高校網絡安全管理和技術支撐體系構建研究

陳瑛 王曉震 于春生 周玲艷 趙敬

[摘 要] 摘要隨著智慧校園的建設及疫情防控常態化需求，高校信息化應用不斷增多。為貫徹落實《中華人民共和國網絡安全法》和網絡安全等級保護2.0的相關要求，高校需要提升網絡安全管理水平和安全管理能力。首先，對高校校園網在網絡、主機、應用和管理方面的安全現狀進行分析;其次，從建立網絡安全管理制度、加強信息化資產管理、開展等級保護和提升網絡安全素養4個方面構建高校網絡安全管理體系;最后，從網絡防護、應用防護、主機防護3個維度構建高校網絡安全技術支撐體系，以此提升學校網絡安全保障能力，營造一個風清氣正的校園網絡環境。

[關鍵詞] 關鍵詞網絡安全;防護措施;管理體系;技術支撐體系;等級保護

[中圖分類號] 中圖分類號TP 393.08[文獻標志碼] A[文章編號] 1005-0310（2021）02-0053-05

Research on the Construction of Network Security Management and Technical Support System in Colleges and Universities

Chen Ying，Wang Xiaozhen，Yu Chunsheng，Zhou Lingyan，Zhao Jing

（Information and Network Center， Beijing Union University， Beijing 100101， China）

Abstract： 摘要With the construction of smart campus and normalization of epidemic prevention and control， the application of information technology in colleges and universities is increasing. In order to implement the relevant requirements of

the Cybersecurity Law of the People s Republic of China and

classified protection of cybersecurity 2.0， colleges and universities need to improve the level and ability of network security management. Firstly， the security status of network in colleges and universities is analyzed in the terms of network， host， application and management. Secondly， the system of network security management is constructed from four aspects including establishing network security management system， strengthening information asset management， carrying out classified protection and improving network security literacy. Finally， the technical support system of campus network security is constructed from three dimensions of network protection， application protection and host protection， so as to improve the ability of network security in colleges and universities， create a clean campus network environment.

Keywords： 關鍵詞Network security; Protection measures; Management system; Technical support system; Classified protection

0 引言

隨著互聯網迅速發展，網絡安全問題日益受到重視。習近平總書記多次發表關于網絡安全的重要講話，指出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”[1]，“增強網絡安全防御能力和威懾能力。網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。要落實網絡安全責任制，制定網絡安全標準，明確保護對象、保護層級、保護措施”[2]。

由CNCERT發布的《2020年上半年我國互聯網網絡安全監測數據分析報告》及國家信息安全漏洞共享平臺（CNVD）漏洞統計數據可知，2020年網絡安全態勢非常嚴峻，發現通用安全漏洞11 073個，同比增長89.0%;我國境內感染計算機惡意程序的主機數量約304萬臺，同比增長25.7%;捕獲計算機惡意程序樣本約1 815萬個，每日傳播483萬余次;新增移動互聯網惡意程序163萬余個，同比增長58.3%[3]。黑客活動仍然日趨頻繁，網站后門、網絡釣魚、移動互聯網惡意程序、拒絕服務攻擊事件呈大幅增長態勢，網絡信息系統安全面臨嚴峻挑戰。

當前，高校整體的信息化建設正在向縱深發展，校務辦公、教學、科研和社會宣傳等工作越來越依賴于各類信息系統的穩定運行，對信息系統的安全保障提出了更高的要求。基于嚴峻的安全態勢，目前信息系統的軟、硬件環境還比較脆弱，構建一個完善的高校網絡安全管理體系和技術支撐體系顯得尤為重要。

