高校網(wǎng)絡(luò)安全管理和技術(shù)支撐體系構(gòu)建研究

陳瑛 王曉震 于春生 周玲艷 趙敬

[摘 要] 摘要隨著智慧校園的建設(shè)及疫情防控常態(tài)化需求，高校信息化應(yīng)用不斷增多。為貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的相關(guān)要求，高校需要提升網(wǎng)絡(luò)安全管理水平和安全管理能力。首先，對(duì)高校校園網(wǎng)在網(wǎng)絡(luò)、主機(jī)、應(yīng)用和管理方面的安全現(xiàn)狀進(jìn)行分析;其次，從建立網(wǎng)絡(luò)安全管理制度、加強(qiáng)信息化資產(chǎn)管理、開展等級(jí)保護(hù)和提升網(wǎng)絡(luò)安全素養(yǎng)4個(gè)方面構(gòu)建高校網(wǎng)絡(luò)安全管理體系;最后，從網(wǎng)絡(luò)防護(hù)、應(yīng)用防護(hù)、主機(jī)防護(hù)3個(gè)維度構(gòu)建高校網(wǎng)絡(luò)安全技術(shù)支撐體系，以此提升學(xué)校網(wǎng)絡(luò)安全保障能力，營(yíng)造一個(gè)風(fēng)清氣正的校園網(wǎng)絡(luò)環(huán)境。

[關(guān)鍵詞] 關(guān)鍵詞網(wǎng)絡(luò)安全;防護(hù)措施;管理體系;技術(shù)支撐體系;等級(jí)保護(hù)

[中圖分類號(hào)] 中圖分類號(hào)TP 393.08[文獻(xiàn)標(biāo)志碼] A[文章編號(hào)] 1005-0310（2021）02-0053-05

Research on the Construction of Network Security Management and Technical Support System in Colleges and Universities

Chen Ying，Wang Xiaozhen，Yu Chunsheng，Zhou Lingyan，Zhao Jing

（Information and Network Center， Beijing Union University， Beijing 100101， China）

Abstract： 摘要With the construction of smart campus and normalization of epidemic prevention and control， the application of information technology in colleges and universities is increasing. In order to implement the relevant requirements of

the Cybersecurity Law of the People s Republic of China and

classified protection of cybersecurity 2.0， colleges and universities need to improve the level and ability of network security management. Firstly， the security status of network in colleges and universities is analyzed in the terms of network， host， application and management. Secondly， the system of network security management is constructed from four aspects including establishing network security management system， strengthening information asset management， carrying out classified protection and improving network security literacy. Finally， the technical support system of campus network security is constructed from three dimensions of network protection， application protection and host protection， so as to improve the ability of network security in colleges and universities， create a clean campus network environment.

Keywords： 關(guān)鍵詞Network security; Protection measures; Management system; Technical support system; Classified protection

0 引言

隨著互聯(lián)網(wǎng)迅速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益受到重視。習(xí)近平總書記多次發(fā)表關(guān)于網(wǎng)絡(luò)安全的重要講話，指出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”[1]，“增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量。要落實(shí)網(wǎng)絡(luò)安全責(zé)任制，制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，明確保護(hù)對(duì)象、保護(hù)層級(jí)、保護(hù)措施”[2]。

由CNCERT發(fā)布的《2020年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》及國(guó)家信息安全漏洞共享平臺(tái)（CNVD）漏洞統(tǒng)計(jì)數(shù)據(jù)可知，2020年網(wǎng)絡(luò)安全態(tài)勢(shì)非常嚴(yán)峻，發(fā)現(xiàn)通用安全漏洞11 073個(gè)，同比增長(zhǎng)89.0%;我國(guó)境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約304萬(wàn)臺(tái)，同比增長(zhǎng)25.7%;捕獲計(jì)算機(jī)惡意程序樣本約1 815萬(wàn)個(gè)，每日傳播483萬(wàn)余次;新增移動(dòng)互聯(lián)網(wǎng)惡意程序163萬(wàn)余個(gè)，同比增長(zhǎng)58.3%[3]。黑客活動(dòng)仍然日趨頻繁，網(wǎng)站后門、網(wǎng)絡(luò)釣魚、移動(dòng)互聯(lián)網(wǎng)惡意程序、拒絕服務(wù)攻擊事件呈大幅增長(zhǎng)態(tài)勢(shì)，網(wǎng)絡(luò)信息系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)。

