新時代高校網(wǎng)信工作高質(zhì)量發(fā)展研究

甄立常 李紅艷 張曉琿 趙文艷

唐山工業(yè)職業(yè)技術(shù)學(xué)院

伴隨著互聯(lián)網(wǎng)的建設(shè)向縱深發(fā)展，電子商務(wù)、電子政務(wù)全面鋪開，高校的網(wǎng)絡(luò)安全面對前所未有的機遇和挑戰(zhàn)，保護高?；驇熒鷤€人數(shù)據(jù)信息的安全是新時代高校面臨的實際問題。習近平總書記在關(guān)于網(wǎng)絡(luò)強國的重要論述中提到：要把網(wǎng)信工作擺在更加突出的位置，充分發(fā)揮信息化對經(jīng)濟社會發(fā)展的驅(qū)動引領(lǐng)作用。高校作為人才培養(yǎng)的搖籃，網(wǎng)信工作顯得尤為重要。

一、高校網(wǎng)絡(luò)安全現(xiàn)狀

（一）師生網(wǎng)絡(luò)安全意識淡薄

高校中網(wǎng)絡(luò)用戶主要是教師和學(xué)生。但是由于種種原因多數(shù)師生對網(wǎng)絡(luò)安全知識的認識不足，安全意識也不強，他們往往認為“網(wǎng)絡(luò)安全與我無關(guān)”或是“只要我在網(wǎng)絡(luò)上不做違法的事情就足夠了”。

（二）高校網(wǎng)絡(luò)體系不完善

對于某些高校而言，由于資金的原因，導(dǎo)致校園網(wǎng)絡(luò)硬件防護較為落后，隨著招生人數(shù)的不斷增加，高校網(wǎng)絡(luò)也在不斷擴展，但由于缺少前期的規(guī)劃性，導(dǎo)致網(wǎng)絡(luò)硬件分布比較隨意，不便于集中管理和保護。

（三）計算機病毒泛濫

計算機病毒的傳播方式主要有三種種：一種是通過電子郵件，病毒以郵件附件的形式發(fā)出去，收信人只要打開附件，系統(tǒng)就會感染病毒。

第二種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將病毒捆綁在軟件安裝程序上，下載后，只要運行這些程序，病毒就會自動運行。

第三種是通過移動存儲設(shè)備進行傳播，如U盤、光盤、移動硬盤等。在高校機房中，雖然安裝了殺毒軟件，但是由于不能及時對殺毒軟件進行更新升級，導(dǎo)致病毒在計算機中泛濫成災(zāi)，學(xué)生和教師使用U盤后，病毒便被帶到其他計算機中。另外，高校網(wǎng)絡(luò)是與Internet相連的，學(xué)生在使用網(wǎng)絡(luò)時可能會有意或無意間下載一些含有病毒的文件或安裝程序，這也會給高校網(wǎng)絡(luò)帶來一定的安全隱患。

（四）來自學(xué)生內(nèi)部威脅

大學(xué)生的網(wǎng)絡(luò)知識豐富、求知欲望很強，很難避免學(xué)生把校園網(wǎng)作為學(xué)習網(wǎng)絡(luò)知識和安全知識的試驗床，由此引發(fā)的安全問題更加難以防范[1]。

二、促進高校網(wǎng)信工作高質(zhì)量發(fā)展的措施

高校業(yè)務(wù)的復(fù)雜性決定了高校網(wǎng)信工作面臨巨大挑戰(zhàn)，我們應(yīng)該在高校網(wǎng)絡(luò)中構(gòu)建系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等安全應(yīng)用場景，實施風險評估、應(yīng)急處置、安全管理等舉措，進而推動高校網(wǎng)信工作的高質(zhì)量發(fā)展，這具有重要的意義。

（一）配置網(wǎng)絡(luò)安全設(shè)備

在校園網(wǎng)入口配備了銳捷R GWALL1600-XI防火墻，關(guān)閉了除需要發(fā)布服務(wù)所需要的端口外的其它端口；為保障校園網(wǎng)邊界安全，安裝了趨勢科技Web安全網(wǎng)關(guān)-IWSA3000、銳捷網(wǎng)絡(luò)運維安全審計產(chǎn)品RG-OAS500等設(shè)備，根據(jù)需要配置設(shè)備安全策略，按照端口級配置訪問控制策略列表，對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制，留存網(wǎng)絡(luò)訪問日志。