1 高校網絡安全現狀分析

1.1 基礎網絡安全現狀

近年來，多數高校在基礎網絡設施層面部署了很多網絡安全設備和軟件，如出口防火墻、入侵防御系統、數據中心區域WEB應用防火墻、數據庫審計系統等，但普遍還存在著以下幾方面的問題：首先，由于網絡安全初期規劃不清晰，安全設備和軟件不能得到有效運用;其次，部分高校安全管理人員技術水平參差不齊，不能對安全系統的硬件和軟件進行有效配置，缺乏有效的告警分析，導致設備發揮的作用很有限;最后，安全是一個動態的過程，外來的安全威脅并非一成不變，安全防護措施需要根據網絡安全態勢及時做出調整，現有的安全防護設備無法檢測新型網絡攻擊。

北京聯合大學學報2021年4月第35卷第2期陳 瑛等：高校網絡安全管理和技術支撐體系構建研究

1.2 主機安全現狀

在進行信息系統建設和運維的過程中，有些主機服務器、運維終端操作系統存在補丁安裝不及時和漏洞較多的問題，有些系統采用默認配置導致弱口令問題，且存在未安裝殺毒軟件或者未更新病毒庫等問題。勒索病毒時有傳播，網絡攻擊者通過各種非法手段獲取用戶權限，并利用這些非法權限對主機進行未經授權的操作。比如，網站如果對外開啟了22、3306等端口，滲透者就可以通過這些端口入侵操作系統，發現其漏洞，利用特殊的請求或者觸發指令后就可以提升權限進行非法操作。

1.3 應用系統安全現狀

隨著智慧校園的不斷發展，統一門戶平臺、網站群平臺、一卡通平臺、教務系統、科研系統、數據中心逐步建設，各種微信小程序和App被廣泛應用，越來越多的信息系統（網站）對互聯網開放，但也存在一些安全問題：有些系統上線前未進行漏洞及惡意代碼檢測，存在安全漏洞;有些應用程序部署時采用默認配置，后續運行維護過程中應用程序、中間件等版本更新不及時，安全配置不完善，遺留了安全隱患;有些應用程序用戶數量多，弱口令問題無法避免，簡單的“用戶名+密碼”認證方式存在很多缺點，密碼的維護和管理問題層出不窮;有些對互聯網開放的系統采用HTTP協議，用戶名和密碼明文傳輸，容易被竊取。近幾年，黑客攻擊不斷，攻擊者一旦發現系統漏洞，就可以獲得非法權限，從而擅自訪問和破壞系統，甚至篡改和盜取數據，對校園網造成很多不良影響。

1.4 安全管理現狀

在高校信息化建設初期，網絡安全建設與信息化應用沒有同步規劃和實施，網絡安全沒有得到重視，導致網絡安全管理水平整體偏低。總體來說，存在以下問題：缺乏網絡安全責任管理制度[4]，

高校一般由信息化建設和管理部門提供網絡基礎環境，各二級單位根據教學、管理需求進行信息系統建設，但后期安全運維責任制不明確，安全運維責任落實不到位;在各應用系統程序開發之初，缺少網絡安全建設規范及上線安全檢測機制;系統數量多，資產臺賬不完善，存在“雙非”（非本單位IP地址、非本單位域名）網站、“僵尸”信息系統等管理盲點;缺乏具有專業技術的網絡安全人才，專業技術薄弱;網絡安全培訓和宣傳教育不及時，師生缺乏安全意識，網絡詐騙、未知網絡鏈接、惡意郵件鏈接等導致師生信息泄露和被濫用的現象時有發生，帶來安全危害。

2 網絡安全管理體系建設

網絡安全管理體系規劃與建設是高校安全體系建立的第一步，目的是識別安全問題，明確安全管理的范圍和內容[4]。結合高校網絡安全現狀以及研究現狀，本文提出要從4個方面構建網絡安全管理體系（如圖1所示）：第一，按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，落實網絡安全主體責任，建立網絡安全

管理制度;第二，清理資產，加強信息化資產管理;第三，參照網絡安全等級保護2.0標準進行等級保護定級、備案、建設整改、等級測評、監督檢查;第四，加強培訓和宣傳，提升網絡安全素養。