當(dāng)前，高校整體的信息化建設(shè)正在向縱深發(fā)展，校務(wù)辦公、教學(xué)、科研和社會(huì)宣傳等工作越來(lái)越依賴于各類信息系統(tǒng)的穩(wěn)定運(yùn)行，對(duì)信息系統(tǒng)的安全保障提出了更高的要求。基于嚴(yán)峻的安全態(tài)勢(shì)，目前信息系統(tǒng)的軟、硬件環(huán)境還比較脆弱，構(gòu)建一個(gè)完善的高校網(wǎng)絡(luò)安全管理體系和技術(shù)支撐體系顯得尤為重要。

1 高校網(wǎng)絡(luò)安全現(xiàn)狀分析

1.1 基礎(chǔ)網(wǎng)絡(luò)安全現(xiàn)狀

近年來(lái)，多數(shù)高校在基礎(chǔ)網(wǎng)絡(luò)設(shè)施層面部署了很多網(wǎng)絡(luò)安全設(shè)備和軟件，如出口防火墻、入侵防御系統(tǒng)、數(shù)據(jù)中心區(qū)域WEB應(yīng)用防火墻、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等，但普遍還存在著以下幾方面的問(wèn)題：首先，由于網(wǎng)絡(luò)安全初期規(guī)劃不清晰，安全設(shè)備和軟件不能得到有效運(yùn)用;其次，部分高校安全管理人員技術(shù)水平參差不齊，不能對(duì)安全系統(tǒng)的硬件和軟件進(jìn)行有效配置，缺乏有效的告警分析，導(dǎo)致設(shè)備發(fā)揮的作用很有限;最后，安全是一個(gè)動(dòng)態(tài)的過(guò)程，外來(lái)的安全威脅并非一成不變，安全防護(hù)措施需要根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)及時(shí)做出調(diào)整，現(xiàn)有的安全防護(hù)設(shè)備無(wú)法檢測(cè)新型網(wǎng)絡(luò)攻擊。

北京聯(lián)合大學(xué)學(xué)報(bào)2021年4月第35卷第2期陳 瑛等：高校網(wǎng)絡(luò)安全管理和技術(shù)支撐體系構(gòu)建研究

1.2 主機(jī)安全現(xiàn)狀

在進(jìn)行信息系統(tǒng)建設(shè)和運(yùn)維的過(guò)程中，有些主機(jī)服務(wù)器、運(yùn)維終端操作系統(tǒng)存在補(bǔ)丁安裝不及時(shí)和漏洞較多的問(wèn)題，有些系統(tǒng)采用默認(rèn)配置導(dǎo)致弱口令問(wèn)題，且存在未安裝殺毒軟件或者未更新病毒庫(kù)等問(wèn)題。勒索病毒時(shí)有傳播，網(wǎng)絡(luò)攻擊者通過(guò)各種非法手段獲取用戶權(quán)限，并利用這些非法權(quán)限對(duì)主機(jī)進(jìn)行未經(jīng)授權(quán)的操作。比如，網(wǎng)站如果對(duì)外開啟了22、3306等端口，滲透者就可以通過(guò)這些端口入侵操作系統(tǒng)，發(fā)現(xiàn)其漏洞，利用特殊的請(qǐng)求或者觸發(fā)指令后就可以提升權(quán)限進(jìn)行非法操作。