（二）保障應(yīng)用安全

所有網(wǎng)站及應(yīng)用服務(wù)器均使用私有IP地址，通過銳捷網(wǎng)絡(luò)出口設(shè)備RG-NPE50E實現(xiàn)私有IP地址與互聯(lián)網(wǎng)IP地址之間的地址轉(zhuǎn)換[2]。

（1）劃分VLAN。通過在交換設(shè)備上劃分VLAN、部署安全域邊界防火墻等方式實現(xiàn)門戶網(wǎng)站系統(tǒng)所在安全域與其他業(yè)務(wù)系統(tǒng)所在安全域之間邊界的邏輯隔離；為抵御學(xué)院網(wǎng)站黑客攻擊，安裝了國舜UnisGuard-WAF-200Web網(wǎng)站防護系統(tǒng)，部署深信服WAF，監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流。（2）虛擬化物理服務(wù)器。把每個平臺內(nèi)部的服務(wù)器組建成私有網(wǎng)絡(luò)，通過NAT、端口轉(zhuǎn)發(fā)和方向代理等方式實現(xiàn)應(yīng)用服務(wù)器與校園網(wǎng)、互聯(lián)網(wǎng)的隔離。（3）三分離策略。學(xué)校站群系統(tǒng)按照三分離策略進行了技術(shù)處理，網(wǎng)站前臺、后臺、數(shù)據(jù)庫完全分離和隔離，遇到重大事件或網(wǎng)絡(luò)安全事件時，直接切斷網(wǎng)絡(luò)，同時不影響學(xué)院官網(wǎng)的運行。

（三）進行準入控制

為實現(xiàn)網(wǎng)絡(luò)應(yīng)用準入控制，安裝了深信服AC2200-NAC網(wǎng)絡(luò)應(yīng)用準入控制系統(tǒng)和深信服VPN-2150SSLVPN系統(tǒng)，同時保證了網(wǎng)絡(luò)訪問的實名制；為提升了網(wǎng)絡(luò)鏈路利用率和服務(wù)器的吞吐量、加強了網(wǎng)絡(luò)的數(shù)據(jù)處理能力、提升了網(wǎng)絡(luò)的靈活性和可用性，在網(wǎng)絡(luò)鏈路層安裝了深信服AD-E690應(yīng)用交付系統(tǒng)。

（四）保障郵件安全

為保障教職員工安全收發(fā)電子郵件，采用技術(shù)措施控制口令強度，部署了趨勢科技防毒墻-郵件安全版，銳捷RGWALL1600-XI防火墻和國舜UnisGuard-WAF-200WEB入侵檢測等設(shè)備。

（五）保障終端設(shè)備安全

在終端設(shè)備安全防護方面，在校園網(wǎng)中部署趨勢科技防毒網(wǎng)關(guān)-IWSA3000，趨勢科技防毒墻網(wǎng)絡(luò)版等設(shè)備，實現(xiàn)統(tǒng)一病毒防護和統(tǒng)一安全審計。全院師生均實名接入互聯(lián)網(wǎng)，教職員工需通過身份認證才能接入學(xué)院辦公系統(tǒng)；為確保信息安全，安裝了“互聯(lián)網(wǎng)反竊密預(yù)警響應(yīng)處理系統(tǒng)”。

總之，網(wǎng)絡(luò)安全與高校工作的平穩(wěn)開展息息相關(guān)，高校網(wǎng)信工作者要不斷創(chuàng)創(chuàng)新網(wǎng)信工作的方法和途徑，借助網(wǎng)絡(luò)安全設(shè)備配置、網(wǎng)絡(luò)安全事件分析、入侵行為檢測分析、應(yīng)急處置等舉措全面立體的促進高校網(wǎng)信工作高質(zhì)量發(fā)展。