高校網絡安全問題研究與防御體系探索

◆李運佳 張智勇 陳知新 李竹村 肖新祥

（湖南師范大學（長沙）信息化中心湖南 410081）

當前，高校信息化建設工作正在穩(wěn)步推進，應用系統(tǒng)的整合、統(tǒng)一門戶平臺的實施、數據中心的建立、手機客戶端和微信小程序的上線都為廣大師生提供了方便的信息化服務。伴隨越來越多的應用和服務的上線，這對高校網絡與信息安全工作提出了更高要求。[1]在確保廣大師生信息系統(tǒng)服務正常的同時，如何建立科學、立體的網絡安全防護技術體系以保障學校的網絡與信息安全工作成為當前高校網絡安全管理人員的首要工作[2]。

1 高校校園在網絡安全方面存在以下問題

（1）計算機或者網絡自身存在的系統(tǒng)漏洞，可能導致信息泄露、被惡意控制或者更嚴重的后果[3]；（2）在數據包傳輸過程中會面臨被竊取、被惡意篡改、被假冒利用或者蓄意破壞的風險；（3）在高校校園里，行政人員、老師和學生經常會使用電子郵件、在互聯(lián)網查詢信息、利用移動硬盤等存儲設備拷貝文件，一旦感染病毒將損失巨大，大多數病毒是利用用戶未加辨別的下載、不經意間打開導致的傳播，校園網是一個整體，各個節(jié)點相互連接，極易造成病毒互感，嚴重影響校園網絡的正常運行[4]；（4）對于網絡安全意識淡薄的用戶而言，電腦終端是僅僅服務于用戶的機器，沒有安裝殺毒軟件、更新病毒庫的習慣，這使得黑客容易通過注入病毒的方式攻擊或控制終端，不但可以竊取電腦中的重要資料和信息，而且可以把終端作為跳板攻擊校園里的服務器[5]；（5）鑒于信息化建設是一種新型建設投入，大部分高校的投入經費達不到理想比例，這其中投入在網絡安全設備和系統(tǒng)上的經費就更少了，沒有較完備的網絡安全設備的部署，高校校園網幾乎只能滿足基本的網絡通暢保障任務，加上網絡安全管理制度、安全預警方案的缺失，這使得高校校園網絡變成了遭受黑客攻擊的重災區(qū)[6]；（6）高校網絡安全管理制度缺失，相關人員網絡安全意識淡薄，黑客容易利用社會工程學手段冒充其他組織或個人進入內網；（7）網絡管理人員只注重設備的日常護理和簡單防范，多數不精于技術的學習和研究，對于技術性強的問題束手無策，因此導致網絡管理出現(xiàn)管而不理的局面[7]。

2 探索網絡安全立體防御體系

探索網絡安全立體防御體系可以從兩方面入手，一是要有過硬的網絡安全知識和技能作為保障，部署功能完備的網絡安全設備，和網絡安全隊伍形成“物有所管，有物可用”的合理結構；二是構建較為完備的網絡安全管理模型，出臺相應制度，比如“網絡與信息安全管理辦法”、“突發(fā)事件應急響應辦法”、“網絡設備割接標準化流程”、“網絡安全承諾書”等。

（1）提高高校校園網絡技術治理

①對防火墻準入策略進行調整。防火墻通過定義某個IP或端口的流量是否被允許通行，防止校外不法分子訪問校內公有IP的方式來保護內部網絡資源的安全。防火墻不僅可以配置允許或禁止數據包的通行，還可以對通過的數據包按照安全策略進行實時檢查，監(jiān)視網絡運行狀態(tài)。其技術運用是在校園網的入口處架設防火墻，實時對校園網絡進行監(jiān)測分析，將結果呈現(xiàn)給管理人員，有效保護內部網絡以免遭受外部攻擊，高校校園骨干網絡安全設備拓撲如下圖1所示。

圖1 高校校園骨干網絡安全設備拓撲

②安裝殺毒軟件。隨著學校規(guī)模的日益增大，在校師生的數量也逐漸增多，高校校園網絡節(jié)點數也不斷增加，大部分用戶沒有下載殺毒軟件定期查殺的習慣，即時下載了也沒有定期更新病毒庫的習慣，很容易造成病毒感染和傳播，網絡管理員必須安裝高效的殺毒軟件并及時升級、周期進行系統(tǒng)掃描。

