基于IT治理的高校校園安全網絡框架設計研究與實現

◆李學龍 郝文英

基于IT治理的高校校園安全網絡框架設計研究與實現

◆李學龍1郝文英2

（1.北京第二外國語學院 北京 100024；2.北京物資學院 北京 101149）

“沒有網絡安全，就沒有國家安全；沒有信息化，就沒有現代化。”高校是網絡應用的前沿陣地，網絡安全事關高校的和諧穩定。在日常工作中，高校應進一步加強網絡安全管理，重視網絡信息管理系統建設。本文將著重闡述通過基于高校“IT治理”思想下的校園安全網絡框架設計與實施。

信息安全；IT治理；信息化

0 前言

2012年，黨的十八大報告中指出要“建設下一代信息基礎設施，發展現代信息技術產業體系，健全信息安全保障體系，推進信息網絡技術廣泛運用。”這49字概括了國家在網絡信息技術領域下一步將要完成的工作，其中“健全信息安全保障體系”第一次明確提出了“信息安全”，可見信息安全對國家的重要程度。

高校作為國家最重要的人才聚集地，沒有高校的網絡信息安全，何談高校教育信息化，又如何實現高校教育的現代化的目標。因此，做好信息安全相關工作是高校日常最重要的工作之一。信息安全本身是一項系統工程，需要進行一體化設計，自頂向下。完善各類設備設施，完備各類規章制度，加強組織領導，“技防”與“管理”并重，強化信息安全等級保護制度，才能更好的保障網絡與信息安全。

1 高校IT一體化建設下的信息網絡安全必要性

近年來，信息化已經覆蓋到高校教學、科研和管理過程的方方面面，為高校的教學、科研、學生管理和社會服務等核心業務提供了有力支撐，提高了高校工作效率和管理水平。高校數字化校園向智慧校園的轉變過程中，大都進行了詳細而周密的頂層設計，但在設計過程中，往往忽視了網絡與信息安全的規劃設計和實施，從而導致了各種各樣的信息安全問題。

隨著國家對信息安全的要求逐步提高，很多高校在安全上都做了大量的工作，通過購置上線安全設備（網絡出口防火墻、WAF、入侵檢測/防護系統IDS/IPS、負載均衡設備、流控設備等），起到了一定安全保護作用。但要進一步做好高校的網絡與信息安全工作，需要進行“一體化”設計，簡單的購置安全設備只是在一定程度上解決了部分問題，并不能最大限度的降低或消除網絡安全風險。很多網絡安全事件產生的原因都不簡簡單單是“沒防住，門沒關好的問題”，而是“關門之前就有了問題”，亦或是“關門的同時就出現了問題”。

綜上所述，高校的網絡信息安全一體化設計是必要的，只有進行網絡與信息安全的“IT一體化建設”，才能少走彎路，穩步推進，分布實施，最終實現高校的網絡與信息安全。

2 高校IT治理建設下的信息網絡安全設計構建

高校應從“管理”和“技術”兩個方面共同推進全校網絡與信息安全保障工作，千萬不要重“技術”，輕“管理”，管理與技術并重，進行IT一體化設計，才能更好的保證網絡與信息安全。完備的網絡與信息安全保障體系應至少包括“信息安全管理構架”、“信息安全管理制度”、“安全設備設施”3個部分。

2.1 信息安全管理構架

應建立網絡與信息安全專門機構，加強網絡與信息安全的組織領導工作，提高網絡與信息安全地位，突出并強化網絡與信息安全的重要性。信息安全管理架構應自頂向下，嚴格落實領導責任制，一把手親自過問，分管負責人直接抓，一級抓一級，層層抓落實，確保高校校園網與各應用信息系統安全穩定的運行。

2.2 信息安全管理制度

高校應根據國家有關網絡安全的政策要求以及教育部制定發布的各類教育信息化管理制度和信息安全標準規范，結合自身實際，制定學校網絡安全總體規劃，完善學校網絡與信息安全管理方面的各項規章制度。如《人員安全管理制度》、《信息系統安全管理制度》、《校園網安全管理制度》、《數據安全管理等制度》、《設備管理制度》等等。