2.1 建立網絡安全管理制度

基于學校安全管理體系的現狀，高校應成立指導和管理網絡安全工作的委員會或領導小組，建立網絡安全管理制度，明確信息化建設和管理部門作為學校網絡安全管理工作的職能部門;明確各個二級單位網絡安全第一責任人，并根據各二級單位系統建設情況和人員配置情況，設置安全主管、安全管理員及系統管理員等崗位，明確各個網絡安全管理崗位的職責，建立符合要求的安全組織架構。由學校網絡安全工作委員會或領導小組牽頭，與各二級單位第一安全責任人、各系統管理人員及第三方服務商簽訂網絡安全責任書，落實網絡安全工作與責任，達到網絡安全法和等級保護相關要求。根據等級保護要求，開展網絡安全管理制度的梳理與修訂，尤其是安全建設、安全運維相關的管理制度，并明確網絡安全保障重點。

2.2 加強信息化資產管理

為了更加有效掌握學校建立的各種信息系統（網站），信息化建設和管理部門應定期進行資產摸底、排查清理，建立資產臺賬，加強信息系統（網站）監督管理，具體可采取如下措施：重點排查“雙非”信息系統（網站），通過系統整合、優化，遷移到校內，對于無法遷移的要加強安全防護;清理無專人運維的或已不再使用的“僵尸”信息系統（網站），回收網絡資源;對于長期未更新、使用頻率低或存在高風險漏洞未整改的信息系統（網站），限制訪問;建立信息化資產備案系統，嚴格控制和管理服務器等基礎資源的使用申請、報廢和信息系統開發建設等流程，及時完善和更新資產臺賬。

2.3 開展等級保護工作

落實等級保護工作既是法律法規要求，也是行業要求。高校可以將等保要求落實到新建系統的需求說明中，要求所有新建系統在上線之前必須完成安全測評相關工作。同時，信息化建設和管理部門應協同各二級單位每年對新建設的擬定為二級以上的信息系統進行專家評審，并報上級主管部門審核;在定級評審完10個工作日內報公安機關備案;根據網絡安全等級保護2.0標準，開展等級測評，對測評報告和整改建議中的高危風險進行整改;在公安機關的監督指導下，將等級保護工作常態化。

2.4 提升網絡安全素養

構建網絡安全管理體系必不可少的一個環節就是提升師生網絡安全素養。學校網絡安全工作委員會或領導小組應指導制定網絡安全培訓計劃，信息化建設和管理部門則根據計劃組織開展安全技能培訓及崗位技能培訓、安全意識培訓及安全宣傳。對于校內網絡安全管理人員進行專業的技能培訓，逐步實現持證上崗;對于各業務系統管理人員，加強關于系統、應用及網絡技術相關的安全技能培訓;對于普通師生用戶，則通過國家安全日、國家網絡安全宣傳周等活動，采用海報、微視頻、專家講座、微信推文等方式宣傳網絡安全法等相關知識，介紹如何防范個人信息泄露等，加強師生的網絡安全意識。另外，信息化建設和管理部門應做好網絡安全日常通報工作，特別是要及時發布針對釣魚鏈接、釣魚郵件、勒索病毒等問題的防范措施，切實增強師生的網絡風險意識。由此逐步提升師生網絡安全素養，使其能夠養成良好的上網行為，掌握簡單的網絡安全技能，進而構建一個風清氣正的網絡氛圍。

3 網絡安全技術支撐體系建設

校園網中存在的安全風險和不確定因素將對信息系統和師生的數據安全形成較大的威脅。技術支撐體系是網絡安全工作的關鍵所在，技術水平決定著網絡安全水平[5]。結合“一個中心，三重防護”的思想，一個中心是指安全管理中心，三重防護是指通信網絡防護、區域邊界防護、計算環境防護[68]，構建網絡安全技術支撐體系可以從3方面入手（如圖2所示）：一是通過部署校園網防火墻、WEB應用防火墻、安全威脅分析系統和堡壘機監督審計系統，完善網絡安全防護措施;二是通過VPN限制訪問范圍、進行定期的安全掃描及整改、建立HTTPS協議加密訪問、使用統一身份認證及雙因素認證機制，增強應用防護能力;三是部署主機安全防護系統和主機安全配置核查系統，增強主機安全防護能力。

