新冠疫情背景下高職學院網絡安全體系的優化

廖鋒 陳玉菲

DOI：10.19850/j.cnki.2096-4706.2021.08.048

摘? 要：新冠肺炎疫情給網絡安全提出了新的挑戰，新冠疫情發生以來，在高職學院校園上網負載和訪問流量大幅增加的情況下，網絡安全風險和攻擊事件數量趨于上升，在探索實踐中，安全運維人員可以圍繞高職院校校園網絡安全體系的現狀，從機構優化、制度落實、網絡優化、私有云虛擬服務、云上移動運維、日常巡檢、定期培訓、應急演練和上報反饋等幾方面對其進行優化。

關鍵詞：網絡安全;體系優化;私有云;數據中心

中圖分類號：TP309 ? ? ?文獻標識碼：A 文章編號：2096-4706（2021）08-0168-05

Optimization of Network Security System in Higher Vocational Colleges under the Background of COVID-19 Epidemic Situation

LIAO Feng，CHEN Yufei

（Jiangxi Technical College Of Manufacturing，Nanchang? 330095，China）

Abstract：The COVID-19 epidemic situation poses a new challenge to network security. Since the outbreak of the epidemic，in the situation that the campus internet load and access traffic in higher vocational colleges have increased significantly，the number of network security risk and attack events is increasing. In exploratory practice，the safety operation and maintenance personnel can optimize the campus network security system in higher vocational colleges based on its current situation from the aspects of organization optimization，system implementation，network optimization，private cloud virtual service，mobile operation and maintenance in cloud，daily inspection，regular training，emergency drill and reporting feedback.

Keywords：network security;system optimization;private cloud;data center

0? 引? 言

2019年12月被發現的新冠肺炎病毒已經在全世界流行傳播，現在國內戰疫形勢已經進入疫情防控常態化管理階段。在當前新冠肺炎疫情防控常態化管理的新形勢下，線上移動教學、辦公、生活消費的信息流或資金流負載快速增加，也造成返校復學后高職學院校園網絡負載和訪問流量大幅提高，但校園網絡安全管理制度、網絡安全風險評估、賬號權限管理以及數據訪問、存儲和傳輸安全等方面存在大量薄弱環節，疫情防控期間的網絡安全體系也面臨著前所未有的風險和壓力，針對以上風險和挑戰，圍繞高職學院校園網絡安全的現狀，我們在網絡安全體系的優化中做了如下可行的探索與實踐。

1? 高職校園網絡安全體系優化的實踐

1.1? 機構優化

為了做到領導到位、機構到位、人員到位、責任到位，高職學院需成立網絡安全和信息化領導小組，組長由學校黨委和行政一把手親自擔任，由分管領網絡安全和信息化的領導作為副組長，組員由職能部門負責人擔當，設辦公室作為領導小組的辦事機構。網絡安全和信息化領導小組下設網絡安全辦公室和信息化辦公室，分別設在宣傳部和信息化中心，負責學院網絡安全和信息化領導小組日常事務工作，宣傳部負責網絡安全部署和輿情管控工作，信息化部門負責信息化建設和技術運維工作。

1.2? 制度落實和優化

參照國家網絡安全法和網絡安全等級保護2.0制度文件，各職能部門按照“誰主管，誰負責;誰使用，誰負責;誰運維，誰負責”的主體責任原則開展網上業務系統的安全運維工作。對校園網中的關鍵基礎信息在等保2.0的基礎上進行優化，重新進行系統定級、備案管理、建設整改、等級測評和監督反饋。根據《中華人民共和國網絡安全法》《中華人民共和國保守國家秘密法》和《關于加強疫情防控期間網絡安全保障和個人信息保護工作的通知》（贛教新冠防控字〔2020〕90號）文件要求及規范，在制度方面優化了相關制度條款，重新梳理優化印發的《***學院落實網絡安全工作責任制的實施細則》《校園網絡安全管理辦法》《校園網絡安全應急預案和處置流程》《校園實訓機房管理制度》《數據中心管理暫行辦法》《網絡安全保密工作制度》等文件條款以適應疫情防控常態化管理的要求，并與職能部門或相關系統運維外包公司責任人續簽《網絡安全和保密承諾書》，做到線上業務網絡安全主體責任人和線下業務安全主體責任人的一致性，從而提升業務部門安全上網，安全用網的責任感。

