智慧校園網絡與信息安全防護的實施—以浙江中醫藥大學為例

馬 亮，王曉東，賴小波

浙江中醫藥大學：1 信息與教育技術中心；2 第三臨床醫學院；3 醫學技術學院， 杭州 310053

高校信息化建設發展迅速。信息化程度越高，網絡安全問題就越突出，網絡安全防護工作遇到的挑戰也會越嚴峻[1-3]。2017年6月1日，《中華人民共和國網絡安全法》正式實施，提出“保障網絡安全，維護網絡空間主權和國家安全、社會公共利益”“采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性”[4]。針對目前高校網絡和信息安全所受威脅，根據高校網絡與信息安全風險類型，從管理和技術的角度規劃設計網絡與信息安全防護體系，確保高校網絡安全穩定運行，是所有高校都必須重點抓的一項艱巨任務。

1 智慧校園網絡與信息安全面臨的威脅分析

智慧校園網絡與信息安全[5-9]常見威脅包括以下幾個方面：

①操作系統漏洞及網絡協議本身的缺陷。網絡安全離不開網絡操作系統的安全，許多攻擊就是由于操作系統本身源代碼、不正確的配置等缺陷造成。因此，在智慧校園網絡建設時，盡量選擇安全性高的操作系統，及時打補丁，加強用戶登錄認證，控制用戶權限，防止非法訪問及重要信息的泄露，否則將會導致嚴重的后果。另外，黑客還會利用一系列如sniffer、wire- shark等抓包工具來竊取網絡傳輸中的信息，進行數據竊聽、IP欺騙、ARP欺騙、SYN Flood與Land攻擊、Tear- drop攻擊等。

②計算機病毒、網頁掛馬攻擊。計算機病毒種類繁多、傳播速度快、消耗資源，甚至會導致DOS，給用戶帶來很大煩惱。應增強用戶的安全意識、安裝殺毒軟件、下載經過認證的安全軟件，做好終端安全。

③不良信息及垃圾郵件的傳播，給師生使用網絡帶來困擾。

④管理者對網絡和信息安全問題重視不夠，沒有建立安全制度，或者所建制度形同虛設等。

2 智慧校園網絡與信息安全防護體系設計

浙江中醫藥大學是以中醫中藥為特色學科的教學研究型大學，是浙江省人民政府、國家中醫藥管理局、教育部共建高校，師生分布于濱文校區和富春校區，兩個校區分別建有網絡機房，保障2萬多用戶正常使用網絡。該校自2010年啟動數字化校園建設，逐步完成了三大平臺和20多個業務系統建設，以及各學院和部門的網站建設。隨著數字化校園建設的不斷深化，新增的網站和業務系統不斷增多，需求變得更復雜，維護和管理難度增大，網絡安全隱患也不斷增加，業務數據共享遠遠不夠。于是，該校自2015年啟動智慧校園建設規劃，綜合考慮可實施性、可管理性、可擴展性、系統均衡性等原則，從網絡與信息安全、數據共享和服務、信息化統一監控和運維等方面進行智慧校園建設頂層設計，設計后的智慧校園體系架構如圖1所示。文章限于篇幅，重點分析網絡與信息安全，網絡和信息安全覆蓋了從物理層到應用的所有安全相關問題。網絡與信息安全保障體系包括：管理安全、網絡安全、主機安全、應用安全、數據安全、等保測評等，如圖2所示。

圖1 智慧校園體系架構

圖2 網絡與信息安全保障體系架構

管理安全：需要做好安全管理體系建設，從安全領導小組到安全保障員都要重視網絡和信息安全，建立規范的制度和安全操作手冊，開展安全培訓，以確保網絡和信息安全。

網絡安全：包括安全網關、入侵檢測、防火墻，VPN接入等。

主機安全：包括漏洞修補、訪問權限控制、安全加固、堡壘主機等。

應用安全：包括流量負載均衡、統一身份認證、Web漏洞掃描等。

數據安全：包括數據備份與恢復、數據庫審計、數據加密、容災備份等。

等保評測：根據《中華人民共和國計算機信息系統安全保護條例》中規定的信息系統安全等級測評標準進行評估、整改。

另外，還建立統一的運維監控管理平臺，實時監控網絡和信息安全，一旦發現安全問題，根據預警情況迅速處理。

3 智慧校園網絡與信息安全防護實施經驗

該校自2016年開始智慧校園建設，年底基本完成一期工程，先后經歷了G20杭州峰會、烏鎮國際互聯網峰會和2017年全國學生運動會的網絡安全保障考驗，分別獲得了2016年度和2018年度平安校園建設先進單位榮譽稱號。這些都得益于以下四個方面：

