淺析高校網絡安全防護關鍵

◆李 琴 杜 林 李建軍

（1.仲愷農業工程學院網絡與現代教育技術中心 廣東 510225； 2.仲愷農業工程學院輕工食品學院 廣東 510225）

1 高校網絡安全現狀分析

1.1 高校網絡現狀

計算機網絡的快速發展和應用普及為高校信息化建設奠定了堅實的基礎。隨著電子政務、商務等技術日漸成熟，高校師生通過簡易操作就可以完成購物、訂餐、約車、政務預約、接受來自世界各地的文化信息和娛樂節目等。校園網把多個領域資源整合共享，大學生可以在校園的任何地方完成選課、就餐充值、消費、查閱電子資源等，緩解了以往就餐充值和電子資源緊張等問題。目前大部分高校都存在多校區、多帶寬、用戶量大、應用業務復雜等問題，缺乏統一有效的安全防護，所以保證網絡安全，已成為高校網絡信息化建設重點任務[1]。

1.2 高校網絡技術威脅

在網絡規劃、設計、建設、應用、運行管理及網絡信息的收集、存儲、傳輸、處理等環節仍存在安全漏洞。師生在使用計算機時往往會忽視如不及時殺毒、修補漏洞、設置安全密碼、更新系統等安全細節，以及病毒、木馬入侵、黑客攻擊等無處不在、網絡威脅從網絡空間到物理空間、從炫技到圖財會時時刻刻威脅著高校網絡安全[2]。然而，當前的網絡安全防護大多是被動型的，主要模式僅限于發現一種攻擊或威脅，然后針對此威脅，提出防護手段。因此，網絡安全防護手段嚴重滯后于網絡攻擊手段。

1.3 高校網絡管理威脅

高校網絡主體用戶安全意識淡薄，安全意識亟待提升。電子支付、刷臉支付等消費方式已成為當今主流消費模式。高校師生在注冊開通網上銀行、社交平臺、支付平臺和應用軟件時，往往會面臨錄入實名制及個人信息的要求，也存在師生在支付平臺或軟件開通免密支付、電腦瀏覽網頁時通常選擇記住密碼等情況，極易造成師生個人信息泄露和財產損失[3]。高校學生獲取信息渠道多樣化，一些學生容易在不良網絡言論誘導下，他們可能會采取人肉搜索、人肉攻擊、網絡暴力、轉發虛假言論和誹謗信息等激進違法行為[3][4]。整個校園網的安全管理工作量大、任務重，網絡管理人員不足且經驗和技術能力有限，很難保證高校網絡安全的全面維護。此外，高校網絡設備及日常維護和監測經驗不足、網絡安全風險防范手段和機制不完善，在網絡管理方面缺乏資金投入及行之有效的管理制度，部分高校領導的重視程度也不夠，把網絡安全員定義為“消防員”角色，認為網絡安全僅僅看作保障手段，缺乏組織創新、變革、成功的動力。

2 根據網絡安全等級保護制度要求抓高校網絡安全防護之技術關鍵

網絡安全等級保護2.0 制度的實施使我國的網絡安全等級保護工作進入了一個新階段。在高校大力進行信息化建設的同時，它對高校網絡安全提出了新的要求。高校網絡安全可以依據網絡安全等級保護制度技術要求，進行相應技術防護。

