校園信息化建設(shè)中的網(wǎng)絡(luò)安全體系建設(shè)思考

李志博 李思遠(yuǎn)

關(guān)鍵詞：校園信息化建設(shè)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)站群

0 引言

伴隨校園信息化建設(shè)程度的加深，網(wǎng)絡(luò)安全問題的重要性更加突出。網(wǎng)信辦發(fā)布的《“十四五”國家信息化規(guī)劃》中，強(qiáng)調(diào)安全和發(fā)展并重，以實現(xiàn)網(wǎng)絡(luò)空間治理能力和安全保障能力顯著增強(qiáng)為目標(biāo)。同時《中國教育現(xiàn)代化2035》中也提出了“加快信息時代教育變革”的目標(biāo)[1-3]。在這一背景下，網(wǎng)絡(luò)安全問題的重要程度越發(fā)突出，本文將重點探討西北大學(xué)信息化建設(shè)過程中的網(wǎng)絡(luò)安全體系建設(shè)并總結(jié)經(jīng)驗，為校園網(wǎng)絡(luò)安全體系建設(shè)提供參考。

1 校園信息化建設(shè)過程中的網(wǎng)絡(luò)安全問題

校園網(wǎng)絡(luò)安全建設(shè)是隨著校園網(wǎng)絡(luò)發(fā)展而逐步進(jìn)行的，早期對網(wǎng)絡(luò)安全問題認(rèn)識不足，存在一定的滯后，后期認(rèn)識到網(wǎng)絡(luò)安全問題帶來的嚴(yán)重威脅以后，網(wǎng)絡(luò)安全建設(shè)就和網(wǎng)絡(luò)發(fā)展逐漸同步進(jìn)行了。根據(jù)西北大學(xué)的校園網(wǎng)絡(luò)安全建設(shè)經(jīng)驗，校園網(wǎng)絡(luò)安全建設(shè)主要經(jīng)歷了以下四個階段：

第一階段是2000年左右CERNET帶動校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)期，這一時期主要以教育網(wǎng)絡(luò)、電子郵件系統(tǒng)的建設(shè)為代表。在“從無到有”的過程中，也奠定了網(wǎng)絡(luò)環(huán)境基礎(chǔ)，因此具備了進(jìn)一步建設(shè)信息化系統(tǒng)的條件。這一時期用戶基數(shù)小，網(wǎng)絡(luò)安全問題并不明顯，而且由于早期互聯(lián)網(wǎng)設(shè)計時默認(rèn)用戶均為可信賴，并沒有考慮安全威脅的問題，這一階段的網(wǎng)絡(luò)建設(shè)并沒有將安全納入重點考慮范圍，安全防護(hù)表現(xiàn)在以終端殺毒軟件為主。

第二階段在2007年左右，數(shù)字校園帶動下應(yīng)用系統(tǒng)建設(shè)期，逐步實現(xiàn)了業(yè)務(wù)數(shù)字化。這一時期高校將大量的教學(xué)科研和管理工作通過例如辦公自動化系統(tǒng)、教務(wù)系統(tǒng)等極大地提升了工作效率。同時網(wǎng)絡(luò)安全威脅也逐步顯現(xiàn)，常見的內(nèi)部威脅有系統(tǒng)密碼泄露等，外部威脅則有不法分子竊取師生信息牟利等。由于這一階段的信息系統(tǒng)分散建設(shè)，因此進(jìn)行網(wǎng)絡(luò)安全防護(hù)也只能針對單個系統(tǒng)進(jìn)行分散的防護(hù)工作，壓力較大且效果有限。

第三階段大約在10年前，由于校園網(wǎng)絡(luò)存在復(fù)雜的各類系統(tǒng)，一方面不便于管理，另一方面也有數(shù)據(jù)使用困難、資源浪費等問題，因此開始了從“粗放擴(kuò)張”向”集約提升”打通信息孤島和用戶體驗，以校園信息門戶、統(tǒng)一身份和基礎(chǔ)數(shù)據(jù)共享平臺建設(shè)為標(biāo)志，進(jìn)一步提升服務(wù)質(zhì)量和效果，校園網(wǎng)絡(luò)用戶不需要再面對繁多的應(yīng)用系統(tǒng)，通過統(tǒng)一的信息門戶接入到各個系統(tǒng)。這樣，一方面對用戶而言，校園網(wǎng)用戶不再需要記住各個業(yè)務(wù)系統(tǒng)的域名，可以通過一個入口進(jìn)而跳轉(zhuǎn)到各系統(tǒng)，極大地簡化了信息化系統(tǒng)的使用流程，提升了用戶的使用體驗和業(yè)務(wù)流程的便利程度。另一方面將整個校園網(wǎng)絡(luò)資源整合，成立了單獨的負(fù)責(zé)日常的運行維護(hù)和安全防護(hù)工作的網(wǎng)絡(luò)部門，極大地提高了網(wǎng)絡(luò)安全防護(hù)，這一階段建設(shè)目標(biāo)是將校園內(nèi)外網(wǎng)絡(luò)隔離，進(jìn)而縮減了網(wǎng)絡(luò)攻擊面，并且以網(wǎng)絡(luò)出口防護(hù)和數(shù)據(jù)中心防護(hù)為抓手提升了重要部位防護(hù)能力。

