基于等保2.0的高校計算機實驗室網(wǎng)絡(luò)安全的研究

一、引言

隨著信息化、智能化技術(shù)的迅猛發(fā)展，實驗室教學(xué)設(shè)備的智能化不斷提高，與此同時，實驗室教學(xué)設(shè)備系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險也與日俱增，特別是實驗實訓(xùn)平臺、實驗室的大量教學(xué)PC設(shè)備。其中，實驗室管理人員的日常管理活動、各種系統(tǒng)漏洞等多重因素，都會直接或間接地影響實驗室設(shè)備系統(tǒng)的安全運行和教學(xué)的正常開展。2019年12月，《網(wǎng)絡(luò)安全等級基本要求》（等保2.0）正式實施，為高校計算機類實驗室的網(wǎng)絡(luò)安全建設(shè)提供了參考的建設(shè)標(biāo)準(zhǔn)和方向。等保2.0主要是從管理和技術(shù)兩個大方向出發(fā)。管理方面主要涉及管理制度、機構(gòu)和人員、建設(shè)和運維等；技術(shù)方面主要涉及安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境等方面。等保2.0還有擴展標(biāo)準(zhǔn)，主要是針對目前主流新型技術(shù)提出了防護(hù)措施，其中包括物聯(lián)網(wǎng)技術(shù)、云計算技術(shù)、移動互聯(lián)技術(shù)、工業(yè)控制系統(tǒng)等。

二、高校計算機實驗室網(wǎng)絡(luò)情況分析

高校計算機實驗室的安全一般涉及物理機房的環(huán)境安全、設(shè)備的運行安全、實驗實訓(xùn)系統(tǒng)的運行安全、實驗室管理人員的運維安全等方面。本文主要是基于等保2.0的相關(guān)標(biāo)準(zhǔn)，從實驗室的管理制度、實驗室人員的管理、設(shè)備運行維護(hù)、操作系統(tǒng)和應(yīng)用系統(tǒng)方面對高校計算機實驗室的網(wǎng)絡(luò)安全進(jìn)行探討。

高校計算機實驗室區(qū)域一般是由中心機房、實驗教學(xué)實訓(xùn)室、教師辦公等區(qū)域組成，所以高校計算機實驗室網(wǎng)絡(luò)安全主要的防護(hù)對象是中心機房的設(shè)備、各類PC的防護(hù)、各區(qū)域間網(wǎng)段的訪問控制等方面。其中，中心機房是高校計算機實驗室內(nèi)網(wǎng)安全防護(hù)的核心和重點。機房中有大量的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器集群等核心資產(chǎn)，服務(wù)器中往往部署有不同專業(yè)、學(xué)科教學(xué)使用的實訓(xùn)平臺，如果防護(hù)不當(dāng)，導(dǎo)致機房設(shè)備、各類實訓(xùn)平臺遭到攻擊和破壞，將會影響高校計算機類實驗教學(xué)的開展。

三、高校計算機類實驗室內(nèi)網(wǎng)面臨的威脅和防護(hù)策略

（一）實驗室內(nèi)網(wǎng)面臨的主要安全威脅

高校計算機實驗室網(wǎng)絡(luò)面臨來自如下方面的安全威脅：1.管理制度層面的威脅；2.網(wǎng)絡(luò)防護(hù)層面的威脅；3.操作系統(tǒng)和應(yīng)用系統(tǒng)層面的威脅。

1.管理制度和人員方面面臨的主要安全問題

在系統(tǒng)安全防護(hù)和運維方面，一直有“三分技術(shù)七分管理”的說法。很多時候，系統(tǒng)的安全防護(hù)往往遵循木桶原理，一個系統(tǒng)或堡壘最終是否會被攻破，不是看防護(hù)做得最好的方面，而是看什么方面最薄弱。而很多實驗室的網(wǎng)絡(luò)安全防護(hù)往往低估甚至忽視管理制度。

目前，各高校的實驗室機房建設(shè)完成以后，都會制定相應(yīng)的機房和實驗室管理制度。但是，由于部分高校沒有網(wǎng)絡(luò)安全相關(guān)的專業(yè)人員，實驗室管理制度存在模板化的現(xiàn)象，并沒有根據(jù)本專業(yè)實驗室的實際情況制定針對性的管理制度和運維策略。同時，在實驗室人員配備方面，有部分高校的計算機類實驗室沒有配備網(wǎng)絡(luò)安全相關(guān)專業(yè)的實驗室管理員。再加上部分高校對網(wǎng)絡(luò)安全人才培訓(xùn)和培養(yǎng)工作不夠重視，導(dǎo)致很多實驗室管理人員缺乏網(wǎng)絡(luò)安全知識。當(dāng)實驗室網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)安全事件的時候，缺乏有效的處理方法，不能應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件或主動去發(fā)現(xiàn)存在的網(wǎng)絡(luò)安全隱患？。

