“互聯(lián)網(wǎng)+”背景下的校園網(wǎng)安全現(xiàn)狀及對策研究

呂美敬

（中央財經(jīng)大學(xué)網(wǎng)絡(luò)信息中心， 北京 100081）

1 引言

“互聯(lián)網(wǎng)+”是指將互聯(lián)網(wǎng)技術(shù)應(yīng)用于各個傳統(tǒng)行業(yè)中，充分發(fā)揮互聯(lián)網(wǎng)技術(shù)的優(yōu)勢。隨著“互聯(lián)網(wǎng)+”技術(shù)的飛速發(fā)展，“互聯(lián)網(wǎng)+”教育、“互聯(lián)網(wǎng)+”金融、“互聯(lián)網(wǎng)+”媒體、“互聯(lián)網(wǎng)+”醫(yī)療在生活中的廣泛普及，網(wǎng)絡(luò)則更加深刻地影響著高校師生的日常學(xué)習(xí)和工作。高校管理者和信息安全工作者為適應(yīng)信息化時代的發(fā)展要求，積極利用“互聯(lián)網(wǎng)+”的思維，采用先進的互聯(lián)網(wǎng)信息技術(shù)來建設(shè)高校校園網(wǎng)絡(luò)。先進的互聯(lián)網(wǎng)技術(shù)不僅可以讓高校教師更好地進行教學(xué)、科研和管理，學(xué)生也能更好地利用校園網(wǎng)絡(luò)開拓視野、創(chuàng)新學(xué)習(xí)。高校師生在享受“互聯(lián)網(wǎng)+”技術(shù)帶來便利的同時，也應(yīng)該意識到基于“互聯(lián)網(wǎng)+”技術(shù)建設(shè)的校園網(wǎng)帶來的網(wǎng)絡(luò)安全問題。

2 “互聯(lián)網(wǎng)+”背景下的校園網(wǎng)絡(luò)安全現(xiàn)狀

根據(jù)2018年中國互聯(lián)網(wǎng)發(fā)展狀況統(tǒng)計調(diào)查數(shù)據(jù)顯示，截至2018年6月，在學(xué)校通過電腦接入互聯(lián)網(wǎng)的比例增長了0.5個百分點。中國網(wǎng)民中學(xué)生群體最多，占比達24.8%?；ヂ?lián)網(wǎng)+模式在逐漸融入到師生工作和學(xué)習(xí)的方方面面，即時通信、搜索引擎、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)音樂、網(wǎng)上支付、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)游戲、網(wǎng)上銀行、網(wǎng)絡(luò)文學(xué)、旅行預(yù)定、電子郵件、互聯(lián)網(wǎng)理財、地圖查詢、網(wǎng)上訂外賣、在線教育、網(wǎng)約出租車、網(wǎng)約專車或快車、網(wǎng)絡(luò)直播、共享單車等。智能水（電）表、門禁、節(jié)能路燈、電子班牌、攝像頭這些與學(xué)生生活、教學(xué)數(shù)字化相關(guān)的新型終端，越來越多地出現(xiàn)在校園，承載在校園網(wǎng)中。各種電腦設(shè)備以及移動設(shè)備的接入互聯(lián)，有線網(wǎng)絡(luò)及無線網(wǎng)絡(luò)在學(xué)校的廣泛普及，使得校園網(wǎng)絡(luò)環(huán)境更加錯綜復(fù)雜，校園中的某一臺設(shè)備遭受攻擊，如感染某種病毒，可能導(dǎo)致系統(tǒng)損壞或者大量數(shù)據(jù)信息泄露，也有可能在整個校園局域網(wǎng)中擴散破壞整個網(wǎng)絡(luò)環(huán)境，導(dǎo)致校園網(wǎng)癱瘓，必將給高校的正常運轉(zhuǎn)帶來巨大的損失。

當前互聯(lián)網(wǎng)受到的攻擊種類很多，首先來自學(xué)校內(nèi)部的惡意攻擊，高校學(xué)生的計算機能力參差不齊，有的學(xué)生好奇心強或者受利益驅(qū)動，利用自己擅長具備的網(wǎng)絡(luò)技術(shù)惡意攻擊學(xué)校的某些服務(wù)器或者其他師生的電腦，比如篡改他人成績、修改選課信息等，給校園網(wǎng)的安全運行帶來嚴重影響；其次是外部黑客的蓄意攻擊，比如植入木馬病毒、DDoS 攻擊或數(shù)據(jù)盜竊等。2017年爆發(fā)的勒索病毒，攻擊了很多大型企業(yè)，包括高校，導(dǎo)致這些單位的辦公電腦藍屏，重要文件被破壞，病毒通過郵件、網(wǎng)頁甚至手機侵入，將電腦上的文件加密，受害者只有按要求支付一定的金額才能解密，不按時支付，病毒聲稱電腦中的數(shù)據(jù)信息將會永遠無法恢復(fù)，這次病毒席卷全球，給多數(shù)企業(yè)和高校師生帶來嚴重損失；第三是高校校園網(wǎng)的建設(shè)包括硬件建設(shè)和軟件建設(shè)兩個部分，由于技術(shù)、人員、經(jīng)費等各方面的限制，校園網(wǎng)在建設(shè)過程中存在一定的不合理性，部分高?？赡艽嬖谥赜布p軟件的建設(shè)模式，導(dǎo)致校園網(wǎng)在實際的運行過程中造成一定的硬件資源浪費，而軟件建設(shè)又投入不足，軟硬件發(fā)展不協(xié)調(diào)，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)問題難以排查追蹤，在一定程度上為校園網(wǎng)的安全埋下了隱患；第四是高校信息安全技術(shù)人員往往重管理輕技術(shù)，隨著網(wǎng)絡(luò)安全法的正式運行，大部分高校已經(jīng)開始重視網(wǎng)絡(luò)安全管理，但是仍舊缺乏完善的規(guī)章制度和激勵機制，網(wǎng)絡(luò)管理人員沒有實行定崗明責，遇到問題不能及時排查，對網(wǎng)絡(luò)的日常監(jiān)管有所忽視，也給不法分子帶來可趁之機。