目前，多數(shù)高校已經(jīng)完成了第三階段的信息化建設(shè)，具備統(tǒng)一信息門戶和各類業(yè)務(wù)系統(tǒng)，開始進(jìn)入智慧校園建設(shè)新階段。其特征是伴隨著5G、大數(shù)據(jù)和物聯(lián)網(wǎng)等為代表的新一代信息技術(shù)的成熟，元宇宙概念的提出、新技術(shù)投入也改變了以往的網(wǎng)絡(luò)服務(wù)模式，使校園網(wǎng)的安全由局部建設(shè)走向體系建設(shè)。

本文主要圍繞第三階段校園信息化建設(shè)過程中網(wǎng)絡(luò)安全方面的工作，總結(jié)網(wǎng)絡(luò)安全建設(shè)過程中的問題、解決方案和工作經(jīng)驗，為下一階段的校園智慧化建設(shè)提供參考。

2 校園網(wǎng)絡(luò)安全現(xiàn)狀和問題

校園網(wǎng)建設(shè)在整體上已經(jīng)實現(xiàn)了第三階段，并且將伴隨5G、大數(shù)據(jù)等新技術(shù)的融合進(jìn)入第四階段?？偨Y(jié)分析校園網(wǎng)建設(shè)過程中遇到的安全問題和對應(yīng)的解決方案，可以有效提高校園網(wǎng)絡(luò)安全防護(hù)能力[4-5]。

一般情況下，對特定的園區(qū)網(wǎng)絡(luò)會造成破壞的威脅來源根據(jù)內(nèi)外可以分成兩大類[6]，如圖1所示.

其中內(nèi)部威脅指使用系統(tǒng)內(nèi)部用戶身份發(fā)起的安全威脅行為，外部威脅則是指系統(tǒng)用戶之外的安全威脅來源。其中內(nèi)部用戶包括校內(nèi)教職工、學(xué)生和各類臨時人員，“流氓”管理員威脅最大，難以防范，需要加強(qiáng)人員管理和行為審計；用戶誤操作是比較常見的行為，如誤刪等，需要針對性地做好權(quán)限管理，假冒身份人員和串通/合謀一般和外部相關(guān)，需要加強(qiáng)審計和權(quán)限管理進(jìn)行應(yīng)對。外部人員則是內(nèi)部人員以外的所有惡意行為來源，其中惡意行為指有明確目標(biāo)的入侵者，如境外間諜等；網(wǎng)絡(luò)罪犯和惡意競爭對手會采取竊取信息、抹黑等手段，授信第三方指對高校提供各類信息服務(wù)的供應(yīng)商，由于供應(yīng)商采用的服務(wù)來源廣泛，因此容易受到供應(yīng)鏈攻擊。對于高校而言，由于內(nèi)部人員總體素質(zhì)較高，一般不會主動進(jìn)行信息系統(tǒng)破壞行動，主要的防范對象是外部威脅和內(nèi)部假冒身份人員及串通行為。

校園網(wǎng)的核心資產(chǎn)包括網(wǎng)絡(luò)硬件設(shè)施和其承載的無形的虛擬資產(chǎn)。對于校園環(huán)境而言，其物理設(shè)施不容易遭到破壞，內(nèi)外威脅來源主要針對無形資產(chǎn)發(fā)起攻擊、控制等惡意行為，其切入口通常是校園的各類線上系統(tǒng)，因此要針對這方面重點防護(hù)。

