高校校園網絡安全優化應用研究

李 鑫

（山西大同大學網絡信息中心,山西大同 037009）

2019 年5 月13 日，網絡安全等級保護技術2.0版本（簡稱等保2.0）正式公開發布，等保2.0覆蓋工業控制系統、云計算、大數據、物聯網等新技術新應用，為落實信息系統安全工作提供了方向和依據[1]。高校校園網在推進信息化建設時必須遵循等保2.0 的相關標準和要求。然而，在沒有網絡安全等級保護相關要求之前，大多數高校因為資金短缺和管理制度落后等原因在網絡設計規劃[2]和網絡安全防護方面做得遠遠不夠。主要以某高校為例探討一下如何在等保2.0 的背景下優化網絡安全，希望對有類似網絡優化需求的企事業單位有所啟示。

1 某高校信息化現狀

某高校為普通本科院校，由于信息化建設資金投入少，以及所在省份對于網絡安全的相關要求不高等原因，信息化建設水平較低。目前，該高校信息化主要以數字化校園建設為主，主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等；在考察和對比國內一流高校的信息化建設的基礎上，總結和吸收了信息化建設的經驗和優缺點，提出了本校的數字化校園總體解決方案，確定數字化校園建設的體系結構，制定了數字化校園的信息標準[3]，以及各系統之間的接口標準，然后分階段完成具體實施。相信這種建設思路和做法在許多企事業單位都比較通行，但是這種做法存在很大的問題，就是數字化校園網的總體方案往往在信息化部門提出需求的基礎上，參考相關校園數字化平臺公司的技術人員提出的方案，這些方案的側重點大多集中在各應用系統平臺的數據標準的制定和公共數據平臺的建設。對于網絡業務類型的分類設計，網絡安全域的劃分，網絡安全策略的制定缺乏專業的分析和制定。因此，按照這樣的方案建設下來的高校校園網必然不能符合等保2.0的相關要求。

2 某高校網絡安全調整思路

對于某高校的網絡安全調整，要梳理清楚校園網的現狀，首先搞清楚從核心層到匯聚層再到接入層的網絡結構和出口接入狀況，然后要搞清楚數據中心虛擬化平臺、其他獨立服務器和應用系統的部署情況，最后要搞清楚當前安全設備的部署配置情況。在此基礎上，根據業務需求和等級保護的要求作出網絡安全優化調整的方案。

2.1 劃分網絡安全層級

根據網絡用途、業務管理、安全需求將整個校園網絡劃分為三個網絡安全層級。分別為：網絡層級、安全區級和安全域級。其中，網絡層級主要是根據網絡認證方式、網絡用途劃分的。對于高校校園網來說，一般可劃分為：教學辦公區網絡、學生宿舍區網絡、物聯網（視頻監控、一卡通等）和數據中心網絡等。安全區層級主要是根據業務類型、業務數據的重要性和管理運維的需求來劃分的。一般劃分為：運維管理區、應用服務區和數據庫存儲區等。安全域層級主要是在安全區的基礎上，細化安全業務，保證重要業務數據的保護和審計。

2.2 初步制定各層級的安全部署

不同網絡層級的安全部署，對于不同類型和相對獨立的子網，在每個網絡邊界部署防火墻、網閘等網絡安全設備進行物理隔離，控制其通信；同時，還要部署入侵防御系統，防止網絡攻擊的安全設備，筑牢網絡間的安全防護屏障。不同安全區的安全部署，則主要通過在各安全區關聯的防火墻內進行邏輯鏈路策略設置，做好安全區之間的隔離和保護，另外安全級的運維管理區可以部署堡壘機，保證核心設備的運維管理連接安全，維護日志記錄清晰。不同安全域級的安全部署，安全域內部應部署應用攻擊專業防護措施如：WEB應用防火墻，橫向安全資源池[4]；對于數據庫和存儲等重要業務系統則應部署流量審計、數據庫審計等系統，加強接入審計確保接入用戶的合法性和可靠性。

3 某高校的網絡分析

3.1 某高校的網絡結構分析

某高校校園網采用核心、匯聚、接入三層網絡架構，骨干鏈路區采用兩臺RG-N18010 作為核心交換機承載高速數據交換，采用一臺RGRSR7708-X作為出口路由器，互聯網出口采用不同運營商的冗余鏈路，出口帶寬移動10G、聯通2G。學生上網采用802.1X 上網認證系統進行認證、計費。

數據中心區部署各類業務系統，部署防篡改系統防止篡改安全事件的發生。數據中心核心交換機采用兩臺H3C S12508，邊界部署一臺WAF檢測、阻斷Web攻擊，部署一臺H3C M9010防火墻進行邊界防護。互聯網出口采用一臺RG-RSR7708-X，出口鏈路為聯通300M、教育網300M。

