基于等級保護的高校校園網絡安全建設研究

秦麗娜

摘要：聞名全球的勒索病毒WannaCry在短短時間內就迅速波及超過150個國家，設計的行業包括醫療、企業、電力、能源、銀行、交通等，雖然微軟公司已經針對“永恒之藍”系統漏洞發布了相應的補丁，但時至今日該勒索病毒仍然潛藏于世界各地并蓄勢待發。網絡安全不再是遠離人們的一個陌生話題，而是就發生在身邊，并給其正常工作生活帶來嚴重不利影響，提高網絡安全水平成為當務之急。本文從《網絡安全等級保護制度》概述、基于等級保護的高校校園網絡安全建設措施兩方面展開研究，旨在為提高高校網絡安全水平以及強化高校校園網絡安全建設提供幫助。

關鍵詞：等級保護;高校;校園網絡安全建設

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）13-0054-02

步入到21世紀，互聯網時代后網絡已經成為人們日常生活所不可缺少的組成部分。高校作為向國家輸送高學歷、復合型人才的教育機構，近些年來不斷開展智慧校園的建設摸索，目前已經初步形成了將計算機技術、云計算技術融合于一身的網絡體系，并為高校科研工作、教學工作、生活管理等提供了強大的便利[1]。但是，勒索病毒WannaCry的出現不僅給全球敲響了警鐘，也給高校網絡安全建設提出了更高的要求，尤其是目前我國高校接口標準一致，一旦被病毒侵入勢必會造成不可估量的經濟損失。為此，全國人民代表大會常務委員會于2017年6月1日施行《中華人民共和國網絡安全法》并將“網絡安全等級保護制度”從法律層面正式提出，為高校網絡安全建設提供了有力的指導[2]。基于等級保護的高校校園網絡安全建設亦成為研究領域關注的熱門議題之一。

1 《網絡安全等級保護制度》概述

1.1 ?內涵

《網絡安全等級保護制度》內涵主要包括以下五方面內容：1）定級。對全國范圍內的所有信息系統根據其重要程度以及受損之后產生的危害性定為五個級別，其中第一級重要性及危害性均最低，而第五級則最高;2）備案。明確網絡安全等級之后所有第二級及以上的信息系統均需要到公安機關進行備案，審核合格之后頒發相應的備案證明;3）建設整改。已經備案的單位根據網絡安全等級、國家相關標準開展網絡安全建設，落實安全舉措并明確安全責任、建立并落實各項安全管理制度內容等;4）等級測評。前往公安機關備案的單位選擇符合國家規定的測評機構對自身安全等級進行測定;5）監督檢查。由公安機關對評定等級為第二級的信息系統予以指導，第三級和第四級信息系統定期進行監督檢查和指導工作。

1.2 ?定級

信息系統安全保護等級以重要性及受損后的危害性為主要評估內容，將其分為以下五個保護等級：1）第一級。信息系統受損之后將會對公民個人、法人以及其他組織合法權益帶來損害但并不會對國家安全、社會秩序以及公共利益帶來損害;2）第二級。信息系統受損之后將會對公民個人、法人以及其他組織合法權益帶來嚴重損害，或者是對社會秩序、公共利益帶來損害，卻并不危及國家安全;3）第三級。信息系統受損之后會對整個社會秩序、公共利益帶來嚴重損害，或者是危及國家安全;4）第四級。信息系統受損之后會社會秩序、公共利益造成特別嚴重的損害，或者是嚴重危及國家安全;5）第五級。信息系統受損之后會對國家安全造成特別嚴重的損害。

2 基于等級保護的高校校園網絡安全建設措施

由于高校承擔著多項科研任務，某些科研項目可能涉及國家安全，所以高校校園網絡安全根據《網絡安全等級保護制度》定級標準應確定為第三極，在實際建設工作中也應該按照此級別進行設計，其具體措施包括以下幾部分：

