中職學校網絡安全體系研究

林飄萍 郭伊葭 吳蝶媚

一、引言

信息作為單位組織的重要資產，需要得到妥善保護。信息技術高速發展的同時也伴隨很多安全問題，如系統癱瘓、黑客入侵、病毒感染、網頁篡改、資料泄露等。信息安全問題給單位組織的經營、管理、生存甚至國家安全都帶來嚴重的影響。

隨著校園教育信息化的不斷深入，校園網絡系統已經成為中職學校重要的現代化基礎設施。學校的教學、辦公和管理都離不開網絡平臺，校園網絡系統的安全性及穩定性直接關系到校內數據安全，影響校內人員辦公，教師教學和科研等。目前大部分學校網絡內部已部署防火墻、防病毒等安全設備，但網頁掛馬、網頁篡改、DDOS攻擊等事件不僅沒有減少，反而有飆升的趨勢。因此，保障校園網絡信息安全已經成為當前各中職學校網絡建設中不可忽視的問題。

二、常見的校園網絡安全隱患

（一）人員安全隱患

校園網用戶信息安全意識薄弱，很大程度上會給校園網絡帶來各種隱患。

教職工作為校內辦公的主體，安全意識薄弱、不良上網行為等問題會帶來一定的安全隱患，如使用弱密碼，使得非法用戶成功登錄系統獲取信息，造成信息泄露；訪問非信任網站，下載非官方軟件等導致辦公終端中木馬病毒；存在安全隱患的不可信移動終端接入網絡，從而造成內網被攻擊；用戶訪問釣魚郵件發送校內賬號信息給攻擊者；信息管理人員把服務器當成個人電腦使用，致使服務器中木馬病毒等行為。

目前，大部分中職學校信息系統管理員主要負責系統管理和運維工作，而信息系統一般采取外包、采購的方式來部署搭建。第三方人員往往會進入學校駐場辦公，具備訪問控制權限的第三方人員若安全意識薄弱也會給校園網帶來一定的安全隱患，如在主機上部署后門，惡意監控網絡信息；違規掃描訪問其他信息系統、獲取信息數據；部署的程序包于站點目錄下被攻擊者下載，導致站點代碼泄露等各類安全問題。

（二）數據安全隱患

中職學校學生學籍、教師檔案、財務數據等信息作為核心數據應妥善保護，要避免數據泄露。信息系統管理人員負責信息系統的運維工作，擁有服務器的管理權限，可繞過堡壘機直接登錄服務器操作獲取數據，辦公人員登錄信息系統查看、導出敏感數據時未記錄用戶操作行為，數據下載到個人電腦后，通過qq、微信等途徑無意識地發送傳播，導致數據泄露。第三方人員作為信息系統的建設方，擁有信息系統的權限。部分第三方人員進場未簽署保密協議，可直接訪問獲取敏感數據，沒有記錄訪問日志。信息系統搭建完成交付后，權限一直未釋放，擁有系統權限等給信息系統帶來極大的安全隱患，導致數據安全問題。

信息系統出現常見的漏洞時，未修復則存在著安全隱患。如SQL注入漏洞，敏感數據未進行加密處理存儲于數據庫中，則可通過SQL注入漏洞直接獲取數據庫內容，造成信息泄露。文件上傳漏洞，通過上傳動態腳本獲取服務器權限，直接鏈接訪問核心數據庫獲取數據，搜索服務器上文件內容信息，橫向滲透獲取更多權限及數據內容等。

賬號角色權限方面，一般后臺信息系統會劃分普通管理員、超級管理員等角色，每種角色用戶能訪問的數據應遵循數據最小化原則，只允許訪問權限范圍內的數據。在中職學校中往往缺少專門的信息系統運營人員，有時會臨時指派某個教職工去管理某個系統，給職工用戶分配需要的權限，從而導致臨時分配的權限沒有及時回收，用戶可一直操作訪問數據。權限分配混亂，可訪問的數據沒有得到隔離控制。另外，創建新賬號未實名制，隨機命名，不能定位賬號的真實使用用戶，出安全事故后無法定位到實際操作人員。

