摘?要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，以及網(wǎng)絡(luò)應(yīng)用的普及，人們對網(wǎng)絡(luò)的依賴性越來越高。網(wǎng)絡(luò)在生活、學(xué)習(xí)、工作方面帶給人們便捷的同時(shí)，也衍生出一系列網(wǎng)絡(luò)安全問題。近年來，各行各業(yè)網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，如何通過安全運(yùn)維的手段最大程度地避免安全事件，是每一個(gè)網(wǎng)絡(luò)運(yùn)維人員需要思考的問題。

關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)；網(wǎng)絡(luò)安全；安全運(yùn)維

校園網(wǎng)是高校重要的信息平臺(tái)［1］，目前高?；径加袑傩@網(wǎng)絡(luò)，主要為全校師生提供網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)中心服務(wù)。高校校園網(wǎng)存在以下特點(diǎn)：用戶體量大，用戶網(wǎng)絡(luò)安全意識低，網(wǎng)絡(luò)運(yùn)維人員少且技術(shù)力量薄弱，網(wǎng)絡(luò)設(shè)備數(shù)量大，業(yè)務(wù)種類多等。針對這一現(xiàn)象，旨在最大限度降低校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，必須建立健全網(wǎng)絡(luò)安全防護(hù)體系，從網(wǎng)絡(luò)安全技術(shù)運(yùn)維層面、網(wǎng)絡(luò)安全政策意識層面出發(fā)，保障高校網(wǎng)絡(luò)安全可靠穩(wěn)定運(yùn)行。

1?網(wǎng)絡(luò)安全運(yùn)維技術(shù)層面

現(xiàn)代校園網(wǎng)系統(tǒng)的正常運(yùn)行和各項(xiàng)功能的順利實(shí)現(xiàn)，離不開軟件系統(tǒng)和硬件設(shè)備的日常管理維護(hù)和合理配置［2］。網(wǎng)絡(luò)安全必須落實(shí)在網(wǎng)絡(luò)運(yùn)維環(huán)境中，網(wǎng)絡(luò)環(huán)境本身必須最大程度降低安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全運(yùn)行的前提是夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)，在該架構(gòu)的基礎(chǔ)上通過安全運(yùn)維、策略優(yōu)化、安全加固等技術(shù)手段才能保障整個(gè)運(yùn)維技術(shù)層面的安全可靠性。

1.1?網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

網(wǎng)絡(luò)架構(gòu)是校園網(wǎng)運(yùn)行的基石，網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)直接影響上層網(wǎng)絡(luò)運(yùn)行的質(zhì)量，網(wǎng)絡(luò)架構(gòu)的原則是簡約、靈活、安全、健壯等。一個(gè)完整的網(wǎng)絡(luò)架構(gòu)通常包含外聯(lián)域、互聯(lián)網(wǎng)出口域、云端安全服務(wù)、運(yùn)維管理域、核心交換域、對外服務(wù)區(qū)域、二級系統(tǒng)業(yè)務(wù)域及終端接入域名等8個(gè)區(qū)域，如圖1所示。為保障各區(qū)域間的網(wǎng)絡(luò)安全訪問，各個(gè)域之間有明顯的物理界限（邊界防火墻），通過邊界防火墻的安全策略靈活控制數(shù)據(jù)流的走向。

（1）外聯(lián)域：主要負(fù)責(zé)校內(nèi)各個(gè)專網(wǎng)的對外互聯(lián)業(yè)務(wù)，例如財(cái)政專網(wǎng)、銀聯(lián)專網(wǎng)等，服務(wù)內(nèi)容專一，數(shù)據(jù)量小，但安全系數(shù)高。

（2）互聯(lián)網(wǎng)出口域：主要負(fù)責(zé)向廣大師生等校園網(wǎng)用戶提供網(wǎng)絡(luò)帶寬接入服務(wù)，提供對外業(yè)務(wù)的發(fā)布服務(wù)，例如電信寬帶出口、聯(lián)通帶寬出口、移動(dòng)帶寬出口以及教育科研網(wǎng)出口等。

