教育數(shù)字化背景下高校網(wǎng)絡(luò)安全防護(hù)體系建設(shè)研究

樊新武 張帥 杜香燕 北京林業(yè)大學(xué)信息化建設(shè)與管理辦公室

●網(wǎng)絡(luò)安全的新形勢

隨著《數(shù)字中國建設(shè)整體布局規(guī)劃》的正式發(fā)布，以及教育部關(guān)于教育數(shù)字化戰(zhàn)略行動的正式實施，數(shù)字賦能成為推進(jìn)教育現(xiàn)代化、建設(shè)教育強(qiáng)國的重要支撐。高校智慧校園建設(shè)已經(jīng)全面展開，師生對泛在、便捷的網(wǎng)絡(luò)資源和服務(wù)，已經(jīng)產(chǎn)生強(qiáng)烈的需求和依賴，涉及教學(xué)、管理、服務(wù)、統(tǒng)一門戶等各部門的上百個信息系統(tǒng)應(yīng)運而生。因此，保障網(wǎng)絡(luò)與信息安全，成為高校信息化建設(shè)面臨的重大課題和挑戰(zhàn)。

1.我國網(wǎng)絡(luò)安全法律規(guī)范體系逐步形成

《中華人民共和國網(wǎng)絡(luò)安全法》于2016年11月1日正式實施，該法是中國網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，不僅規(guī)定了網(wǎng)絡(luò)運營者的義務(wù)，還規(guī)定了網(wǎng)絡(luò)安全監(jiān)管的職責(zé)和機(jī)構(gòu)，并對違法行為進(jìn)行了明確的處罰規(guī)定。

除此之外，我國還制定了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《個人信息保護(hù)法》《數(shù)據(jù)安全法》等一系列相關(guān)法律法規(guī)和政策文件，進(jìn)一步完善了中國的網(wǎng)絡(luò)安全法律規(guī)范體系，并為網(wǎng)絡(luò)安全的保障提供了更具體和有效的措施。

2.等級保護(hù)進(jìn)入2.0時代

《網(wǎng)絡(luò)安全法》明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”，網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障的基本制度、基本方法。[1]等級保護(hù)是指對信息系統(tǒng)的安全等級進(jìn)行分類、分級保護(hù)的一種安全保護(hù)模式。我國自2007年開始實施信息系統(tǒng)安全等級保護(hù)制度，該制度將信息系統(tǒng)分為5個等級，并對不同等級的信息系統(tǒng)提出了不同的安全保護(hù)要求和措施。[2]等級保護(hù)進(jìn)入2.0時代表明我國正在加強(qiáng)信息安全保護(hù)工作，以應(yīng)對不斷增加的網(wǎng)絡(luò)安全威脅。

3.數(shù)據(jù)安全成為新的重要挑戰(zhàn)

教育數(shù)字化建設(shè)的一個必經(jīng)階段，是對數(shù)據(jù)進(jìn)行梳理整合,打破信息壁壘，實現(xiàn)數(shù)據(jù)邏輯上的數(shù)據(jù)大集中，從而形成數(shù)據(jù)資產(chǎn)。這使得數(shù)據(jù)共享、數(shù)據(jù)交換、數(shù)據(jù)分析等新的應(yīng)用場景不斷涌現(xiàn)，但同時，數(shù)據(jù)的流動和循環(huán)也使得數(shù)據(jù)安全及個人隱私泄露等問題日益凸顯。

數(shù)據(jù)安全事件頻發(fā)，已嚴(yán)重阻礙了高校數(shù)據(jù)資源的開發(fā)應(yīng)用及數(shù)據(jù)資產(chǎn)價值的有效釋放。因此，如何建立有效的數(shù)據(jù)安全保障體系，保障數(shù)據(jù)的保密性、完整性、可用性，確保數(shù)據(jù)應(yīng)用安全可控，已成為高校智慧校園建設(shè)中首要關(guān)注且亟須解決的問題。

●高校網(wǎng)絡(luò)安全的現(xiàn)狀和問題

隨著教育數(shù)字化的快速發(fā)展，網(wǎng)絡(luò)基礎(chǔ)環(huán)境逐步升級，數(shù)據(jù)與應(yīng)用的體量急劇增大，與之相應(yīng)的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)水平，需要及時跟進(jìn)升級。但高校在信息化建設(shè)過程中，普遍存在“重建設(shè)輕安全”的現(xiàn)象，技術(shù)設(shè)施已經(jīng)面臨使用瓶頸，管理工作還需進(jìn)一步完善及加強(qiáng)。

