高校網(wǎng)絡(luò)安全問題研究與防御體系探索

◆李運(yùn)佳 張智勇 陳知新 李竹村 肖新祥

（湖南師范大學(xué)（長(zhǎng)沙）信息化中心湖南 410081）

當(dāng)前，高校信息化建設(shè)工作正在穩(wěn)步推進(jìn)，應(yīng)用系統(tǒng)的整合、統(tǒng)一門戶平臺(tái)的實(shí)施、數(shù)據(jù)中心的建立、手機(jī)客戶端和微信小程序的上線都為廣大師生提供了方便的信息化服務(wù)。伴隨越來越多的應(yīng)用和服務(wù)的上線，這對(duì)高校網(wǎng)絡(luò)與信息安全工作提出了更高要求。[1]在確保廣大師生信息系統(tǒng)服務(wù)正常的同時(shí)，如何建立科學(xué)、立體的網(wǎng)絡(luò)安全防護(hù)技術(shù)體系以保障學(xué)校的網(wǎng)絡(luò)與信息安全工作成為當(dāng)前高校網(wǎng)絡(luò)安全管理人員的首要工作[2]。

1 高校校園在網(wǎng)絡(luò)安全方面存在以下問題

（1）計(jì)算機(jī)或者網(wǎng)絡(luò)自身存在的系統(tǒng)漏洞，可能導(dǎo)致信息泄露、被惡意控制或者更嚴(yán)重的后果[3]；（2）在數(shù)據(jù)包傳輸過程中會(huì)面臨被竊取、被惡意篡改、被假冒利用或者蓄意破壞的風(fēng)險(xiǎn)；（3）在高校校園里，行政人員、老師和學(xué)生經(jīng)常會(huì)使用電子郵件、在互聯(lián)網(wǎng)查詢信息、利用移動(dòng)硬盤等存儲(chǔ)設(shè)備拷貝文件，一旦感染病毒將損失巨大，大多數(shù)病毒是利用用戶未加辨別的下載、不經(jīng)意間打開導(dǎo)致的傳播，校園網(wǎng)是一個(gè)整體，各個(gè)節(jié)點(diǎn)相互連接，極易造成病毒互感，嚴(yán)重影響校園網(wǎng)絡(luò)的正常運(yùn)行[4]；（4）對(duì)于網(wǎng)絡(luò)安全意識(shí)淡薄的用戶而言，電腦終端是僅僅服務(wù)于用戶的機(jī)器，沒有安裝殺毒軟件、更新病毒庫(kù)的習(xí)慣，這使得黑客容易通過注入病毒的方式攻擊或控制終端，不但可以竊取電腦中的重要資料和信息，而且可以把終端作為跳板攻擊校園里的服務(wù)器[5]；（5）鑒于信息化建設(shè)是一種新型建設(shè)投入，大部分高校的投入經(jīng)費(fèi)達(dá)不到理想比例，這其中投入在網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)上的經(jīng)費(fèi)就更少了，沒有較完備的網(wǎng)絡(luò)安全設(shè)備的部署，高校校園網(wǎng)幾乎只能滿足基本的網(wǎng)絡(luò)通暢保障任務(wù)，加上網(wǎng)絡(luò)安全管理制度、安全預(yù)警方案的缺失，這使得高校校園網(wǎng)絡(luò)變成了遭受黑客攻擊的重災(zāi)區(qū)[6]；（6）高校網(wǎng)絡(luò)安全管理制度缺失，相關(guān)人員網(wǎng)絡(luò)安全意識(shí)淡薄，黑客容易利用社會(huì)工程學(xué)手段冒充其他組織或個(gè)人進(jìn)入內(nèi)網(wǎng)；（7）網(wǎng)絡(luò)管理人員只注重設(shè)備的日常護(hù)理和簡(jiǎn)單防范，多數(shù)不精于技術(shù)的學(xué)習(xí)和研究，對(duì)于技術(shù)性強(qiáng)的問題束手無策，因此導(dǎo)致網(wǎng)絡(luò)管理出現(xiàn)管而不理的局面[7]。