（3）云端安全服務(wù)：嚴(yán)格意義上該區(qū)域不算是網(wǎng)絡(luò)架構(gòu)中的一個(gè)業(yè)務(wù)分區(qū)，但它又是網(wǎng)絡(luò)安全體系中的一個(gè)重要組成部分，云端安全配合本地安全設(shè)備雙重保障。

（4）運(yùn)維管理域：主要負(fù)責(zé)全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全運(yùn)維設(shè)備，例如堡壘機(jī)、安全態(tài)勢感知平臺(tái)、日志審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、網(wǎng)管平臺(tái)等。

（5）核心交換域：主要負(fù)責(zé)全校網(wǎng)絡(luò)流量的控制和轉(zhuǎn)發(fā)，是整張網(wǎng)絡(luò)的數(shù)據(jù)處理中樞。

（6）對外服務(wù)域：主要負(fù)責(zé)全校對外服務(wù)的公共服務(wù)（DMZ區(qū)），例如官方網(wǎng)站、校級APP應(yīng)用等公共服務(wù)。

（7）二級系統(tǒng)業(yè)務(wù)域：主要負(fù)責(zé)校內(nèi)的數(shù)據(jù)中心業(yè)務(wù)，例如校內(nèi)私有云平臺(tái)、數(shù)據(jù)庫系統(tǒng)、存儲(chǔ)系統(tǒng)，業(yè)務(wù)部門的二級網(wǎng)站和業(yè)務(wù)等。

（8）終端接入域：主要負(fù)責(zé)終端用戶的網(wǎng)絡(luò)接入。例如有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)，一卡通等。

1.2?網(wǎng)絡(luò)業(yè)務(wù)精細(xì)規(guī)劃

傳統(tǒng)網(wǎng)絡(luò)中各種不同的網(wǎng)絡(luò)應(yīng)用混雜無序，運(yùn)維難度大，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)較高。例如，網(wǎng)絡(luò)打印機(jī)、門禁、攝像頭等業(yè)務(wù)部署在同一個(gè)子網(wǎng)中，難以精準(zhǔn)管理和優(yōu)化調(diào)試。隨著網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)終端設(shè)備種類的增多，傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃無論在健壯性、靈活性和擴(kuò)展性上都難以滿足未來信息化的快速發(fā)展要求。

終端接入域中，可分為辦公網(wǎng)、網(wǎng)絡(luò)打印機(jī)、門禁、攝像頭等業(yè)務(wù)；二級系統(tǒng)業(yè)務(wù)域中，可分為中間件、數(shù)據(jù)庫、存儲(chǔ)區(qū)等；運(yùn)維管理域中可分為安全設(shè)備區(qū)、帶外管理區(qū)等。

1.3?終端接入域內(nèi)部的安全

“堡壘往往都是從內(nèi)部攻破的”，首先要做的一點(diǎn)就是避免網(wǎng)絡(luò)終端的橫向流量。局域網(wǎng)的病毒感染之所以傳播速度快，最主要的原因就是利用局域網(wǎng)的廣播特性。

根據(jù)高校運(yùn)維經(jīng)驗(yàn)，該區(qū)域內(nèi)部網(wǎng)絡(luò)終端之間除了共享打印機(jī)之外，無其他必要的橫向流量傳播需求。打印機(jī)的需求可以通過在各辦公地點(diǎn)增設(shè)路由器或者交換機(jī)的方式解決，盡量將廣播域縮減到最小，或者通過為網(wǎng)絡(luò)打印機(jī)單獨(dú)規(guī)劃網(wǎng)絡(luò)的方式解決。

在解決了共享打印機(jī)需求的條件下，針對所有的接入設(shè)備進(jìn)行端口安全隔離，可采取端口隔離技術(shù)，如圖2，也可采用QinQ技術(shù)，如圖3。