3.1 領導高度重視網絡安全，建立健全相關制度，確保管理安全

該校在積極推進智慧校園建設的過程中，高度重視信息安全保障建設工作，把信息安全的建設與管理放在學校各項工作的重要位置。2016年，建立了校長掛帥的智慧校園建設領導小組和工作小組，成為學校網絡安全和智慧校園建設的主要組織保證。2018年，成立了網絡與信息安全工作領導小組，制定發展規劃、政策，統籌協調、研究解決涉及網絡安全和信息化工作的重大問題。該校發布了一系列網絡和信息安全相關的規章制度，包括《計算機及計算機網絡信息系統保密管理規定》《關于加強網絡信息安全管理工作的通知》《校園計算機網絡建設與管理暫行辦法》《實名上網認證帳號申請》《機房安全管理制度》《機房操作管理制度》《機房消防安全管理制度》《數據維護及備份管理制度》《校園網應急操作規程》《網絡與信息安全應急處理辦法》等，相關制度越來越健全。

通過各種方式定期或不定期開展網絡與信息安全知識講座和論壇，宣傳網絡安全知識、強化網絡安全意識。根據網絡安全教育和培訓計劃，組織各部門的網絡管理員進行網絡安全法規學習和網絡安全技術培訓。

3.2 從技術和設備上確保網絡安全、主機安全、應用安全和數據安全

該校每年安排網絡與信息安全專項經費，用于網絡與信息安全建設。校園網絡出口配置了具有網絡入侵檢測和防護的防火墻，配置了VPN系統，對需要校外訪問的重要應用予以保護；校內統一進行VLAN規劃，對財務專網等重要系統采用物理隔離；所有的開發和維護工作需要登錄服務器時，通過堡壘主機進入操作，操作記錄可以回放，日志可以查詢。

建立統一的站群系統，并裝備網站漏洞掃描系統，對校內各類網站定期進行漏洞掃描，對于存在安全漏洞的網站，通知負責人及時整改后再上線(如圖3、圖4所示)。新建平臺和網站必須要填寫《浙江中醫藥大學網絡平臺審批(備案)表》進行審批。每年3月份對全校范圍內網絡平臺(含網站和業務系統)進行集中網絡漏洞掃描，及時向相應管理員反饋掃描結果。

圖3 網站漏洞掃描結果為危險的網站

圖4 整改后變得安全的網站

對訪問量大的教務系統做了流量負載均衡，以確保應用系統的正常使用；對重要應用建立了存儲數據容災備份機制；對數據中心進行雙機熱備，購買了數據庫審計系統，確保數據安全。

“堡壘最易從內部攻破”，校內網師生用戶的電腦也可能成為攻擊源，為了防止校內地址的試探性和惡意攻擊，校內網的用戶上網必須實名認證，訪問日志保留6個月可查。在校園網絡規劃設計時采用了具有入侵檢測功能的雙防火墻設計：校園網的進出口放置一臺防火墻抵御校外IP地址的攻擊，在校內所有服務器之前再放置一臺功能更強大的防火墻，既可以檢測校外IP地址，又可以檢測校內IP地址。入侵檢測規則一旦觸犯，自動針對該IP地址封堵端口和服務，并短信通知網絡管理員，對于連續發起攻擊的可疑IP，加入封堵名單。系統管理員可以查詢黑白名單列表，查出被封堵的IP地址用戶后及時通知該用戶，該用戶必須再次申請，系統管理員確認后才能解除封堵。

3.3 積極進行等級保護評測

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現，除了安全控制評測，還包括系統整體評測，并根據評測結果進行整改。目前，該校已經完成11個系統的等級保護二級備案工作，后續的系統還在陸續進行等級保護評測中，如圖5所示。

圖5 信息系統安全等級保護備案證書

3.4 加強網絡與信息安全監控，實時掌握網絡安全狀態

該校建立了網絡與信息安全統一監測平臺、24小時網絡輿情監控平臺、第三方網絡安全監察服務機制和網絡突發事件應急措施，實時掌握學校網絡與信息安全保護狀況。每逢重大活動和會議期間，均安排專職員工進行24小時值班，實時監控網絡安全。

4 總結

智慧校園建設過程中，網絡和應用的規模更加龐大，網絡結構更加復雜，用戶數不斷增多，網絡與信息安全問題不容忽視。該文以浙江中醫藥大學為例，介紹了智慧校園網絡與信息安全防護體系及其實施經驗，今后將進一步加強技術防護方案的改進，優化安全預警平臺，以確保校園網絡與信息安全。