設(shè)備…）到端（系統(tǒng)／應(yīng)用／數(shù)據(jù)…）的最小訪問模型，建立了一個動態(tài)的、基于身份和安全的邏輯訪問邊界，其安全訪問架構(gòu)如圖2所示。

基于零信任架構(gòu)，可實(shí)現(xiàn)讓正確的人使用正確的終端，在任意位置，使用正確的權(quán)限，訪問正確的業(yè)務(wù)，獲得正確的數(shù)據(jù)，將人（身份）、終端、網(wǎng)絡(luò)位置、訪問權(quán)限、業(yè)務(wù)、數(shù)據(jù)等分散的安全單元有效串聯(lián)起來，可實(shí)現(xiàn)用戶、權(quán)限、策略的統(tǒng)一管理和運(yùn)維，大大降低安全管理復(fù)雜度和難度：最大化落地“最小權(quán)限原則”，收縮業(yè)務(wù)暴露面，大大提升安全性，同時也降低了ACL訪問管理的投入：與“一網(wǎng)通辦”平臺打通，可實(shí)現(xiàn)全場景的、一致性的訪問體驗(yàn)，獲得與內(nèi)網(wǎng)接近一致的訪問體驗(yàn)：確保能夠方便地接入業(yè)務(wù)，還能有效阻斷來自終端的風(fēng)險，避免遠(yuǎn)程辦公／上課成為風(fēng)險入口，通過嚴(yán)格的、有效的數(shù)據(jù)防泄露手段，避免業(yè)務(wù)重要的數(shù)據(jù)對外泄露。

2.3 安全管理與運(yùn)維

信息化安全管理是一個不斷完善各種規(guī)章制度和加強(qiáng)管理的過程，網(wǎng)絡(luò)安全是“三分技術(shù)、七分管理”，在加強(qiáng)安全防護(hù)技術(shù)的前提下，建立信息安全管理機(jī)制，保障網(wǎng)絡(luò)安全運(yùn)行。

（1）需要做到資產(chǎn)清晰，做好完整資產(chǎn)檔案，及時做好資產(chǎn)更新工作，及時和相關(guān)部門做好不用設(shè)備的后期處置移交工作，并做好記錄。對于安全設(shè)備要做好特征庫、病毒庫、版本的及時更新工作，使安全設(shè)備發(fā)揮最有效的作用，同時不斷完善管理制度。

（2）系統(tǒng)管理工作要求系統(tǒng)管理員有高度責(zé)任心，管理涵蓋服務(wù)器管理和系統(tǒng)管理兩方面，服務(wù)器管理員需要打開系統(tǒng)防火墻，打開日志，根據(jù)業(yè)務(wù)需求只開放必須使用的端口，關(guān)閉盤符共享：設(shè)置策略密碼定期更換登錄口令，且密碼復(fù)雜性需在6位或8位以上，含大寫字母、小寫字母、數(shù)字、特殊字符；服務(wù)器上除安裝系統(tǒng)運(yùn)行必需的軟件及安全應(yīng)用外，不應(yīng)安裝其他軟件，從而防范因在服務(wù)器上安裝不必要軟件出現(xiàn)安全問題。系統(tǒng)管理方面根據(jù)需求做好系統(tǒng)管理工作，及時修復(fù)整改系統(tǒng)漏洞，做好備份工作，開啟日志，日志留存至少6個月。

（3）需要通過培訓(xùn)或進(jìn)修方式，加強(qiáng)對網(wǎng)絡(luò)安全管理技術(shù)人員的培養(yǎng)，加強(qiáng)日常維護(hù)管理，提高網(wǎng)絡(luò)安全技術(shù)人員的安全敏感性，從而對出現(xiàn)的安全問題能夠做出快速判斷及合理應(yīng)對。加強(qiáng)與其他高校和廠商的技術(shù)交流，通過網(wǎng)絡(luò)、移動App等方式加強(qiáng)對網(wǎng)絡(luò)安全知識的宣傳，不定期發(fā)布網(wǎng)絡(luò)使用注意事項(xiàng)，提高人們的網(wǎng)絡(luò)安全意識。

3 結(jié)語

高校信息化建設(shè)是一個不斷迭代更新及完善的過程，信息化網(wǎng)絡(luò)安全是學(xué)校信息化網(wǎng)絡(luò)建設(shè)中的重要考慮因素，需要加強(qiáng)網(wǎng)絡(luò)安全軟硬件投入、健全網(wǎng)絡(luò)安全相關(guān)制度、嚴(yán)格網(wǎng)絡(luò)維護(hù)管理、提高網(wǎng)絡(luò)使用人員及管理人員的網(wǎng)絡(luò)安全意識和技術(shù)水平等，是未來重要的研究方向和發(fā)展前景，只有更好地實(shí)現(xiàn)了網(wǎng)絡(luò)安全，才能更好地保證高校網(wǎng)絡(luò)信息化的安全和穩(wěn)定發(fā)展。

參考文獻(xiàn)

[1]曾昊川．高校信息化建設(shè)中網(wǎng)絡(luò)安全管理與對策研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（3）：83-84．

[2]王龍飛．高校信息化建設(shè)中的網(wǎng)絡(luò)安全問題分析[J]．無線互聯(lián)科技．2019（5）：21-22．

[3]鄧梓芃．云計算在高校信息化建設(shè)中的應(yīng)用[J]．電子元器件與信息技術(shù)．2021（ 12）：137-138.

[4]陳超．高校信息化建設(shè)中網(wǎng)絡(luò)安全管理與對策研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用．2021（4）：79-80．

[5]林正地．網(wǎng)絡(luò)信息安全技術(shù)在高校信息化建設(shè)中的應(yīng)用[J]．電子元器件與信息技術(shù)，2021（3）：26-27.

（編輯王雪芬）