張曉曉　郭紹永

摘要：為了讓更多高校相互學(xué)習(xí)相互借鑒網(wǎng)絡(luò)和信息系統(tǒng)安全管理和技術(shù)措施，促進(jìn)高校的安全防護(hù)意識和防護(hù)能力，該文結(jié)合本校工作實(shí)際情況，詳細(xì)闡述了我校在安全防護(hù)方面的安全管理和技術(shù)措施，通過這些方法和措施，我校在安全方面取得了一定成效，對其他高校提供了一種參考案例。

關(guān)鍵詞：高校；網(wǎng)絡(luò)；信息安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）13-0044-02

在大數(shù)據(jù)時代，計算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性等多樣性，而且存在著技術(shù)上的弱點(diǎn)及人為因素，致使網(wǎng)絡(luò)容易受到黑客、病毒等的攻擊。網(wǎng)絡(luò)和信息安全越來越受到重視，高校的網(wǎng)絡(luò)和信息安全投入也不斷增加，但是安全是相對的，只能盡量安全，但無法絕對安全，所以要從制度、管理、技術(shù)等多方面人手，進(jìn)行持續(xù)的安全防護(hù)。信息安全是一個復(fù)雜的系統(tǒng)工程，涉及系統(tǒng)軟件、硬件、環(huán)境以及人員等各種因素。根據(jù)本校的實(shí)際情況，總結(jié)出一套適合我校的安全措施。

1高度重視網(wǎng)絡(luò)和信息安全工作

經(jīng)常進(jìn)行相關(guān)安全培訓(xùn)，從意識上讓各部門不斷提高對安全工作的認(rèn)識，堅持“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”原則，根據(jù)《校園網(wǎng)安全管理規(guī)定》，各單位主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)和信息系統(tǒng)安全第一責(zé)任人。各單位應(yīng)確定一名工作人員作為本單位網(wǎng)站安全負(fù)責(zé)人，負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全工作，單位主要負(fù)責(zé)人或網(wǎng)站安全負(fù)責(zé)人有變動的，須重新簽訂網(wǎng)絡(luò)信息安全責(zé)任書。通過典型的安全事故講解，讓其認(rèn)識到安全的重要性，不能只建不管，只用不維護(hù)，只有思想上重視才能行動上加強(qiáng)，尤其需要校領(lǐng)導(dǎo)的重視，需要從上而下一切狠抓安全不放松。

2制定一套完整的規(guī)章制度

學(xué)校制定和通過了《校園網(wǎng)管理規(guī)定》、《校園網(wǎng)安全管理規(guī)定》等校級文件，此外，學(xué)校網(wǎng)絡(luò)信息安全管理部門還制定了《校園網(wǎng)實(shí)名制上網(wǎng)管理辦法》、《校園網(wǎng)IP地址及域名管理辦法》、《公共機(jī)房接入校園網(wǎng)絡(luò)管理辦法》、《網(wǎng)絡(luò)與信息安全責(zé)任書》、《附屬醫(yī)院接人校園網(wǎng)服務(wù)協(xié)議》、《網(wǎng)絡(luò)信息安全應(yīng)急工作預(yù)案》等安全制度，成立網(wǎng)絡(luò)信息系統(tǒng)安全工作領(lǐng)導(dǎo)小組，明確劃分責(zé)任，嚴(yán)格執(zhí)行。

3加強(qiáng)安全技術(shù)防范措施

有了完善的規(guī)章制度后，要按照規(guī)章制度辦事，并要在規(guī)章制度下制度出符合我校實(shí)際情況的安全技術(shù)防范措施，目前單靠一種手段進(jìn)行防護(hù)已經(jīng)不能滿足現(xiàn)在安全防護(hù)的需求，需要通過層層防護(hù)做到盡量萬無一失，我校從以下幾個方面進(jìn)行安全技術(shù)防范措施。

1）升級加固網(wǎng)絡(luò)出口綜合安全網(wǎng)關(guān)防護(hù)設(shè)施，性能更強(qiáng)大，功能更完備，提高安全攻擊防范，安全策略設(shè)置更嚴(yán)格，加強(qiáng)對網(wǎng)絡(luò)掃描、黑客入侵等互聯(lián)網(wǎng)攻擊的防范措施。在中心機(jī)房服務(wù)器前增加WAF防火墻，啟用各種WEB防護(hù)功能，有效防護(hù)WEB攻擊。

2）加強(qiáng)安全審計。利用互聯(lián)網(wǎng)控制網(wǎng)關(guān)過濾非法關(guān)鍵詞，并可以對聊天類、電子郵件、發(fā)貼等上網(wǎng)行為進(jìn)行詳細(xì)記錄并查詢，按要求保存日志記錄。

