鐘焯榮　張曉鵬

摘 要：信息化技術快速發(fā)展，推動了高校的信息化應用系統(tǒng)快速發(fā)展，根據(jù)國家《網(wǎng)絡安全法》和網(wǎng)絡安全等級保護2.0的相關要求，高校需提高網(wǎng)絡安全防護水平和管理能力。文章對高校網(wǎng)絡安全現(xiàn)狀進行分析，結合學校的實際情況，從網(wǎng)絡安全技術防護、健全網(wǎng)絡安全機制和管理制度方面探討高校網(wǎng)絡安全防護體系的建設。

關鍵詞：網(wǎng)絡安全;等保2.0;安全機制;防護體系

0 引言

計算機網(wǎng)絡的快速發(fā)展和高校校園網(wǎng)普及使用為高校信息化建設奠定了堅實的基礎。高校在發(fā)展當中也緊跟互聯(lián)網(wǎng)發(fā)展的步伐，在各個領域和業(yè)務中進行信息化系統(tǒng)建設，涉及學校的方方面面如網(wǎng)站、統(tǒng)一門戶、教學課程、網(wǎng)上辦事、消費、電子借閱、財務等。然而，在這些信息系統(tǒng)中還普遍存在重建設輕安全的現(xiàn)象，普遍存在網(wǎng)絡安全問題。隨著《網(wǎng)絡安全法》、等保2.0和《關鍵信息基礎設施保護條例》等相關國家文件的相繼出臺和實施，對網(wǎng)絡安全建設提出更高的要求。因此構建一個完善的高校網(wǎng)絡安全技術防護和網(wǎng)絡安全管理體系顯得尤為重要[1-2]。

1 高校網(wǎng)絡安全現(xiàn)狀

1.1? 主機服務器系統(tǒng)防護力低

在進行信息業(yè)務系統(tǒng)建設中，大部分主機服務器的端操作系統(tǒng)存在系統(tǒng)版本低，存在補丁安裝不及時和漏洞較多的問題，有些系統(tǒng)采用默認配置導致弱口令問題且存在未安裝殺毒軟件或者未更新病毒庫等問題。網(wǎng)絡攻擊者很容易通過非法手段獲取用戶權限，并利用這些非法權限對主機進行未經授權的非法操作，存在數(shù)據(jù)涉密和主機系統(tǒng)被控制等重大風險。

1.2? 信息系統(tǒng)防護能力低

高校在應用系統(tǒng)建設中，主要關注點在信息系統(tǒng)的功能需求上，而對信息系統(tǒng)的安全性考慮較少。有些系統(tǒng)上線前未進行漏洞及惡意代碼檢測，存在安全漏洞;有些應用程序部署時采用默認配置，后續(xù)運行維護過程中應用程序、中間件等版本更新不及時，安全配置不完善，遺留了安全隱患;有些應用程序用戶數(shù)量多，弱口令問題無法避免，簡單的“用戶名+ 密碼”認證方式存在很多缺點，密碼的維護和管理問題層出不窮，容易被人入侵，導致信息和數(shù)據(jù)涉漏或篡改等嚴重問題[3]。

1.3? 網(wǎng)絡安全防護基礎實施投入不足

在高校信息化建設中，主要注重于實際需要的信息系統(tǒng)建設，對網(wǎng)絡安全方面并不重視，在網(wǎng)絡安全基礎設施和防護產品方面投入不多，使校園網(wǎng)絡安全防護能力弱。很多時候高校對于網(wǎng)絡安全問題，幾乎都是采取事后解決方式，忽視網(wǎng)絡安全問題和網(wǎng)絡安全對學校信息化建設的重要性。

1.4 網(wǎng)絡安全專業(yè)技術人才缺乏

高校對計算機網(wǎng)絡安全管理技術人才的培養(yǎng)遠遠落后于高校信息化的發(fā)展需求。網(wǎng)絡安全人員的要求相對較高，需要了解熟悉跨多專業(yè)的知識領域，網(wǎng)絡安全技術人員的專業(yè)技術能力決定了校園網(wǎng)絡安全防護體系建設的水平。