2.在網(wǎng)絡(luò)防護(hù)層面面臨的主要安全問題

通常情況下，高等學(xué)校二級學(xué)院的實驗室內(nèi)部網(wǎng)絡(luò)，一般都是通過學(xué)校核心交換機的VLAN進(jìn)行劃分以后，才聯(lián)接到各二級學(xué)院的內(nèi)部網(wǎng)絡(luò)。高校二級學(xué)院的計算機實驗室的內(nèi)網(wǎng)在網(wǎng)絡(luò)結(jié)構(gòu)層面與其他非計算機類二級學(xué)院的實驗室有比較大的區(qū)別，比如：二級學(xué)院的計算機類實驗室也有自己的機房，里面同樣部署了自己的業(yè)務(wù)服務(wù)器、核心交換機及大量基于B/S或C/S架構(gòu)的實驗實訓(xùn)教學(xué)平臺。計算機實驗樓環(huán)境中有較多辦公區(qū)域、實驗實訓(xùn)教室，教室中有比較多的教學(xué)個人PC終端，以及大量學(xué)生手機等移動終端的接人。以上因素都對整個實驗室內(nèi)部網(wǎng)絡(luò)架構(gòu)的設(shè)計、訪問控制、網(wǎng)絡(luò)流量分析、外部終端的接人管理提出了挑戰(zhàn)。

3.操作系統(tǒng)和應(yīng)用系統(tǒng)層面面臨的主要安全問題

從安全的角度出發(fā)，高校的大部分內(nèi)部業(yè)務(wù)通常都是與互聯(lián)網(wǎng)隔離的。二級學(xué)院的網(wǎng)絡(luò)環(huán)境，一般處于校園網(wǎng)內(nèi)網(wǎng)中。內(nèi)網(wǎng)網(wǎng)絡(luò)的環(huán)境往往會造成業(yè)務(wù)服務(wù)器和部署的業(yè)務(wù)系統(tǒng)的安全補丁更新不及時，如果被外部非法接人，很容易被人侵。

一般來說，計算機類的二級學(xué)院會有幾個或者更多的相近專業(yè)，每個專業(yè)都有自己專業(yè)特定的實驗實訓(xùn)平臺。在實際的生產(chǎn)環(huán)境中，服務(wù)器資源非常有限，而各類實驗實訓(xùn)教學(xué)平臺系統(tǒng)很多，所以，往往只能把很多不同專業(yè)類型的實驗實訓(xùn)平臺同時部署在同一臺服務(wù)器上面。如果其中一個服務(wù)器被提權(quán)或攻擊，那么，部署在該服務(wù)器上的所有實驗實訓(xùn)系統(tǒng)都會被間接攻擊。

（二）高校計算機類實驗室內(nèi)網(wǎng)安全的防護(hù)策略

1.管理制度和人員方面的防護(hù)策略

在管理制度方面，要落實《中華人民共和國網(wǎng)絡(luò)安全法》和等保2.0的相關(guān)要求，在整個實驗室建設(shè)的全生命周期各階段明確責(zé)任部門及安全職責(zé)，二級學(xué)院層面要在制定和完善網(wǎng)絡(luò)安全政策和流程的全過程中同步推行，其中包括登記入庫完整的相關(guān)設(shè)備資產(chǎn)信息、實驗室各類設(shè)備資產(chǎn)的日常運行及運維管理制度等3。在人員方面，應(yīng)建立可執(zhí)行的實驗室管理人員培養(yǎng)體系，明確實驗室管理團(tuán)隊整體的職責(zé)，同時，明確團(tuán)隊中各個管理人員的具體職責(zé)和權(quán)限，加強對實驗室管理人員和技術(shù)人員的定期培訓(xùn)。通過管理制度和實驗室管理人員的組合發(fā)力，可以使實驗室設(shè)備的管理、日常運維等方面保持在較高的水平，從而保證計算機實驗室日常實驗實訓(xùn)教學(xué)的正常開展。

2.在網(wǎng)絡(luò)層面的防護(hù)策略

網(wǎng)絡(luò)層面的設(shè)計是整個實驗室網(wǎng)絡(luò)安全的基石。通常情況下，要設(shè)計符合網(wǎng)絡(luò)安全要求的實驗室內(nèi)網(wǎng)架構(gòu)，需要從多個方面進(jìn)行考慮，其中主要包括：設(shè)備的性能和鏈路的帶寬、不同功能區(qū)域間的網(wǎng)段劃分隔離策略、網(wǎng)絡(luò)間的訪問控制、內(nèi)部日志分析與流量預(yù)警監(jiān)控等方面。

