新形勢下高校網絡安全防護體系建設研究

◆鐘機靈

（河源職業技術學院信息中心 廣東 517000）

1 引言

黨的十八大以來，國家高度重視網絡安全工作，出臺了《國家網絡安全法》、《國家網絡空間安全戰略》等法律法規，把網絡安全工作提升到國家安全的高度，提出“沒有網絡安全就沒有國家安全，網絡安全與信息化建設是一體之兩翼、驅動之雙輪”等重要論述[1]。高校信息系統規模大，用戶群體多，受關注度高，網絡安全形勢非常嚴峻，傳統的“亡羊補牢”式防護手段已無法保障高校網絡安全，高校網絡安全涉及多個要素，根據TCP/IP參考模型的層次劃分，可以把網絡安全分為物理層安全、數據鏈路層安全、網絡層安全、傳輸層安全、應用層安全和用戶層安全。“木桶法則”適用于網絡安全，必須綜合考慮每一層的安全，才能確保整個網絡系統的安全，因此，高校的網絡安全必須依靠建立一個安全防護體系，充分考慮到學校的每一個安全節點、每一個要素，并把這些要素有機聯系起來，形成綜合防護體系，才能有效保障高校網絡安全。

2 存在問題

根據筆者所在高校網絡情況，梳理了學校在網絡方面存在的問題，主要如下：

（1）網絡安全工作機制不夠健全

高校信息資產龐大，包括各類服務器、信息系統、網站系統、網絡信息點和電腦等，均涉及網絡安全工作開展問題，網絡安全工作是一項系統性工程，涉及的人多、事多、部門多，若沒有一個健全合理的網絡安全工作機制，缺少專職隊伍進行網絡安全維護，高校的網絡安全工作很難做得好，網絡安全工作責任制也難以真正落實到位[2-3]。

（2）落實網絡安全等級保護工作不夠到位

國家《網絡安全法》規定，“我國實行網絡安全等級保護制度”，并要求每兩年對所有二級系統完成一次等級保護測評工作。這是衡量一個系統或網站是否安全與合規的依據。但是，由于高校的信息系統數量多，信息化資產龐大，信息系統之間的數據流復雜，實施等級保護工作量極大，需要投入相當多的人力物力，一般高校都因為人手不足，或者涉及的關系人多而應付了事，因此，有時候一個系統即使完成了等級保護工作，它的防護效果也不能令人滿意。

（3）網絡安全工作經費投入不夠

隨著信息化的發展，一般高校把大部分經費都用于信息化應用方面的建設，而在網絡安全方面的專項經費比例偏低，開展網絡安全等級保護工作所需的費用不小，市場價是4萬元/系統（網站），若按一般高校的網站和系統數量計算，預算要數百萬元，對于山區高職院校來說，這是一筆不菲的投入，面臨資金困難問題。

（4）師生網絡安全意識薄弱

青年學生思想活躍，好奇心強，近年來，高校學生攻擊網絡系統，篡改或泄露系統數據，利用漏洞非法販賣上網賬號，利用翻墻軟件非法瀏覽國外敏感信息并傳播的事件時有發生。學生網絡安全法律意識薄弱，網絡安全法律專題教育不夠。

3 建設目標

高校要高度重視網絡安全工作，貫徹落實《網絡安全法》，建立健全學校網絡安全工作機制，完善規章制度，落實責任制度，有效防范、控制和抵御信息安全風險，增強安全預警、應急處置和災難恢復能力，提高學校整體安全防護水平，形成與學校信息化發展相適應的、完備的網絡安全保障體系。

4 建設措施

（1）健全網絡安全工作機制，專人專崗，強化執行

在高校成立網絡安全與信息化領導小組統籌學校網絡與信息安全工作，小組成員由學校各職能部門負責人以上人員組成，定期召開會議，協調網絡安全與信息化的發展問題，在領導小組下面成立網絡安全具體事務辦理機構，負責開展網絡安全日常工作，做到專人專崗，強化執行。