1.3 應(yīng)用系統(tǒng)安全現(xiàn)狀

隨著智慧校園的不斷發(fā)展，統(tǒng)一門戶平臺(tái)、網(wǎng)站群平臺(tái)、一卡通平臺(tái)、教務(wù)系統(tǒng)、科研系統(tǒng)、數(shù)據(jù)中心逐步建設(shè)，各種微信小程序和App被廣泛應(yīng)用，越來(lái)越多的信息系統(tǒng)（網(wǎng)站）對(duì)互聯(lián)網(wǎng)開放，但也存在一些安全問(wèn)題：有些系統(tǒng)上線前未進(jìn)行漏洞及惡意代碼檢測(cè)，存在安全漏洞;有些應(yīng)用程序部署時(shí)采用默認(rèn)配置，后續(xù)運(yùn)行維護(hù)過(guò)程中應(yīng)用程序、中間件等版本更新不及時(shí)，安全配置不完善，遺留了安全隱患;有些應(yīng)用程序用戶數(shù)量多，弱口令問(wèn)題無(wú)法避免，簡(jiǎn)單的“用戶名+密碼”認(rèn)證方式存在很多缺點(diǎn)，密碼的維護(hù)和管理問(wèn)題層出不窮;有些對(duì)互聯(lián)網(wǎng)開放的系統(tǒng)采用HTTP協(xié)議，用戶名和密碼明文傳輸，容易被竊取。近幾年，黑客攻擊不斷，攻擊者一旦發(fā)現(xiàn)系統(tǒng)漏洞，就可以獲得非法權(quán)限，從而擅自訪問(wèn)和破壞系統(tǒng)，甚至篡改和盜取數(shù)據(jù)，對(duì)校園網(wǎng)造成很多不良影響。

1.4 安全管理現(xiàn)狀

在高校信息化建設(shè)初期，網(wǎng)絡(luò)安全建設(shè)與信息化應(yīng)用沒(méi)有同步規(guī)劃和實(shí)施，網(wǎng)絡(luò)安全沒(méi)有得到重視，導(dǎo)致網(wǎng)絡(luò)安全管理水平整體偏低?？傮w來(lái)說(shuō)，存在以下問(wèn)題：缺乏網(wǎng)絡(luò)安全責(zé)任管理制度[4]，

高校一般由信息化建設(shè)和管理部門提供網(wǎng)絡(luò)基礎(chǔ)環(huán)境，各二級(jí)單位根據(jù)教學(xué)、管理需求進(jìn)行信息系統(tǒng)建設(shè)，但后期安全運(yùn)維責(zé)任制不明確，安全運(yùn)維責(zé)任落實(shí)不到位;在各應(yīng)用系統(tǒng)程序開發(fā)之初，缺少網(wǎng)絡(luò)安全建設(shè)規(guī)范及上線安全檢測(cè)機(jī)制;系統(tǒng)數(shù)量多，資產(chǎn)臺(tái)賬不完善，存在“雙非”（非本單位IP地址、非本單位域名）網(wǎng)站、“僵尸”信息系統(tǒng)等管理盲點(diǎn);缺乏具有專業(yè)技術(shù)的網(wǎng)絡(luò)安全人才，專業(yè)技術(shù)薄弱;網(wǎng)絡(luò)安全培訓(xùn)和宣傳教育不及時(shí)，師生缺乏安全意識(shí)，網(wǎng)絡(luò)詐騙、未知網(wǎng)絡(luò)鏈接、惡意郵件鏈接等導(dǎo)致師生信息泄露和被濫用的現(xiàn)象時(shí)有發(fā)生，帶來(lái)安全危害。

2 網(wǎng)絡(luò)安全管理體系建設(shè)

網(wǎng)絡(luò)安全管理體系規(guī)劃與建設(shè)是高校安全體系建立的第一步，目的是識(shí)別安全問(wèn)題，明確安全管理的范圍和內(nèi)容[4]。結(jié)合高校網(wǎng)絡(luò)安全現(xiàn)狀以及研究現(xiàn)狀，本文提出要從4個(gè)方面構(gòu)建網(wǎng)絡(luò)安全管理體系（如圖1所示）：第一，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，建立網(wǎng)絡(luò)安全

管理制度;第二，清理資產(chǎn)，加強(qiáng)信息化資產(chǎn)管理;第三，參照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)進(jìn)行等級(jí)保護(hù)定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查;第四，加強(qiáng)培訓(xùn)和宣傳，提升網(wǎng)絡(luò)安全素養(yǎng)。