1）網絡安全。由于高校校園信息系統均是在網絡環境中運行，一旦被病毒進入網絡系統將會給整個校園信息系統帶來嚴重威脅，所以網絡安全就成為一個需要引起足夠重視的問題。具體措施如下：①物理環境。校園信息網絡系統的物理環境由機房、網絡設備、線路所組成。當前我國高校校園網總體上可以分為網絡出口、服務器、網絡管理、個人終端接入等功能區[3]。所以在構建安全防護體系時就需要根據各個功能區的不同針對性的設定。在網絡出口以及服務器前設置網絡安全防火墻、防入侵檢測及預警系統、上網行為管理系統、安全審計系統等加以防護。近些年來木馬病毒（Trojan）、蠕蟲病毒（Worm）、黑客程序（Hack）、捆綁器病毒（Binder）、網頁病毒陸續涌現且隨著智能化設備的廣泛應用，各類病毒的“智慧”隨之提高，此點內容就需要進一步提高防火墻的防護能力[4]。所以在校園信息系統的邊界設置防火墻并積極運用防入侵系統無疑能夠大幅降低各種病毒的入侵風險。在設置防火墻以及防入侵系統時應將目前已知的各種網絡攻擊類型納入其中，特別是對于暴力破解、結構化查詢語言（Structured Query Language，SQL）注入、腳本攻擊等更是應該進一步細化和明確，以便于此類網絡攻擊發生伊始就會被防入侵系統以及防火墻檢測并為網絡安全管理人員提出警示[5]。防御特征庫應該以月為單位進行動態更新，在病毒猖獗時間段更是需要縮短更新頻率，以最大程度上降低針對信息系統高危漏洞開展的攻擊行為的發生。安全審計系統主要是針對訪問行為進行備份以及動作回放，通過對各種訪問行為進行記錄并利用自動軟件定期統計，能夠輔助網絡安全管理人員動態回放并針對不同的訪問用戶設置相應的訪問權限。此外，日志服務器收集的信息內容同樣重要，日志信息對于犯罪分子以及網絡攻擊而言具有重要意義，其內容涵蓋了服務器、工作站、防火墻、應用軟件等活動記錄，定期對日志展開分析工作有助于公安機關審計校園信息系統的用戶行為、確定網絡入侵的具體范圍并幫助恢復校園信息系統，為最終確定網絡攻擊提供完整的證據鏈。

2）系統安全。信息系統是網絡運行所依賴的必須設備，一旦被網絡攻擊就會導致整個系統癱瘓，各種數據信息面臨著篡改以及泄露的風險。按照第三級保護內容系統安全可從以下幾方面著手：①由于整個校園信息系統中存在著諸多用戶，不同用戶的網絡訪問需求存在著明顯的差異性，基于此點網絡安全管理人員可根據用戶的身份設定其相應的訪問權限以及口令策略、禁用遠程終端協議，采用安全殼協議（Secure Shell，SSH）與系統服務器保持連接，并被審計系統對其產生的日志內容進行自動審計[6]。②系統防護則要求網絡安全管理人員定期對系統進行更新，特別是腳本、補丁的更新必須與發布商保持同步。根據高校校園信息系統運行參數決定需要開啟的服務端口，對于不需要或者是不必要的組件或者是應用服務予以關閉，最大程度上消除網絡攻擊的漏洞。③在訪問控制上既要對外部的惡意訪問行為進行監控，又需要對內部的惡意訪問行為進行記錄，通過源和目的互聯網協議地址（Internet Protocol Address，IP）、服務器端口加以限制，將惡意訪問的IP地址拉入系統黑名單之中[7]。

3）數據安全。目前我國部分高校承擔著重要的科研任務，進行的科研項目對于整個國家安全或者是社會秩序、公眾利益具有重要意義，所以數據安全尤為需要引起重視。在校園信息系統中對涉及以上內容的數據信息進行加密，只有訪問權限或者是擁有訪問口令的特定用戶才能夠登錄和查看。對于不具有訪問權限的用戶采取隔離措施，避免數據的外泄。各個系統數據信息傳輸過程中同樣存在著被攻擊和泄露的風險，所以適用的加密算法必須具有較高的安全系數，所有涉及敏感信息的數據需要經過加密處理方可傳輸。由于科研信息具有重要的經濟及社會價值，所以能夠查詢此類信息的管理員必須配置獨立而專用的IP。此外，高校校園信息系統不可避免的面臨著停止工作的情形，如自然災害、設備因素等，所以數據容災備份方面應建立完整的備份機制，一旦發生突發意外情形時備份系統能夠迅速啟動并完整備份數據信息，在最短的時間內完整數據恢復工作[8]。