3）認(rèn)證上網(wǎng)賬號管理。每人一個帳號，上網(wǎng)必須使用帳號登錄進(jìn)行上網(wǎng)，加強(qiáng)人員安全意識培訓(xùn)。認(rèn)證系統(tǒng)可以詳細(xì)記錄登錄人員的帳號、登錄時間、注銷時間、源IP、源MAC等信息，按要求保存日志記錄。對認(rèn)證服務(wù)器進(jìn)行升級，安裝了新的認(rèn)證服務(wù)器，并由C/S架構(gòu)升級為B/S架構(gòu)，提高了系統(tǒng)的安全可靠性。

4）弱口令檢查。定期更換和強(qiáng)化系統(tǒng)密碼，由于后臺操作系統(tǒng)登錄密碼以及前臺登錄密碼都設(shè)置過于簡單，建議強(qiáng)化密碼，密碼設(shè)置要符合網(wǎng)站系統(tǒng)安全要求。

5）使用安防及環(huán)境監(jiān)控系統(tǒng)和網(wǎng)絡(luò)運(yùn)維系統(tǒng)加強(qiáng)網(wǎng)絡(luò)軟硬件安全預(yù)警。機(jī)房監(jiān)控主要進(jìn)行空調(diào)、配電、視頻、溫濕度、水浸等監(jiān)控。網(wǎng)絡(luò)運(yùn)維系統(tǒng)主要進(jìn)行網(wǎng)絡(luò)交換設(shè)備、服務(wù)器設(shè)備、WEB應(yīng)用、數(shù)據(jù)庫等的監(jiān)控，當(dāng)出現(xiàn)問題時會進(jìn)行短信或郵件報警，以便及時處理。為了防止空調(diào)由于室外機(jī)灰塵經(jīng)常停機(jī)的問題，會定時進(jìn)行空調(diào)清洗，尤其在春天楊樹柳絮多的時候和天氣較熱的時候清洗更是必要，解決了機(jī)房空調(diào)經(jīng)常停機(jī)造成機(jī)房溫度過高服務(wù)器出現(xiàn)問題的情況。

6）加強(qiáng)安全巡查。執(zhí)行7*24小時值班，堅持每天巡查機(jī)房、服務(wù)器及其相關(guān)信息，嚴(yán)格審核網(wǎng)站發(fā)布的信息，及時發(fā)現(xiàn)、刪除和過濾有害信息，一旦出現(xiàn)問題能夠在最短的時間內(nèi)到達(dá)現(xiàn)場進(jìn)行解決，并做好日志的保存。

4定期對網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全排查

1）要求各部門定期自查整改，對各部門負(fù)責(zé)的網(wǎng)站信息系統(tǒng)服務(wù)器進(jìn)行安全自查，升級病毒防護(hù)軟件，進(jìn)行病毒查殺，升級操作系統(tǒng)及修復(fù)漏洞補(bǔ)丁，發(fā)現(xiàn)問題及時處理。

2）對學(xué)校各部門服務(wù)網(wǎng)站信息系統(tǒng)進(jìn)行定期檢查，利用漏洞掃描設(shè)備對網(wǎng)站信息系統(tǒng)服務(wù)器進(jìn)行掃描，對存在風(fēng)險的網(wǎng)站信息系統(tǒng)要求相關(guān)部門進(jìn)行安全整改加固，并在規(guī)定時間內(nèi)整改完成，填寫反饋表，對存在的漏洞進(jìn)行升級修復(fù)，并加強(qiáng)后續(xù)定期巡檢。由于漏洞是不斷更新的，所以需要定時進(jìn)行漏洞掃描處理，是一個長期加固的過程，只能盡量防護(hù)，不能徹底根治。

通過定期檢查，不僅了解了學(xué)校當(dāng)前的網(wǎng)絡(luò)信息安全工作狀況，而且也為今后加強(qiáng)這方面工作奠定基礎(chǔ)。建立常態(tài)化檢查機(jī)制，定期對重點(diǎn)部門的已有機(jī)房及網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查，及時對新建機(jī)房和網(wǎng)站信息系統(tǒng)備案，掌握校園網(wǎng)絡(luò)安全管理情況，清除危及學(xué)校信息安全、網(wǎng)絡(luò)安全的問題，確保整個校園的網(wǎng)絡(luò)信息建設(shè)通暢有序。

5數(shù)據(jù)備份恢復(fù)