2.1 建立網(wǎng)絡(luò)安全管理制度

基于學(xué)校安全管理體系的現(xiàn)狀，高校應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，建立網(wǎng)絡(luò)安全管理制度，明確信息化建設(shè)和管理部門作為學(xué)校網(wǎng)絡(luò)安全管理工作的職能部門;明確各個(gè)二級(jí)單位網(wǎng)絡(luò)安全第一責(zé)任人，并根據(jù)各二級(jí)單位系統(tǒng)建設(shè)情況和人員配置情況，設(shè)置安全主管、安全管理員及系統(tǒng)管理員等崗位，明確各個(gè)網(wǎng)絡(luò)安全管理崗位的職責(zé)，建立符合要求的安全組織架構(gòu)。由學(xué)校網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組牽頭，與各二級(jí)單位第一安全責(zé)任人、各系統(tǒng)管理人員及第三方服務(wù)商簽訂網(wǎng)絡(luò)安全責(zé)任書，落實(shí)網(wǎng)絡(luò)安全工作與責(zé)任，達(dá)到網(wǎng)絡(luò)安全法和等級(jí)保護(hù)相關(guān)要求。根據(jù)等級(jí)保護(hù)要求，開展網(wǎng)絡(luò)安全管理制度的梳理與修訂，尤其是安全建設(shè)、安全運(yùn)維相關(guān)的管理制度，并明確網(wǎng)絡(luò)安全保障重點(diǎn)。

2.2 加強(qiáng)信息化資產(chǎn)管理

為了更加有效掌握學(xué)校建立的各種信息系統(tǒng)（網(wǎng)站），信息化建設(shè)和管理部門應(yīng)定期進(jìn)行資產(chǎn)摸底、排查清理，建立資產(chǎn)臺(tái)賬，加強(qiáng)信息系統(tǒng)（網(wǎng)站）監(jiān)督管理，具體可采取如下措施：重點(diǎn)排查“雙非”信息系統(tǒng)（網(wǎng)站），通過(guò)系統(tǒng)整合、優(yōu)化，遷移到校內(nèi)，對(duì)于無(wú)法遷移的要加強(qiáng)安全防護(hù);清理無(wú)專人運(yùn)維的或已不再使用的“僵尸”信息系統(tǒng)（網(wǎng)站），回收網(wǎng)絡(luò)資源;對(duì)于長(zhǎng)期未更新、使用頻率低或存在高風(fēng)險(xiǎn)漏洞未整改的信息系統(tǒng)（網(wǎng)站），限制訪問(wèn);建立信息化資產(chǎn)備案系統(tǒng)，嚴(yán)格控制和管理服務(wù)器等基礎(chǔ)資源的使用申請(qǐng)、報(bào)廢和信息系統(tǒng)開發(fā)建設(shè)等流程，及時(shí)完善和更新資產(chǎn)臺(tái)賬。

2.3 開展等級(jí)保護(hù)工作

落實(shí)等級(jí)保護(hù)工作既是法律法規(guī)要求，也是行業(yè)要求。高?？梢詫⒌缺Ｒ舐鋵?shí)到新建系統(tǒng)的需求說(shuō)明中，要求所有新建系統(tǒng)在上線之前必須完成安全測(cè)評(píng)相關(guān)工作。同時(shí)，信息化建設(shè)和管理部門應(yīng)協(xié)同各二級(jí)單位每年對(duì)新建設(shè)的擬定為二級(jí)以上的信息系統(tǒng)進(jìn)行專家評(píng)審，并報(bào)上級(jí)主管部門審核;在定級(jí)評(píng)審?fù)?0個(gè)工作日內(nèi)報(bào)公安機(jī)關(guān)備案;根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)，開展等級(jí)測(cè)評(píng)，對(duì)測(cè)評(píng)報(bào)告和整改建議中的高危風(fēng)險(xiǎn)進(jìn)行整改;在公安機(jī)關(guān)的監(jiān)督指導(dǎo)下，將等級(jí)保護(hù)工作常態(tài)化。

