校園信息化建設中的網絡安全體系建設思考

李志博 李思遠

關鍵詞：校園信息化建設；網絡安全；網絡站群

0 引言

伴隨校園信息化建設程度的加深，網絡安全問題的重要性更加突出。網信辦發布的《“十四五”國家信息化規劃》中，強調安全和發展并重，以實現網絡空間治理能力和安全保障能力顯著增強為目標。同時《中國教育現代化2035》中也提出了“加快信息時代教育變革”的目標[1-3]。在這一背景下，網絡安全問題的重要程度越發突出，本文將重點探討西北大學信息化建設過程中的網絡安全體系建設并總結經驗，為校園網絡安全體系建設提供參考。

1 校園信息化建設過程中的網絡安全問題

校園網絡安全建設是隨著校園網絡發展而逐步進行的，早期對網絡安全問題認識不足，存在一定的滯后，后期認識到網絡安全問題帶來的嚴重威脅以后，網絡安全建設就和網絡發展逐漸同步進行了。根據西北大學的校園網絡安全建設經驗，校園網絡安全建設主要經歷了以下四個階段：

第一階段是2000年左右CERNET帶動校園網絡基礎設施建設期，這一時期主要以教育網絡、電子郵件系統的建設為代表。在“從無到有”的過程中，也奠定了網絡環境基礎，因此具備了進一步建設信息化系統的條件。這一時期用戶基數小，網絡安全問題并不明顯，而且由于早期互聯網設計時默認用戶均為可信賴，并沒有考慮安全威脅的問題，這一階段的網絡建設并沒有將安全納入重點考慮范圍，安全防護表現在以終端殺毒軟件為主。

第二階段在2007年左右，數字校園帶動下應用系統建設期，逐步實現了業務數字化。這一時期高校將大量的教學科研和管理工作通過例如辦公自動化系統、教務系統等極大地提升了工作效率。同時網絡安全威脅也逐步顯現，常見的內部威脅有系統密碼泄露等，外部威脅則有不法分子竊取師生信息牟利等。由于這一階段的信息系統分散建設，因此進行網絡安全防護也只能針對單個系統進行分散的防護工作，壓力較大且效果有限。

第三階段大約在10年前，由于校園網絡存在復雜的各類系統，一方面不便于管理，另一方面也有數據使用困難、資源浪費等問題，因此開始了從“粗放擴張”向”集約提升”打通信息孤島和用戶體驗，以校園信息門戶、統一身份和基礎數據共享平臺建設為標志，進一步提升服務質量和效果，校園網絡用戶不需要再面對繁多的應用系統，通過統一的信息門戶接入到各個系統。這樣，一方面對用戶而言，校園網用戶不再需要記住各個業務系統的域名，可以通過一個入口進而跳轉到各系統，極大地簡化了信息化系統的使用流程，提升了用戶的使用體驗和業務流程的便利程度。另一方面將整個校園網絡資源整合，成立了單獨的負責日常的運行維護和安全防護工作的網絡部門，極大地提高了網絡安全防護，這一階段建設目標是將校園內外網絡隔離，進而縮減了網絡攻擊面，并且以網絡出口防護和數據中心防護為抓手提升了重要部位防護能力。

目前，多數高校已經完成了第三階段的信息化建設，具備統一信息門戶和各類業務系統，開始進入智慧校園建設新階段。其特征是伴隨著5G、大數據和物聯網等為代表的新一代信息技術的成熟，元宇宙概念的提出、新技術投入也改變了以往的網絡服務模式，使校園網的安全由局部建設走向體系建設。

本文主要圍繞第三階段校園信息化建設過程中網絡安全方面的工作，總結網絡安全建設過程中的問題、解決方案和工作經驗，為下一階段的校園智慧化建設提供參考。

2 校園網絡安全現狀和問題

校園網建設在整體上已經實現了第三階段，并且將伴隨5G、大數據等新技術的融合進入第四階段。總結分析校園網建設過程中遇到的安全問題和對應的解決方案，可以有效提高校園網絡安全防護能力[4-5]。

一般情況下，對特定的園區網絡會造成破壞的威脅來源根據內外可以分成兩大類[6]，如圖1所示.

其中內部威脅指使用系統內部用戶身份發起的安全威脅行為，外部威脅則是指系統用戶之外的安全威脅來源。其中內部用戶包括校內教職工、學生和各類臨時人員，“流氓”管理員威脅最大，難以防范，需要加強人員管理和行為審計；用戶誤操作是比較常見的行為，如誤刪等，需要針對性地做好權限管理，假冒身份人員和串通/合謀一般和外部相關，需要加強審計和權限管理進行應對。外部人員則是內部人員以外的所有惡意行為來源，其中惡意行為指有明確目標的入侵者，如境外間諜等；網絡罪犯和惡意競爭對手會采取竊取信息、抹黑等手段，授信第三方指對高校提供各類信息服務的供應商，由于供應商采用的服務來源廣泛，因此容易受到供應鏈攻擊。對于高校而言，由于內部人員總體素質較高，一般不會主動進行信息系統破壞行動，主要的防范對象是外部威脅和內部假冒身份人員及串通行為。

校園網的核心資產包括網絡硬件設施和其承載的無形的虛擬資產。對于校園環境而言，其物理設施不容易遭到破壞，內外威脅來源主要針對無形資產發起攻擊、控制等惡意行為，其切入口通常是校園的各類線上系統，因此要針對這方面重點防護。