3 對策研究

高校網(wǎng)絡(luò)安全不僅僅是傳統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全，也包括管理層面及執(zhí)行層面的安全。我們從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、安全層和管理層等五個層面建立可信、可靠的高校網(wǎng)絡(luò)安全體系。物理層是網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，是校園網(wǎng)安全體系的核心和基礎(chǔ)；網(wǎng)絡(luò)層是實現(xiàn)數(shù)據(jù)通信安全的重要保障；系統(tǒng)層是實現(xiàn)信息采集、存儲、傳輸、存取和管理的途徑；安全層是校園網(wǎng)絡(luò)安全的技術(shù)支撐和保障；管理層是決策層，是校園網(wǎng)絡(luò)安全體系的政策導(dǎo)向和制度保障。

3.1 物理層

機房是企業(yè)整個網(wǎng)絡(luò)的核心和數(shù)據(jù)交換中心，匯聚了大量的網(wǎng)絡(luò)設(shè)備及數(shù)據(jù)信息，機房物理環(huán)境的安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全保障，是數(shù)據(jù)安全存儲的大前提。機房環(huán)境安全應(yīng)從機房選址、周圍環(huán)境、防火、防盜、防破壞、防雷擊、防水和防潮、防靜電和溫濕度控制方面嚴格按照國家對于核心機房建設(shè)的標準規(guī)范進行，確保工程材料和設(shè)備都滿足標準規(guī)范的要求。有條件的單位應(yīng)在機房出入口安排專人值守，并對出入人員進行控制、鑒別和登記。在機房設(shè)置視屏監(jiān)控記錄設(shè)備，視頻監(jiān)控范圍應(yīng)覆蓋到所有重要部位。機房建筑應(yīng)設(shè)置避雷裝置，且與大樓避雷分開，單獨建設(shè)機房避雷裝置。

3.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層主要負責網(wǎng)絡(luò)間的通信，為網(wǎng)絡(luò)通信提供路由選擇，提供透明傳輸，校園網(wǎng)中的重要網(wǎng)絡(luò)設(shè)備如路由器、三層交換機均位于網(wǎng)絡(luò)層。在日常的網(wǎng)絡(luò)維護過程中，路由器和三層交換機等設(shè)備不能使用缺省的密碼來驗證用戶身份，并且禁止通過HTTP或者遠程Telnet方式訪問，均采用SSH或者HTTPS等安全方式登錄，網(wǎng)絡(luò)設(shè)備上啟用登錄失敗處理和登錄超時功能，并設(shè)置合理的參數(shù)。限制網(wǎng)絡(luò)設(shè)備遠程管理地址，其顆粒度應(yīng)達到主機級。為不同級別的管理員設(shè)置獨立賬戶并定期更換網(wǎng)絡(luò)設(shè)備的口令。

3.3 系統(tǒng)層

系統(tǒng)層主要包括信息系統(tǒng)建設(shè)安全與運維管理安全。隨著智慧校園的建設(shè)和各類應(yīng)用系統(tǒng)的普及，師生對業(yè)務(wù)系統(tǒng)的的訪問量也逐漸加大，網(wǎng)絡(luò)安全問題也隨之產(chǎn)生。信息系統(tǒng)在設(shè)計方案中應(yīng)考慮安全防護設(shè)計，在軟件開發(fā)過程中應(yīng)該規(guī)范系統(tǒng)開發(fā)的流程和管理，建立安全編碼規(guī)范和代碼安全審查制度，確保系統(tǒng)建設(shè)安全可控。信息系統(tǒng)安全貫穿于系統(tǒng)需求分析階段、設(shè)計與分析階段、實施階段、測試階段、驗收階段、系統(tǒng)維護階段的整個生命周期，每個階段都需要確定信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)需求和安全基線要求。系統(tǒng)運維人員定期安裝系統(tǒng)補丁程序，啟用所有用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用，加強信息系統(tǒng)中數(shù)據(jù)輸入模塊的源代碼審計，增強對數(shù)據(jù)輸入的驗證。系統(tǒng)的關(guān)鍵頁面，如網(wǎng)站后臺管理頁面、Tomcat等Web服務(wù)及中間件的管理頁面，應(yīng)限制特定IP地址訪問，不允許用戶直接訪問這些頁面；信息系統(tǒng)的目錄文件夾應(yīng)禁止訪問，避免目錄列出漏洞。對于已建設(shè)完成的信息系統(tǒng)，應(yīng)定期進行漏洞掃描工作，并對產(chǎn)生的漏洞定期進行整改。按照《網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護2.0》《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》等重要等級保護技術(shù)標準，對重要信息系統(tǒng)進行等級保護測評工作。