4）管理安全。高校不僅是校園信息系統的提供者，也是使用者，在實際工作中擔負著雙重角色。在向公安機關備案之后高校亦需要開展網絡安全建設，落實安全舉措并明確安全責任、建立并落實各項安全管理制度內容。實際工作中高校主要從以下幾方面著手：①結合本校信息系統運行實際情況構建安全監控平臺，指定專業技術人員對系統運行狀態進行管控，隨時掌握系統是否存在被網絡攻擊的風險以及存在病毒感染，并據此采取積極的預防及處理措施，消除由此帶來的不良影響。②建立健全網絡安全管理制度。對從事科員項目的科研人員展開針對性的教育工作，將網絡安全管理制度內容一一告知，重點強調各項數據信息所蘊藏的價值、網絡安全面臨的嚴峻形勢、保護數據信息的重要性及泄露信息需要承擔的法律責任等，從思想上端正科研人員的工作態度，避免人為因素給信息安全帶來的威脅。對于正常上網的學生則開展網絡安全宣教工作，對存在危險或者是木馬病毒的網頁一一告知，重點強調一旦因個人瀏覽行為對整個信息系統正常運行帶來不利影響，甚至導致系統癱瘓時所需要承擔的責任，震懾學生的違規行為。③建立定期測定制度。高校校園網絡系統在完成與之相對應的等級保護之后需要委托具有專業資質的測評機構對評估對象實施定期或者是不定期的測評工作，特別是在整個信息系統完成重大改造或者是升級之后更是應該主動通知測評機構，避免系統運行風險以及敏感信息的泄露。

3 小結

綜上所述，隨著信息技術的快速發展，網絡攻擊行為越發猖獗，更為嚴重的是多種具有一定“智慧”的病毒正在或者是已經潛藏于世界各地。由于高校普遍承擔著科研重任，某些項目的重要性與國家安全、社會秩序、公眾利益密切相關，使得高校校園網絡成了網絡攻擊的重災區，所以提高其網絡安全水平、強化網絡安全建設成為當務之急。本文基于等級保護視角出發，從網絡安全、系統安全、數據安全、管理安全四方面內容探討了高校校園網絡安全建設的具體措施，對此方面的工作具有一定的借鑒價值。

參考文獻：

[1] 左明慧.基于GPON的高校智慧校園網安全策略設計研究[J].赤峰學院學報（自然科學版），2018，34（11）：52-54.

[2] 楊巍，孫道賀，周建鋒，等.高校網絡安全提升路徑探索——以天津理工大學中環信息學院為例[J].產業與科技論壇，2018，17（17）：49-50.

[3] 張亮.高校網絡安全管理的問題及對策研究[J].科技風，2018，25（23）：107.

[4] 錢文標，楊清琳.基于等級保護的智慧校園網絡安全防護研究[J].山東工業技術，2018，11（12）：229.

[5] 馬也，吳文燦，麥永浩.從WannaCry勒索病毒事件談高校網絡安全[J].網絡安全技術與應用，2018，5（4）：66-68.

[6] 蔡燕，杜翔.勒索病毒背景下的贛州高校校園網安全策略研究[J].信息與電腦（理論版），2017，21（22）：173-174，177.

[7] 丘洪偉，楊凡.高校校園網網絡安全系統中存在的安全隱患與應對措施[J].科技展望，2016，26（11）：326.

[8] 呂紹鑫.高校數字校園網絡安全體系的設計與策略分析[J].無線互聯科技，2016，10（7）：31-32.

【通聯編輯：唐一東】