高校網(wǎng)絡(luò)安全防護(hù)體系建設(shè)與研究

鐘焯榮　張曉鵬

摘 要：信息化技術(shù)快速發(fā)展，推動了高校的信息化應(yīng)用系統(tǒng)快速發(fā)展，根據(jù)國家《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護(hù)2.0的相關(guān)要求，高校需提高網(wǎng)絡(luò)安全防護(hù)水平和管理能力。文章對高校網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，結(jié)合學(xué)校的實(shí)際情況，從網(wǎng)絡(luò)安全技術(shù)防護(hù)、健全網(wǎng)絡(luò)安全機(jī)制和管理制度方面探討高校網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)。

關(guān)鍵詞：網(wǎng)絡(luò)安全;等保2.0;安全機(jī)制;防護(hù)體系

0 引言

計算機(jī)網(wǎng)絡(luò)的快速發(fā)展和高校校園網(wǎng)普及使用為高校信息化建設(shè)奠定了堅實(shí)的基礎(chǔ)。高校在發(fā)展當(dāng)中也緊跟互聯(lián)網(wǎng)發(fā)展的步伐，在各個領(lǐng)域和業(yè)務(wù)中進(jìn)行信息化系統(tǒng)建設(shè)，涉及學(xué)校的方方面面如網(wǎng)站、統(tǒng)一門戶、教學(xué)課程、網(wǎng)上辦事、消費(fèi)、電子借閱、財務(wù)等。然而，在這些信息系統(tǒng)中還普遍存在重建設(shè)輕安全的現(xiàn)象，普遍存在網(wǎng)絡(luò)安全問題。隨著《網(wǎng)絡(luò)安全法》、等保2.0和《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等相關(guān)國家文件的相繼出臺和實(shí)施，對網(wǎng)絡(luò)安全建設(shè)提出更高的要求。因此構(gòu)建一個完善的高校網(wǎng)絡(luò)安全技術(shù)防護(hù)和網(wǎng)絡(luò)安全管理體系顯得尤為重要[1-2]。

1 高校網(wǎng)絡(luò)安全現(xiàn)狀

1.1? 主機(jī)服務(wù)器系統(tǒng)防護(hù)力低

在進(jìn)行信息業(yè)務(wù)系統(tǒng)建設(shè)中，大部分主機(jī)服務(wù)器的端操作系統(tǒng)存在系統(tǒng)版本低，存在補(bǔ)丁安裝不及時和漏洞較多的問題，有些系統(tǒng)采用默認(rèn)配置導(dǎo)致弱口令問題且存在未安裝殺毒軟件或者未更新病毒庫等問題。網(wǎng)絡(luò)攻擊者很容易通過非法手段獲取用戶權(quán)限，并利用這些非法權(quán)限對主機(jī)進(jìn)行未經(jīng)授權(quán)的非法操作，存在數(shù)據(jù)涉密和主機(jī)系統(tǒng)被控制等重大風(fēng)險。

1.2? 信息系統(tǒng)防護(hù)能力低

高校在應(yīng)用系統(tǒng)建設(shè)中，主要關(guān)注點(diǎn)在信息系統(tǒng)的功能需求上，而對信息系統(tǒng)的安全性考慮較少。有些系統(tǒng)上線前未進(jìn)行漏洞及惡意代碼檢測，存在安全漏洞;有些應(yīng)用程序部署時采用默認(rèn)配置，后續(xù)運(yùn)行維護(hù)過程中應(yīng)用程序、中間件等版本更新不及時，安全配置不完善，遺留了安全隱患;有些應(yīng)用程序用戶數(shù)量多，弱口令問題無法避免，簡單的“用戶名+ 密碼”認(rèn)證方式存在很多缺點(diǎn)，密碼的維護(hù)和管理問題層出不窮，容易被人入侵，導(dǎo)致信息和數(shù)據(jù)涉漏或篡改等嚴(yán)重問題[3]。