1.4?共享端口的關(guān)閉

共享服務(wù)在提供便捷服務(wù)的同時(shí)也帶來了很大的安全風(fēng)險(xiǎn)，共享端口是被很多黑客利用傳播網(wǎng)絡(luò)病毒一種途徑。例如共享打印機(jī)是利用tcp445端口進(jìn)行數(shù)據(jù)交換的，勒索病毒通過該端口利用微軟系統(tǒng)漏洞造成了非常嚴(yán)重的網(wǎng)絡(luò)安全事件。共享端口有135、139、138、137和445等；

用戶可以通過防火墻的安全策略或者安全軟件進(jìn)行封堵，但對一些網(wǎng)絡(luò)安全素養(yǎng)偏低或者網(wǎng)絡(luò)安全意識薄弱的用戶上述操作存在一定的困難，所以必須在網(wǎng)絡(luò)設(shè)備接入控制層面進(jìn)行一定的安全策略限制，在網(wǎng)絡(luò)傳輸?shù)倪^程中切斷病毒傳播，以達(dá)到保護(hù)用戶終端安全的目的。

為簡化運(yùn)維工作量，該策略可在網(wǎng)絡(luò)控制設(shè)備BRAS上統(tǒng)一進(jìn)行策略配置。若沒有BRAS設(shè)備，可在網(wǎng)關(guān)設(shè)備統(tǒng)一進(jìn)行策略控制，或者接入交換機(jī)層面增加相應(yīng)ACL策略控制。

1.5?網(wǎng)絡(luò)設(shè)備的安全管理

上文已經(jīng)提高，高校校園網(wǎng)絡(luò)其中一個(gè)特點(diǎn)是網(wǎng)絡(luò)設(shè)備數(shù)量大，種類多，如何安全管理網(wǎng)絡(luò)設(shè)備，對廣大運(yùn)維人員是一個(gè)挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備的運(yùn)維過程中主要存在賬號密碼的定期維護(hù)量大，賬號密碼復(fù)用、混用，人為操作不當(dāng)?shù)牟呗曰赝艘约霸L問控制權(quán)限等問題。

為解決上述問題，有條件的高?？梢圆捎帽緳C(jī)設(shè)備進(jìn)行管理運(yùn)維。首先，堡壘機(jī)的作用是保障系統(tǒng)運(yùn)維和安全審計(jì)管控，只有通過堡壘機(jī)設(shè)備授權(quán)的用戶或網(wǎng)段才能訪問網(wǎng)絡(luò)設(shè)備；其次，堡壘機(jī)可以為不同用戶分配不同操作權(quán)限，精細(xì)化運(yùn)維；堡壘機(jī)還有一個(gè)重要作用就是審計(jì)作用，避免人為操作不當(dāng)引起的網(wǎng)絡(luò)安全事件，大大降低了網(wǎng)絡(luò)設(shè)備的安全運(yùn)維風(fēng)險(xiǎn)。若無堡壘機(jī)，建議通過網(wǎng)絡(luò)設(shè)備側(cè)設(shè)置遠(yuǎn)程登錄訪問控制策略來指定特定的網(wǎng)段或者賬號登錄。如圖4，通過設(shè)置訪問控制列表ACL的方式限定登錄源。

1.6?業(yè)務(wù)發(fā)布精細(xì)化

業(yè)務(wù)開發(fā)部署完成之后，預(yù)上線期間，嚴(yán)格評估開放端口，在保證業(yè)務(wù)運(yùn)行正常的基礎(chǔ)上保持端口開放最小化、精細(xì)化的原則，堅(jiān)決杜絕全端口開發(fā)，尤其避免遠(yuǎn)程管理端口直接暴露公網(wǎng)。業(yè)務(wù)系統(tǒng)的后臺(tái)管理頁面不允許暴露在公網(wǎng)，必須通過VPN等邊界設(shè)備進(jìn)行網(wǎng)絡(luò)安全訪問。遠(yuǎn)程端口包括telnet（22）、ssh（23）、微軟遠(yuǎn)程（3389）、mysql數(shù)據(jù)庫服務(wù)（3306）等。若因特殊需求必須開放一些風(fēng)險(xiǎn)端口，必須明細(xì)源目的地址的精細(xì)安全訪問策略。