（2）深入貫徹落實《國家網絡安全法》，全面開展網絡安全等級保護工作

按照《網絡安全法》的具體要求，制定學校網絡安全管理制度和操作規程，規范應急處置流程，建立健全縱向貫通上下級和橫向聯通學校各部門的常態化工作溝通、協助和支援機制。按照國家網絡安全等級保護要求，對學校各類信息系統（網站）開展定級備案、整改測評和驗收測評等工作，重要系統（網站）必須在通過等級保護測評并與運營責任人、使用責任人簽訂安全責任書后，才能開通上線運行。按照《網絡安全法》的具體要求，制定學校網絡與信息安全應急預案，每年開展一次網絡安全應急演練，明確應急處置流程和權限，提高網絡與信息安全應急處置能力[4-5]。

（3）采用人防、技防相結合的模式建立多層次的網絡與信息安全技術防護體系

a）制定學校網絡與信息安全總體規劃方案。按照國家有關網絡和信息安全的政策要求，結合學校實際，進一步完善學校網絡與信息安全總體規劃方案，方案經行業專家論證后組織分步實施。

b）引進漏洞檢測設備或委托第三方安全檢測機構，定期對學校信息系統進行漏洞檢測和滲透測試，對于存在高危漏洞的信息系統及時進行整改。在學校網絡出口上封堵高危端口，啟用全網流量解析技術，加強安全“運維”審計。

c）加強學校上網行為審計管理。重新梳理學校網絡拓撲架構，在技術可行的情況下，采用“直連模式”部署學生上網行為審計系統，定期購買“非法上網行為特征庫”，切實防范學生采用翻墻軟件，代理軟件、VPN等非法瀏覽國外有害信息，采用名單過濾、關鍵詞過濾、圖像過濾、模板過濾和智能過濾等技術手段，從源頭控制學生傳播非法信息。

一般高校的上網行為審計系統采用旁路方式掛接在核心交換機上，這樣的好處是，校園網日常運行不受上網行為審計系統設備性能影響，不存在單點故障。缺點是上網行為審計系統只能獲取用戶上網流量信息，而無法做到控制學生的上網行為，這是一種事后行為，做不到事前預警，事中控制的效果。采用旁路方式連接的設備網絡拓撲如圖1所示。

圖1旁路連接方式網絡拓撲圖

為了實現對上網用戶的行為控制管理，由事后管理變成事前預警，事中控制的效果，需要把上網行為審計系統采用“直連方式”架構，同時，為了避免設備成為校園網出口的單點故障，需要部署ByPass設備，當上網行為審計系統宕機時，校園網出口流量繞過該設備，直通互聯網，并短信告警技術維護人員，及時處理設備故障，恢復上網行為審計系統運行。采用“直連方式”連接的網絡拓撲如圖2所示。

圖2“直連方式”網絡拓撲圖

d）落實重要時期學校網絡安全值守制度。在重要時期由網絡安全領導小組統籌安排學校網絡安全值守工作任務，或購買第三方公司的網絡安全值守服務，協助落實重要時期網絡安全值守制度。

4.加強師生網絡安全教育與技能考核

a）網絡安全知識進課程。在《計算機應用基礎》課里新增網絡安全方面章節，每年面向大一新生講授網絡安全知識。

b）網絡安全宣傳活動進校園。每年按照國家制定下發的《網絡安全宣傳周》活動實施方案，大力開展網絡安全宣傳教育進校園活動，深入宣傳學習《網絡安全法》及配套法律法規，通過知識競賽、專題講座、宣傳海報、互動交流等渠道普及網絡安全知識，提升師生網絡安全意識和防護技能，營造健康文明的校園網絡環境[6]。

c）網絡安全進考核。按照“誰主管誰負責，誰運營誰負責，誰使用誰負責”的原則，學校各部門負責人負責本部門的網絡信息安全領導責任，各技術管理員負責所管實訓室或信息系統的網絡安全管理工作，在各部門的年度責任書里設立網絡安全工作考核指標，在技術管理員的績效考核里設立網絡安全考核內容。

5 結束語

沒有網絡安全就沒有校園安全，網絡安全是一個系統工程，單靠某一個人或部門無法把網絡安全工作做好，網絡安全工作遵循“木桶”原理，需要每一個人、每一個部門通力協作才能做好，要通過建立健全工作機制，落實等級保護制度，采用“人防+技防”相結合的方式以及提高師生網絡安全意識與技能考核等措施來構建高校網絡安全綜合防護體系，才能把高校的網絡安全工作做好。