3.2 某高校的校園網絡安全分析

根據某高校網絡安全調整優化的思路，對照網絡、安全區和安全域三個安全層級，梳理出某高校校園網存在的問題，主要問題如下：互聯網出口區、數據中心區等重要網絡區域邊界防護不到位。數據中心區僅有入侵檢測設備，無法阻斷入侵攻擊；互聯網出口區缺少抗DDos攻擊、防入侵攻擊的安全設備。安全區域劃分不合理，托管區服務器、應用服務器、現有云平臺服務器等均處于同一安全域內，未根據業務重要程度和管理需求進行安全域劃分，安全防護策略需求不明確。未單獨劃分運維管理區域并進行合理保護，網絡攻擊可輕易癱瘓運維管理體系。缺少邊界惡意代碼防范措施。骨干鏈路區重要設備存在單點故障，例如Web安全應用網關、M9010 防火墻、出口路由器、托管區匯聚交換機等。網站等互聯網應用沒有安全事件的監測手段。缺少針對數據庫敏感操作和入侵攻擊的安全審計措施。學生上網缺少上網行為審計措施。安全配置不足，例如防火墻全通安全策略；服務器直接配置公網IP 地址，缺少NAT；不安全的Telnet管理等。缺乏對整體安全狀態的全局感知能力。業務系統上線前缺少安全性方面的測試驗收，未能全面掌握系統的安全隱患。安全運維能力不足，已部署安全設備未持續有效發揮安全防護作用。

4 某高校校園網絡安全優化實施

網絡安全的建設是一個系統性工程，不是單一網絡安全產品能夠完成的，傳統的網絡安全建設需要覆蓋終端、網絡、應用、系統、數據和管理等多個方面[5]。因此，對于某高校校園網安全優化工作，同樣需要遵循體系化建設，即從信息安全組織、技術部署兩個方面有機結合地建立統一的安全保障體系。

4.1 建立某高校的網絡安全組織

對于某高校的網絡安全組織體系的建立最重要的是要遵循國家及教育部的相關文件，確定崗位設置、機構建立、職責授權、人員任用以及績效考核等；崗位設置要根據等保2.0 的要求，設置專職網絡安全員至少2名以上；同時建立校內“一把手”類似網絡安全領導小組的機構，確保網絡安全相關措施能夠順利實施，確保網絡安全事件能夠及時處理。而對于職責的授權劃分要做到明確、清晰，比如關于網絡意識形態工作的具體職責要與各媒體平臺的管理部門一致，要將互聯網的新媒體與校內媒體平臺區別對待，并制定合適的負責部門。最后，為突出網絡安全工作的重要性和嚴肅性，對于人員任用和績效考核，要做到專業的人做專業的事，技術人員必須通過相關資格認證，并根據工作情況建立獎懲制度。

4.2 建立某高校的技術部署

4.2.1 網絡邊界隔離部署

在網絡層級，將多個獨立的物理子網隔離，即校園網與數據中心網絡隔離，數據中心與物聯網隔離。校園網核心交換機RG-N18000 和數據中心核心交換機H3CS12508 之間部署華三防火墻M9000，所有核心設備采用萬兆互聯。為保證廣大師生正常使用網絡，校園網基本配置不變。為了后期安全隔離及安全區域規劃，將數據中心到網絡核心的路由從新規劃，由原來直接路由到出口核心交換機，改為路由到邊界防火墻M9000。邊界防火墻M9000劃分邏輯安全區，分為內部可信區、外部可信區、外部不可信區和互聯網服務區，各安全區之間啟動訪問控制策略，采用白名單機制，嚴格限制外部網絡的訪問。數據中心核心交換機H3C S12508 劃分服務器專用內網IP，在邊界防火墻M9000對應配置NAT 策略，實現外部對校園網服務器的正常訪問，同時，隱藏真實IP信息，實現IP安全隔離。

4.2.2 互聯網服務區的技術部署

互聯網服務區負責提供二級部門的獨立服務器的接入服務，為了提高網絡傳輸效率，部署1 臺高性能三層匯聚交換機，與防火墻M9000采用大二層互聯模式，提高網絡傳輸效率。所有提供Web互聯網Web 業務的服務器通過專業WAF 串接，提高網站的防病毒，防攻擊，防篡改和防漏洞掃描的能力。通過這樣的部署，可以有效發揮邊界防火墻M9000的作用：將不同業務類型的服務器歸類劃分到不同安全域，不同的安全域使用不同的Vlan、IP子網，內部不同安全域之間通信必須通過防火墻，匹配訪問控制策略。

4.2.3 運維管理區的技術部署

運維管理區負責對云平臺服務器、存儲服務器、數據庫服務器和核心網絡設備的運維管理控制，通過部署堡壘機配置管理控制策略[6]，可以實現對上述設備的安全連接，并記錄和備份運維操作日志。因此，運維管理區的部署應該相對獨立，同樣采用獨立匯聚交換機大二層連接核心交換機的模式，并且在匯聚交換機的邊界要部署高性能防火墻。針對某高校的實際情況，考慮到節約資金，華為USG9560，配置嚴格的訪問控制策略。

4.2.4 其他非可信區的技術部署

除了采用獨立組網的模式外，主要部署華為USG9560來配置嚴格的訪問控制策略。

5 結語

通過某高校的網絡安全優化研究，認識到了許多高校在數字化建設方案設計和實施過程的不足，通過遵循等保2.0體系化建設相關規范和網絡安全設計理論，發現網絡安全漏洞，分析網絡安全需求，從網絡層級、安全區層級和安全域層級實施網絡安全優化，不僅消除校園網絡安全風險，更為校園網下一步擴展、實施打下良好的基礎。