1.7?定期進(jìn)行基線核查

基線檢查功能針對服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、軟件和容器的配置進(jìn)行安全檢測，并提供檢測結(jié)果說明和加固建議。通過基線檢查結(jié)果，達(dá)到系統(tǒng)安全加固，降低入侵風(fēng)險(xiǎn)的目的。

基線核查主要包括弱口令、未授權(quán)訪問、最佳安全實(shí)踐、容器安全、等保合規(guī)、CIS合規(guī)以及自定義基線等內(nèi)容。

弱口令基線：使用非登錄爆破方式檢測是否存在弱口令。避免登錄爆破方式鎖定賬戶影響業(yè)務(wù)的正常運(yùn)行。主要包括Zabbix登錄弱口令檢查、Samba登錄弱口令檢查、ElasticSearch服務(wù)登錄弱口令檢查、Activemq登錄弱口令檢查、RabbitMQ登錄弱口令檢查、Linux系統(tǒng)OpenVpan弱口令檢查、Oracle數(shù)據(jù)庫登錄弱口令檢查等。

未授權(quán)訪問基線：檢測服務(wù)是否存在未授權(quán)訪問風(fēng)險(xiǎn)，避免被入侵或者數(shù)據(jù)泄露。主要包括InfluxDB未授權(quán)訪問、Redis未授權(quán)訪問、Jboss未授權(quán)訪問、OpenLDAP未授權(quán)訪問、Hadoop未授權(quán)訪問、Docker容器未授權(quán)訪問等。

最佳安全實(shí)踐基線：主要檢測是否存在賬號權(quán)限、身份鑒別、密碼策略、訪問控制、安全審計(jì)和入侵防范等安全配置風(fēng)險(xiǎn)。

等保合規(guī)基線：等保二級、三級合規(guī)基于服務(wù)器安全等?；€檢查。對標(biāo)權(quán)威測評機(jī)構(gòu)安全計(jì)算環(huán)境測評標(biāo)準(zhǔn)和要求。主要包括等保三級SUSE15合規(guī)基線檢查、等保三級Bind合規(guī)基線檢查、等保三級CentOS?Linux?6合規(guī)基線核查、等保三級Oracle合規(guī)基線檢查等。

CIS合規(guī)基線：基于CIS標(biāo)準(zhǔn)的操作系統(tǒng)安全基線檢查。包括CIS標(biāo)準(zhǔn)CentOS?Linux?6安全基線檢查、CIS標(biāo)準(zhǔn)CentOS?Linux?7安全基線檢查、CIS標(biāo)準(zhǔn)Windows?Server?2008?R2安全基線檢查、CIS標(biāo)準(zhǔn)Windows?Server?2012?R2安全基線檢查等。

1.8?云端值守

上文已經(jīng)提到過高校的網(wǎng)絡(luò)安全運(yùn)維管理目前存在人員緊張、技術(shù)薄弱等現(xiàn)象，且短時(shí)間無法從根本上解決問題。云端值守相對是一個(gè)過渡或者輔助的解決方案。通過云端值守實(shí)現(xiàn)全流程數(shù)據(jù)防護(hù)、風(fēng)險(xiǎn)預(yù)警與攻防響應(yīng)為一體，多重保障線上安全，全天候（7×24小時(shí)）的網(wǎng)絡(luò)安全監(jiān)控工作。

2?網(wǎng)絡(luò)安全政策層面

無規(guī)矩不成方圓，技術(shù)手段只能解決設(shè)備層面、軟件層面或者代碼層面的問題，網(wǎng)絡(luò)安全體系不能僅僅依靠技術(shù)，更要配套的政策、規(guī)章制度與之配合。

近年來網(wǎng)絡(luò)安全的重要性已經(jīng)上升到了國家安全層面。國家每年以“網(wǎng)絡(luò)安全宣傳周”的活動(dòng)提高全民的網(wǎng)絡(luò)安全意識，教育系統(tǒng)更是每年以“網(wǎng)絡(luò)攻防演練”的形式提高各高校的網(wǎng)絡(luò)安全意識和安全運(yùn)維技能。各高校更要結(jié)合本校實(shí)際制定相應(yīng)政策，形成有效的網(wǎng)絡(luò)安全工作機(jī)制。