校園網(wǎng)絡(luò)安全體系建設(shè)過程中面臨的主要問題是分散的業(yè)務(wù)系統(tǒng)帶來的防護(hù)壓力。由于早期網(wǎng)絡(luò)建設(shè)沒有統(tǒng)一進(jìn)行，各業(yè)務(wù)部門分散建設(shè)自己的信息化系統(tǒng)，每個網(wǎng)站后端對應(yīng)著一套業(yè)務(wù)系統(tǒng)和數(shù)據(jù)系統(tǒng)，且各網(wǎng)站都是在不同時期采取不同的技術(shù)，由不同的開發(fā)商建設(shè)的，運行在各自的分散的網(wǎng)絡(luò)空間中。并且其中一部分網(wǎng)站已經(jīng)沒有技術(shù)力量進(jìn)行有效的維護(hù)升級和安全保護(hù)。同時，分散的、技術(shù)水平參差不齊的運行模式存在著極大的安全隱患。網(wǎng)站之間必要的互聯(lián)互通的需求使得技術(shù)水平低的網(wǎng)站成為整個系統(tǒng)上的巨大安全漏洞，網(wǎng)絡(luò)攻擊者有可能從防護(hù)等級低的網(wǎng)站侵入防護(hù)等級高的網(wǎng)站，導(dǎo)致整個系統(tǒng)淪陷。而分散的網(wǎng)絡(luò)拓?fù)湟竺總€網(wǎng)站進(jìn)行安全加固在技術(shù)和成本上不可能實現(xiàn)。

3 校園網(wǎng)絡(luò)安全體系建設(shè)思路

網(wǎng)絡(luò)安全是系統(tǒng)性、全面性的工作。根據(jù)“短板理論”，任何一個薄弱點會導(dǎo)致整個系統(tǒng)的防護(hù)失去價值。因此針對上述問題的主要解決思路就是將“一群網(wǎng)站”轉(zhuǎn)換成“一個網(wǎng)站群”，將一群安全程度參差不齊的網(wǎng)站進(jìn)行集中管理。針對集中的網(wǎng)站群構(gòu)建完善、統(tǒng)一的安全保障體系，從而為校園網(wǎng)系統(tǒng)提供全面可靠的安全防護(hù)。在新的站群模式下，整個校園網(wǎng)絡(luò)從體系上分為內(nèi)外兩個部分，并且內(nèi)外隔離。內(nèi)部的管理者通過獨立的端口訪問管理服務(wù)器，對校園網(wǎng)進(jìn)行維護(hù)，同時內(nèi)部提供了應(yīng)用防火墻、數(shù)據(jù)庫防火墻和文件防火墻等針對多種場景的安全防護(hù)工具。對外，將網(wǎng)站內(nèi)容制作成靜態(tài)頁面并發(fā)布在對外的web服務(wù)器上。從而保障系統(tǒng)的網(wǎng)絡(luò)安全。同時網(wǎng)絡(luò)技術(shù)更新迭代快，應(yīng)當(dāng)不斷升級防護(hù)技術(shù)。具體實施中可以按照具體工作的側(cè)重點分成不同的方面，來逐步完善整個網(wǎng)絡(luò)安全防護(hù)工作，爭取從每個方面提升校園網(wǎng)絡(luò)安全防護(hù)工作，以達(dá)到最佳效果。安全體系建設(shè)主要從以下四個方面來建設(shè)完善。

1） 防護(hù)方面

防護(hù)主要從三個角度考慮：web應(yīng)用防護(hù)、主機(jī)防護(hù)和邊界安全防護(hù)。web應(yīng)用運行在業(yè)務(wù)服務(wù)器上，為業(yè)務(wù)提供支撐，是校園安全防護(hù)的核心。如果防護(hù)不足，可能會導(dǎo)致信息泄露。采取靜態(tài)頁面發(fā)布和內(nèi)外網(wǎng)隔離的方式可以有效防護(hù)網(wǎng)頁篡改和數(shù)據(jù)泄露等攻擊手段，還可以采取對應(yīng)的手段解決SQL注入、跨站攻擊、命令注入、Webshell等網(wǎng)絡(luò)攻擊。主機(jī)防護(hù)方面，校園網(wǎng)內(nèi)有大量計算機(jī)用戶，相關(guān)的專業(yè)知識水平參差不齊，當(dāng)安全意識薄弱的用戶進(jìn)行誤操作時，也會對系統(tǒng)造成破壞。例如當(dāng)用戶使用存儲介質(zhì)不慎感染了木馬程序，很可能給整個內(nèi)部網(wǎng)絡(luò)帶來災(zāi)難性的破壞。因此需要對網(wǎng)絡(luò)內(nèi)主機(jī)進(jìn)行系統(tǒng)防護(hù)和防攻擊加固，使用文件誘餌引擎防御勒索軟件，內(nèi)核級流量隔離實現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)；實現(xiàn)補(bǔ)丁修復(fù)、外設(shè)管控、違規(guī)外聯(lián)檢測與阻斷等功能，進(jìn)而實現(xiàn)主機(jī)安全防護(hù)。對于邊界安全防護(hù)，要在互聯(lián)網(wǎng)接入邊界采用防火墻進(jìn)行隔離和訪問控制，嚴(yán)格控制外部網(wǎng)絡(luò)對內(nèi)部信息資源的訪問，確保網(wǎng)絡(luò)和信息系統(tǒng)自身的安全。邊界安全可以考慮傳統(tǒng)防火墻、IPS、IDS、VPN等多種安全能力。