1.網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施薄弱

隨著信息技術(shù)的發(fā)展和無線技術(shù)的進(jìn)步，高校網(wǎng)絡(luò)基礎(chǔ)環(huán)境迅速發(fā)展，網(wǎng)絡(luò)出口帶寬不斷提升，網(wǎng)絡(luò)安全保障能力需求增強(qiáng)。但由于信息安全經(jīng)費投入有限等，網(wǎng)絡(luò)安全設(shè)備更新滯后，設(shè)備性能無法匹配升級后的網(wǎng)絡(luò)基礎(chǔ)環(huán)境，安全防護(hù)能力有所降低，導(dǎo)致無法形成全方位的物理設(shè)施防御體系。

2.校園網(wǎng)內(nèi)部安全建設(shè)不足

高校往往比較重視對校外威脅攻擊的防御，卻忽視內(nèi)部網(wǎng)絡(luò)安全威脅建設(shè)。而橫向滲透攻擊是一種具有高危害性的攻擊手段，攻擊者一旦攻陷校內(nèi)某一主機(jī)，即可通過這臺主機(jī)攻擊校內(nèi)其他主機(jī)，從而使整個校園網(wǎng)絡(luò)失去防護(hù)能力。

3.高校網(wǎng)絡(luò)安全管理建設(shè)缺乏體系指導(dǎo)

由于高校對網(wǎng)絡(luò)安全管理工作的認(rèn)識不足，“重建設(shè)、輕安全”現(xiàn)象普遍存在，高校業(yè)務(wù)系統(tǒng)在整個建設(shè)周期往往只考慮功能需求，而缺乏對網(wǎng)絡(luò)安全的同步建設(shè)與規(guī)劃，未形成完善的網(wǎng)絡(luò)安全管理體系，導(dǎo)致高校各業(yè)務(wù)系統(tǒng)在使用過程中存在安全隱患，從而提升后續(xù)安全運維成本。

4.專業(yè)人員建設(shè)不足

目前，高校網(wǎng)絡(luò)安全人員的培養(yǎng)和隊伍建設(shè)投入不足，許多高校沒有專職的網(wǎng)絡(luò)安全工作人員，多是由其他崗位的教師兼任，其對網(wǎng)絡(luò)安全知識結(jié)構(gòu)的認(rèn)識并不健全，使得高校網(wǎng)絡(luò)安全防御的意識逐漸淡薄。同時，由于缺乏專職網(wǎng)絡(luò)安全人員，各學(xué)校針對網(wǎng)絡(luò)安全事件基本上采取事后處理的手段，無法及時主動發(fā)現(xiàn)并應(yīng)對安全風(fēng)險。

5.信息資產(chǎn)繁多，漏洞多

不法人員經(jīng)常利用網(wǎng)絡(luò)漏洞來竊取相關(guān)資源，這會導(dǎo)致師生遭受較大的損失。隨著學(xué)校信息資產(chǎn)越來越多，管理和維護(hù)難度也隨之增加，面臨的漏洞威脅形勢更加嚴(yán)峻。

●高校網(wǎng)絡(luò)安全主動防御體系建設(shè)思路

筆者認(rèn)為，高校網(wǎng)絡(luò)安全主動防御體系建設(shè)應(yīng)以網(wǎng)絡(luò)安全法及網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)為指導(dǎo)，針對校園網(wǎng)絡(luò)安全風(fēng)險評估結(jié)果，結(jié)合校園實際情況，區(qū)分等保2級和等保3級標(biāo)準(zhǔn)，升級或補齊關(guān)鍵網(wǎng)絡(luò)安全防護(hù)設(shè)備（包括但不限于防火墻、入侵檢測、安全審計等設(shè)備），完善校園網(wǎng)絡(luò)結(jié)構(gòu)，優(yōu)化網(wǎng)絡(luò)安全防護(hù)策略，變被動防御為主動防御[3]，最終形成網(wǎng)絡(luò)安全技術(shù)防護(hù)閉環(huán)。在此基礎(chǔ)上，建立網(wǎng)絡(luò)安全事件應(yīng)急處置預(yù)案，定期開展網(wǎng)絡(luò)安全演練，提升校園網(wǎng)絡(luò)安全防護(hù)能力，保障師生網(wǎng)絡(luò)安全。