（1）整體網(wǎng)絡(luò)架構(gòu)的設(shè)計

對于整體網(wǎng)絡(luò)架構(gòu)的設(shè)計而言，首先需要考慮設(shè)備的性能和機房帶寬等問題。設(shè)備的性能要求主要是指網(wǎng)絡(luò)鏈路中的主要設(shè)備，如核心路由器、交換機、服務(wù)器等設(shè)備的性能需能滿足日常實驗實訓(xùn)教學(xué)中最大并發(fā)量等要求。同時，為了保證主要相關(guān)核心設(shè)備具備足夠的處理能力，應(yīng)確保設(shè)備的業(yè)務(wù)處理能力具備余空間，即當(dāng)實驗實訓(xùn)教學(xué)訪問并發(fā)最高峰的時候，設(shè)備CPU和內(nèi)存的使用率應(yīng)保持在 之間。為了保證實驗實訓(xùn)教學(xué)過程的連續(xù)性，應(yīng)使實驗室內(nèi)部網(wǎng)絡(luò)中的各個部分帶寬滿足實驗室實驗實訓(xùn)教學(xué)高峰期的需要。

（2）對不同區(qū)域的網(wǎng)絡(luò)隔離

區(qū)域間的網(wǎng)絡(luò)隔離是整個網(wǎng)絡(luò)架構(gòu)設(shè)計的核心部分之一。網(wǎng)絡(luò)隔離的措施包括物理隔離和邏輯隔離。物理隔離一般適用于對于安全性和保密性要求非常高的系統(tǒng)，再加上物理隔離的部署成本非常高，因此，很多系統(tǒng)都使用邏輯隔離的方式進(jìn)行網(wǎng)絡(luò)隔離，也就是虛擬局域網(wǎng)（VLAN）。虛擬局域網(wǎng)可以根據(jù)高校網(wǎng)絡(luò)劃分需求從端口、MAC、網(wǎng)絡(luò)層等方面將不同網(wǎng)絡(luò)劃分到不同的邏輯網(wǎng)絡(luò)中，從而實現(xiàn)不同區(qū)域之間的網(wǎng)絡(luò)隔離[5在高校計算機實驗室的VLAN劃分中，可以根據(jù)不同功能的辦公和實驗實訓(xùn)室進(jìn)行劃分，如實驗室管理員辦公室一個網(wǎng)段（運維網(wǎng)段）、各教研室辦公室一個網(wǎng)段、每個專業(yè)的實驗實訓(xùn)室一個網(wǎng)段、無線Wi-Fi一個網(wǎng)段。當(dāng)然，VLAN的網(wǎng)段數(shù)量劃分不是越多越好，而應(yīng)遵循最小的需求原則。具體而言，假設(shè)某個學(xué)院有3個與計算機專業(yè)相關(guān)的專業(yè)，每個專業(yè)3間實驗實訓(xùn)室，每間教室60臺PC，那么，每個專業(yè)的PC數(shù)量和其他教學(xué)設(shè)備所需的IP數(shù)量大約為180-200個之間。在進(jìn)行VLAN的IP地址設(shè)計的時候，只需要進(jìn)行C段（/24子網(wǎng)掩碼）劃分即可滿足使用需求。總的來說，進(jìn)行VLAN劃分的時候既要考慮實際的實驗教學(xué)需求，也要便于日常運維管理。

（3）訪問控制

網(wǎng)絡(luò)間的訪問控制是指不同網(wǎng)絡(luò)或子網(wǎng)之間，管理和限制對不同網(wǎng)絡(luò)或子網(wǎng)資源的訪問權(quán)限的策略和措施。訪問控制策略旨在確保只有授權(quán)的用戶或設(shè)備才可以訪問特定的網(wǎng)絡(luò)資源。

