高校網絡安全防護體系建設與研究

鐘焯榮　張曉鵬

摘 要：信息化技術快速發展，推動了高校的信息化應用系統快速發展，根據國家《網絡安全法》和網絡安全等級保護2.0的相關要求，高校需提高網絡安全防護水平和管理能力。文章對高校網絡安全現狀進行分析，結合學校的實際情況，從網絡安全技術防護、健全網絡安全機制和管理制度方面探討高校網絡安全防護體系的建設。

關鍵詞：網絡安全;等保2.0;安全機制;防護體系

0 引言

計算機網絡的快速發展和高校校園網普及使用為高校信息化建設奠定了堅實的基礎。高校在發展當中也緊跟互聯網發展的步伐，在各個領域和業務中進行信息化系統建設，涉及學校的方方面面如網站、統一門戶、教學課程、網上辦事、消費、電子借閱、財務等。然而，在這些信息系統中還普遍存在重建設輕安全的現象，普遍存在網絡安全問題。隨著《網絡安全法》、等保2.0和《關鍵信息基礎設施保護條例》等相關國家文件的相繼出臺和實施，對網絡安全建設提出更高的要求。因此構建一個完善的高校網絡安全技術防護和網絡安全管理體系顯得尤為重要[1-2]。

1 高校網絡安全現狀

1.1? 主機服務器系統防護力低

在進行信息業務系統建設中，大部分主機服務器的端操作系統存在系統版本低，存在補丁安裝不及時和漏洞較多的問題，有些系統采用默認配置導致弱口令問題且存在未安裝殺毒軟件或者未更新病毒庫等問題。網絡攻擊者很容易通過非法手段獲取用戶權限，并利用這些非法權限對主機進行未經授權的非法操作，存在數據涉密和主機系統被控制等重大風險。

1.2? 信息系統防護能力低

高校在應用系統建設中，主要關注點在信息系統的功能需求上，而對信息系統的安全性考慮較少。有些系統上線前未進行漏洞及惡意代碼檢測，存在安全漏洞;有些應用程序部署時采用默認配置，后續運行維護過程中應用程序、中間件等版本更新不及時，安全配置不完善，遺留了安全隱患;有些應用程序用戶數量多，弱口令問題無法避免，簡單的“用戶名+ 密碼”認證方式存在很多缺點，密碼的維護和管理問題層出不窮，容易被人入侵，導致信息和數據涉漏或篡改等嚴重問題[3]。

1.3? 網絡安全防護基礎實施投入不足

在高校信息化建設中，主要注重于實際需要的信息系統建設，對網絡安全方面并不重視，在網絡安全基礎設施和防護產品方面投入不多，使校園網絡安全防護能力弱。很多時候高校對于網絡安全問題，幾乎都是采取事后解決方式，忽視網絡安全問題和網絡安全對學校信息化建設的重要性。

1.4 網絡安全專業技術人才缺乏

高校對計算機網絡安全管理技術人才的培養遠遠落后于高校信息化的發展需求。網絡安全人員的要求相對較高，需要了解熟悉跨多專業的知識領域，網絡安全技術人員的專業技術能力決定了校園網絡安全防護體系建設的水平。

2 網絡安全技術防護體系建設

2.1? 完善服務器區的安全防護

高校一般都是自建網絡機房并有大量服務器在同一網絡里。因此首先要做到就是在網絡設備做好安全配置，如通過交換機ACL配置訪問控制列表，阻斷遠程管理的端口如遠程桌面、ssh、telnet等端口，防止服務器內部之間的可以進行遠程管理。應部署服務器統一安全控制管理平臺，如華南農業大學部署了深信服EDR平臺，實現對服務器終端資產安全生命周期監控，通過預防、防御、檢測、響應賦予終端更為細致的隔離策略、更為精準的查殺能力、更為持續的檢測能力、更為快速的處置能力，保證了服務器安全、可靠、穩定運行[4]。

2.2? 部署WAF，IPS產品進行防護

通過部署WAF，IPS安全防護產品能夠實現服務器群整體的安全防護。WAF防火墻實現對Web應用進行防護，對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，能更有效的防護網站的各類安全漏洞，代碼漏洞/注入、弱口令探測等，有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入侵行為，從而對各類網站站點進行有效防護。IPS入侵防護設備能有效地進行端口以及數據包的嚴格過濾，能夠對網絡中3～7層的各種網絡應用檢測和阻斷，實時、主動攔截黑客攻擊如蠕蟲、網絡病毒、后門木馬、DDOS等，保護信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞，阻止服務器的遠程管理操作等。

2.3? 建立堡壘機安全訪問管理

服務器和系統的遠程管理維護必須通過堡壘機才能進行管理，只允許管理所授權的服務器。堡壘機對授權人員的操作行為進行記錄、控制和審計，做到全部可溯可查，以此加強管理行為的規范和監管[5]。