1.建設(shè)網(wǎng)絡(luò)安全管理運營平臺

網(wǎng)絡(luò)安全管理運營平臺是網(wǎng)絡(luò)安全的核心組成部分之一，依托態(tài)勢感知平臺、威脅探針等設(shè)備，通過集成各種安全技術(shù)設(shè)備的管理，實現(xiàn)對整個網(wǎng)絡(luò)安全的監(jiān)控和管理。平臺基于信息資產(chǎn)管理，利用大數(shù)據(jù)分析技術(shù)，對攻擊事件、威脅告警和攻擊源頭進(jìn)行分類統(tǒng)計和綜合分析，為用戶呈現(xiàn)出全局安全攻擊態(tài)勢。通過安全管理運營平臺的建設(shè)，實現(xiàn)快速響應(yīng)的主動防御，提高網(wǎng)絡(luò)安全監(jiān)控技術(shù)水平，增強(qiáng)網(wǎng)絡(luò)安全預(yù)警和應(yīng)急能力，確保信息資產(chǎn)穩(wěn)定運行。

在校園網(wǎng)絡(luò)中，建設(shè)一個安全管理運營平臺可以為整個網(wǎng)絡(luò)提供實時監(jiān)控、事件管理、漏洞掃描、安全策略管理等功能，為保障校園網(wǎng)絡(luò)的安全提供有力支撐。

2.網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施升級

（1）防火墻及Web應(yīng)用防火墻

防火墻是網(wǎng)絡(luò)安全的第一道防線，通過防火墻，可以實現(xiàn)對網(wǎng)絡(luò)流量的控制，防止網(wǎng)絡(luò)攻擊的發(fā)生。部署的防火墻應(yīng)同時具備入侵防御、防病毒等能力，集中化實現(xiàn)安全保護(hù)。

目前，高校建設(shè)的業(yè)務(wù)系統(tǒng)絕大部分以Web應(yīng)用平臺為主，Web應(yīng)用平臺的程序漏洞容易被攻擊者利用，帶來一定的安全威脅。Web應(yīng)用防火墻是集Web防護(hù)、網(wǎng)頁保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的Web整體安全防護(hù)設(shè)備，部署Web應(yīng)用防火墻可從一定程度上解決Web應(yīng)用平臺的安全問題，它能有效防護(hù)Web應(yīng)用程序常見的安全威脅[4]，如防SQL注入、網(wǎng)頁篡改防護(hù)、XSS跨站腳本攻擊防護(hù)等。

同時，高性能的防火墻、Web應(yīng)用防火墻等網(wǎng)絡(luò)安全設(shè)備，性能上應(yīng)當(dāng)滿足帶寬吞吐需求。

（2）建設(shè)日志審計系統(tǒng)、堡壘機(jī)系統(tǒng)

學(xué)校業(yè)務(wù)系統(tǒng)多，系統(tǒng)產(chǎn)生的日志量巨大，為滿足《網(wǎng)絡(luò)安全法》中第二十一條關(guān)于留存日志不得少于6個月的法律要求，應(yīng)當(dāng)建設(shè)日志審計系統(tǒng)。通過日志審計系統(tǒng)全面收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等資產(chǎn)日志，將日志進(jìn)行匯總、清洗與范式化處理，識別發(fā)現(xiàn)潛在的安全事件與安全風(fēng)險[5]，助力高校構(gòu)建網(wǎng)絡(luò)安全防線。

堡壘機(jī)系統(tǒng)是一種安全訪問控制系統(tǒng)，可以有效防止惡意攻擊和內(nèi)部人員的非法訪問，代理服務(wù)器、數(shù)據(jù)庫等系統(tǒng)的運維工作，實現(xiàn)一鍵改密等功能，雖然存在運維單點突破隱患，但是瑕不掩瑜，屬于應(yīng)當(dāng)部署的設(shè)備。

（3）漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)可以幫助及時發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，并對漏洞進(jìn)行修復(fù)。部署漏洞掃描系統(tǒng)，對校園網(wǎng)絡(luò)進(jìn)行全面的漏洞掃描，定期更新漏洞庫和掃描策略，保證漏洞掃描的準(zhǔn)確性和有效性。同時，配合其他安全設(shè)備（如防火墻、IDS/IPS等），發(fā)現(xiàn)威脅，及時處理，可以全面提升校園網(wǎng)絡(luò)的安全防護(hù)能力。

（4）流量控制系統(tǒng)