3.1 完善網絡安全防護措施

1） 部署下一代防火墻。

信息化建設和管理部門應根據各應用系統需求，制定基于IP地址、源/目的端口、服務/應用、用戶/組、安全域、時間等元素的訪問控制策略，特別是敏感時期要對安全策略進行動態調整;

建立基于WEB攻擊的靜態規則及黑客攻擊過程的動態防御機制，提高WEB攻擊防護能力;運用APT檢測功能定位網絡中的“肉雞”，保障校園網內部網絡安全;對校園網中的所有流量進行應用層的安全分析，防范安全威脅事件的發生。

2） WEB應用防火墻的云模式（云WAF）檢測。云WAF利用DNS技術，通過移交域名解析權來實現安全防護。校園網用戶的訪問請求首先被發送到云端節點進行檢測，如存在異常，請求則被攔截，否則將請求轉發至真實服務器。高校通過部署云WAF檢測，對信息系統（網站）實施安全防護，攔截SQL注入、XSS跨站腳本攻擊等行為，主動發現惡意IP，快速識別和攔截潛在的安全威脅，增強高校WEB應用的整體安全性，擴大防護范圍。

3） 部署安全威脅分析系統。為了提高防護能力，可在校園網中部署安全威脅分析系統，其基于惡意域名、IP、URL、木馬特征等威脅情報庫，在協議特征分析的基礎上，通過情報命中、規則檢測、深度學習模型的匹配等策略，在校園網絡流量中準確發現校園內部失陷主機與被控端的連接。信息化建設和管理部門據此及時掌握校園網內的所有失陷主機及關聯威脅，進行及時處置，實現對校園網的高級入侵行為檢測和防范，提高對新型網絡攻擊的預警和處置能力。

4） 堡壘機監督審計系統。網絡安全等級保護2.0對信息系統運維過程提出了“事前預防、事中控制、事后審計”的要求，高校可建設堡壘機監督審計系統，系統運維人員需要通過訪問堡壘機，才能維護被授權管理的系統。堡壘機對授權人員的運維操作行為進行記錄、控制和審計，以此加強對校園內部運維管理行為的規范和監管。

3.2 增加應用安全防護手段

1） VPN技術的應用。為了優化校園網的安全性，高校將VPN技術引入到校園網的建設中[9]，可對學校的網絡資源進行分類控制，一般的網站和電子郵件系統可對互聯網開放訪問，而辦公系統、財務系統、教務系統、圖書資源等平臺則須使用VPN系統訪問。SSL VPN常應用于遠程訪問的安全接入，尤其是基于B/S結構的網絡應用，用戶只須通過標準的WEB瀏覽器連接Internet即可訪問到校內的網絡資源，無須安裝客戶端軟件，既安全又便捷[9]。

2） 定期全網安全掃描。信息化建設和管理部門定期組織對各類信息系統（網站）進行漏洞掃描，充分發現應用系統的安全漏洞;對漏洞掃描結果進行評估和分析，提出可操作性的整改建議;將整改建議及時下發到各二級單位，督促限期進行漏洞整改，有助于降低或避免校園網計算機信息系統的風險。

3） HTTPS協議加密訪問。學校可根據不同的中間件（IIS、Apache、Nginx、Tomcat、Weblogic等）為校園網內的信息系統（網站）配置安全證書，啟用HTTPS安全訪問協議。HTTPS協議是由SSL+HTTP協議構建的，能有效規避釣魚網站的欺騙行為，加強對師生個人信息的安全保護。

4） 統一身份認證及雙因素認證訪問相結合。統一身份認證系統主要包括統一身份認證、統一授權和安全審計模塊，實現校內各個應用系統的單點登錄功能，師生只需要記住一套用戶名密碼即可登錄被授權的其他系統，避免多套認證管理出現安全漏洞，為校內各應用系統提供安全可靠的用戶認證。在此基礎上可采用雙因素認證，通過PIN碼和動態口令的結合，實現師生訪問系統時每次密碼的動態隨機變化，解決由傳統口令泄露造成的損失，降低安全風險，提高應用系統的訪問安全性。