2.3 網絡與信息安全技術防護

（1）做好校園網邊界控制，保證專網專用

高校校園網應做到校內專網專用，互不干涉。在進行校園網構建時，做好各類專網規劃，如校園一卡通專網、學校財務專網、全校消防及安防專網、全校監控專網，在專網建設時在邏輯上和物理均進行分離，采用校內專有機制進行運行，不開放校外訪問，校內進行訪問控制限定，能有效避免各類網絡攻擊。

必要時在網絡核心機房建立DMZ軍事區，重要的信息系統服務器均放置其內，在DMZ區之外部署一系列的網絡安全設備設施，同時加強管理與監控，保障重要業務信息系統的網絡與信息安全。

（2）上線“網絡防火墻”設備，實現“關門”防護

網絡防護墻設備可以對“網絡層”進行“開”與“關”的操作，它類似于一道門，要么關閉，要么開放，理論上來講是最安全的。高效應對全校各類應用服務器的端口開放情況進行全面的梳理，關停不必要端口的校外訪問，降低安全隱患。建立“高效服務器安全管理規定”制度，通過上線網絡防火墻，除非必要僅在防火墻上開放80、8080端口應用層的校外網訪問。但僅僅是端口的開關操作會降低很多的應用系統的訪問體驗，很多信息系統是需要開放訪問的，但開放后又失去了“網絡防火墻”的保護性。因此“網絡防火墻”應與“WEB應用防火墻”配合使用，各展所長，共同保障網絡與信息安全。

（3）上線“WEB應用防火墻”設備，實現“應用層”監控防護

WEB應用防火墻（Web Application Firewall，簡稱WAF），是通過執行一系列針對HTTP/HTTPS的網絡安全策略來專門為Web應用提供保護的網絡安全設備、設施，對WEB應用系統具有專門的防護作用。WAF工作在應用層，對Web應用防護具有先天的技術優勢。基于對網站及各類應用的業務邏輯的深刻理解，他對來自各類應用程序客戶端的每個請求進行內容檢測和驗證，確保其安全合法，對于非法的請求予以實時（按策略）阻斷，從而對各類網站、信息系統能進行有效的防護。

有報道顯示，WAF對SQL注入、網頁篡改、網頁掛馬、XSS跨站腳本等網絡攻擊具有較好的防護效果。

通過上線WEB應用防護設備，增強學校對外的WEB級應用防護能力，降低人力監控工作壓力，提高全校的安全防護能力，如圖1所示。

圖1 WAF策略防護

（4）上線網頁“防篡改”系統，進行統一網站群建設

高校內部部門眾多，每級子部門都有自己的主頁或信息系統建設，由于信息技術的參差不齊[1]，容易造成各單位的主頁“五花八門”、“良莠不濟”，也需更多的考慮網絡安全問題。因此高校信息化歸口部門應進行全校的統一網站群建設,增強網站的安全。

目前市面上主流的黑客攻擊技術為對網頁進行篡改，加入“暗鏈”、“標語”、“圖片”等信息。防止網站網頁被篡改是網站群安全防護的最主要內容，所以上線“網頁防篡改系統”是必要的。

在校園網出口（或DMZ區之外）部署網絡防火墻、WAF，目的是防止校園網的網站及應用系統遭受攻擊（事前攔截），但一旦黑客滲透過這些安全設備之后，假如對網頁進行了更改，還有最后一道防線可守 — 網頁防篡改，可在最短的時間內進行網頁恢復（事后恢復），無需人工干涉，并發送相關告警信息，形成了事前攔截+事后防御的雙重網絡安全防御體系。

但要注意，防篡改系統自身程序必須能防篡改，如果自身程序做的不夠完善，就更不需彈保護網站了。

3 結束語

高校網絡與信息安全工作任重而道遠，目前國內高校網絡與信息安全形式非常嚴峻,應更加重視網絡與信息安全工作[2] ,對硬軟件配套設施按要求進行及時升級,與時俱進，為網絡安全系統建設提供軟硬件支撐。同時提高內部防護能力，建立網絡安全管理制度和應急防護長效機制，對網絡問題進行全方位監控。要對重要的設備設施集中管理，切實落實網絡安全管理責任制。加強網絡與信息安全等級保護制度的推進實施，保障高校的網絡安全。

[1]郝文英等.基于新媒體技術的高校教務教學信息推送系統構建分析.中小企業管理與科技，2015.

[2]李學龍等.高校網絡與信息安全防護技術研究.電腦迷，2016.