教育數字化背景下高校網絡安全防護體系建設研究

樊新武 張帥 杜香燕 北京林業大學信息化建設與管理辦公室

●網絡安全的新形勢

隨著《數字中國建設整體布局規劃》的正式發布，以及教育部關于教育數字化戰略行動的正式實施，數字賦能成為推進教育現代化、建設教育強國的重要支撐。高校智慧校園建設已經全面展開，師生對泛在、便捷的網絡資源和服務，已經產生強烈的需求和依賴，涉及教學、管理、服務、統一門戶等各部門的上百個信息系統應運而生。因此，保障網絡與信息安全，成為高校信息化建設面臨的重大課題和挑戰。

1.我國網絡安全法律規范體系逐步形成

《中華人民共和國網絡安全法》于2016年11月1日正式實施，該法是中國網絡安全領域的基礎性法律，不僅規定了網絡運營者的義務，還規定了網絡安全監管的職責和機構，并對違法行為進行了明確的處罰規定。

除此之外，我國還制定了《關鍵信息基礎設施安全保護條例》《個人信息保護法》《數據安全法》等一系列相關法律法規和政策文件，進一步完善了中國的網絡安全法律規范體系，并為網絡安全的保障提供了更具體和有效的措施。

2.等級保護進入2.0時代

《網絡安全法》明確規定“國家實行網絡安全等級保護制度”，網絡安全等級保護是國家網絡安全保障的基本制度、基本方法。[1]等級保護是指對信息系統的安全等級進行分類、分級保護的一種安全保護模式。我國自2007年開始實施信息系統安全等級保護制度，該制度將信息系統分為5個等級，并對不同等級的信息系統提出了不同的安全保護要求和措施。[2]等級保護進入2.0時代表明我國正在加強信息安全保護工作，以應對不斷增加的網絡安全威脅。

3.數據安全成為新的重要挑戰

教育數字化建設的一個必經階段，是對數據進行梳理整合,打破信息壁壘，實現數據邏輯上的數據大集中，從而形成數據資產。這使得數據共享、數據交換、數據分析等新的應用場景不斷涌現，但同時，數據的流動和循環也使得數據安全及個人隱私泄露等問題日益凸顯。

數據安全事件頻發，已嚴重阻礙了高校數據資源的開發應用及數據資產價值的有效釋放。因此，如何建立有效的數據安全保障體系，保障數據的保密性、完整性、可用性，確保數據應用安全可控，已成為高校智慧校園建設中首要關注且亟須解決的問題。

●高校網絡安全的現狀和問題

隨著教育數字化的快速發展，網絡基礎環境逐步升級，數據與應用的體量急劇增大，與之相應的網絡安全基礎設施建設水平，需要及時跟進升級。但高校在信息化建設過程中，普遍存在“重建設輕安全”的現象，技術設施已經面臨使用瓶頸，管理工作還需進一步完善及加強。

1.網絡安全基礎設施薄弱

隨著信息技術的發展和無線技術的進步，高校網絡基礎環境迅速發展，網絡出口帶寬不斷提升，網絡安全保障能力需求增強。但由于信息安全經費投入有限等，網絡安全設備更新滯后，設備性能無法匹配升級后的網絡基礎環境，安全防護能力有所降低，導致無法形成全方位的物理設施防御體系。

2.校園網內部安全建設不足

高校往往比較重視對校外威脅攻擊的防御，卻忽視內部網絡安全威脅建設。而橫向滲透攻擊是一種具有高危害性的攻擊手段，攻擊者一旦攻陷校內某一主機，即可通過這臺主機攻擊校內其他主機，從而使整個校園網絡失去防護能力。

3.高校網絡安全管理建設缺乏體系指導

由于高校對網絡安全管理工作的認識不足，“重建設、輕安全”現象普遍存在，高校業務系統在整個建設周期往往只考慮功能需求，而缺乏對網絡安全的同步建設與規劃，未形成完善的網絡安全管理體系，導致高校各業務系統在使用過程中存在安全隱患，從而提升后續安全運維成本。

4.專業人員建設不足

目前，高校網絡安全人員的培養和隊伍建設投入不足，許多高校沒有專職的網絡安全工作人員，多是由其他崗位的教師兼任，其對網絡安全知識結構的認識并不健全，使得高校網絡安全防御的意識逐漸淡薄。同時，由于缺乏專職網絡安全人員，各學校針對網絡安全事件基本上采取事后處理的手段，無法及時主動發現并應對安全風險。