流量控制系統(tǒng)可進(jìn)行串聯(lián)部署或旁路部署，串聯(lián)部署可更好地進(jìn)行流量控制，但容易出現(xiàn)單點故障，一旦流量控制系統(tǒng)出現(xiàn)問題，會影響整個網(wǎng)絡(luò)的正常運行；流量控制系統(tǒng)旁路部署不會影響網(wǎng)絡(luò)的正常運行，同時又可記錄用戶上網(wǎng)流量信息，用于數(shù)據(jù)采集和分析，方便事件后追溯。

3.加強(qiáng)校園網(wǎng)內(nèi)部安全建設(shè)

（1）校園網(wǎng)內(nèi)部分區(qū)

通過部署防火墻進(jìn)行校園內(nèi)部網(wǎng)絡(luò)的微隔離，實現(xiàn)區(qū)域邊界的訪問控制防護(hù)，過濾不安全的服務(wù)，從而降低進(jìn)入校內(nèi)網(wǎng)后的橫向攻擊對全局網(wǎng)絡(luò)造成的影響。

（2）主機(jī)安全加固

主機(jī)加固設(shè)備從事前事中事后構(gòu)建一整套閉環(huán)能力，是對威脅全生命周期的防護(hù)。主機(jī)安全加固可安裝在重要資產(chǎn)上，做到事前輕補丁漏洞免疫、事中的威脅檢測以及事后的聯(lián)動閉環(huán)響應(yīng)。終端資產(chǎn)安全在安全事件中有極其重要的地位，可與其他網(wǎng)絡(luò)安全設(shè)備共同建立威脅處置閉環(huán)體系。

（3）蜜罐系統(tǒng)

蜜罐系統(tǒng)是一種被動式的安全防御技術(shù)，用于誘騙攻擊者入侵，以便收集攻擊者的攻擊行為和手段。蜜罐系統(tǒng)通常部署在網(wǎng)絡(luò)的邊緣、內(nèi)部或者DMZ區(qū)域，可以與其他防御措施協(xié)同工作，提高網(wǎng)絡(luò)安全防御的能力。

校園網(wǎng)絡(luò)用戶數(shù)量多，網(wǎng)絡(luò)管理相對松散，機(jī)房內(nèi)網(wǎng)環(huán)境復(fù)雜，易于攻擊者潛伏和攻擊，蜜罐系統(tǒng)的部署可以為校園網(wǎng)絡(luò)的安全防御提供一定的保障，降低內(nèi)網(wǎng)安全風(fēng)險。

●高校網(wǎng)絡(luò)安全管理體系建設(shè)

構(gòu)建完備的網(wǎng)絡(luò)安全技術(shù)防護(hù)體系安全設(shè)備、安全策略是從技術(shù)層面來解決安全防護(hù)問題，為保證學(xué)校業(yè)務(wù)系統(tǒng)長期穩(wěn)定運行以及業(yè)務(wù)數(shù)據(jù)的安全性，還應(yīng)逐步提高系統(tǒng)運維及人員管理的安全保障機(jī)制，健全網(wǎng)絡(luò)安全管理體系。

1.構(gòu)建網(wǎng)絡(luò)安全管理體系

構(gòu)建網(wǎng)絡(luò)安全管理體系，首先要加強(qiáng)網(wǎng)絡(luò)安全組織領(lǐng)導(dǎo)，成立專門的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組統(tǒng)籌領(lǐng)導(dǎo)學(xué)校網(wǎng)絡(luò)安全信息化工作，加強(qiáng)頂層設(shè)計，按照“同步規(guī)劃、同步建設(shè)、同步運維”三同步原則，在系統(tǒng)建設(shè)的同時制訂網(wǎng)絡(luò)安全規(guī)劃方案；其次，按照“誰主管誰負(fù)責(zé)、誰運維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，壓實安全責(zé)任，確保校內(nèi)各個部門做好網(wǎng)站和信息系統(tǒng)的網(wǎng)絡(luò)安全工作；最后，定期舉辦網(wǎng)絡(luò)安全相關(guān)講座，提高師生網(wǎng)絡(luò)安全意識。

2.完善網(wǎng)絡(luò)安全管理制度

完善并可執(zhí)行的規(guī)章制度是做好網(wǎng)絡(luò)安全工作的重要保障，是網(wǎng)絡(luò)安全管理體系和網(wǎng)絡(luò)安全技術(shù)防護(hù)體系相結(jié)合的重要體現(xiàn)。高校應(yīng)在現(xiàn)有制度基礎(chǔ)上經(jīng)過充分調(diào)研和試運行，進(jìn)行制度規(guī)范和優(yōu)化，確保制度符合實際情況并可落實到位，以確保高校網(wǎng)絡(luò)安全管理工作的正常運行。