（三）服務器和PC終端安全隱患

服務器上運行著各種信息系統，主機安全問題同樣不可忽視，如操作系統漏洞修復不及時、操作系統版本過低、服務器操作不規范等。教職員工外帶不可信個人設備接入辦公網，統一終端控制器無法納管，不可信設備主機存在漏洞等。辦公電腦主機、服務組件存在漏洞，缺乏終端管控，無法推送補丁，未修復的漏洞存在被利用的風險等，如震驚國內的永恒之藍漏洞，辦公人員瀏覽下載非官方授權文件，點擊惡意郵件導致終端主機中病毒，教職工通過U盤拷貝敏感數據、通過郵件、qq、網盤傳輸敏感數據等行為未得到有效管控。

（四）網絡安全隱患

IDC（Internet Data Center）服務器直接暴露于互聯網區，加大了被攻擊的風險。缺乏網絡區域劃分或者區域劃分不明顯，所有服務器部署在同一塊區域，信息數據互通互聯，缺乏有效的網絡隔離，一旦某臺服務器淪陷，導致整個IDC淪陷。網絡策略缺乏管控，服務器運維人員映射服務器管理端口到公網，導致某服務器被入侵，內網被橫向穿透。各個VPC（Virtual Private Cloud）隔離區策略太寬，能互相訪問，一旦某個VPC淪陷，可橫向訪問任意VPC。缺少內網網絡安全感知系統，服務器被入侵，攻擊者對外發送DDOS流量攻擊、內網橫向滲透等行為，無法進行監控預警。

（五）應用安全隱患

系統軟件運行組件存在默認配置，攻擊者可通過默認配置上傳惡意代碼導致服務器被提權。系統及其組件存在未知漏洞，導致被利用攻擊，造成服務器淪陷等風險。而作為數據、權限的后臺管理信息系統，本應只允許在內部辦公網訪問，卻被開放至公網，攻擊者登錄訪問，造成信息泄露。

信息系統承建方安全開發意識薄弱，導致開發的系統存在大量漏洞。如部署環境的代碼可能存在壓縮包未及時刪除被下載利用的風險。把代碼托管到第三方代碼平臺，泄露信息系統的配置信息及代碼，被進一步利用攻擊。信息系統缺乏售后閉環服務，后期發現漏洞，開發商沒有及時修復而學校信息管理人員無法修復漏洞。

三、校園網絡安全體系建設

現階段信息安全技術環境下，攻擊成本越來越小，防御成本越來越大，網絡安全環境并未有所好轉，反而有日益惡化之虞。在復雜的校園網絡中，任何一個教職員工的疏漏都會給校園安全帶來威脅。因此，在學校內部制定工作流程和管理制度，應約束教職員工操作。提高教職員工安全意識是根本要求，同時依靠技術手段和后期的安全運營來驗證制度流程的落地情況，不斷完善制度流程、規則來彌補短板效應。具體的方案體系如圖1所示，流程制度作為技術管控的依據和安全運營的行為準則，通過技術管控手段和安全運營來完善流程制度；技術管控作為安全運營的技術基礎，由后期的安全運營管理來不斷地優化技術管控。

（一）制定制度及流程

制定適合中職學校網絡安全管理制度和流程是網絡安全綜合管理的基礎工作。

1 .網絡安全管理組織架構的設立

網絡安全管理委員會是網絡安全管理的核心機構，由校領導、安保部門、網絡部門等多部門共同組成，負責制定網絡安全規定、安全策略、安全預案等，下設網絡安全工作小組，由網絡安全組長和技術人員組成，負責日常具體的網絡安全工作。