校園網絡安全體系建設過程中面臨的主要問題是分散的業務系統帶來的防護壓力。由于早期網絡建設沒有統一進行，各業務部門分散建設自己的信息化系統，每個網站后端對應著一套業務系統和數據系統，且各網站都是在不同時期采取不同的技術，由不同的開發商建設的，運行在各自的分散的網絡空間中。并且其中一部分網站已經沒有技術力量進行有效的維護升級和安全保護。同時，分散的、技術水平參差不齊的運行模式存在著極大的安全隱患。網站之間必要的互聯互通的需求使得技術水平低的網站成為整個系統上的巨大安全漏洞，網絡攻擊者有可能從防護等級低的網站侵入防護等級高的網站，導致整個系統淪陷。而分散的網絡拓撲要求每個網站進行安全加固在技術和成本上不可能實現。

3 校園網絡安全體系建設思路

網絡安全是系統性、全面性的工作。根據“短板理論”，任何一個薄弱點會導致整個系統的防護失去價值。因此針對上述問題的主要解決思路就是將“一群網站”轉換成“一個網站群”，將一群安全程度參差不齊的網站進行集中管理。針對集中的網站群構建完善、統一的安全保障體系，從而為校園網系統提供全面可靠的安全防護。在新的站群模式下，整個校園網絡從體系上分為內外兩個部分，并且內外隔離。內部的管理者通過獨立的端口訪問管理服務器，對校園網進行維護，同時內部提供了應用防火墻、數據庫防火墻和文件防火墻等針對多種場景的安全防護工具。對外，將網站內容制作成靜態頁面并發布在對外的web服務器上。從而保障系統的網絡安全。同時網絡技術更新迭代快，應當不斷升級防護技術。具體實施中可以按照具體工作的側重點分成不同的方面，來逐步完善整個網絡安全防護工作，爭取從每個方面提升校園網絡安全防護工作，以達到最佳效果。安全體系建設主要從以下四個方面來建設完善。

1） 防護方面

防護主要從三個角度考慮：web應用防護、主機防護和邊界安全防護。web應用運行在業務服務器上，為業務提供支撐，是校園安全防護的核心。如果防護不足，可能會導致信息泄露。采取靜態頁面發布和內外網隔離的方式可以有效防護網頁篡改和數據泄露等攻擊手段，還可以采取對應的手段解決SQL注入、跨站攻擊、命令注入、Webshell等網絡攻擊。主機防護方面，校園網內有大量計算機用戶，相關的專業知識水平參差不齊，當安全意識薄弱的用戶進行誤操作時，也會對系統造成破壞。例如當用戶使用存儲介質不慎感染了木馬程序，很可能給整個內部網絡帶來災難性的破壞。因此需要對網絡內主機進行系統防護和防攻擊加固，使用文件誘餌引擎防御勒索軟件，內核級流量隔離實現網絡隔離與防護；實現補丁修復、外設管控、違規外聯檢測與阻斷等功能，進而實現主機安全防護。對于邊界安全防護，要在互聯網接入邊界采用防火墻進行隔離和訪問控制，嚴格控制外部網絡對內部信息資源的訪問，確保網絡和信息系統自身的安全。邊界安全可以考慮傳統防火墻、IPS、IDS、VPN等多種安全能力。

2） 審計方面

審計可分為運維審計、日志審計、行為審計和數據庫審計四個角度建設網絡安全體系。傳統的網絡安全攻擊可以在事故后在邊界系統設備中尋找攻擊足跡，但隨著攻擊技術不斷發展，內部或外部的非法訪問完成后往往會清掃攻擊足跡，給事后追查造成較大的困難。運維審計需要將系統運維訪問控制和設計相結合，通過賬號管理、身份認證、資源授權、實時阻斷、同步監控、審計運維等功能綜合起來，給內部日常運行中的各種誤操作、惡意操作提供精細化控制和全過程審計，解決內部運維過程中的風險。日志審計方面，隨著信息化系統規模的擴大，各個子系統產生大量復雜的安全日志，成為“信息孤島”，有限的安全管理人員無法處理數量巨大且互相割裂的安全信息。日志審計需要將用戶網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理，及時發現各種網絡威脅、異常事件。網絡行為審計方面，需要對網絡行為進行精細化識別和控制，并利用智能流控、智能阻斷、智能路由等技術，保障網絡關鍵應用和服務的帶寬。數據庫審計需要對數據庫操作進行全面風險審計，通過對數據庫流量的分析，實時、智能地解析數據庫操作，并保存審計日志以供后續分析。

3） 檢測方面

檢測方面主要分為高級威脅檢測、漏洞掃描和大數據分析。傳統的威脅檢測手段在面對APT攻擊時不能發揮作用，因此應基于豐富的特征庫、全面的檢測策略、機器學習、沙箱動態分析、本地離線威脅情報與云端威脅情報協同防御，實時發現網絡中發生的已知威脅和未知威脅的高級威脅檢測技術才能滿足當下的需求。漏洞掃描能夠準確發現網絡中各主機存在的網絡安全漏洞，從而發現網絡安全問題，起著評估整個系統安全的重要作用。在檢測方面，還需要積極應用大數據分析技術，集成大規模存查、大數據實時智能分析、用戶行為分析等安全功能，為全局態勢感知和業務不間斷穩定運行提供保障。

4） 安全隊伍建設方面

安全體系依賴于專業的技術團隊運行，因此學校需要具有一定技術水平的網絡管理部門，對整個校園網絡的安全工作進行全面、有效、持續的保護。做好應急管理工作，如應急預案，應急演練等，確保突發情況下的網絡安全手段充足，防止損失擴大。定期進行校園網絡安全教育培訓工作，強化師生安全意識。

4 結束語

網絡安全體系建設需要持之以恒的投入。信息化越發深入校園各方面，有效提升了各方面工作的同時也帶來了新的安全威脅。因而從防護、審計、檢測和安全隊伍建設等四個角度發掘當前安全體系的不足之處，進行針對性的改進，進而推動校園網絡安全體系整體水平提升。