圖1 高校等級保護總體設計流程圖

圖2 等級保護安全防護技術要求

在高校等級保護實施工作中，應根據圖1 高校等級保護總體設計流程圖所示，從全局出發，制定切實可行的等保實施規劃，分步實施網絡安全等級保護；按規劃要求全面梳理高校的信息資產，包括“雙非”系統（網站），只有在摸清信息資產底數并對業務流程、系統的現狀、特點及特殊安全需求進行全面分析情況下，才能對高校信息系統（網站）制定適合的安全設計方案；在此基礎上可以對所有信息系統進行重要性分析，對重要系統、部門實施特殊保障，從而進行分類、分級、分層有效的安全防護；對于用戶數多、涉及面廣的重要信息系統進行重點防護，從不同層次、不同位置設計安全保護機制、防御體系[5]。 等保2.0 中對系統安全防護提出了一套完整的技術要求標準。在高校網絡安全技術防護中可以按圖2 等級保護安全防護技術要求從物理、網絡、主機、應用及數據等技術要點進行防護，實現網絡安全防護工作。在物理安全方面應做到機房防震、防雷、防風、防火、防潮、防靜電、防雨、防盜等，從而做到網絡設備及存儲介質的安全防護；機房溫度、濕度等環境監測可以借助于現已廣泛應用的機房環境監測系統對機房環境進行實時且可視化的監控，結合符合高校實情的機房管理制度，充分保證機房環境及設備的物理安全性。在網絡安全方面應從各業務功能流程及物理分布出發，根據網絡拓撲圖劃分不同網段及地址做到網絡結構的安全；在網絡節點和邊界設置訪問控制機制，按確定的網絡訪問控制策略控制用戶對網絡的訪問。在防火墻上可以通過源地址、目的地址、源端口、目的端口和協議等相應的策略設置進行訪問控制，嚴格區分內、外網運行系統，限制用戶訪問權限，關閉不必要的對外開放服務，對于可以在VPN 系統中實現外網訪問的系統，均在VPN 系統中實現外網訪問，減少內部網絡系統對外開放風險。借助于上網行為審計等設備對用戶上網行為及設備運行狀況記錄，按等保要求審計記錄要保存6 個月以上；通過審計記錄結合上網實名認證系統，可以追溯安全事件的時間、用戶、數據、內容、狀態等，并通過分析可以根據安全事件特點制定防攻擊策略。在網絡設備登錄管理權限方面，可以通過身份標識、鑒別并在管理后臺設定IP 段、IP 及用戶密碼級別并設定賬戶嘗試登錄次數限制等措施防止爆破登錄以保設備安全；對登錄到操作系統和數據庫管理系統的一般用戶和系統用戶進行標識和鑒別。在應用、操作、數據庫管理等系統中，采用密碼、完整性等檢驗機制保證數據信息安全。對高校重要信息系統、用戶數量多、有敏感信息的信息系統和基礎設施，嚴格執行等級保護的有關規定，加強監督檢查，實行更為嚴格的信息安全等級保護管理制度保障。通過在防火墻，上網行為審計系統、上網認證系統、入侵檢測系統、殺毒軟件等設備及相應策略機制等技術手段保證網絡邊界、應用、數據、用戶等安全[6]。

3 高校網絡安全防護之關鍵管理安全

3.1 采取多種宣傳方式，提升網絡安全防范意識

高校可以通過不定期開展線上、線下宣傳及課程培訓等多種方式相結合，來提升廣大師生的網絡安全意識，對于個人電腦等上網設備，必須安裝防火墻、殺毒軟件并及時升級，及時更新補丁并定期查殺病毒、木馬等，及時進行數據備份并關閉暫時不使用的上網設備及電源，做到防患于未然。高校師生應謹慎對待個人信息，設置QQ 空間及微信朋友圈的訪問權限，關閉免密支付功能等預防個人信息泄漏。通過對網絡安全法的學習，讓師生做到不傳播流言、不相信謠言，杜絕網絡安全事件發生及不良信息在高校網絡中傳播，避免在使用網絡的過程中觸犯法律[7]。

3.2 制定符合高校實情的網絡安全管理規章制度、做好網絡安全建設經費、人員保障

高校網絡安全管理需要有相應的規章制度來約束和規范。高校應根據國家網絡安全管理的相關法律法規要求，根據高校自身的實際情況，制定和完善高校師生、計算機機房、信息系統、應急事件處理、信息發布、應急預案、輿情監控等網絡安全管理制度，明確網絡使用規范。在網絡安全重要時期，要加強網絡安全監測，有獨立機房和服務器等重點部門、重點崗位、重點時期要進行重點防護。在發生突發網絡安全事件時，高校各單位要嚴格落實《網絡安全突發事件應急預案》對突發事件應急工作的要求，做好突發事件應急響應、溯源及上報等工作。高校要高度重視網絡安全人員及設備建設，適當增加資金投入，購置先進的設備和系統，在硬件和軟件上保證高校網絡安全管理的穩定性，提高網絡效率和安全系數，并選聘專業計算機技術人員，定期對負責網絡安全維護的相關技術人員進行培訓和考核。

3.3 建立、健全高校網絡安全管理和責任體系

高校網絡安全管理應遵循信息安全等級保護中“誰主管、誰負責，誰使用、誰負責，誰運營、誰負責”的信息安全責任制原則，統一領導、分級管理的原則，建立健全高校網絡安全管理和責任體系。各級單位要指定專人負責網絡安全信息的維護，以安全為中心，明確第一責任人，自上而下高度重視，并簽署《網絡安全責任書》，保證責任到人。對于高校學生群體要用多種措施結合網絡設備及系統，做好輿情監控、報告、處理防護工作，確保校園網安全運行。

4 結語

校園網在為師生提供便利的同時，也帶來了許多安全隱患。高校應按網絡安全等級保護2.0相關要求，網絡信息建設、應用、管理和安全統籌規劃設計，從物理、網絡、主機、應用及數據等技術要點進行防護，提升廣大師生網絡安全防范意識，結合網絡安全管理規章制度，建立、健全高校網絡安全管理和責任體系，從而實現技術和管理雙輪驅動，確保高校網絡安全。