2 .制定網絡安全管理制度

根據校園實際情況，制定網絡安全管理制度，明確網絡安全的管理要求和標準。制度內容包括但不限于網絡使用管理、設備安全管理、軟件使用管理、權限安全管理、數據安全管理、安全意識培訓考核、第三方人員安全管理、安全檢查和評估、安全事件處理等方面。

3 .制定網絡安全管理流程

制定完善的網絡安全管理流程，包括安全事件的發現、處理、通報和跟蹤等方面，使網絡安全管理流程規范化、標準化。在流程中需要指定責任人、時間節點和審批流程，確保安全管理流程的順暢和有效性。

（二）技術管控手段

技術管控手段是指利用技術手段來保障網絡安全和減輕潛在的安全隱患。

1 .賬號權限安全管控

統一身份認證系統，給每一個用戶只分配一個賬號，用戶通過這個賬號登錄所有的業務系統實現了單點登錄功能，簡化了教職工的辦事流程，提升工作流暢度，提高工作效率。在身份證認證中設置密碼規則，可強化用戶密碼體系，規避弱密碼。登錄處設置二次身份，如短信驗證碼、手機令牌等可杜絕賬號共享的問題。

2 .數據安全管控

對信息系統數據類型進行分級分類，設置敏感數據規則。承載敏感數據的業務系統導出敏感數據文件時需添加水印，信息展示時進行脫敏處理，防范數據泄露。

3 .辦公終端安全管控

教職工人員是校內網絡辦公的主體，使用的PC終端積累了大量校內人員的辦公信息，因此，通過辦公終端安全管控體系可大大提高校內辦公終端安全管理水平，如圖2所示。

搭建域控服務器（AD Controller），所有辦公電腦加入AD域進行統一管控。統一分配域賬號，通過AD域下發策略，讓辦公電腦統一安裝防病毒軟件，提高主機安全性。安裝USB管控軟件，禁止拷出文件、WiFi共享。安裝DLP軟件，追蹤溯源敏感文件，防止數據信息泄露。當外界爆發主機漏洞時，可通過域控下發補丁策略，所有計算機軟件自行更新補丁，規避安全風險。

辦公終端訪問網絡，需通過身份認證，避免外帶電腦隨意接入網絡。劃分byod網絡， 移動設備接入網絡認證通過后，不允許訪問辦公區資源，只允許訪問互聯網，規避安全風險。部署上網行為管理，對用戶訪問網站和運行軟件進行控制管理，可規避教職員工亂下載、亂訪問導致的安全問題。

4 .IDC安全管控

（1）服務器安全管控

第一，安全基線要求。遵循端口最小化原則，確保主機操作系統版本安全，沒有系統層面漏洞。設置強密碼規則，禁止自行創建添加系統賬號。審查是否開放不合規的服務配置項，系統最高權限啟用服務應用，如web應用、redis服務等。使用dba權限賬號連接數據庫，服務支持匿名訪問或者弱密碼等其他服務配置項。

第二，主機入侵防護。服務器主機安裝主機型入侵檢測系統（hids），可監測主機網絡、文件目錄、進程的異常情況，及時發現安全風險，阻斷并上報安全問題。

第三，主機漏洞掃描。通過安裝部署漏洞掃描工具，掃描主機對外端口服務的實時情況，排查端口開放的情況及安全，加強服務器主機的整體安全性。

（2）網絡安全管控

防火墻隔離。在IDC邊界部署防火墻，保護內部網絡免受外部網絡的侵擾。將網絡劃分為不同的安全域實施不同的安全策略。當一個區域淪陷后，通過區域劃分隔離有效地緩解整個IDC淪陷。

