◆李學(xué)龍 郝文英

基于IT治理的高校校園安全網(wǎng)絡(luò)框架設(shè)計(jì)研究與實(shí)現(xiàn)

◆李學(xué)龍1郝文英2

（1.北京第二外國(guó)語(yǔ)學(xué)院 北京 100024；2.北京物資學(xué)院 北京 101149）

“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全；沒(méi)有信息化，就沒(méi)有現(xiàn)代化?！备咝Ｊ蔷W(wǎng)絡(luò)應(yīng)用的前沿陣地，網(wǎng)絡(luò)安全事關(guān)高校的和諧穩(wěn)定。在日常工作中，高校應(yīng)進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全管理，重視網(wǎng)絡(luò)信息管理系統(tǒng)建設(shè)。本文將著重闡述通過(guò)基于高?！癐T治理”思想下的校園安全網(wǎng)絡(luò)框架設(shè)計(jì)與實(shí)施。

信息安全；IT治理；信息化

0 前言

2012年，黨的十八大報(bào)告中指出要“建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，健全信息安全保障體系，推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用。”這49字概括了國(guó)家在網(wǎng)絡(luò)信息技術(shù)領(lǐng)域下一步將要完成的工作，其中“健全信息安全保障體系”第一次明確提出了“信息安全”，可見(jiàn)信息安全對(duì)國(guó)家的重要程度。

高校作為國(guó)家最重要的人才聚集地，沒(méi)有高校的網(wǎng)絡(luò)信息安全，何談高校教育信息化，又如何實(shí)現(xiàn)高校教育的現(xiàn)代化的目標(biāo)。因此，做好信息安全相關(guān)工作是高校日常最重要的工作之一。信息安全本身是一項(xiàng)系統(tǒng)工程，需要進(jìn)行一體化設(shè)計(jì)，自頂向下。完善各類(lèi)設(shè)備設(shè)施，完備各類(lèi)規(guī)章制度，加強(qiáng)組織領(lǐng)導(dǎo)，“技防”與“管理”并重，強(qiáng)化信息安全等級(jí)保護(hù)制度，才能更好的保障網(wǎng)絡(luò)與信息安全。

1 高校IT一體化建設(shè)下的信息網(wǎng)絡(luò)安全必要性

近年來(lái)，信息化已經(jīng)覆蓋到高校教學(xué)、科研和管理過(guò)程的方方面面，為高校的教學(xué)、科研、學(xué)生管理和社會(huì)服務(wù)等核心業(yè)務(wù)提供了有力支撐，提高了高校工作效率和管理水平。高校數(shù)字化校園向智慧校園的轉(zhuǎn)變過(guò)程中，大都進(jìn)行了詳細(xì)而周密的頂層設(shè)計(jì)，但在設(shè)計(jì)過(guò)程中，往往忽視了網(wǎng)絡(luò)與信息安全的規(guī)劃設(shè)計(jì)和實(shí)施，從而導(dǎo)致了各種各樣的信息安全問(wèn)題。

隨著國(guó)家對(duì)信息安全的要求逐步提高，很多高校在安全上都做了大量的工作，通過(guò)購(gòu)置上線(xiàn)安全設(shè)備（網(wǎng)絡(luò)出口防火墻、WAF、入侵檢測(cè)/防護(hù)系統(tǒng)IDS/IPS、負(fù)載均衡設(shè)備、流控設(shè)備等），起到了一定安全保護(hù)作用。但要進(jìn)一步做好高校的網(wǎng)絡(luò)與信息安全工作，需要進(jìn)行“一體化”設(shè)計(jì)，簡(jiǎn)單的購(gòu)置安全設(shè)備只是在一定程度上解決了部分問(wèn)題，并不能最大限度的降低或消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。很多網(wǎng)絡(luò)安全事件產(chǎn)生的原因都不簡(jiǎn)簡(jiǎn)單單是“沒(méi)防住，門(mén)沒(méi)關(guān)好的問(wèn)題”，而是“關(guān)門(mén)之前就有了問(wèn)題”，亦或是“關(guān)門(mén)的同時(shí)就出現(xiàn)了問(wèn)題”。

綜上所述，高校的網(wǎng)絡(luò)信息安全一體化設(shè)計(jì)是必要的，只有進(jìn)行網(wǎng)絡(luò)與信息安全的“IT一體化建設(shè)”，才能少走彎路，穩(wěn)步推進(jìn)，分布實(shí)施，最終實(shí)現(xiàn)高校的網(wǎng)絡(luò)與信息安全。

2 高校IT治理建設(shè)下的信息網(wǎng)絡(luò)安全設(shè)計(jì)構(gòu)建

高校應(yīng)從“管理”和“技術(shù)”兩個(gè)方面共同推進(jìn)全校網(wǎng)絡(luò)與信息安全保障工作，千萬(wàn)不要重“技術(shù)”，輕“管理”，管理與技術(shù)并重，進(jìn)行IT一體化設(shè)計(jì)，才能更好的保證網(wǎng)絡(luò)與信息安全。完備的網(wǎng)絡(luò)與信息安全保障體系應(yīng)至少包括“信息安全管理構(gòu)架”、“信息安全管理制度”、“安全設(shè)備設(shè)施”3個(gè)部分。