對于機房中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的訪問控制而言，首先是對各類設(shè)備的內(nèi)置用戶進(jìn)行權(quán)限劃分，如設(shè)置超級管理員、普通管理員等，在日常運維過程中根據(jù)配置需要登錄相應(yīng)的權(quán)限賬戶即可。同時，用戶登錄的口令復(fù)雜度應(yīng)遵行強密碼原則，即由大小寫、特殊字符、數(shù)字等組成，且長度應(yīng)該在8位以上。其次，當(dāng)進(jìn)行遠(yuǎn)程運維時，應(yīng)通過堡壘機對網(wǎng)絡(luò)架構(gòu)中的設(shè)備進(jìn)行管理，這樣可以降低核心設(shè)備登錄地址暴露被撞庫攻擊的風(fēng)險。堡壘機同時需啟用雙因子登錄驗證，即通過密碼 + 手機驗證碼或郵箱驗證的組合登錄方式。核心網(wǎng)絡(luò)等設(shè)備的訪問還應(yīng)限制特定的VLAN區(qū)域（運維段）才能訪問，從而最大程度地降低核心網(wǎng)絡(luò)等設(shè)備被非法訪問的風(fēng)險。網(wǎng)絡(luò)設(shè)備應(yīng)重點關(guān)注從訪問控制列表（ACL）的訪問策略等方面進(jìn)行設(shè)置。在ACL的訪問控制策略中，應(yīng)明確源地址、目的地址，以及源端口、目的端口和協(xié)議，從而達(dá)到允許或拒絕網(wǎng)絡(luò)流量中數(shù)據(jù)包的進(jìn)出。在進(jìn)行ACL策略設(shè)計的時候，要注意策略的優(yōu)先級。ACL是按順序進(jìn)行訪問控制執(zhí)行的，先匹配的規(guī)則會生效。設(shè)備進(jìn)行內(nèi)網(wǎng)IP映射，隱藏內(nèi)網(wǎng)系統(tǒng)真實的IP，使攻擊者無法鎖定真實的資產(chǎn)IP等信息。

對無線網(wǎng)絡(luò)的訪問控制是指保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。一般情況下，實驗樓的無線網(wǎng)絡(luò)有兩種線路，一是實驗室管理員辦公室、各教研室等用于辦公區(qū)域的無線網(wǎng)絡(luò)，二是實驗實訓(xùn)室中用于教學(xué)的無線網(wǎng)絡(luò)，這部分網(wǎng)絡(luò)主要是用于教師和學(xué)生的終端設(shè)備接人。

① 針對辦公區(qū)域的無線網(wǎng)絡(luò)，使用復(fù)雜的Wi-Fi密碼，避免使用默認(rèn)密碼。密碼設(shè)置也需按照強密碼規(guī)則進(jìn)行設(shè)置。設(shè)置無線協(xié)議的時候應(yīng)避免使用WEP，確保無線網(wǎng)絡(luò)使用WPA2，最好可以使用WPA3加密協(xié)議。在無線網(wǎng)絡(luò)路由器中啟用MAC物理地址過濾，只允許特定的設(shè)備接人。

② 對于實驗實訓(xùn)室中的無線網(wǎng)絡(luò)，在學(xué)生終端的接入方面，目前，很多學(xué)校都建立了比較完善的校園網(wǎng)接入規(guī)則，如“學(xué)號 + 密碼”的方式。所以，在接人的終端方面，要求用戶通過密碼或驗證碼進(jìn)行身份驗證，確保只有授權(quán)人員才能接入。因?qū)W生人數(shù)較多，對每個接入的移動終端進(jìn)行MAC地址訪問顯然是不可行的，推薦的辦法是將實驗實訓(xùn)室的無線網(wǎng)絡(luò)與學(xué)院內(nèi)部業(yè)務(wù)核心網(wǎng)絡(luò)分開，這個可以通過VLAN進(jìn)行控制劃分，這樣就避免了學(xué)生端通過無線網(wǎng)絡(luò)接人而訪問內(nèi)部核心網(wǎng)段的資源。

（4）內(nèi)部日志分析與流量預(yù)警監(jiān)控

無論是網(wǎng)絡(luò)設(shè)備，還是操作系統(tǒng)和業(yè)務(wù)系統(tǒng)，在運行的過程中，都會產(chǎn)生很多類型的日志。一般來說，操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻、業(yè)務(wù)系統(tǒng)等都有自己的日志記錄功能，但這些日志都分散在各個設(shè)備上，不利于實驗人員進(jìn)行查看和分析。所以，應(yīng)該在網(wǎng)絡(luò)中部署日志服務(wù)器。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條的要求，應(yīng)用系統(tǒng)運行日志的保存時間至少為六個月，以便于在發(fā)生安全事件的時候可以進(jìn)行追溯。對日志的記錄應(yīng)進(jìn)行合理的設(shè)置，至少應(yīng)該包含一些核心信息，如時間、操作用戶、操作源地址、目的地址、操作事件等信息。在流量分析預(yù)警方面，防火墻應(yīng)重點關(guān)注對流量中各種攻擊行為的檢測，如SQL注人、XSS跨站、命令執(zhí)行等漏洞攻擊行為。在業(yè)務(wù)應(yīng)用系統(tǒng)的安全防護(hù)方面，防火墻也可以重點從各類協(xié)議、內(nèi)容、敏感詞匯等方面進(jìn)行檢測和防護(hù)。