1.3? 網絡拓撲結構優化

高職學院在進行網絡安全頂層設計時，首先要根據校園網絡出入口的風險管理，根據網絡安全等保2.0新增的云計算、物聯網、移動互聯網和大數據技術的要求，業務系統大部分按照網絡等級保護二級的標準進行定級管理。高職學院需要對現有網絡拓撲結構重新設計和優化，在現有邊界防火墻、行為管控、審計管理、存儲備份、環控管理的基礎上，我們以學院私有云數據中心為邊界，重新劃定和增加學院私有云為網絡安全核心區，通過架設核心區邊界防火墻，在核心區以外的校園網絡都可以稱為不安全的外部互聯網絡，師生在校園內網如果要訪問學校私有云中的服務器，必須經過邊界防火墻審核過濾。下圖1是某高職學院的網絡拓撲結構，雖然有防火墻等安全設備，但學校內的服務器和數據中心分散在各不同的區域，也沒有架設上網行為管理和VPN等遠程訪問設備，師生從外網訪問校園內網資源較麻煩和不安全，網絡安全層次也不夠清晰，容易產生校內網絡安全事故。

經過網絡拓撲結構的改進和優化后，高職學院可以采用超融合私有云方案，把業務服務器通過虛擬化技術全部遷移到私有云數據中心，并增加遠程VPN通道訪問設備方便校園外網用戶對校內核心免費資源的訪問。同時在私有云的總出入口架設邊界防火墻，同時數據中心的外部增加校內上網行為管控設備，圖2是增加了超融合技術的私有云數據中心（單位自建的校內云化數據中心）、行為管控、安全智慧管理區和VPN通道的優化網絡拓撲結構。

在以上優化后的校園網絡互聯拓撲結構中，網絡拓撲劃分了校園網邊界安全區、流控與行為管理區、DMZ服務區、私有云數據中心區、安全運維管理區、核心網絡區、網絡接入區等主要功能區域。數據中心采用了全球領先的國產化數據中心超融合方案，以虛擬方式建設智慧校園的數據中心私有云和數字大腦，并部署了Rill智慧校園運維系統和VPN硬件遠程訪問通道，優化了無線有線認證的單點登陸方式。信息化運維人員在安全運維管理區通過智慧運維系統管理所有校區的網絡設備和弱終端設備，在安全運維管理區的邊界也加裝了防火墻3，對進入的信息流進行過濾審核。

經過網絡拓撲結構的優化，只有私有云數據中心才是核心內網，私有云以外都劃歸不安全的外部互聯網，高職校園即使有多個校區，其他校區要接入主校區訪問主校區的私有云服務（數據中心）或共享主校區的軟硬件資源及帶寬，如果是在外地出差辦公的教工可以通過私有云數據中心內部架設的VPN服務，提供校內資源的免費訪問。如果另一校區（比如上海路校區）的師生要訪問共享主校區的數據資源，就必須先認證登錄后，通過防火墻2過濾后，才能訪問私有云中的信息資源。

在新冠肺炎病毒流行后的網絡安全常態化管理新形勢下，這些高職校園網絡拓撲結構上的優化不但符合網絡安全等保2.0二級標準的要求，也符合數據資源分類分區域管控的原則。

1.4? 虛擬服務和私有云數據中心部署優化

在疫情常態化管理期間，通過采用全球領先的超融合技術部署的校內私有云服務，校園內原來各業務部門建立的數字校園認證服務、數據交換服務、教務管理、網絡云課堂服務、云上財務管理、云上資產管理、云上科研系統、單招專業云上確認等業務都可以從不穩定的老式服務器無縫遷移到私有云中集中管理，遷移方案可以實現在線遷移和關機遷兩種模式。由于私有云數據中心不但采用了軟硬件資源冗余管理的負載均衡功能，而且采用了CDP（數據可續持性保護）功能，所以通過遷移前后對比發現，業務遷移后在私有云數據中心運行的服務要比在單臺服務器上在安全穩定和管理性能方面要提高很多。空出來的老式服務器又可以通過虛擬服務技術提供小流量高頻的課程共享服務或物聯網亞終端業務的定制服務。圖3是采用了超融合技術（各種服務器和安全服務可以按需生成、統一部署、免費使用和有序組合的虛擬仿真技術）的某高職學院私有云數據中心管理平臺，它可以對虛擬服務器、虛擬防火墻、SSL傳輸層保護、虛擬VPN安全通道、免費AD證書服務、CPU、內存、硬盤集群等軟硬件資源實現統一調度、分配和空閑資源回收功能，這為高職學院網絡安全軟硬件資源集中式智能化便捷管理提供了技術支撐。