2.1 信息安全管理構(gòu)架

應(yīng)建立網(wǎng)絡(luò)與信息安全專(zhuān)門(mén)機(jī)構(gòu)，加強(qiáng)網(wǎng)絡(luò)與信息安全的組織領(lǐng)導(dǎo)工作，提高網(wǎng)絡(luò)與信息安全地位，突出并強(qiáng)化網(wǎng)絡(luò)與信息安全的重要性。信息安全管理架構(gòu)應(yīng)自頂向下，嚴(yán)格落實(shí)領(lǐng)導(dǎo)責(zé)任制，一把手親自過(guò)問(wèn)，分管負(fù)責(zé)人直接抓，一級(jí)抓一級(jí)，層層抓落實(shí)，確保高校校園網(wǎng)與各應(yīng)用信息系統(tǒng)安全穩(wěn)定的運(yùn)行。

2.2 信息安全管理制度

高校應(yīng)根據(jù)國(guó)家有關(guān)網(wǎng)絡(luò)安全的政策要求以及教育部制定發(fā)布的各類(lèi)教育信息化管理制度和信息安全標(biāo)準(zhǔn)規(guī)范，結(jié)合自身實(shí)際，制定學(xué)校網(wǎng)絡(luò)安全總體規(guī)劃，完善學(xué)校網(wǎng)絡(luò)與信息安全管理方面的各項(xiàng)規(guī)章制度。如《人員安全管理制度》、《信息系統(tǒng)安全管理制度》、《校園網(wǎng)安全管理制度》、《數(shù)據(jù)安全管理等制度》、《設(shè)備管理制度》等等。

2.3 網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)

（1）做好校園網(wǎng)邊界控制，保證專(zhuān)網(wǎng)專(zhuān)用

高校校園網(wǎng)應(yīng)做到校內(nèi)專(zhuān)網(wǎng)專(zhuān)用，互不干涉。在進(jìn)行校園網(wǎng)構(gòu)建時(shí)，做好各類(lèi)專(zhuān)網(wǎng)規(guī)劃，如校園一卡通專(zhuān)網(wǎng)、學(xué)校財(cái)務(wù)專(zhuān)網(wǎng)、全校消防及安防專(zhuān)網(wǎng)、全校監(jiān)控專(zhuān)網(wǎng)，在專(zhuān)網(wǎng)建設(shè)時(shí)在邏輯上和物理均進(jìn)行分離，采用校內(nèi)專(zhuān)有機(jī)制進(jìn)行運(yùn)行，不開(kāi)放校外訪問(wèn)，校內(nèi)進(jìn)行訪問(wèn)控制限定，能有效避免各類(lèi)網(wǎng)絡(luò)攻擊。

必要時(shí)在網(wǎng)絡(luò)核心機(jī)房建立DMZ軍事區(qū)，重要的信息系統(tǒng)服務(wù)器均放置其內(nèi)，在DMZ區(qū)之外部署一系列的網(wǎng)絡(luò)安全設(shè)備設(shè)施，同時(shí)加強(qiáng)管理與監(jiān)控，保障重要業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)與信息安全。

（2）上線(xiàn)“網(wǎng)絡(luò)防火墻”設(shè)備，實(shí)現(xiàn)“關(guān)門(mén)”防護(hù)

網(wǎng)絡(luò)防護(hù)墻設(shè)備可以對(duì)“網(wǎng)絡(luò)層”進(jìn)行“開(kāi)”與“關(guān)”的操作，它類(lèi)似于一道門(mén)，要么關(guān)閉，要么開(kāi)放，理論上來(lái)講是最安全的。高效應(yīng)對(duì)全校各類(lèi)應(yīng)用服務(wù)器的端口開(kāi)放情況進(jìn)行全面的梳理，關(guān)停不必要端口的校外訪問(wèn)，降低安全隱患。建立“高效服務(wù)器安全管理規(guī)定”制度，通過(guò)上線(xiàn)網(wǎng)絡(luò)防火墻，除非必要僅在防火墻上開(kāi)放80、8080端口應(yīng)用層的校外網(wǎng)訪問(wèn)。但僅僅是端口的開(kāi)關(guān)操作會(huì)降低很多的應(yīng)用系統(tǒng)的訪問(wèn)體驗(yàn)，很多信息系統(tǒng)是需要開(kāi)放訪問(wèn)的，但開(kāi)放后又失去了“網(wǎng)絡(luò)防火墻”的保護(hù)性。因此“網(wǎng)絡(luò)防火墻”應(yīng)與“WEB應(yīng)用防火墻”配合使用，各展所長(zhǎng)，共同保障網(wǎng)絡(luò)與信息安全。

（3）上線(xiàn)“WEB應(yīng)用防火墻”設(shè)備，實(shí)現(xiàn)“應(yīng)用層”監(jiān)控防護(hù)