1.3? 網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)實(shí)施投入不足

在高校信息化建設(shè)中，主要注重于實(shí)際需要的信息系統(tǒng)建設(shè)，對網(wǎng)絡(luò)安全方面并不重視，在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和防護(hù)產(chǎn)品方面投入不多，使校園網(wǎng)絡(luò)安全防護(hù)能力弱。很多時候高校對于網(wǎng)絡(luò)安全問題，幾乎都是采取事后解決方式，忽視網(wǎng)絡(luò)安全問題和網(wǎng)絡(luò)安全對學(xué)校信息化建設(shè)的重要性。

1.4 網(wǎng)絡(luò)安全專業(yè)技術(shù)人才缺乏

高校對計算機(jī)網(wǎng)絡(luò)安全管理技術(shù)人才的培養(yǎng)遠(yuǎn)遠(yuǎn)落后于高校信息化的發(fā)展需求。網(wǎng)絡(luò)安全人員的要求相對較高，需要了解熟悉跨多專業(yè)的知識領(lǐng)域，網(wǎng)絡(luò)安全技術(shù)人員的專業(yè)技術(shù)能力決定了校園網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的水平。

2 網(wǎng)絡(luò)安全技術(shù)防護(hù)體系建設(shè)

2.1? 完善服務(wù)器區(qū)的安全防護(hù)

高校一般都是自建網(wǎng)絡(luò)機(jī)房并有大量服務(wù)器在同一網(wǎng)絡(luò)里。因此首先要做到就是在網(wǎng)絡(luò)設(shè)備做好安全配置，如通過交換機(jī)ACL配置訪問控制列表，阻斷遠(yuǎn)程管理的端口如遠(yuǎn)程桌面、ssh、telnet等端口，防止服務(wù)器內(nèi)部之間的可以進(jìn)行遠(yuǎn)程管理。應(yīng)部署服務(wù)器統(tǒng)一安全控制管理平臺，如華南農(nóng)業(yè)大學(xué)部署了深信服EDR平臺，實(shí)現(xiàn)對服務(wù)器終端資產(chǎn)安全生命周期監(jiān)控，通過預(yù)防、防御、檢測、響應(yīng)賦予終端更為細(xì)致的隔離策略、更為精準(zhǔn)的查殺能力、更為持續(xù)的檢測能力、更為快速的處置能力，保證了服務(wù)器安全、可靠、穩(wěn)定運(yùn)行[4]。

2.2? 部署WAF，IPS產(chǎn)品進(jìn)行防護(hù)

通過部署WAF，IPS安全防護(hù)產(chǎn)品能夠?qū)崿F(xiàn)服務(wù)器群整體的安全防護(hù)。WAF防火墻實(shí)現(xiàn)對Web應(yīng)用進(jìn)行防護(hù)，對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證，確保其安全性與合法性，對非法的請求予以實(shí)時阻斷，能更有效的防護(hù)網(wǎng)站的各類安全漏洞，代碼漏洞/注入、弱口令探測等，有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為，從而對各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。IPS入侵防護(hù)設(shè)備能有效地進(jìn)行端口以及數(shù)據(jù)包的嚴(yán)格過濾，能夠?qū)W(wǎng)絡(luò)中3～7層的各種網(wǎng)絡(luò)應(yīng)用檢測和阻斷，實(shí)時、主動攔截黑客攻擊如蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、DDOS等，保護(hù)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞，阻止服務(wù)器的遠(yuǎn)程管理操作等。

2.3? 建立堡壘機(jī)安全訪問管理

服務(wù)器和系統(tǒng)的遠(yuǎn)程管理維護(hù)必須通過堡壘機(jī)才能進(jìn)行管理，只允許管理所授權(quán)的服務(wù)器。堡壘機(jī)對授權(quán)人員的操作行為進(jìn)行記錄、控制和審計，做到全部可溯可查，以此加強(qiáng)管理行為的規(guī)范和監(jiān)管[5]。