③數據加密。在信息化高速發(fā)展的背景下，大量數據隨即產生，包含了個人隱私、商業(yè)秘密、考試數據等敏感的數據，一旦泄露將會給相應組織和個人帶來不可估量的后果。利用數據加密手段提高系統(tǒng)數據的安全性，確保數據的保密性，敏感數據即使被外部獲取，也難以輕易破解。特別是高校的教務處、財務處、科研處、招就處等掌握公民私人數據的部門，必須采用相應技術以保證數據的私密性、準確性、完整性。

④訪問控制。利用反向代理服務器、WEBVPN對學校提供的對外開放的服務進行嚴格認證和控制。如將只有少數師生訪問，WEBVPN可以承受訪問流量的服務限制校內訪問，減少系統(tǒng)被攻擊的風險，將限制在校內訪問的系統(tǒng)通過WEBVPN進行統(tǒng)一認證后訪問，既保障了網絡安全，又最大程度上給校內師生提供了便捷服務。VPN客戶端則是針對系統(tǒng)管理人員、系統(tǒng)開發(fā)人員操作服務器后臺提供的如學生上網查詢課程成績需進行身份認證，使校園的網絡資源不會被未授權的非法用戶使用和訪問。

⑤堡壘機設備。將堡壘機限制在內網，開發(fā)人員通過客戶端VPN登錄堡壘機，在訪問列表內快捷訪問權限內的系統(tǒng)，既方便了開發(fā)人員對所用服務器的快捷訪問，又對其操作訪問進行了監(jiān)督和審計，提高了廠家人員的安全意識，也為人為操作事故提供了追責依據。

⑥https協(xié)議加密訪問。為確保數據包在傳輸過程中的安全性、完整性，https協(xié)議在HTTP的基礎上添加了加密和認證的功能，可以保證信息在傳送過程中沒有被篡改。可以配置通配符https證書，在全校范圍內，所有同級域名都可以使用該證書加密。

⑦應用防火墻技術（WAF）。將應用防火墻設置于反向代理服務器前面，檢測和驗證客戶端發(fā)送到服務器的各種請求信息，確保其安全性與合法性，阻斷非法的請求。

（2）加強高校校園網絡規(guī)范管理

①規(guī)范出口管理。對原有網絡設施、機房環(huán)境、動環(huán)系統(tǒng)等管理制度進行升級改造，對在校教職工、學生進出網絡進行統(tǒng)一管理。

②強化網絡軟件安裝管理。要求所有計算機設備安裝高性能防火墻、合適的殺毒軟件，管理人員要及時發(fā)現(xiàn)網絡病毒入侵，及時向所有計算機用戶發(fā)布相關信息。

③建立統(tǒng)一身份認證系統(tǒng)。要求高校管理機構、教學機構、教輔機構及其他部門建立上網身份認證制度，各部門必須有統(tǒng)一對應的身份認證系統(tǒng)，保證只允許本部門職工才能查看各自對應的相關信息。

④規(guī)范電子郵件傳遞方式。 要求電子郵件用戶采用加密措施或簡單加密傳送文件或采用認證技術中的數字簽名機制來解決偽造、抵賴、冒充、篡改等問題。

⑤提高網絡管理人才隊伍水平。完備的網絡安全設備是需要管理人員進行部署和操作的，打造一支專業(yè)技術過硬、管理水平較高、安全意識較強的網絡安全管理人才隊伍尤為重要。

3 總結與展望

在網絡安全法確立、網絡安全等級保護升級2.0的背景下，高校網絡安全形勢異常嚴峻，要更加重視校園網絡安全工作，加大對網絡安全的經濟和人力投入，及時升級保障校園網絡安全的軟硬件設備，確保能適應當前網絡安全的需要。同時，完善網絡安全管理制度，增強在校師生的網絡安全意識，提高網絡安全管理人員處置網絡安全突發(fā)事件的能力，才能有效地保障高校的網絡與信息安全。