2 網(wǎng)絡安全技術防護體系建設

2.1? 完善服務器區(qū)的安全防護

高校一般都是自建網(wǎng)絡機房并有大量服務器在同一網(wǎng)絡里。因此首先要做到就是在網(wǎng)絡設備做好安全配置，如通過交換機ACL配置訪問控制列表，阻斷遠程管理的端口如遠程桌面、ssh、telnet等端口，防止服務器內部之間的可以進行遠程管理。應部署服務器統(tǒng)一安全控制管理平臺，如華南農業(yè)大學部署了深信服EDR平臺，實現(xiàn)對服務器終端資產安全生命周期監(jiān)控，通過預防、防御、檢測、響應賦予終端更為細致的隔離策略、更為精準的查殺能力、更為持續(xù)的檢測能力、更為快速的處置能力，保證了服務器安全、可靠、穩(wěn)定運行[4]。

2.2? 部署WAF，IPS產品進行防護

通過部署WAF，IPS安全防護產品能夠實現(xiàn)服務器群整體的安全防護。WAF防火墻實現(xiàn)對Web應用進行防護，對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，能更有效的防護網(wǎng)站的各類安全漏洞，代碼漏洞/注入、弱口令探測等，有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡入侵行為，從而對各類網(wǎng)站站點進行有效防護。IPS入侵防護設備能有效地進行端口以及數(shù)據(jù)包的嚴格過濾，能夠對網(wǎng)絡中3～7層的各種網(wǎng)絡應用檢測和阻斷，實時、主動攔截黑客攻擊如蠕蟲、網(wǎng)絡病毒、后門木馬、DDOS等，保護信息系統(tǒng)和網(wǎng)絡架構免受侵害，防止操作系統(tǒng)和應用程序損壞，阻止服務器的遠程管理操作等。

2.3? 建立堡壘機安全訪問管理

服務器和系統(tǒng)的遠程管理維護必須通過堡壘機才能進行管理，只允許管理所授權的服務器。堡壘機對授權人員的操作行為進行記錄、控制和審計，做到全部可溯可查，以此加強管理行為的規(guī)范和監(jiān)管[5]。

2.4? 部署網(wǎng)絡安全態(tài)勢感知系統(tǒng)

為了提高防護能力，可在校園網(wǎng)中部署安全態(tài)勢感知系統(tǒng)，通過獲取鏡像校園網(wǎng)出口、服務器區(qū)流量、WAF、IPS設備的日志信息等形成大數(shù)據(jù)進行分析，通過惡意域名、IP、URL、木馬特征等威脅情報庫。在協(xié)議特征分析的基礎上，通過情報命中、規(guī)則檢測、深度學習模型的匹配等策略，及時掌握校園網(wǎng)內的所有失陷主機及關聯(lián)威脅，進行及時處置，實現(xiàn)對校園網(wǎng)的高級入侵行為檢測和防范，提高對新型網(wǎng)絡攻擊的預警和處置能力。

2.5? 定期進行網(wǎng)絡安全掃描

學校應部署專業(yè)的漏洞掃描產品，定期組織對主機系統(tǒng)及各類網(wǎng)站、業(yè)務系統(tǒng)進行漏洞掃描，從而發(fā)現(xiàn)存在的安全漏洞。對漏洞掃描結果進行評估和分析，提出可操作性的整改建議，將發(fā)現(xiàn)的安全漏洞和整改建議及時發(fā)到各級單位，督促限期進行處置，有助于降低或避免校園網(wǎng)主機管理信息系統(tǒng)的風險。

3 完善網(wǎng)絡安全管理體系建設

3.1? 加強領導、完善機構設置、健全制度

按照國家網(wǎng)絡安全法的相關指導要要求，上級各主管部門關于互聯(lián)網(wǎng)服務的安全技術要求，應當成立以校領導為組長的網(wǎng)絡安全和信息化工作領導小組，設立網(wǎng)絡安全工作小組和網(wǎng)絡安全技術保障小組，明確工作職能，建立學校網(wǎng)絡安全工作責任制、網(wǎng)站管理辦法、網(wǎng)絡安全事件應急預案等管理制度，明確各二級單位黨政領導為網(wǎng)絡安全責任第一人。各信息化系統(tǒng)根據(jù)“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，簽訂學校信息系統(tǒng)（網(wǎng)站）安全承認書，信息系統(tǒng)所在單位領導和系統(tǒng)使用人要承擔網(wǎng)絡安全主體責任。