2.4? 部署網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

為了提高防護(hù)能力，可在校園網(wǎng)中部署安全態(tài)勢感知系統(tǒng)，通過獲取鏡像校園網(wǎng)出口、服務(wù)器區(qū)流量、WAF、IPS設(shè)備的日志信息等形成大數(shù)據(jù)進(jìn)行分析，通過惡意域名、IP、URL、木馬特征等威脅情報庫。在協(xié)議特征分析的基礎(chǔ)上，通過情報命中、規(guī)則檢測、深度學(xué)習(xí)模型的匹配等策略，及時掌握校園網(wǎng)內(nèi)的所有失陷主機(jī)及關(guān)聯(lián)威脅，進(jìn)行及時處置，實(shí)現(xiàn)對校園網(wǎng)的高級入侵行為檢測和防范，提高對新型網(wǎng)絡(luò)攻擊的預(yù)警和處置能力。

2.5? 定期進(jìn)行網(wǎng)絡(luò)安全掃描

學(xué)校應(yīng)部署專業(yè)的漏洞掃描產(chǎn)品，定期組織對主機(jī)系統(tǒng)及各類網(wǎng)站、業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描，從而發(fā)現(xiàn)存在的安全漏洞。對漏洞掃描結(jié)果進(jìn)行評估和分析，提出可操作性的整改建議，將發(fā)現(xiàn)的安全漏洞和整改建議及時發(fā)到各級單位，督促限期進(jìn)行處置，有助于降低或避免校園網(wǎng)主機(jī)管理信息系統(tǒng)的風(fēng)險。

3 完善網(wǎng)絡(luò)安全管理體系建設(shè)

3.1? 加強(qiáng)領(lǐng)導(dǎo)、完善機(jī)構(gòu)設(shè)置、健全制度

按照國家網(wǎng)絡(luò)安全法的相關(guān)指導(dǎo)要要求，上級各主管部門關(guān)于互聯(lián)網(wǎng)服務(wù)的安全技術(shù)要求，應(yīng)當(dāng)成立以校領(lǐng)導(dǎo)為組長的網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組，設(shè)立網(wǎng)絡(luò)安全工作小組和網(wǎng)絡(luò)安全技術(shù)保障小組，明確工作職能，建立學(xué)校網(wǎng)絡(luò)安全工作責(zé)任制、網(wǎng)站管理辦法、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等管理制度，明確各二級單位黨政領(lǐng)導(dǎo)為網(wǎng)絡(luò)安全責(zé)任第一人。各信息化系統(tǒng)根據(jù)“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，簽訂學(xué)校信息系統(tǒng)（網(wǎng)站）安全承認(rèn)書，信息系統(tǒng)所在單位領(lǐng)導(dǎo)和系統(tǒng)使用人要承擔(dān)網(wǎng)絡(luò)安全主體責(zé)任。

3.2 加強(qiáng)學(xué)校信息化資產(chǎn)管理

學(xué)校網(wǎng)絡(luò)管理部門和網(wǎng)絡(luò)安全工作小組應(yīng)定期對校園網(wǎng)中運(yùn)行的各類主機(jī)服務(wù)器、信息系統(tǒng)、網(wǎng)站等有形無形資產(chǎn)進(jìn)行摸底，整理統(tǒng)計，建立資產(chǎn)臺賬。應(yīng)建立信息化資產(chǎn)安全運(yùn)營管理平臺，加強(qiáng)資產(chǎn)校內(nèi)備案和續(xù)期、校外開放訪問等管理，清理無專人運(yùn)維的或已不再使用的“僵尸”信息系統(tǒng)（網(wǎng)站），回收資源，對于未按時期續(xù)備案、長期未更新或存在高風(fēng)險漏洞未整改的主機(jī)信息系統(tǒng)（網(wǎng)站），限制訪問。