1.5? 云上移動運維

由于采用了虛擬服務和云計算技術，通過智能移動終端設備，管理人員隨時隨地24小時全天候運維管理成為新冠肺炎疫情背景下的常態化工作模式，這讓每年高職學院例行的網絡安全重保工作變得更安全和高效，如果在校園內部署的虛擬服務器在網絡重保期間出現安全漏洞和病毒，運維人員接到上級相關部門指示后，在3分鐘內，可以通過手機移動端APP登錄校內私有云和外部公有云中心，快速關閉或停止出現安全問題的虛擬服務器，切斷涉事業務系統網絡訪問，再進行相關的安全處理和上報工作，云上移動運維方式為重保期間的應急管理和信息化運維工作提高了效率，節省了工作環節，并縮短了應急處置時間。圖4顯示的是某高職學院在電信天翼云上實現的彈性云主機（服務器虛擬化托管）遠程開關機服務。

1.6? 日常巡檢和培訓演練

網絡安全檢查分為定期安全巡檢和國家重大活動節日期間的抽檢兩類：

（1）定期安全巡檢。在工作日期間，由信息部門每日安排專人對指定區域的關鍵設備進行巡檢，并做好有無故障的記錄，再由負責人進行審核簽字，確讓網絡安全風險程序，進行相應的處置，針對網絡連接硬件拓撲發生改變時，及時進行拓撲優化和邊界檢查，對新建的信息化系統進行數據流、業務流和操作規程的優化檢查和調整，疫情期間每日巡檢網絡安全和信息化設備表如下表1所示。

（2）在國家重大活動和節日期間及突發新冠疫情事件的大背景下，高職學院就要按照上級主管部門的要求對學院的網絡系統和管理進行抽檢及調整，實行7×24小時值班管理制度，以保證校園網絡空間風清氣朗。

在智慧校園時代，師生的網絡安全和信息化素養是校園網絡安全應用推廣的關鍵。對于師生用戶，高職學院可以通過每年的國家網絡安全周，圍繞網絡購物、網絡沖浪、要防危害、防欺詐、防違法等主題，進行信息化素養的宣講教育和針對性培訓，提升安全上網，安全用網的法律意識;高職學院管理者也可以讓思政課與學生網絡安全和信息化素養教育緊密結合，提高師生網絡安全應用水平;信息化部門也要安排廠家或集成商對管理運維人員進行專業化的業務安全培訓和應急演練，掌握運維規范，不設弱口令，把系統的操作管理和審計管理分開。運維人員對網上資源分區域、分類別、分層次進行信息化治理，才能在網絡安全風險出現時，及時阻隔網絡攻擊破壞跨界傳遞，讓損失降到最低。

1.7? 上報反饋

按照《江西省網絡與信息安全信息通報任務分工及報送規范（試行）》和《江西省網絡與信息安全信息通報機制成員單位聯絡員管理辦法（試行）》文件，高職校園網絡安全上報工作已經形成了常態化管理方式。網絡安全重保期間，如果校園內未發生網絡安全事件，也應該按照江西省教育信息化部門的文件要求，執行網絡安全零報告制度。如果發生了相關的網絡安全高危事件，成功處置完成后，需要向上級主管部門上報處置方法和處理結果。

2? 結? 論

實踐證明，為滿足新冠肺炎疫情時期的網絡用戶應用場景需求和安全規范，高職學院校園網絡安全體系的優化是一個不斷演進迭代的動態過程，高職學院的網絡安全和信息化從業人員只有通過分析網絡安全體系難點、理清網絡安全體系重點、疏通網絡安全堵點，解決不同階段網絡安全的業務痛點，才能為高職院校信息化教學診斷和改進工作提供安全、穩定和可控的校園網絡空間。

參考文獻：

[1] 全國人民代表大會常務委員會.中華人民共和國網絡安全法 [R/OL].（2017-06-01）.https：//www.fjcpc.edu.cn/jgdzz/20 20/0424/c2231a65107/page.htm.

[2] 劉春生.高職院校網絡安全防范體系的構建 [J].職業技術教育，2008，29（20）：78+89.

[3] 王家紅.校園網絡的安全問題及對策 [J].現代信息科技，2018，2（8）：158-159.

[4] 李穎存.高校學生網絡安全教育對策探討 [J].勞動保障世界，2020（12）：66-67.

[5] 姬翔宇.網絡安全素養現狀研究——以鶴壁職業技術學院為例 [J].黑龍江科學，2019，10（17）：154-155.

作者簡介：廖鋒（1976.08—），男，漢族，江西贛州人，系統分析師，高級工程師，碩士，研究方向：網絡安全和信息化建設及管理、計算機網絡、電子商務。

收稿日期：2021-04-18