（3）網絡流量監控

安裝部署網絡監控軟件，分析統計服務器的流量速率、總流量的周期性，評估設定合理峰值。當服務器的速度、總流量超出設定的峰值時，通過告警進一步排查主機的安全性。

異常流量監控，在內部部署網絡入侵防護檢測設備，收集內部網絡流量請求，可分析主機DNS請求記錄，匹配威脅情報，識別主機風險，作為后期審計、應急的日志源。

（4）安全蜜罐

蜜罐是一種安全機制，用于吸引和監測攻擊者的活動。攻擊者獲取內網某臺服務器權限后，往往會掃描探測同個區域網段的端口服務。蜜罐服務器日常沒有任何訪問量，一旦有訪問鏈接請求，會立即觸發告警，確保網絡環境的安全性。

（5）應用安全管控

在網絡邊界部署web應用防火墻，可檢測日常web攻擊行為并進行阻斷和ip封禁。在web運行組件上部署rasp擴展，hook高危函數執行，阻斷告警，能實時檢測和阻斷安全攻擊，使應用程序具備自我保護能力。新系統上線、系統功能迭代必須通過安全測試才能上線，系統上線后，定期對站點進行主動掃描，加強系統安全性。在網絡內部，部署資產風險評估平臺，收集資產所有信息，形成資產可視化，當外界爆出漏洞時，可第一時間感知追蹤。

（三）安全運營

制定可落地的工作流程和管理制度作為技術實施的根本依據。

1 .服務器操作系統安全運營

日常做好操作系統用戶、權限和口令管理。根據最小授權原則設定用戶訪問權限，根據密碼復制度要求設定口令并定期更換等，及時發現不合規的操作項，如角色分配不合理、繞過堡壘機直接登錄操作服務器、網絡策略申請是否定期回收等。通過設定終端接入方式、網絡地址范圍等條件限制終端登錄。根據安全策略設置登錄終端的操作超時鎖定，限制單個用戶對系統資源的最大或最小使用限度。定期對服務器磁盤陣列數據進行備份，提高數據的可靠性和容錯性。定期查看日志，對各種安全事件進行審計和追蹤。

2 .數據安全運營

定期檢測和鑒別重要業務數據信息在傳輸過程中的完整性是否受到破壞。通過采用加密或其他保護措施實現鑒別信息的存儲保密性。定期進行數據備份，并建立可靠的備份系統，以防止網絡系統硬件故障、人為操作失誤或黑客入侵導致數據完整性損壞。提供關鍵網絡設備、通信線路和數據處理系統的硬件冗余，保證應用系統的可用性。

3 .應用系統安全運營

定期檢測用戶訪問系統權限，防止用戶未授權訪問。采取結束會話、限制非法登錄次數和自動退出等措施來處理登錄失敗情況?？刂茟孟到y的有效資源，對應用系統的最大并發會話連接數和單個賬戶的多重并發會話進行限制。完善日志分析規則，通過自動化分析，發現風險點。對安全設備的規則進行日常維護，提高設備的檢測率，更有效地識別及攔截攻擊行為，確保web應用程序在受到攻擊時能夠正常運轉。采購第三方安全滲透服務，對應用系統進行安全檢查，避免單一方檢測遺漏存在的安全風險。

四、結論

教育信息化的不斷發展，給用戶帶來了方便快捷體驗的同時，如何防范信息泄露，已成為中職學校迫切需要解決的問題。針對校園網所存在的各種風險，加強校園網絡安全管理，構建網絡安全體系是中職學校網絡管理工作應對網絡教育新時代發展的必然要求。我們必須清楚地認識到，再好的網絡安全管理體系也做不到絕對的安全，只能做到相對安全。本文通過分析校園網絡安全現狀和存在的各種威脅，從管理制度和工作流程、技術管控和安全運營三大方面展開研究。在技術實施過程中，流程制度的完善是一個不斷優化的過程。在實踐中，需要對現有的流程和制度進行評估和調整，以確保其與實際情況相符合，并隨著安全威脅的變化不斷進行調整和完善。在技術實施建設完成后，持續的安全運營至關重要。只有通過持續的安全運營，才能及時發現和應對安全隱患，并不斷提升校園網絡安全的整體水平，確保校園網絡的穩定運行和安全性。

責任編輯 ?何麗華