3.3? 落實(shí)網(wǎng)絡(luò)安全事件應(yīng)急處理預(yù)案

建立學(xué)校層面的網(wǎng)絡(luò)安全事件應(yīng)急領(lǐng)導(dǎo)機(jī)構(gòu)，按要求成立網(wǎng)絡(luò)應(yīng)急響應(yīng)技術(shù)小組，在出現(xiàn)緊急事件時第一時間向領(lǐng)導(dǎo)小組匯報，這樣才能做到有條不紊，由領(lǐng)導(dǎo)小組對事件的緊急程度以及事件等級進(jìn)行研判，并制定相應(yīng)的處理措施。出臺網(wǎng)絡(luò)安全應(yīng)急預(yù)案，根據(jù)國家等級保護(hù)2.0的要求，網(wǎng)絡(luò)安全預(yù)案是必要條件，根據(jù)自身實(shí)際情況設(shè)定合理的網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確事件的處理流程，這樣在出現(xiàn)緊急事件時，有據(jù)可循，工作才能有條不紊。定期進(jìn)行網(wǎng)絡(luò)安全事件演練，根據(jù)各類不同的網(wǎng)絡(luò)安全事件，定期開展針對性的安全演練，確保出現(xiàn)網(wǎng)絡(luò)安全事件時，能夠以最快的速度進(jìn)行響應(yīng)和處置，能夠?qū)⑹录挠绊懣刂频阶钚?，減少安全事件帶來的損失。

3.4? 提升網(wǎng)絡(luò)安全技術(shù)人員專業(yè)水平

建設(shè)高校網(wǎng)絡(luò)安全防護(hù)體系，需加強(qiáng)對網(wǎng)絡(luò)安全技術(shù)管理人員進(jìn)行專業(yè)的技能培訓(xùn)，特別是系統(tǒng)、應(yīng)用及網(wǎng)絡(luò)技術(shù)等相關(guān)的安全技能培訓(xùn)，逐步實(shí)現(xiàn)持證上崗。有條件的學(xué)?？赏ㄟ^與網(wǎng)絡(luò)安全廠商聯(lián)合建立校內(nèi)網(wǎng)絡(luò)安全實(shí)驗(yàn)室或購買網(wǎng)絡(luò)安全外包服務(wù)來整體提升學(xué)校網(wǎng)絡(luò)安全監(jiān)控和防護(hù)能力，提升學(xué)校網(wǎng)絡(luò)安全技術(shù)人員的技術(shù)技能。

4 結(jié)語

建立、健全高校網(wǎng)絡(luò)安全技術(shù)和管理體系是高校信息化應(yīng)用系統(tǒng)安全、可靠運(yùn)行的保障，然而網(wǎng)絡(luò)安全治理和管理是一個長期、持續(xù)不斷的過程，面臨的安全威脅層出不窮，對新的網(wǎng)絡(luò)威脅和風(fēng)險需要跟進(jìn)關(guān)注，加強(qiáng)風(fēng)險評估，加固安全防護(hù)和安全策略優(yōu)化調(diào)整，才能有效保障學(xué)校信息化建設(shè)的有序、健康、高質(zhì)量發(fā)展。

[參考文獻(xiàn)]

[1]楊俊斌，梁紅.高校校園網(wǎng)絡(luò)安全管理問題及對策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（12）：102.

[2]孫影.論高校網(wǎng)絡(luò)建設(shè)中的信息安全[J].中外企業(yè)家，2019（34）：235.

[3]李 琴，杜 林，李建軍.淺析高校網(wǎng)絡(luò)安全防護(hù)關(guān)鍵[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（4）：106-107.

[4]曾聰.高校服務(wù)器網(wǎng)絡(luò)安全防范問題及策略研究[J].無線互聯(lián)科技，2020（4）：28-29.

[5]傅鈺.網(wǎng)絡(luò)安全等級保護(hù)2.0 下的安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（8）：13，16.

（編輯 姚 鑫）

Construction and research of network security protection system in universities

Zhong Zhuorong， Zhang Xiaopeng

（South China Agricultural Uniersity， Guangzhou 510640， China）

Abstract：The rapid development of information technology has promoted the rapid development of information application system in universities. According to the relevant requirements of National Network Security Law and classified protection of cybersecurity 2.0， the universities need to improve the level of network security protection and management ability. The thesis analyzes the current situation of network security in universities. Combined with the actual situation of the universities， it discusses the construction and research of the network security protection system in universities from the aspects of network security technology protection， and consummating network security mechanism and management system.

Key words：network security; classified protection of cybersecurity 2.0; security mechanism; protection system

作者簡介：鐘焯榮（1979— ），男，廣東云安人，工程師，學(xué)士;研究方向：計算機(jī)網(wǎng)絡(luò)。