2.4 提升網(wǎng)絡(luò)安全素養(yǎng)

構(gòu)建網(wǎng)絡(luò)安全管理體系必不可少的一個(gè)環(huán)節(jié)就是提升師生網(wǎng)絡(luò)安全素養(yǎng)。學(xué)校網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組應(yīng)指導(dǎo)制定網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃，信息化建設(shè)和管理部門則根據(jù)計(jì)劃組織開展安全技能培訓(xùn)及崗位技能培訓(xùn)、安全意識(shí)培訓(xùn)及安全宣傳。對(duì)于校內(nèi)網(wǎng)絡(luò)安全管理人員進(jìn)行專業(yè)的技能培訓(xùn)，逐步實(shí)現(xiàn)持證上崗;對(duì)于各業(yè)務(wù)系統(tǒng)管理人員，加強(qiáng)關(guān)于系統(tǒng)、應(yīng)用及網(wǎng)絡(luò)技術(shù)相關(guān)的安全技能培訓(xùn);對(duì)于普通師生用戶，則通過(guò)國(guó)家安全日、國(guó)家網(wǎng)絡(luò)安全宣傳周等活動(dòng)，采用海報(bào)、微視頻、專家講座、微信推文等方式宣傳網(wǎng)絡(luò)安全法等相關(guān)知識(shí)，介紹如何防范個(gè)人信息泄露等，加強(qiáng)師生的網(wǎng)絡(luò)安全意識(shí)。另外，信息化建設(shè)和管理部門應(yīng)做好網(wǎng)絡(luò)安全日常通報(bào)工作，特別是要及時(shí)發(fā)布針對(duì)釣魚鏈接、釣魚郵件、勒索病毒等問(wèn)題的防范措施，切實(shí)增強(qiáng)師生的網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)。由此逐步提升師生網(wǎng)絡(luò)安全素養(yǎng)，使其能夠養(yǎng)成良好的上網(wǎng)行為，掌握簡(jiǎn)單的網(wǎng)絡(luò)安全技能，進(jìn)而構(gòu)建一個(gè)風(fēng)清氣正的網(wǎng)絡(luò)氛圍。

3 網(wǎng)絡(luò)安全技術(shù)支撐體系建設(shè)

校園網(wǎng)中存在的安全風(fēng)險(xiǎn)和不確定因素將對(duì)信息系統(tǒng)和師生的數(shù)據(jù)安全形成較大的威脅。技術(shù)支撐體系是網(wǎng)絡(luò)安全工作的關(guān)鍵所在，技術(shù)水平?jīng)Q定著網(wǎng)絡(luò)安全水平[5]。結(jié)合“一個(gè)中心，三重防護(hù)”的思想，一個(gè)中心是指安全管理中心，三重防護(hù)是指通信網(wǎng)絡(luò)防護(hù)、區(qū)域邊界防護(hù)、計(jì)算環(huán)境防護(hù)[68]，構(gòu)建網(wǎng)絡(luò)安全技術(shù)支撐體系可以從3方面入手（如圖2所示）：一是通過(guò)部署校園網(wǎng)防火墻、WEB應(yīng)用防火墻、安全威脅分析系統(tǒng)和堡壘機(jī)監(jiān)督審計(jì)系統(tǒng)，完善網(wǎng)絡(luò)安全防護(hù)措施;二是通過(guò)VPN限制訪問(wèn)范圍、進(jìn)行定期的安全掃描及整改、建立HTTPS協(xié)議加密訪問(wèn)、使用統(tǒng)一身份認(rèn)證及雙因素認(rèn)證機(jī)制，增強(qiáng)應(yīng)用防護(hù)能力;三是部署主機(jī)安全防護(hù)系統(tǒng)和主機(jī)安全配置核查系統(tǒng)，增強(qiáng)主機(jī)安全防護(hù)能力。