5.信息資產繁多，漏洞多

不法人員經常利用網絡漏洞來竊取相關資源，這會導致師生遭受較大的損失。隨著學校信息資產越來越多，管理和維護難度也隨之增加，面臨的漏洞威脅形勢更加嚴峻。

●高校網絡安全主動防御體系建設思路

筆者認為，高校網絡安全主動防御體系建設應以網絡安全法及網絡安全等級保護2.0標準為指導，針對校園網絡安全風險評估結果，結合校園實際情況，區分等保2級和等保3級標準，升級或補齊關鍵網絡安全防護設備（包括但不限于防火墻、入侵檢測、安全審計等設備），完善校園網絡結構，優化網絡安全防護策略，變被動防御為主動防御[3]，最終形成網絡安全技術防護閉環。在此基礎上，建立網絡安全事件應急處置預案，定期開展網絡安全演練，提升校園網絡安全防護能力，保障師生網絡安全。

1.建設網絡安全管理運營平臺

網絡安全管理運營平臺是網絡安全的核心組成部分之一，依托態勢感知平臺、威脅探針等設備，通過集成各種安全技術設備的管理，實現對整個網絡安全的監控和管理。平臺基于信息資產管理，利用大數據分析技術，對攻擊事件、威脅告警和攻擊源頭進行分類統計和綜合分析，為用戶呈現出全局安全攻擊態勢。通過安全管理運營平臺的建設，實現快速響應的主動防御，提高網絡安全監控技術水平，增強網絡安全預警和應急能力，確保信息資產穩定運行。

在校園網絡中，建設一個安全管理運營平臺可以為整個網絡提供實時監控、事件管理、漏洞掃描、安全策略管理等功能，為保障校園網絡的安全提供有力支撐。

2.網絡安全基礎設施升級

（1）防火墻及Web應用防火墻

防火墻是網絡安全的第一道防線，通過防火墻，可以實現對網絡流量的控制，防止網絡攻擊的發生。部署的防火墻應同時具備入侵防御、防病毒等能力，集中化實現安全保護。

目前，高校建設的業務系統絕大部分以Web應用平臺為主，Web應用平臺的程序漏洞容易被攻擊者利用，帶來一定的安全威脅。Web應用防火墻是集Web防護、網頁保護、負載均衡、應用交付于一體的Web整體安全防護設備，部署Web應用防火墻可從一定程度上解決Web應用平臺的安全問題，它能有效防護Web應用程序常見的安全威脅[4]，如防SQL注入、網頁篡改防護、XSS跨站腳本攻擊防護等。

同時，高性能的防火墻、Web應用防火墻等網絡安全設備，性能上應當滿足帶寬吞吐需求。

（2）建設日志審計系統、堡壘機系統

學校業務系統多，系統產生的日志量巨大，為滿足《網絡安全法》中第二十一條關于留存日志不得少于6個月的法律要求，應當建設日志審計系統。通過日志審計系統全面收集網絡設備、安全設備、應用系統、數據庫等資產日志，將日志進行匯總、清洗與范式化處理，識別發現潛在的安全事件與安全風險[5]，助力高校構建網絡安全防線。

堡壘機系統是一種安全訪問控制系統，可以有效防止惡意攻擊和內部人員的非法訪問，代理服務器、數據庫等系統的運維工作，實現一鍵改密等功能，雖然存在運維單點突破隱患，但是瑕不掩瑜，屬于應當部署的設備。

（3）漏洞掃描系統

漏洞掃描系統可以幫助及時發現網絡安全漏洞，并對漏洞進行修復。部署漏洞掃描系統，對校園網絡進行全面的漏洞掃描，定期更新漏洞庫和掃描策略，保證漏洞掃描的準確性和有效性。同時，配合其他安全設備（如防火墻、IDS/IPS等），發現威脅，及時處理，可以全面提升校園網絡的安全防護能力。

（4）流量控制系統

流量控制系統可進行串聯部署或旁路部署，串聯部署可更好地進行流量控制，但容易出現單點故障，一旦流量控制系統出現問題，會影響整個網絡的正常運行；流量控制系統旁路部署不會影響網絡的正常運行，同時又可記錄用戶上網流量信息，用于數據采集和分析，方便事件后追溯。

3.加強校園網內部安全建設

（1）校園網內部分區

通過部署防火墻進行校園內部網絡的微隔離，實現區域邊界的訪問控制防護，過濾不安全的服務，從而降低進入校內網后的橫向攻擊對全局網絡造成的影響。

（2）主機安全加固

主機加固設備從事前事中事后構建一整套閉環能力，是對威脅全生命周期的防護。主機安全加固可安裝在重要資產上，做到事前輕補丁漏洞免疫、事中的威脅檢測以及事后的聯動閉環響應。終端資產安全在安全事件中有極其重要的地位，可與其他網絡安全設備共同建立威脅處置閉環體系。