3.3 加強主機安全防護能力

1） 部署主機安全防護系統。在綜合分析主機終端面臨的安全風險的基礎上，高校可在校園網絡內部署主機安全防護系統：首先，對校園網受管控范圍內的主機進行全面資產識別，構建統一的資產庫;其次，搜集主機中的操作系統、應用、中間件、數據庫等信息，與漏洞數據庫進行比對，從中發現漏洞，并按預制策略進行漏洞修復;最后，更新資產數據庫，形成一個閉環管控的校園安全管控中心。同時，主機安全防護系統需要對業務服務器上的流量和行為進行監控，記錄網絡訪問情況和注冊表變更等信息，實現風險識別、威脅檢測、攻擊事件判定、策略實施及回溯等功能，從安全事件、風險文件、系統漏洞、安全基線等多個層面對主機進行安全分析，學校網絡安全管理人員據此及時調整安全防護措施，提高安全防護效率。

2） 主機安全配置核查。主機安全配置包括日志策略、審計策略、用戶身份鑒別策略、訪問控制策略、數據備份策略及應用服務開啟配置等。高校可部署安全配置核查系統對校內各業務系統的各類安全策略配置情況進行自查，對其結果進行自動分析并生成分析報告，以及時發現當前業務系統所面臨的安全問題并提供有效的解決辦法，降低業務系統安全隱患。

4 結束語

學校的各類信息系統不僅為校內師生服務，還為社會提供相關服務，關系到國內和國際輿論影響帶來的社會穩定和公眾利益。高性能、高效率、穩定可靠的校園網是校內網絡資源和服務的基礎保障平臺。網絡安全是一個動態的過程，外來的安全威脅并非一成不變，安全防護措施需要根據網絡安全態勢及時做出調整，對新的風險和威脅需要持續關注。本文提出構建網絡安全管理體系及技術支撐體系，

落實等級保護相關要求，

并進一步做好網絡安全宣傳教育和培訓工作，加強風險評估、滲透測試、安全加固及安全策略優化等網絡安全防護，旨在有效減少安全隱患，降低安全事件發生的概率，保障學校信息化工作的有序、健康、高質量發展。

[參考文獻]

參考文獻內容

[1] 習近平.在中央網絡安全和信息化領導小組第一次會議上的講話[N].人民日報，2014-02-28（1）.

[2] 習近平.在網絡安全和信息化工作座談會上的講話[M].北京：人民出版社，2016：18-19.

[3] 國家計算機網絡應急技術處理協調中心.2020 年上半年我國互聯網網絡安全監測數據分析報告[EB/OL].（2020-09-26）[2021-02-25].http：//www.cac.gov.cn/2020-09/26/c_1602682854845452.htm.

[4] 龔漢明.高校網絡安全問題與應對研究[J].北京教育（高教），2019（2）：8-12.

[5] 魏楚元，任彥龍，李欣.高校網絡安全治理體系構建研究[J].網絡安全技術與應用，2021（1）：96-98.

[6] 全國信息安全標準化技術委員會.信息安全技術 網絡安全等級保護基本要求：GB/T 22239—2019[S].北京：中國標準出版社，2019.

[7] 全國信息安全標準化技術委員會.信息安全技術 網絡安全等級保護安全設計技術要求：GB/T 25070—2019[S].北京：中國標準出版社，2019.

[8] 馬力，祝國邦，陸磊.《網絡安全等級保護基本要求》（GB/T 22239—2019）標準解讀[J].信息網絡安全，2019（2）：77-84.

[9] 趙龍海.VPN技術在校園網絡安全體系的應用研究[J].信息系統工程，2018（3）：88.

（責任編輯 責任編輯白麗媛）