3.4 安全層

啟用安全設(shè)備，構(gòu)建成“外—中—內(nèi)—基”四層網(wǎng)絡(luò)安全防護體系：第一層是網(wǎng)關(guān)層也是外部防護層，網(wǎng)關(guān)層是整個網(wǎng)絡(luò)安全架構(gòu)的關(guān)鍵組成部分，承擔著安全防護、應(yīng)用控制、安全連接、多運營商加速等多維度的復(fù)雜任務(wù)，網(wǎng)關(guān)層配置防火墻設(shè)備、VPN安全網(wǎng)關(guān)，以實現(xiàn)自動防護功能；第二層是應(yīng)用層，也是中間防護層，隨著高校各類應(yīng)用的開放性和交互性增強，部署網(wǎng)站監(jiān)控預(yù)警平臺、防暴力破解系統(tǒng)、網(wǎng)站防篡改系統(tǒng)、入侵檢測防御系統(tǒng)等，來防護SQL注入、XSS跨站攻擊、網(wǎng)站掛馬、篡改攻擊、暗鏈黑鏈等攻擊，以實現(xiàn)對安全威脅的進一步防護；第三層終端層，也是內(nèi)部防護層，對高校師生準入采取安全防控措施，盜版軟件是電腦病毒的重要來源和傳播者，高校應(yīng)加強軟件的管理，杜絕盜版軟件，推進操作系統(tǒng)、office辦公等軟件的正版化工作。終端PC和移動設(shè)備安裝殺毒軟件，服務(wù)器定期打補丁，修復(fù)漏洞；第四層是審計層，也是基層防護層，部署漏洞掃描評估系統(tǒng)、上網(wǎng)行為管理與審計系統(tǒng)、數(shù)據(jù)庫安全審計系統(tǒng)、網(wǎng)絡(luò)日志服務(wù)器，記錄所有設(shè)備日志便于存檔和查看，以實現(xiàn)對物理、主機、應(yīng)用、數(shù)據(jù)等所有安全控制項的安全管理和防護。

3.5 管理層

圖2 校園網(wǎng)絡(luò)安全四層防護體系

成立高校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，負責統(tǒng)籌協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)相關(guān)工作。網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組應(yīng)嚴格按照《網(wǎng)絡(luò)安全法》《信息安全等級保護管理辦法》等政策文件對于網(wǎng)絡(luò)安全、信息系統(tǒng)等級保護測評的要求，解讀上級政策文件，配合上級部門的監(jiān)督檢查。利用國家網(wǎng)絡(luò)安全宣傳周等契機，加強在校師生進行網(wǎng)絡(luò)安全法的教育，通過線上線下結(jié)合的宣傳渠道，努力將“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”的理念傳遞到學(xué)校內(nèi)外，提醒廣大師生要清楚個人在網(wǎng)絡(luò)虛擬環(huán)境下的權(quán)利、義務(wù)和責任，進一步增強網(wǎng)絡(luò)安全意識，提高學(xué)院、部門和個人的網(wǎng)絡(luò)安全防范能力。為加強網(wǎng)絡(luò)安全管理，校園網(wǎng)準入時，要進行真實姓名和身份證號登記與驗證。加強校園網(wǎng)絡(luò)管理人員的技能培訓(xùn)和網(wǎng)絡(luò)安全意識培訓(xùn)，遇到問題及時處理，為日常教學(xué)工作和科研工作提供可靠的保障。

4 結(jié)束語

“互聯(lián)網(wǎng)+”時代下的高校校園網(wǎng)絡(luò)是不斷變化和錯綜復(fù)雜的，隨著安全技術(shù)和智慧校園的綜合發(fā)展，業(yè)務(wù)系統(tǒng)、校園應(yīng)用、網(wǎng)絡(luò)安全這三者從相互分離的狀態(tài)逐漸走向融合，高校信息化工作者應(yīng)根據(jù)高校自身特點和校園網(wǎng)特征不斷完善，開拓思路，勇于創(chuàng)新，加強高校信息安全人才培養(yǎng)，建立一支與“互聯(lián)網(wǎng)+”快速發(fā)展相適應(yīng)的網(wǎng)絡(luò)安全管理專業(yè)隊伍，確保校園網(wǎng)絡(luò)安全穩(wěn)定運行，以更好地姿態(tài)完成高校信息化建設(shè)工作。