為了及時對網(wǎng)絡(luò)中的攻擊流量進(jìn)行分析和預(yù)警，應(yīng)在網(wǎng)絡(luò)中部署態(tài)勢感知系統(tǒng)。態(tài)勢感知系統(tǒng)可以對整個網(wǎng)絡(luò)中的流量進(jìn)行實時監(jiān)測、分析預(yù)測等，從而極大地提高實驗室人員對網(wǎng)絡(luò)攻擊預(yù)警的響應(yīng)能力。

3.操作系統(tǒng)和應(yīng)用系統(tǒng)層面的防護(hù)策略

針對操作系統(tǒng)和應(yīng)用系統(tǒng)的安全防護(hù)，主要涉及設(shè)備的訪問控制、系統(tǒng)漏洞、系統(tǒng)部署等方面。系統(tǒng)的訪問控制和網(wǎng)絡(luò)設(shè)備的策略基本一樣，主要也是需要通過堡壘機統(tǒng)一管理、劃分特定的網(wǎng)段進(jìn)行運維管理，系統(tǒng)用戶方面也是需要根據(jù)需要劃分不同權(quán)限的管理用戶。針對Linux系統(tǒng)，還需要特別設(shè)置系統(tǒng)文件夾、配置文件的讀寫權(quán)限。在系統(tǒng)漏洞方面，因為實驗室網(wǎng)絡(luò)處于內(nèi)網(wǎng)之中，系統(tǒng)不能自動對官方的漏洞補丁進(jìn)行升級。因此，實驗室管理人員應(yīng)及時關(guān)注部署的系統(tǒng)、應(yīng)用官方發(fā)的安全補丁，并及時下載進(jìn)行離線更新。

在系統(tǒng)部署方面，在實際的生產(chǎn)環(huán)境中，物理服務(wù)器資源往往是不足的，很難做到為每個專業(yè)和課程單獨部署服務(wù)器。為了部署和恢復(fù)方便，應(yīng)盡可能用虛擬技術(shù)部署各類教學(xué)的應(yīng)用平臺，或者利用dorck技術(shù)進(jìn)行最小化部署。這樣的部署方式既可以最大化利用服務(wù)器資源，又可以有效地對旁站攻擊漏洞進(jìn)行防護(hù)。

四、結(jié)束語

當(dāng)前，計算機實驗室的信息化、智能化不斷增強，所面臨的網(wǎng)絡(luò)安全威脅也日漸嚴(yán)峻。從整體的計算機實驗室建設(shè)和網(wǎng)絡(luò)安全防護(hù)來說，要基于等保2.0的相關(guān)標(biāo)準(zhǔn)，從管理和技術(shù)兩個大方向出發(fā)建設(shè)和維護(hù)計算機實驗室，從而保證實驗室日常的實驗實訓(xùn)教學(xué)工作的正常開展。

未來，隨著各種新技術(shù)的出現(xiàn)，計算機實驗室面臨的網(wǎng)絡(luò)威脅也會不斷變化。因此，高校計算機實驗室的網(wǎng)絡(luò)安全仍需要不斷地關(guān)注最新的網(wǎng)絡(luò)安全動態(tài)，及時調(diào)整、更新相應(yīng)的防護(hù)策略，才能更好地為高校計算機實驗實訓(xùn)教學(xué)提供堅實的保障。

作者單位：吳作洲 張亮敬余榮川李文新廣西科技師范學(xué)院

參考文獻(xiàn)

[1]程子題，毛沖.等保2.0下高校網(wǎng)絡(luò)安全主動防御體系建設(shè)探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023.（04）：96-97.

[2]宗薇.高校基于等保2.0網(wǎng)絡(luò)安全管理體系探究[J].網(wǎng)絡(luò)安全和信息化，2023，（02）：142-145.

[3]郭娜，張慰，張文艷.高校信息資產(chǎn)的全生命周期安全管理方案研究[].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022，（04）：87-89.

[4]陳麗.基于等保2.0下的高校網(wǎng)絡(luò)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024，（06）：88-90.

[5]馮棟柱，楊登.基于VLAN技術(shù)在高校校園網(wǎng)建設(shè)中的應(yīng)用[J].微計算機信息，2010，26（06）：133-134+185.