3.1 完善網(wǎng)絡(luò)安全防護(hù)措施

1） 部署下一代防火墻。

信息化建設(shè)和管理部門應(yīng)根據(jù)各應(yīng)用系統(tǒng)需求，制定基于IP地址、源/目的端口、服務(wù)/應(yīng)用、用戶/組、安全域、時(shí)間等元素的訪問(wèn)控制策略，特別是敏感時(shí)期要對(duì)安全策略進(jìn)行動(dòng)態(tài)調(diào)整;

建立基于WEB攻擊的靜態(tài)規(guī)則及黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，提高WEB攻擊防護(hù)能力;運(yùn)用APT檢測(cè)功能定位網(wǎng)絡(luò)中的“肉雞”，保障校園網(wǎng)內(nèi)部網(wǎng)絡(luò)安全;對(duì)校園網(wǎng)中的所有流量進(jìn)行應(yīng)用層的安全分析，防范安全威脅事件的發(fā)生。

2） WEB應(yīng)用防火墻的云模式（云WAF）檢測(cè)。云WAF利用DNS技術(shù)，通過(guò)移交域名解析權(quán)來(lái)實(shí)現(xiàn)安全防護(hù)。校園網(wǎng)用戶的訪問(wèn)請(qǐng)求首先被發(fā)送到云端節(jié)點(diǎn)進(jìn)行檢測(cè)，如存在異常，請(qǐng)求則被攔截，否則將請(qǐng)求轉(zhuǎn)發(fā)至真實(shí)服務(wù)器。高校通過(guò)部署云WAF檢測(cè)，對(duì)信息系統(tǒng)（網(wǎng)站）實(shí)施安全防護(hù)，攔截SQL注入、XSS跨站腳本攻擊等行為，主動(dòng)發(fā)現(xiàn)惡意IP，快速識(shí)別和攔截潛在的安全威脅，增強(qiáng)高校WEB應(yīng)用的整體安全性，擴(kuò)大防護(hù)范圍。

3） 部署安全威脅分析系統(tǒng)。為了提高防護(hù)能力，可在校園網(wǎng)中部署安全威脅分析系統(tǒng)，其基于惡意域名、IP、URL、木馬特征等威脅情報(bào)庫(kù)，在協(xié)議特征分析的基礎(chǔ)上，通過(guò)情報(bào)命中、規(guī)則檢測(cè)、深度學(xué)習(xí)模型的匹配等策略，在校園網(wǎng)絡(luò)流量中準(zhǔn)確發(fā)現(xiàn)校園內(nèi)部失陷主機(jī)與被控端的連接。信息化建設(shè)和管理部門據(jù)此及時(shí)掌握校園網(wǎng)內(nèi)的所有失陷主機(jī)及關(guān)聯(lián)威脅，進(jìn)行及時(shí)處置，實(shí)現(xiàn)對(duì)校園網(wǎng)的高級(jí)入侵行為檢測(cè)和防范，提高對(duì)新型網(wǎng)絡(luò)攻擊的預(yù)警和處置能力。

4） 堡壘機(jī)監(jiān)督審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0對(duì)信息系統(tǒng)運(yùn)維過(guò)程提出了“事前預(yù)防、事中控制、事后審計(jì)”的要求，高校可建設(shè)堡壘機(jī)監(jiān)督審計(jì)系統(tǒng)，系統(tǒng)運(yùn)維人員需要通過(guò)訪問(wèn)堡壘機(jī)，才能維護(hù)被授權(quán)管理的系統(tǒng)。堡壘機(jī)對(duì)授權(quán)人員的運(yùn)維操作行為進(jìn)行記錄、控制和審計(jì)，以此加強(qiáng)對(duì)校園內(nèi)部運(yùn)維管理行為的規(guī)范和監(jiān)管。