2.1?成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組

網(wǎng)絡(luò)安全工作不是學(xué)校某個(gè)部門、某個(gè)人的工作，而是學(xué)校層面及全員共同參與的全民工作。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組由校黨委、行政一把手任組長，分管校領(lǐng)導(dǎo)任副組長，成員由各業(yè)務(wù)部門負(fù)責(zé)人組成，適時(shí)根據(jù)學(xué)校實(shí)際情況調(diào)整成員單位。

網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組主要職責(zé)為：貫徹落實(shí)上級有關(guān)部門關(guān)于網(wǎng)絡(luò)安全工作的決策部署；統(tǒng)籌協(xié)調(diào)我校網(wǎng)絡(luò)安全工作的重大問題；研究制定我校網(wǎng)絡(luò)安全發(fā)展規(guī)劃、政策制定和安全標(biāo)準(zhǔn)；督促各單位、各部門落實(shí)網(wǎng)絡(luò)安全的政策規(guī)定，不斷提高學(xué)校網(wǎng)絡(luò)安全水平。

2.2?信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)

信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作。包含存儲(chǔ)安全、數(shù)據(jù)庫安全、主機(jī)安全、網(wǎng)絡(luò)設(shè)備安全、物理環(huán)境安全等。信息系統(tǒng)必須確定等保測評等級，完成等保測評后方可正式上線，堅(jiān)決杜絕“帶病”上線。

2.3?信息化日常管理規(guī)章制度

目前各高校的信息化工作一般都有各高校信息中心或者信息處負(fù)責(zé)。該部門不僅承擔(dān)為高校信息化的建設(shè)工作，還要負(fù)責(zé)日常的運(yùn)維保障工作。在建設(shè)和運(yùn)維工作中，要把網(wǎng)絡(luò)安全落到實(shí)處。各項(xiàng)日常管理工作必須出臺(tái)相應(yīng)的規(guī)章制度，在工作中嚴(yán)格執(zhí)行。例如《信息化項(xiàng)目建設(shè)管理細(xì)則》《機(jī)房管理規(guī)章制度》《樓宇弱電間管理辦法》《數(shù)據(jù)對接使用安全規(guī)范》等。

2.4?網(wǎng)絡(luò)宣傳

“網(wǎng)絡(luò)安全靠人民，網(wǎng)絡(luò)安全為人民”。只有人人都參與到網(wǎng)絡(luò)安全的工作中，才能形成健康、有效、可持續(xù)的網(wǎng)絡(luò)安全防護(hù)體系。通過各種渠道、形式加強(qiáng)網(wǎng)絡(luò)安全宣傳工作，努力提高全校師生的信息安全素養(yǎng)。

結(jié)語

信息技術(shù)的快速發(fā)展給網(wǎng)絡(luò)安全帶來了前所未有的挑戰(zhàn)。網(wǎng)絡(luò)安全問題已經(jīng)從一個(gè)單純的技術(shù)問題上升到關(guān)乎人們的工作和生活的重要問題，上升到關(guān)乎社會(huì)經(jīng)濟(jì)乃至國家安全的戰(zhàn)略問題。各高校應(yīng)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)工作，為師生營造安全綠色的網(wǎng)絡(luò)環(huán)境，推動(dòng)學(xué)校信息化快速、安全、穩(wěn)定運(yùn)行［3］。

參考文獻(xiàn)：

［1］刁曉婧.高校校園網(wǎng)絡(luò)安全問題分析及對策［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（08）：9091.

［2］龍曼麗.高校語言室的網(wǎng)絡(luò)安全問題和對策研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（03）：8283.

［3］賈潔.校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全［J］.網(wǎng)絡(luò)安全及應(yīng)用，2020（07）：8889.

作者簡介：岳超（1989—?），男，漢族，山東菏澤人，碩士研究生，網(wǎng)絡(luò)工程師，研究方向：網(wǎng)絡(luò)技術(shù)。