WEB應(yīng)用防火墻（Web Application Firewall，簡(jiǎn)稱(chēng)WAF），是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的網(wǎng)絡(luò)安全策略來(lái)專(zhuān)門(mén)為Web應(yīng)用提供保護(hù)的網(wǎng)絡(luò)安全設(shè)備、設(shè)施，對(duì)WEB應(yīng)用系統(tǒng)具有專(zhuān)門(mén)的防護(hù)作用。WAF工作在應(yīng)用層，對(duì)Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)?；趯?duì)網(wǎng)站及各類(lèi)應(yīng)用的業(yè)務(wù)邏輯的深刻理解，他對(duì)來(lái)自各類(lèi)應(yīng)用程序客戶(hù)端的每個(gè)請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全合法，對(duì)于非法的請(qǐng)求予以實(shí)時(shí)（按策略）阻斷，從而對(duì)各類(lèi)網(wǎng)站、信息系統(tǒng)能進(jìn)行有效的防護(hù)。

有報(bào)道顯示，WAF對(duì)SQL注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、XSS跨站腳本等網(wǎng)絡(luò)攻擊具有較好的防護(hù)效果。

通過(guò)上線(xiàn)WEB應(yīng)用防護(hù)設(shè)備，增強(qiáng)學(xué)校對(duì)外的WEB級(jí)應(yīng)用防護(hù)能力，降低人力監(jiān)控工作壓力，提高全校的安全防護(hù)能力，如圖1所示。

圖1 WAF策略防護(hù)

（4）上線(xiàn)網(wǎng)頁(yè)“防篡改”系統(tǒng)，進(jìn)行統(tǒng)一網(wǎng)站群建設(shè)

高校內(nèi)部部門(mén)眾多，每級(jí)子部門(mén)都有自己的主頁(yè)或信息系統(tǒng)建設(shè)，由于信息技術(shù)的參差不齊[1]，容易造成各單位的主頁(yè)“五花八門(mén)”、“良莠不濟(jì)”，也需更多的考慮網(wǎng)絡(luò)安全問(wèn)題。因此高校信息化歸口部門(mén)應(yīng)進(jìn)行全校的統(tǒng)一網(wǎng)站群建設(shè),增強(qiáng)網(wǎng)站的安全。

目前市面上主流的黑客攻擊技術(shù)為對(duì)網(wǎng)頁(yè)進(jìn)行篡改，加入“暗鏈”、“標(biāo)語(yǔ)”、“圖片”等信息。防止網(wǎng)站網(wǎng)頁(yè)被篡改是網(wǎng)站群安全防護(hù)的最主要內(nèi)容，所以上線(xiàn)“網(wǎng)頁(yè)防篡改系統(tǒng)”是必要的。

在校園網(wǎng)出口（或DMZ區(qū)之外）部署網(wǎng)絡(luò)防火墻、WAF，目的是防止校園網(wǎng)的網(wǎng)站及應(yīng)用系統(tǒng)遭受攻擊（事前攔截），但一旦黑客滲透過(guò)這些安全設(shè)備之后，假如對(duì)網(wǎng)頁(yè)進(jìn)行了更改，還有最后一道防線(xiàn)可守 — 網(wǎng)頁(yè)防篡改，可在最短的時(shí)間內(nèi)進(jìn)行網(wǎng)頁(yè)恢復(fù)（事后恢復(fù)），無(wú)需人工干涉，并發(fā)送相關(guān)告警信息，形成了事前攔截+事后防御的雙重網(wǎng)絡(luò)安全防御體系。

但要注意，防篡改系統(tǒng)自身程序必須能防篡改，如果自身程序做的不夠完善，就更不需彈保護(hù)網(wǎng)站了。

3 結(jié)束語(yǔ)

高校網(wǎng)絡(luò)與信息安全工作任重而道遠(yuǎn)，目前國(guó)內(nèi)高校網(wǎng)絡(luò)與信息安全形式非常嚴(yán)峻,應(yīng)更加重視網(wǎng)絡(luò)與信息安全工作[2] ,對(duì)硬軟件配套設(shè)施按要求進(jìn)行及時(shí)升級(jí),與時(shí)俱進(jìn)，為網(wǎng)絡(luò)安全系統(tǒng)建設(shè)提供軟硬件支撐。同時(shí)提高內(nèi)部防護(hù)能力，建立網(wǎng)絡(luò)安全管理制度和應(yīng)急防護(hù)長(zhǎng)效機(jī)制，對(duì)網(wǎng)絡(luò)問(wèn)題進(jìn)行全方位監(jiān)控。要對(duì)重要的設(shè)備設(shè)施集中管理，切實(shí)落實(shí)網(wǎng)絡(luò)安全管理責(zé)任制。加強(qiáng)網(wǎng)絡(luò)與信息安全等級(jí)保護(hù)制度的推進(jìn)實(shí)施，保障高校的網(wǎng)絡(luò)安全。

[1]郝文英等.基于新媒體技術(shù)的高校教務(wù)教學(xué)信息推送系統(tǒng)構(gòu)建分析.中小企業(yè)管理與科技，2015.

[2]李學(xué)龍等.高校網(wǎng)絡(luò)與信息安全防護(hù)技術(shù)研究.電腦迷，2016.