3.2 增加應(yīng)用安全防護(hù)手段

1） VPN技術(shù)的應(yīng)用。為了優(yōu)化校園網(wǎng)的安全性，高校將VPN技術(shù)引入到校園網(wǎng)的建設(shè)中[9]，可對(duì)學(xué)校的網(wǎng)絡(luò)資源進(jìn)行分類控制，一般的網(wǎng)站和電子郵件系統(tǒng)可對(duì)互聯(lián)網(wǎng)開放訪問(wèn)，而辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、教務(wù)系統(tǒng)、圖書資源等平臺(tái)則須使用VPN系統(tǒng)訪問(wèn)。SSL VPN常應(yīng)用于遠(yuǎn)程訪問(wèn)的安全接入，尤其是基于B/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用，用戶只須通過(guò)標(biāo)準(zhǔn)的WEB瀏覽器連接Internet即可訪問(wèn)到校內(nèi)的網(wǎng)絡(luò)資源，無(wú)須安裝客戶端軟件，既安全又便捷[9]。

2） 定期全網(wǎng)安全掃描。信息化建設(shè)和管理部門定期組織對(duì)各類信息系統(tǒng)（網(wǎng)站）進(jìn)行漏洞掃描，充分發(fā)現(xiàn)應(yīng)用系統(tǒng)的安全漏洞;對(duì)漏洞掃描結(jié)果進(jìn)行評(píng)估和分析，提出可操作性的整改建議;將整改建議及時(shí)下發(fā)到各二級(jí)單位，督促限期進(jìn)行漏洞整改，有助于降低或避免校園網(wǎng)計(jì)算機(jī)信息系統(tǒng)的風(fēng)險(xiǎn)。

3） HTTPS協(xié)議加密訪問(wèn)。學(xué)?？筛鶕?jù)不同的中間件（IIS、Apache、Nginx、Tomcat、Weblogic等）為校園網(wǎng)內(nèi)的信息系統(tǒng)（網(wǎng)站）配置安全證書，啟用HTTPS安全訪問(wèn)協(xié)議。HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的，能有效規(guī)避釣魚網(wǎng)站的欺騙行為，加強(qiáng)對(duì)師生個(gè)人信息的安全保護(hù)。

4） 統(tǒng)一身份認(rèn)證及雙因素認(rèn)證訪問(wèn)相結(jié)合。統(tǒng)一身份認(rèn)證系統(tǒng)主要包括統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)和安全審計(jì)模塊，實(shí)現(xiàn)校內(nèi)各個(gè)應(yīng)用系統(tǒng)的單點(diǎn)登錄功能，師生只需要記住一套用戶名密碼即可登錄被授權(quán)的其他系統(tǒng)，避免多套認(rèn)證管理出現(xiàn)安全漏洞，為校內(nèi)各應(yīng)用系統(tǒng)提供安全可靠的用戶認(rèn)證。在此基礎(chǔ)上可采用雙因素認(rèn)證，通過(guò)PIN碼和動(dòng)態(tài)口令的結(jié)合，實(shí)現(xiàn)師生訪問(wèn)系統(tǒng)時(shí)每次密碼的動(dòng)態(tài)隨機(jī)變化，解決由傳統(tǒng)口令泄露造成的損失，降低安全風(fēng)險(xiǎn)，提高應(yīng)用系統(tǒng)的訪問(wèn)安全性。

3.3 加強(qiáng)主機(jī)安全防護(hù)能力

1） 部署主機(jī)安全防護(hù)系統(tǒng)。在綜合分析主機(jī)終端面臨的安全風(fēng)險(xiǎn)的基礎(chǔ)上，高?？稍谛@網(wǎng)絡(luò)內(nèi)部署主機(jī)安全防護(hù)系統(tǒng)：首先，對(duì)校園網(wǎng)受管控范圍內(nèi)的主機(jī)進(jìn)行全面資產(chǎn)識(shí)別，構(gòu)建統(tǒng)一的資產(chǎn)庫(kù);其次，搜集主機(jī)中的操作系統(tǒng)、應(yīng)用、中間件、數(shù)據(jù)庫(kù)等信息，與漏洞數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，從中發(fā)現(xiàn)漏洞，并按預(yù)制策略進(jìn)行漏洞修復(fù);最后，更新資產(chǎn)數(shù)據(jù)庫(kù)，形成一個(gè)閉環(huán)管控的校園安全管控中心。同時(shí)，主機(jī)安全防護(hù)系統(tǒng)需要對(duì)業(yè)務(wù)服務(wù)器上的流量和行為進(jìn)行監(jiān)控，記錄網(wǎng)絡(luò)訪問(wèn)情況和注冊(cè)表變更等信息，實(shí)現(xiàn)風(fēng)險(xiǎn)識(shí)別、威脅檢測(cè)、攻擊事件判定、策略實(shí)施及回溯等功能，從安全事件、風(fēng)險(xiǎn)文件、系統(tǒng)漏洞、安全基線等多個(gè)層面對(duì)主機(jī)進(jìn)行安全分析，學(xué)校網(wǎng)絡(luò)安全管理人員據(jù)此及時(shí)調(diào)整安全防護(hù)措施，提高安全防護(hù)效率。

