高校網絡安全防護體系設計

肖 偉

(揚州大學 信息化建設與管理處，江蘇 揚州 225012)

0 引言

隨著信息技術的不斷進步和信息化應用的廣泛普及，網絡已深入到社會的各個方面，在工農業生產、交通運輸、醫療衛生等領域發揮著重要作用，高等教育領域也不例外。隨著教育信息化進程的不斷推進，網絡已經在高校的教學、科研、管理等方面表現出不可替代的作用。與此同時，高校的網絡安全風險也不斷增加。如何做好網絡安全工作，是眾多高校、信息化部門和工作人員面臨的一個共性問題。

1 高校網絡安全現狀

筆者在工作中發現，高校的網絡安全工作中存在的問題多種多樣，表現形式也五花八門。有大面積使用弱口令的，有公民個人信息泄露頻發的，有數據庫直接暴露在互聯網上的，如此種種，不一而足。筆者對之前數年在工作中遇到的問題進行總結，發現問題主要存在以下幾個方面。

一是網絡安全責任制落實不到位。近年來，從黨中央，教育部，到省教育廳，學校，各層各級都多次強調網絡安全的重要性。學校層面對網絡安全的重視程度也不斷提升，多數高校都成立了網絡安全與信息化領導小組。在這樣的大環境下，仍有少數二級單位在思想上對網絡安全不夠重視，認為網絡安全事件是小概率事件，作為二級單位，只管建設與使用，不用管防護，沒有將其視為重要議事日程[1]。由于網絡安全責任制僅落實到二級單位，單位管理員多為兼職人員，不熟悉本單位的信息系統，給網絡安全應急響應和處置帶來了很多不便，嚴重影響了網絡安全工作效率。

二是部分常見網絡安全問題頻發。筆者對之前數年發生的網絡安全漏洞進行統計，發現整體分布如圖1所示：發生頻次最高的是弱密碼漏洞，占27%；發生頻次第二高的是敏感信息泄露漏洞，占16%；排名第三的是SQL注入漏洞，占12%。排名前五的漏洞(弱密碼漏洞、敏感信息泄露、SQL注入、操作系統漏洞、任意文件上傳)合計占比72%。可以說，解決了弱密碼漏洞、敏感信息泄露等五類漏洞，就解決了72%的網絡安全問題。

圖1 近年網絡安全漏洞統計情況

三是網絡安全防御手段不成體系。隨著技術的發展，網絡安全防護設備的種類和防護功能也不斷增加，新型網絡安全設備層出不窮[2]。很多高校面臨的情況是，學校投入了大量經費，采購了眾多的網絡安全設備。但是這些設備“各自為戰”，沒有建立起網絡安全防護體系，不能發揮出“1+1>2“的效果，甚至有些設備之間還會相互影響，反而降低了各自的性能。

四是關鍵時段安全保障缺乏重點。近年來，在一些關鍵時段，境外非法黑客及組織多次攻擊國內網站，傳播發布非法信息，造成了惡劣的影響。這就對關鍵時段的安全工作提出了新的要求[3]。高校業務復雜且信息系統較多，面對新的形勢，如果不能制定一個完整的防御策略，可能會因為防護力量分散導致各點力量薄弱，防護人員疲于奔命卻無法做好安全防護工作。

五是缺乏網絡安全事后補救措施。雖然已經部署了嚴密的網絡安全防護措施，但是“百密終有一疏“，面對紛繁復雜的網絡安全形勢，多種多樣的網絡安全攻擊，無法預防的設備自身故障，總有被突破防御遭受攻擊的情況[4-5]。筆者曾經遇到某虛擬化集群上的一個數據存儲因故障宕機，數十臺在該存儲上虛擬機及相關業務受到影響，涉及多個二級單位，嚴重影響了工作。

2 高校網絡安全防護體系研究與設計

為了解決上述網絡安全問題，從嚴從實做好網絡安全工作，需要建立一套網絡安全防護體系，架構如圖2所示。

圖2 網絡安全防護體系架構

2.1 建立網絡安全責任制體系

首先制定學校層面的網絡安全責任制考核辦法，從制度層面落實網絡安全責任制。定期要求二級單位負責人簽訂網絡安全承諾書，以書面形式落實“誰主管誰負責，誰運維誰負責，誰使用誰負責“的要求[6]。將網絡安全責任制層級拓展，最終落實到信息系統管理員層級。經過一年多的實踐，發現各單位對于網絡安全責任有了更明確的認識，各二級單位管理員對于本單位的信息系統有了初步了解，出現網絡安全問題時能夠快速定位到責任人，處理問題的效率也得到了提高。