3.2 加強學校信息化資產管理

學校網(wǎng)絡管理部門和網(wǎng)絡安全工作小組應定期對校園網(wǎng)中運行的各類主機服務器、信息系統(tǒng)、網(wǎng)站等有形無形資產進行摸底，整理統(tǒng)計，建立資產臺賬。應建立信息化資產安全運營管理平臺，加強資產校內備案和續(xù)期、校外開放訪問等管理，清理無專人運維的或已不再使用的“僵尸”信息系統(tǒng)（網(wǎng)站），回收資源，對于未按時期續(xù)備案、長期未更新或存在高風險漏洞未整改的主機信息系統(tǒng)（網(wǎng)站），限制訪問。

3.3? 落實網(wǎng)絡安全事件應急處理預案

建立學校層面的網(wǎng)絡安全事件應急領導機構，按要求成立網(wǎng)絡應急響應技術小組，在出現(xiàn)緊急事件時第一時間向領導小組匯報，這樣才能做到有條不紊，由領導小組對事件的緊急程度以及事件等級進行研判，并制定相應的處理措施。出臺網(wǎng)絡安全應急預案，根據(jù)國家等級保護2.0的要求，網(wǎng)絡安全預案是必要條件，根據(jù)自身實際情況設定合理的網(wǎng)絡安全應急預案，明確事件的處理流程，這樣在出現(xiàn)緊急事件時，有據(jù)可循，工作才能有條不紊。定期進行網(wǎng)絡安全事件演練，根據(jù)各類不同的網(wǎng)絡安全事件，定期開展針對性的安全演練，確保出現(xiàn)網(wǎng)絡安全事件時，能夠以最快的速度進行響應和處置，能夠將事件的影響控制到最小，減少安全事件帶來的損失。

3.4? 提升網(wǎng)絡安全技術人員專業(yè)水平

建設高校網(wǎng)絡安全防護體系，需加強對網(wǎng)絡安全技術管理人員進行專業(yè)的技能培訓，特別是系統(tǒng)、應用及網(wǎng)絡技術等相關的安全技能培訓，逐步實現(xiàn)持證上崗。有條件的學?？赏ㄟ^與網(wǎng)絡安全廠商聯(lián)合建立校內網(wǎng)絡安全實驗室或購買網(wǎng)絡安全外包服務來整體提升學校網(wǎng)絡安全監(jiān)控和防護能力，提升學校網(wǎng)絡安全技術人員的技術技能。

4 結語

建立、健全高校網(wǎng)絡安全技術和管理體系是高校信息化應用系統(tǒng)安全、可靠運行的保障，然而網(wǎng)絡安全治理和管理是一個長期、持續(xù)不斷的過程，面臨的安全威脅層出不窮，對新的網(wǎng)絡威脅和風險需要跟進關注，加強風險評估，加固安全防護和安全策略優(yōu)化調整，才能有效保障學校信息化建設的有序、健康、高質量發(fā)展。

[參考文獻]

[1]楊俊斌，梁紅.高校校園網(wǎng)絡安全管理問題及對策研究[J].網(wǎng)絡安全技術與應用，2017（12）：102.

[2]孫影.論高校網(wǎng)絡建設中的信息安全[J].中外企業(yè)家，2019（34）：235.

[3]李 琴，杜 林，李建軍.淺析高校網(wǎng)絡安全防護關鍵[J].網(wǎng)絡安全技術與應用，2020（4）：106-107.

[4]曾聰.高校服務器網(wǎng)絡安全防范問題及策略研究[J].無線互聯(lián)科技，2020（4）：28-29.

[5]傅鈺.網(wǎng)絡安全等級保護2.0 下的安全體系建設[J].網(wǎng)絡安全技術與應用，2018（8）：13，16.

（編輯 姚 鑫）

Construction and research of network security protection system in universities

Zhong Zhuorong， Zhang Xiaopeng

（South China Agricultural Uniersity， Guangzhou 510640， China）

Abstract：The rapid development of information technology has promoted the rapid development of information application system in universities. According to the relevant requirements of National Network Security Law and classified protection of cybersecurity 2.0， the universities need to improve the level of network security protection and management ability. The thesis analyzes the current situation of network security in universities. Combined with the actual situation of the universities， it discusses the construction and research of the network security protection system in universities from the aspects of network security technology protection， and consummating network security mechanism and management system.

Key words：network security; classified protection of cybersecurity 2.0; security mechanism; protection system

作者簡介：鐘焯榮（1979— ），男，廣東云安人，工程師，學士;研究方向：計算機網(wǎng)絡。