2） 審計方面

審計可分為運維審計、日志審計、行為審計和數(shù)據(jù)庫審計四個角度建設(shè)網(wǎng)絡(luò)安全體系。傳統(tǒng)的網(wǎng)絡(luò)安全攻擊可以在事故后在邊界系統(tǒng)設(shè)備中尋找攻擊足跡，但隨著攻擊技術(shù)不斷發(fā)展，內(nèi)部或外部的非法訪問完成后往往會清掃攻擊足跡，給事后追查造成較大的困難。運維審計需要將系統(tǒng)運維訪問控制和設(shè)計相結(jié)合，通過賬號管理、身份認(rèn)證、資源授權(quán)、實時阻斷、同步監(jiān)控、審計運維等功能綜合起來，給內(nèi)部日常運行中的各種誤操作、惡意操作提供精細(xì)化控制和全過程審計，解決內(nèi)部運維過程中的風(fēng)險。日志審計方面，隨著信息化系統(tǒng)規(guī)模的擴(kuò)大，各個子系統(tǒng)產(chǎn)生大量復(fù)雜的安全日志，成為“信息孤島”，有限的安全管理人員無法處理數(shù)量巨大且互相割裂的安全信息。日志審計需要將用戶網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理，及時發(fā)現(xiàn)各種網(wǎng)絡(luò)威脅、異常事件。網(wǎng)絡(luò)行為審計方面，需要對網(wǎng)絡(luò)行為進(jìn)行精細(xì)化識別和控制，并利用智能流控、智能阻斷、智能路由等技術(shù)，保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬。數(shù)據(jù)庫審計需要對數(shù)據(jù)庫操作進(jìn)行全面風(fēng)險審計，通過對數(shù)據(jù)庫流量的分析，實時、智能地解析數(shù)據(jù)庫操作，并保存審計日志以供后續(xù)分析。

3） 檢測方面

檢測方面主要分為高級威脅檢測、漏洞掃描和大數(shù)據(jù)分析。傳統(tǒng)的威脅檢測手段在面對APT攻擊時不能發(fā)揮作用，因此應(yīng)基于豐富的特征庫、全面的檢測策略、機(jī)器學(xué)習(xí)、沙箱動態(tài)分析、本地離線威脅情報與云端威脅情報協(xié)同防御，實時發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的已知威脅和未知威脅的高級威脅檢測技術(shù)才能滿足當(dāng)下的需求。漏洞掃描能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)中各主機(jī)存在的網(wǎng)絡(luò)安全漏洞，從而發(fā)現(xiàn)網(wǎng)絡(luò)安全問題，起著評估整個系統(tǒng)安全的重要作用。在檢測方面，還需要積極應(yīng)用大數(shù)據(jù)分析技術(shù)，集成大規(guī)模存查、大數(shù)據(jù)實時智能分析、用戶行為分析等安全功能，為全局態(tài)勢感知和業(yè)務(wù)不間斷穩(wěn)定運行提供保障。

4） 安全隊伍建設(shè)方面

安全體系依賴于專業(yè)的技術(shù)團(tuán)隊運行，因此學(xué)校需要具有一定技術(shù)水平的網(wǎng)絡(luò)管理部門，對整個校園網(wǎng)絡(luò)的安全工作進(jìn)行全面、有效、持續(xù)的保護(hù)。做好應(yīng)急管理工作，如應(yīng)急預(yù)案，應(yīng)急演練等，確保突發(fā)情況下的網(wǎng)絡(luò)安全手段充足，防止損失擴(kuò)大。定期進(jìn)行校園網(wǎng)絡(luò)安全教育培訓(xùn)工作，強(qiáng)化師生安全意識。

4 結(jié)束語

網(wǎng)絡(luò)安全體系建設(shè)需要持之以恒的投入。信息化越發(fā)深入校園各方面，有效提升了各方面工作的同時也帶來了新的安全威脅。因而從防護(hù)、審計、檢測和安全隊伍建設(shè)等四個角度發(fā)掘當(dāng)前安全體系的不足之處，進(jìn)行針對性的改進(jìn)，進(jìn)而推動校園網(wǎng)絡(luò)安全體系整體水平提升。