（3）蜜罐系統

蜜罐系統是一種被動式的安全防御技術，用于誘騙攻擊者入侵，以便收集攻擊者的攻擊行為和手段。蜜罐系統通常部署在網絡的邊緣、內部或者DMZ區域，可以與其他防御措施協同工作，提高網絡安全防御的能力。

校園網絡用戶數量多，網絡管理相對松散，機房內網環境復雜，易于攻擊者潛伏和攻擊，蜜罐系統的部署可以為校園網絡的安全防御提供一定的保障，降低內網安全風險。

●高校網絡安全管理體系建設

構建完備的網絡安全技術防護體系安全設備、安全策略是從技術層面來解決安全防護問題，為保證學校業務系統長期穩定運行以及業務數據的安全性，還應逐步提高系統運維及人員管理的安全保障機制，健全網絡安全管理體系。

1.構建網絡安全管理體系

構建網絡安全管理體系，首先要加強網絡安全組織領導，成立專門的網絡安全與信息化領導小組統籌領導學校網絡安全信息化工作，加強頂層設計，按照“同步規劃、同步建設、同步運維”三同步原則，在系統建設的同時制訂網絡安全規劃方案；其次，按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，壓實安全責任，確保校內各個部門做好網站和信息系統的網絡安全工作；最后，定期舉辦網絡安全相關講座，提高師生網絡安全意識。

2.完善網絡安全管理制度

完善并可執行的規章制度是做好網絡安全工作的重要保障，是網絡安全管理體系和網絡安全技術防護體系相結合的重要體現。高校應在現有制度基礎上經過充分調研和試運行，進行制度規范和優化，確保制度符合實際情況并可落實到位，以確保高校網絡安全管理工作的正常運行。

3.開展定期應急演練、攻防演習

定期應急演練是評估網絡安全應急響應能力和準備工作是否充分的有效手段，通過演練可以發現應急響應計劃的不足之處，并及時進行修正和完善。攻防演習是一種模擬網絡攻擊與防御的實踐活動，通過模擬真實攻擊手段和攻擊情景，測試網絡安全防御的能力，及時發現網絡漏洞和安全隱患。

定期開展應急演練、攻防演習對于提升高校網絡安全防御和響應能力至關重要。針對高校特殊的網絡安全需求和風險，可以定制化設計應急演練和攻防演習的內容，如模擬高校內部常見的攻擊手段和攻擊情境、惡意軟件攻擊等，以驗證網絡安全防御的有效性。同時，可以加強應急演練和攻防演習的宣傳和推廣，提高高校網絡安全意識和能力。

●思考

隨著信息技術的快速發展和普及，在未來，網絡安全問題將越來越嚴峻，國家將面臨更多的網絡安全威脅。網絡安全體系建設是保障網絡安全的基礎，一個完善的網絡安全體系可以為學校和個人提供全面、系統和可靠的安全保護。筆者認為，建設完善的網絡安全體系需要從以下幾方面來加強：

一是建立完善的網絡安全管理體系。安全管理的建立是網絡安全體系建設的關鍵，可以保證安全管理的規范和有效性，確保學校關鍵基礎設施的安全保護。

二是加強網絡安全技術體系的建設。隨著網絡安全技術的發展，加強對網絡安全的監管，優化網絡安全防護體系的建設，尤其是建立數據安全保護體系，化被動防范為主動防御，可有效防范網絡攻擊和數據泄露。

三是加強網絡安全日常檢查，建立網絡安全應急機制。安全漏洞的發現和修復是網絡安全體系建設的持續工作，同時，建立網絡安全應急機制是保障網絡安全的重要手段，對故障事件迅速、及時處理，減少損失。

四是加強網安領域人才培養，提高人才素質。全面加強網絡安全人才儲備，加快建設人才培養體系，制訂具體的人才培育計劃。

五是提高全校師生網絡安全意識。安全意識的培養是網絡安全體系建設的重要組成部分，學校和個人需要加強安全意識教育和培訓，提高安全防護意識和應對能力。

總之，網絡安全體系建設需要全面考慮學校和個人的實際需求和風險評估，采用多種手段和措施，以保障網絡安全。

●結語

大部分高校的信息系統經過多年建設和完善，形成了以多元信息化應用為基礎的立體式信息服務基礎環境。隨著國家法律法規對網絡安全提出更高的要求，高校應重視網絡安全技術防護體系及安全管理體系的同步完善，技術防護及管理體系建設相融合，確保高校信息系統健康、有序發展。