2.2 建立信息系統上線檢測機制

在高校內部啟動新建信息系統上線檢測流程，信息系統建設完成需要上線時，由建設單位向信息化部門提出上線申請，信息化部門收到申請后，通過表1所示的標準化表格收集系統信息并提交給安全工程師進行滲透測試、漏洞掃描等一系列安全檢測，經檢測不存在中高危漏洞且基線檢測合格的信息系統才允許上線[7]。據筆者統計，啟動該流程后，弱密碼、SQL注入等漏洞數量從2020年的96起降低到2021年的46起，同比下降52.1%，證明對新建信息系統在上線前進行全方位上線檢測，可以有效減少弱密碼、SQL注入等漏洞。

表1 系統上線檢測基本信息

2.3 網站發布啟用敏感信息檢測

通過事先在網站系統設定，可以建立一套檢測名單，內容包括身份證號、手機號等敏感信息。工作人員在網站發布文章時，系統會自動對文章內容進行檢測。如果檢測到身份證號等敏感信息，會通過彈窗進行提示，人工復核后可以選擇繼續發布或進行修改后再發布。據統計，自上線敏感信息檢測功能后，敏感信息泄露量從2020年的55起降低到2021年的28起，同比下降49.1%，證明敏感信息檢測功能可以有效降低敏感信息泄露的可能性。

2.4 構建全方位立體化安全防御網

“工欲善其事，必先利其器“，要做好學校網絡安全工作，就要建立一張包含網絡防火墻、Web應用防火墻、入侵防御設備等在內的全方位立體化安全防御網，發揮不同設備的長處，為學校網絡提供安全保障。以筆者所在學校為例，在校園網出口處部署了防火墻設備，對整個網絡的出入進行管控。在防火墻后方，部署入侵防御設備，對流量的深層行為進行分析判斷，結合特征庫可以有效攔截攻擊，同時增強抗DoS攻擊和抗掃描能力。在入侵防御設備后方，部署Web應用防火墻，對流量進行Web層面的檢測，可以有效抵御遠程代碼執行、SQL注入等攻擊。傳統的網絡安全設備都是基于特征庫進行攔截的，缺乏對模擬合法人行為的自動化工具攻擊，如：撞庫、暴力破解、惡意爬蟲行為的防護能力，本體系引入了動態防護設備，加強對非特征模擬合法人行為攻擊的防護能力。整個體系架構如圖3所示。

2.5 制定關鍵時段分級保護策略

高校根據資產的重要程度和業務延續性要求，對所有信息資產實行分級管理。制定 “0+3”級安全策略，在不同時段實施不同的互聯網訪問策略，即：在關鍵時段當天，僅開放一級資產(如學校網站群)，保證主站等的正常訪問；在關鍵時段前后數天，僅開放一、二級資產(如智慧校園)；其他時段開放三級資產。一旦發生重大網絡安全事件，立即啟動0級安全策略(即一鍵斷網)。

2.6 建立數據容災備份機制

通過數據備份實現網絡安全事后補救，對重要信息系統進行定期備份，實行每周一次完全備份，每天一次增量備份的備份計劃，確保每24小時進行一次備份操作。如因網絡攻擊或故障導致數據丟失，可以確保數據丟失量不超過24小時。在此基礎上，實施數據容災機制，在異地(如高校的不同校區)設置具有信息系統服務功能的備份設備，平時做備份，一旦主系統出現故障，即時切換到備份系統，提供信息化服務。

3 結語

面臨復雜多變的網絡安全形勢，如何做好網絡安全工作對高校網絡安全管理者而言是一個難題。高校網絡安全管理者應該總結分析網絡安全現狀，剖析問題原因，理清工作思路，制定行之有效的網絡安全工作措施，保障好高校的網絡安全，為教學、管理、科研提供一個安全可靠的網絡環境。