2） 主機(jī)安全配置核查。主機(jī)安全配置包括日志策略、審計(jì)策略、用戶身份鑒別策略、訪問(wèn)控制策略、數(shù)據(jù)備份策略及應(yīng)用服務(wù)開啟配置等。高校可部署安全配置核查系統(tǒng)對(duì)校內(nèi)各業(yè)務(wù)系統(tǒng)的各類安全策略配置情況進(jìn)行自查，對(duì)其結(jié)果進(jìn)行自動(dòng)分析并生成分析報(bào)告，以及時(shí)發(fā)現(xiàn)當(dāng)前業(yè)務(wù)系統(tǒng)所面臨的安全問(wèn)題并提供有效的解決辦法，降低業(yè)務(wù)系統(tǒng)安全隱患。

4 結(jié)束語(yǔ)

學(xué)校的各類信息系統(tǒng)不僅為校內(nèi)師生服務(wù)，還為社會(huì)提供相關(guān)服務(wù)，關(guān)系到國(guó)內(nèi)和國(guó)際輿論影響帶來(lái)的社會(huì)穩(wěn)定和公眾利益。高性能、高效率、穩(wěn)定可靠的校園網(wǎng)是校內(nèi)網(wǎng)絡(luò)資源和服務(wù)的基礎(chǔ)保障平臺(tái)。網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過(guò)程，外來(lái)的安全威脅并非一成不變，安全防護(hù)措施需要根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)及時(shí)做出調(diào)整，對(duì)新的風(fēng)險(xiǎn)和威脅需要持續(xù)關(guān)注。本文提出構(gòu)建網(wǎng)絡(luò)安全管理體系及技術(shù)支撐體系，

落實(shí)等級(jí)保護(hù)相關(guān)要求，

并進(jìn)一步做好網(wǎng)絡(luò)安全宣傳教育和培訓(xùn)工作，加強(qiáng)風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、安全加固及安全策略優(yōu)化等網(wǎng)絡(luò)安全防護(hù)，旨在有效減少安全隱患，降低安全事件發(fā)生的概率，保障學(xué)校信息化工作的有序、健康、高質(zhì)量發(fā)展。

[參考文獻(xiàn)]

參考文獻(xiàn)內(nèi)容

[1] 習(xí)近平.在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上的講話[N].人民日?qǐng)?bào)，2014-02-28（1）.

[2] 習(xí)近平.在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話[M].北京：人民出版社，2016：18-19.

[3] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2020 年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告[EB/OL].（2020-09-26）[2021-02-25].http：//www.cac.gov.cn/2020-09/26/c_1602682854845452.htm.

[4] 龔漢明.高校網(wǎng)絡(luò)安全問(wèn)題與應(yīng)對(duì)研究[J].北京教育（高教），2019（2）：8-12.

[5] 魏楚元，任彥龍，李欣.高校網(wǎng)絡(luò)安全治理體系構(gòu)建研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（1）：96-98.

[6] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：GB/T 22239—2019[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[7] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求：GB/T 25070—2019[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[8] 馬力，祝國(guó)邦，陸磊.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239—2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019（2）：77-84.

[9] 趙龍海.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系的應(yīng)用研究[J].信息系統(tǒng)工程，2018（3）：88.

（責(zé)任編輯 責(zé)任編輯白麗媛）