肖 偉,王 江,秦宏偉

(揚州大學 信息化建設(shè)與管理處,江蘇 揚州 225012)

0 引言

智慧校園在給學校帶來便利的同時,也不可避免地產(chǎn)生了網(wǎng)絡(luò)安全問題。高校是人才培養(yǎng)、科技創(chuàng)新、引領(lǐng)思潮和國際交流的重要陣地,也是國家實施網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略的關(guān)鍵領(lǐng)域[1]。做好學校的網(wǎng)絡(luò)安全工作,不僅關(guān)系到師生的切身利益,關(guān)系到學校的改革發(fā)展穩(wěn)定,更關(guān)系到國家政治安全和社會穩(wěn)定大局。切實保障網(wǎng)絡(luò)安全,既是一項重要的政治責任,也是高校信息化部門重要職責所在。

1 揚州大學智慧校園網(wǎng)絡(luò)安全問題分析

網(wǎng)信事業(yè)發(fā)展與網(wǎng)絡(luò)安全相生相伴,二者既矛盾又統(tǒng)一。隨著學校信息化建設(shè)不斷向縱深推進,信息系統(tǒng)越建越多、基礎(chǔ)數(shù)據(jù)越來越全面、融合應用越來越廣泛,網(wǎng)絡(luò)安全隱患也就越來越多,網(wǎng)絡(luò)安全責任也越來越重要。近年來,學校雖然未發(fā)生重大網(wǎng)絡(luò)安全事件,但風險隱患依然大量存在,網(wǎng)絡(luò)安全形勢不容樂觀。弱口令、信息泄露等漏洞屢見不鮮、屢禁不止,XSS跨站腳本、業(yè)務邏輯缺陷、任意文件上傳等漏洞類型多樣且具有隱蔽性強、發(fā)現(xiàn)難度高等特點,漏洞復現(xiàn)情況也時有發(fā)生。具體而言,學校網(wǎng)絡(luò)安全工作還存在以下問題。

1.1 網(wǎng)絡(luò)安全規(guī)劃亟待優(yōu)化

學?，F(xiàn)有網(wǎng)絡(luò)安全架構(gòu)如圖1所示。校園網(wǎng)出口和數(shù)據(jù)中心出口處部署的一些安全設(shè)備,在內(nèi)外網(wǎng)即“南北向”隔離上發(fā)揮了重要的防護作用,但仍存在一定的缺陷和盲區(qū),亟待進一步優(yōu)化:(1)校園網(wǎng)內(nèi)部各服務器之間未做“東西向”有效隔離,存在“一點突破、全網(wǎng)皆失”的隱患;(2)數(shù)據(jù)中心未能依據(jù)信息資產(chǎn)重要程度劃分不同的安全等級區(qū)域[2],防護重點不突出,在重要敏感時間節(jié)點實施安全策略時往往采取“一關(guān)了之”的簡單粗暴做法,從而影響重要業(yè)務活動的開展。

圖1 揚州大學網(wǎng)絡(luò)安全架構(gòu)

1.2 信息資產(chǎn)底數(shù)不清

由于學校各單位信息系統(tǒng)和服務器之間的關(guān)系較為復雜,存在一對一(一臺服務器運行一個信息系統(tǒng))、多對一(多臺服務器組成一個信息系統(tǒng))、一對多(一臺服務器運行多個信息系統(tǒng))等復雜情況,導致部分信息資產(chǎn)底數(shù)不清,服務器和信息系統(tǒng)的歸屬及相互關(guān)系不明確,一旦發(fā)生網(wǎng)絡(luò)安全問題,很難準確定位到相應的信息系統(tǒng)和服務器,處置難度大,存在處置不及時的風險。

1.3 網(wǎng)絡(luò)安全制度不夠全面

學?，F(xiàn)有《揚州大學落實網(wǎng)絡(luò)安全責任制實施辦法(試行)》等網(wǎng)絡(luò)安全方面的制度文件,更側(cè)重于管理層面,而在網(wǎng)絡(luò)安全防護技術(shù)層面指導性、規(guī)范性文件、操作流程等偏少。

1.4 網(wǎng)絡(luò)安全經(jīng)費投入不足

受學校信息化整體投入影響,近幾年每年在網(wǎng)絡(luò)安全方面的投入約占信息化預算的5%～8%,年經(jīng)費維持在50萬元～100萬元。受此經(jīng)費限制,學校無法購買先進的防御設(shè)備、安全軟件和更為專業(yè)的網(wǎng)絡(luò)安全服務。

通過DIC技術(shù)可計算得到壓樁過程中樁-土界面土體位移場信息(見圖4).從圖中可以看出,在樁體貫入過程中土體變形以豎向位移為主,方向向下,這說明樁-土界面土體在模型樁帶動下產(chǎn)生了以向下為主的位移.