按網(wǎng)站信息系統(tǒng)重要性制定備份策略，非常重要數(shù)據(jù)進(jìn)行實(shí)時備份，比較重要的數(shù)據(jù)進(jìn)行短時定時備份，相對不太重要數(shù)據(jù)更改不頻繁的數(shù)據(jù)可以進(jìn)行長時定時備份，例如一天、一周、或一月等。備份方式主要有四種：1）可以使用專業(yè)的硬軟件一體設(shè)備，對指定數(shù)據(jù)進(jìn)行備份，如Netgear的存儲備份設(shè)備；2）可以使用專業(yè)的備份軟件工具，例如Symantec數(shù)據(jù)備份系統(tǒng)，u諾備份系統(tǒng)等；3）自編備份腳本，進(jìn)行定時備份，對沒有軟硬件備份系統(tǒng)的單位可以自己編寫備份代碼，然后加載到系統(tǒng)定時運(yùn)行菜單中，根據(jù)需要備份到本機(jī)或其他存儲設(shè)備中；4）定時拷貝，對于水平較低，且網(wǎng)站信息系統(tǒng)和數(shù)據(jù)量較少的單位，可以指定專人定時對關(guān)鍵數(shù)據(jù)進(jìn)行備份，把要備份的數(shù)據(jù)拷貝到指定存儲設(shè)備上，但是這種備份一般針對不太重要的數(shù)據(jù)，因?yàn)椴荒鼙ＷC實(shí)時數(shù)據(jù)備份。

6問題與思考

在管理和技術(shù)防范上不斷加強(qiáng)，并且每年投入一定經(jīng)費(fèi)進(jìn)行安全防護(hù)設(shè)，安全防護(hù)上持續(xù)增強(qiáng)，但還要看到問題與不足，通過分析問題解決問題，讓安全無死角，現(xiàn)在網(wǎng)絡(luò)安全主要存在以下幾個問題。

1）技術(shù)人員不足，技術(shù)能力相對較弱。目前高校大都意識到信息化的重要性，但對安全卻重視不足，認(rèn)為只要能上網(wǎng)有幾個應(yīng)用系統(tǒng)就行了，沒有太重要的數(shù)據(jù)，構(gòu)不成太大的安全問題，不愿在安全上投入大量人力物力。而安全往往不是只通過設(shè)備就能解決問題的，需要有專門的團(tuán)隊來進(jìn)行不斷安全防護(hù)，要不斷加強(qiáng)培訓(xùn)與自學(xué)，增加安全防護(hù)技術(shù)能力。

2）發(fā)現(xiàn)問題容易，處理難。各種漏洞掃描設(shè)備都能及時發(fā)現(xiàn)大量較常見的風(fēng)險漏洞，但是掃描出風(fēng)險漏洞后讓處理卻是各部門最困難的，有幾個原因：（1）技術(shù)能力不足，已經(jīng)處理過的由于方法不對，再次掃描還存在；（2）一些信息系統(tǒng)使用時間較長，已過保；（3）一些應(yīng)用系統(tǒng)開發(fā)公司倒閉，無人處理；（4）由于部分操作系統(tǒng)已經(jīng)不再維護(hù)升級，漏洞無法修復(fù)，便如win-dows server 2003、windows XP，換操作系統(tǒng)原來應(yīng)用系統(tǒng)不兼容；（5）一些應(yīng)用系統(tǒng)利用第三方免費(fèi)架構(gòu)代碼開發(fā)，第三方架構(gòu)存在漏洞不升級，更換部分功能無法實(shí)現(xiàn)。除了這些還有其他一些問題，最終只有升級或更換系統(tǒng)解決，但相對費(fèi)用較高，而且已經(jīng)熟悉舊系統(tǒng)不愿更換，所以最終一般不了了之。

3）安全攻擊越來越多，設(shè)備更新?lián)Q代較快，較難跟上當(dāng)前安全所需的最新軟硬件需求。目前的安全體系架構(gòu)決定了安全是在出現(xiàn)漏洞后進(jìn)行打補(bǔ)丁解決，所以隨著時間的推移，技術(shù)不斷增強(qiáng)，原來不是漏洞的會不斷成為漏洞，安全設(shè)備為了滿足當(dāng)下的需求也要不斷的升級換代，但是招標(biāo)升級更換卻不是短時能解決的，需要時間較長，所以需要硬件和技術(shù)能力雙向并行提高，不可能全部防護(hù)，只能盡量防護(hù)。

7結(jié)束語

想要全方位地、實(shí)時地保護(hù)系統(tǒng)的安全和穩(wěn)定，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)，必須要有完善的安全體系、嚴(yán)格的操作規(guī)程以及高素質(zhì)的網(wǎng)絡(luò)管理人才。網(wǎng)站系統(tǒng)安全不會一蹴而就，需要長期不斷進(jìn)行防范加固，安全防護(hù)永遠(yuǎn)在路上，我們會把安全防護(hù)措施作為一個長期系統(tǒng)的工程常抓不懈，不斷增加安全資金投入和人員技術(shù)培訓(xùn)，定期巡檢，制定周密的防范措施。