3.開展定期應(yīng)急演練、攻防演習(xí)

定期應(yīng)急演練是評估網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力和準(zhǔn)備工作是否充分的有效手段，通過演練可以發(fā)現(xiàn)應(yīng)急響應(yīng)計劃的不足之處，并及時進(jìn)行修正和完善。攻防演習(xí)是一種模擬網(wǎng)絡(luò)攻擊與防御的實踐活動，通過模擬真實攻擊手段和攻擊情景，測試網(wǎng)絡(luò)安全防御的能力，及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞和安全隱患。

定期開展應(yīng)急演練、攻防演習(xí)對于提升高校網(wǎng)絡(luò)安全防御和響應(yīng)能力至關(guān)重要。針對高校特殊的網(wǎng)絡(luò)安全需求和風(fēng)險，可以定制化設(shè)計應(yīng)急演練和攻防演習(xí)的內(nèi)容，如模擬高校內(nèi)部常見的攻擊手段和攻擊情境、惡意軟件攻擊等，以驗證網(wǎng)絡(luò)安全防御的有效性。同時，可以加強(qiáng)應(yīng)急演練和攻防演習(xí)的宣傳和推廣，提高高校網(wǎng)絡(luò)安全意識和能力。

●思考

隨著信息技術(shù)的快速發(fā)展和普及，在未來，網(wǎng)絡(luò)安全問題將越來越嚴(yán)峻，國家將面臨更多的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)安全體系建設(shè)是保障網(wǎng)絡(luò)安全的基礎(chǔ)，一個完善的網(wǎng)絡(luò)安全體系可以為學(xué)校和個人提供全面、系統(tǒng)和可靠的安全保護(hù)。筆者認(rèn)為，建設(shè)完善的網(wǎng)絡(luò)安全體系需要從以下幾方面來加強(qiáng)：

一是建立完善的網(wǎng)絡(luò)安全管理體系。安全管理的建立是網(wǎng)絡(luò)安全體系建設(shè)的關(guān)鍵，可以保證安全管理的規(guī)范和有效性，確保學(xué)校關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)。

二是加強(qiáng)網(wǎng)絡(luò)安全技術(shù)體系的建設(shè)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，加強(qiáng)對網(wǎng)絡(luò)安全的監(jiān)管，優(yōu)化網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)，尤其是建立數(shù)據(jù)安全保護(hù)體系，化被動防范為主動防御，可有效防范網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。

三是加強(qiáng)網(wǎng)絡(luò)安全日常檢查，建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制。安全漏洞的發(fā)現(xiàn)和修復(fù)是網(wǎng)絡(luò)安全體系建設(shè)的持續(xù)工作，同時，建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制是保障網(wǎng)絡(luò)安全的重要手段，對故障事件迅速、及時處理，減少損失。

四是加強(qiáng)網(wǎng)安領(lǐng)域人才培養(yǎng)，提高人才素質(zhì)。全面加強(qiáng)網(wǎng)絡(luò)安全人才儲備，加快建設(shè)人才培養(yǎng)體系，制訂具體的人才培育計劃。

五是提高全校師生網(wǎng)絡(luò)安全意識。安全意識的培養(yǎng)是網(wǎng)絡(luò)安全體系建設(shè)的重要組成部分，學(xué)校和個人需要加強(qiáng)安全意識教育和培訓(xùn)，提高安全防護(hù)意識和應(yīng)對能力。

總之，網(wǎng)絡(luò)安全體系建設(shè)需要全面考慮學(xué)校和個人的實際需求和風(fēng)險評估，采用多種手段和措施，以保障網(wǎng)絡(luò)安全。

●結(jié)語

大部分高校的信息系統(tǒng)經(jīng)過多年建設(shè)和完善，形成了以多元信息化應(yīng)用為基礎(chǔ)的立體式信息服務(wù)基礎(chǔ)環(huán)境。隨著國家法律法規(guī)對網(wǎng)絡(luò)安全提出更高的要求，高校應(yīng)重視網(wǎng)絡(luò)安全技術(shù)防護(hù)體系及安全管理體系的同步完善，技術(shù)防護(hù)及管理體系建設(shè)相融合，確保高校信息系統(tǒng)健康、有序發(fā)展。