1.5 網(wǎng)絡(luò)安全宣傳教育不夠深入

網(wǎng)絡(luò)安全宣傳教育培訓的內(nèi)容單調(diào)、偏少,形式呆板、單一,師生參與度不高,效果不佳,師生網(wǎng)絡(luò)安全意識不強。

2 揚州大學智慧校園網(wǎng)絡(luò)安全發(fā)展對策

近年來,超星學習通數(shù)據(jù)庫被泄露、高校電子郵件系統(tǒng)遭受境外嚴重的網(wǎng)絡(luò)攻擊、高校網(wǎng)頁被篡改等典型網(wǎng)絡(luò)安全事件,都在時刻提醒人們,網(wǎng)絡(luò)安全風險、網(wǎng)絡(luò)攻擊無處不在、無時不在。網(wǎng)絡(luò)安全工作是一項動態(tài)、復雜的系統(tǒng)工程,絕非靠哪個部門、幾臺設(shè)備就能做好的,需要從“物、技、人、制度”4個維度,多管齊下,構(gòu)建“積極防御、綜合防范”“橫向到邊、縱向到底”的校院協(xié)同、師生共治、全員參與的網(wǎng)絡(luò)安全防范體系。

2.1 建立網(wǎng)絡(luò)安全制度的“防火墻”

2.1.1 構(gòu)建制度體系

建立網(wǎng)絡(luò)安全制度“金鐘罩”的第一步是構(gòu)建一個全面的制度體系。制度體系應包括網(wǎng)絡(luò)安全制度、操作規(guī)程、安全管理規(guī)范等。網(wǎng)絡(luò)安全制度應明確安全目標和原則,操作規(guī)程應規(guī)定操作細則和流程,安全管理規(guī)范應確保安全措施的有效執(zhí)行[3]。通過建立制度體系,可以引導各項網(wǎng)絡(luò)安全細則的制定,指導和規(guī)范網(wǎng)絡(luò)安全工作,確保各項安全工作有章可循。

2.1.2 擴大制度覆蓋面

在構(gòu)建網(wǎng)絡(luò)安全制度體系的基礎(chǔ)上,學校下一步可以著手擴大制度的覆蓋面,擴大到學校的各個層級和部門,涵蓋整個學校的網(wǎng)絡(luò)安全工作[4]。既要制定涉及網(wǎng)絡(luò)安全管理部門和技術(shù)人員的制度,如口令管理辦法、日志管理辦法、聯(lián)網(wǎng)儀器設(shè)備安全管理辦法等,也要制定并優(yōu)化適用于非技術(shù)人員的網(wǎng)絡(luò)安全制度,如師生使用設(shè)備和網(wǎng)絡(luò)資源的規(guī)范、網(wǎng)絡(luò)安全應急預案的智能化改造等。

2.1.3 注重安全建設(shè)“三同步”

網(wǎng)絡(luò)安全對學校的數(shù)字化發(fā)展起著至關(guān)重要的作用,只有做到信息系統(tǒng)和安全保障“三同步”:同步規(guī)劃、同步建設(shè)、同步運行,讓網(wǎng)絡(luò)安全和信息化并行,才能避免“事后補救”,實現(xiàn)“事前防控”。這就要求在制度層面進行約束,確保信息系統(tǒng)和安全保障同步規(guī)劃、建設(shè)、運行能夠落到實處,從而提高信息系統(tǒng)的安全性,盡量降低安全風險。

2.2 織密網(wǎng)絡(luò)安全技防的“防護網(wǎng)”

2.2.1 做好頂層設(shè)計

在搭建網(wǎng)絡(luò)安全的“防護網(wǎng)”時,首先要進行全面的頂層設(shè)計。學校需要對整個網(wǎng)絡(luò)進行徹底的評估和規(guī)劃,確定網(wǎng)絡(luò)的邊界、劃分安全區(qū)域、設(shè)置安全策略等[5]。通過合理的設(shè)計,可以將網(wǎng)絡(luò)劃分為不同等級的安全區(qū)域,并對每個區(qū)域設(shè)置相應的安全策略和措施,實現(xiàn)區(qū)域間的“東西向”隔離,提高網(wǎng)絡(luò)的整體安全性。

2.2.2 學習先進經(jīng)驗

為了更好地建立學校網(wǎng)絡(luò)安全防護體系,學校需要學習其他高校的先進經(jīng)驗和企業(yè)的前沿技術(shù),及時了解網(wǎng)絡(luò)安全技術(shù)的最新發(fā)展和趨勢。學?？梢灾贫ǘㄆ诩夹g(shù)交流和調(diào)研計劃,關(guān)注網(wǎng)絡(luò)安全的會議、培訓和論壇,了解其他高校在網(wǎng)絡(luò)安全方面的成功案例和經(jīng)驗教訓。通過學習先進經(jīng)驗,借鑒和應用一些成功的網(wǎng)絡(luò)安全實踐,完善學校網(wǎng)絡(luò)安全“防護網(wǎng)”。