2.4? 部署網絡安全態勢感知系統

為了提高防護能力，可在校園網中部署安全態勢感知系統，通過獲取鏡像校園網出口、服務器區流量、WAF、IPS設備的日志信息等形成大數據進行分析，通過惡意域名、IP、URL、木馬特征等威脅情報庫。在協議特征分析的基礎上，通過情報命中、規則檢測、深度學習模型的匹配等策略，及時掌握校園網內的所有失陷主機及關聯威脅，進行及時處置，實現對校園網的高級入侵行為檢測和防范，提高對新型網絡攻擊的預警和處置能力。

2.5? 定期進行網絡安全掃描

學校應部署專業的漏洞掃描產品，定期組織對主機系統及各類網站、業務系統進行漏洞掃描，從而發現存在的安全漏洞。對漏洞掃描結果進行評估和分析，提出可操作性的整改建議，將發現的安全漏洞和整改建議及時發到各級單位，督促限期進行處置，有助于降低或避免校園網主機管理信息系統的風險。

3 完善網絡安全管理體系建設

3.1? 加強領導、完善機構設置、健全制度

按照國家網絡安全法的相關指導要要求，上級各主管部門關于互聯網服務的安全技術要求，應當成立以校領導為組長的網絡安全和信息化工作領導小組，設立網絡安全工作小組和網絡安全技術保障小組，明確工作職能，建立學校網絡安全工作責任制、網站管理辦法、網絡安全事件應急預案等管理制度，明確各二級單位黨政領導為網絡安全責任第一人。各信息化系統根據“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，簽訂學校信息系統（網站）安全承認書，信息系統所在單位領導和系統使用人要承擔網絡安全主體責任。

3.2 加強學校信息化資產管理

學校網絡管理部門和網絡安全工作小組應定期對校園網中運行的各類主機服務器、信息系統、網站等有形無形資產進行摸底，整理統計，建立資產臺賬。應建立信息化資產安全運營管理平臺，加強資產校內備案和續期、校外開放訪問等管理，清理無專人運維的或已不再使用的“僵尸”信息系統（網站），回收資源，對于未按時期續備案、長期未更新或存在高風險漏洞未整改的主機信息系統（網站），限制訪問。

3.3? 落實網絡安全事件應急處理預案

建立學校層面的網絡安全事件應急領導機構，按要求成立網絡應急響應技術小組，在出現緊急事件時第一時間向領導小組匯報，這樣才能做到有條不紊，由領導小組對事件的緊急程度以及事件等級進行研判，并制定相應的處理措施。出臺網絡安全應急預案，根據國家等級保護2.0的要求，網絡安全預案是必要條件，根據自身實際情況設定合理的網絡安全應急預案，明確事件的處理流程，這樣在出現緊急事件時，有據可循，工作才能有條不紊。定期進行網絡安全事件演練，根據各類不同的網絡安全事件，定期開展針對性的安全演練，確保出現網絡安全事件時，能夠以最快的速度進行響應和處置，能夠將事件的影響控制到最小，減少安全事件帶來的損失。

3.4? 提升網絡安全技術人員專業水平

建設高校網絡安全防護體系，需加強對網絡安全技術管理人員進行專業的技能培訓，特別是系統、應用及網絡技術等相關的安全技能培訓，逐步實現持證上崗。有條件的學校可通過與網絡安全廠商聯合建立校內網絡安全實驗室或購買網絡安全外包服務來整體提升學校網絡安全監控和防護能力，提升學校網絡安全技術人員的技術技能。

4 結語

建立、健全高校網絡安全技術和管理體系是高校信息化應用系統安全、可靠運行的保障，然而網絡安全治理和管理是一個長期、持續不斷的過程，面臨的安全威脅層出不窮，對新的網絡威脅和風險需要跟進關注，加強風險評估，加固安全防護和安全策略優化調整，才能有效保障學校信息化建設的有序、健康、高質量發展。

[參考文獻]

[1]楊俊斌，梁紅.高校校園網絡安全管理問題及對策研究[J].網絡安全技術與應用，2017（12）：102.

[2]孫影.論高校網絡建設中的信息安全[J].中外企業家，2019（34）：235.

[3]李 琴，杜 林，李建軍.淺析高校網絡安全防護關鍵[J].網絡安全技術與應用，2020（4）：106-107.

[4]曾聰.高校服務器網絡安全防范問題及策略研究[J].無線互聯科技，2020（4）：28-29.

[5]傅鈺.網絡安全等級保護2.0 下的安全體系建設[J].網絡安全技術與應用，2018（8）：13，16.

（編輯 姚 鑫）

Construction and research of network security protection system in universities

Zhong Zhuorong， Zhang Xiaopeng

（South China Agricultural Uniersity， Guangzhou 510640， China）

Abstract：The rapid development of information technology has promoted the rapid development of information application system in universities. According to the relevant requirements of National Network Security Law and classified protection of cybersecurity 2.0， the universities need to improve the level of network security protection and management ability. The thesis analyzes the current situation of network security in universities. Combined with the actual situation of the universities， it discusses the construction and research of the network security protection system in universities from the aspects of network security technology protection， and consummating network security mechanism and management system.

Key words：network security; classified protection of cybersecurity 2.0; security mechanism; protection system

作者簡介：鐘焯榮（1979— ），男，廣東云安人，工程師，學士;研究方向：計算機網絡。