2.2.3 完善安全拓撲

網(wǎng)絡(luò)安全拓撲是指網(wǎng)絡(luò)中各個安全設(shè)備、組件的布局和連接方式。在織密網(wǎng)絡(luò)安全“防護網(wǎng)”的過程中,需要完善網(wǎng)絡(luò)的安全拓撲。學?，F(xiàn)有的網(wǎng)絡(luò)拓撲還存在一些缺陷和盲點,需要進一步完善。首先,可以重新調(diào)整優(yōu)化防火墻、入侵檢測系統(tǒng)等安全設(shè)備布局,實現(xiàn)對網(wǎng)絡(luò)流量的監(jiān)控和過濾[6]。其次,需要對網(wǎng)絡(luò)進行合理的細分和隔離,確保不同安全級別的系統(tǒng)和數(shù)據(jù)能夠得到相應的有效保護。完善后的拓撲如圖2所示。

2.3 補齊網(wǎng)絡(luò)安全物防的“金鐘罩”

2.3.1 加大經(jīng)費投入

網(wǎng)絡(luò)安全設(shè)備的經(jīng)費投入是確保網(wǎng)絡(luò)安全的一項重要舉措。學校應該合理規(guī)劃資金,加大投入用于購買和維護網(wǎng)絡(luò)安全設(shè)備,如防火墻、態(tài)勢感知、入侵防御設(shè)備等。

2.3.2 注意查漏補缺

從學校的網(wǎng)絡(luò)安全拓撲可以看出,學校在網(wǎng)絡(luò)安全設(shè)備的配置上,還存在一些缺陷和盲點。在優(yōu)化網(wǎng)絡(luò)安全拓撲、調(diào)整設(shè)備布局、發(fā)揮好現(xiàn)有設(shè)備功能的基礎(chǔ)上,需要及時購置補充一些安全設(shè)備,彌補缺陷,消除盲點。

2.3.3 及時更新迭代

隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全設(shè)備也需要與時俱進。學校通過技術(shù)交流和調(diào)研,可以及時了解最新的設(shè)備更新和迭代情況。舊設(shè)備可能存在漏洞和技術(shù)缺陷,學校要根據(jù)實際情況,及時進行網(wǎng)絡(luò)安全設(shè)備的更新?lián)Q代,從而滿足不斷變化的安全需求,提升網(wǎng)絡(luò)安全物防的效果。

2.4 擰緊網(wǎng)絡(luò)安全人防的“安全閥”

2.4.1 建好幾支隊伍

建設(shè)網(wǎng)絡(luò)安全人防需要組建多支人員隊伍,包括專職的網(wǎng)絡(luò)安全人員、各單位兼職的安全人員以及廣大師生中對網(wǎng)絡(luò)安全感興趣的愛好者。學校需要建立一支有專業(yè)知識和技能的網(wǎng)絡(luò)安全專職隊伍,負責網(wǎng)絡(luò)安全管理和應急響應;在全校各單位建立網(wǎng)絡(luò)安全兼職隊伍,負責本單位的網(wǎng)絡(luò)安全相關(guān)工作;校內(nèi)的網(wǎng)絡(luò)安全愛好者隊伍,可以發(fā)揮自身的特長和積極性,協(xié)同參與學校的網(wǎng)絡(luò)安全防護工作。

2.4.2 加強安全培訓

高校是網(wǎng)絡(luò)攻擊的重要目標,近年來針對高校的網(wǎng)絡(luò)安全攻擊層出不窮,因此加強對高校師生的安全培訓,提升他們的安全意識刻不容緩[7]。學?？梢载S富網(wǎng)絡(luò)安全培訓的形式,例如:舉辦網(wǎng)絡(luò)安全培訓班和講座、開展線上有獎競答活動、組織網(wǎng)絡(luò)安全知識競賽、發(fā)放安全宣傳資料等,多渠道全方位增強師生的網(wǎng)絡(luò)安全意識,提升師生的網(wǎng)絡(luò)安全技能,提高師生對網(wǎng)絡(luò)安全的重視程度,增強主動參與防護的意愿。

2.4.3 做好安全服務

與專業(yè)的網(wǎng)絡(luò)安全廠商合作,購買并使用其提供的安全服務是網(wǎng)絡(luò)安全人防的重要一環(huán)。學?？梢圆少弻I(yè)廠商提供的安全服務,幫助學校及時發(fā)現(xiàn)和應對網(wǎng)絡(luò)安全威脅[8]。通過與廠商保持密切合作,可以及時了解最新的安全威脅和解決方案,保持學校網(wǎng)絡(luò)安全防護技術(shù)的先進性。

3 結(jié)語

維護網(wǎng)絡(luò)安全永遠“在路上”,只有通過“人防、物防、技防、制度”4個方面同向發(fā)力,構(gòu)建智慧校園網(wǎng)絡(luò)安全“四維一體”管理體系,筑牢網(wǎng)絡(luò)安全防線,才能抵御重大網(wǎng)絡(luò)安全風險,營造一個安全、穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境。