2 探索網(wǎng)絡(luò)安全立體防御體系

探索網(wǎng)絡(luò)安全立體防御體系可以從兩方面入手，一是要有過硬的網(wǎng)絡(luò)安全知識(shí)和技能作為保障，部署功能完備的網(wǎng)絡(luò)安全設(shè)備，和網(wǎng)絡(luò)安全隊(duì)伍形成“物有所管，有物可用”的合理結(jié)構(gòu)；二是構(gòu)建較為完備的網(wǎng)絡(luò)安全管理模型，出臺(tái)相應(yīng)制度，比如“網(wǎng)絡(luò)與信息安全管理辦法”、“突發(fā)事件應(yīng)急響應(yīng)辦法”、“網(wǎng)絡(luò)設(shè)備割接標(biāo)準(zhǔn)化流程”、“網(wǎng)絡(luò)安全承諾書”等。

（1）提高高校校園網(wǎng)絡(luò)技術(shù)治理

①對(duì)防火墻準(zhǔn)入策略進(jìn)行調(diào)整。防火墻通過定義某個(gè)IP或端口的流量是否被允許通行，防止校外不法分子訪問校內(nèi)公有IP的方式來保護(hù)內(nèi)部網(wǎng)絡(luò)資源的安全。防火墻不僅可以配置允許或禁止數(shù)據(jù)包的通行，還可以對(duì)通過的數(shù)據(jù)包按照安全策略進(jìn)行實(shí)時(shí)檢查，監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。其技術(shù)運(yùn)用是在校園網(wǎng)的入口處架設(shè)防火墻，實(shí)時(shí)對(duì)校園網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)分析，將結(jié)果呈現(xiàn)給管理人員，有效保護(hù)內(nèi)部網(wǎng)絡(luò)以免遭受外部攻擊，高校校園骨干網(wǎng)絡(luò)安全設(shè)備拓?fù)淙缦聢D1所示。

圖1 高校校園骨干網(wǎng)絡(luò)安全設(shè)備拓?fù)?/p>

②安裝殺毒軟件。隨著學(xué)校規(guī)模的日益增大，在校師生的數(shù)量也逐漸增多，高校校園網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)也不斷增加，大部分用戶沒有下載殺毒軟件定期查殺的習(xí)慣，即時(shí)下載了也沒有定期更新病毒庫(kù)的習(xí)慣，很容易造成病毒感染和傳播，網(wǎng)絡(luò)管理員必須安裝高效的殺毒軟件并及時(shí)升級(jí)、周期進(jìn)行系統(tǒng)掃描。

③數(shù)據(jù)加密。在信息化高速發(fā)展的背景下，大量數(shù)據(jù)隨即產(chǎn)生，包含了個(gè)人隱私、商業(yè)秘密、考試數(shù)據(jù)等敏感的數(shù)據(jù)，一旦泄露將會(huì)給相應(yīng)組織和個(gè)人帶來不可估量的后果。利用數(shù)據(jù)加密手段提高系統(tǒng)數(shù)據(jù)的安全性，確保數(shù)據(jù)的保密性，敏感數(shù)據(jù)即使被外部獲取，也難以輕易破解。特別是高校的教務(wù)處、財(cái)務(wù)處、科研處、招就處等掌握公民私人數(shù)據(jù)的部門，必須采用相應(yīng)技術(shù)以保證數(shù)據(jù)的私密性、準(zhǔn)確性、完整性。

④訪問控制。利用反向代理服務(wù)器、WEBVPN對(duì)學(xué)校提供的對(duì)外開放的服務(wù)進(jìn)行嚴(yán)格認(rèn)證和控制。如將只有少數(shù)師生訪問，WEBVPN可以承受訪問流量的服務(wù)限制校內(nèi)訪問，減少系統(tǒng)被攻擊的風(fēng)險(xiǎn)，將限制在校內(nèi)訪問的系統(tǒng)通過WEBVPN進(jìn)行統(tǒng)一認(rèn)證后訪問，既保障了網(wǎng)絡(luò)安全，又最大程度上給校內(nèi)師生提供了便捷服務(wù)。VPN客戶端則是針對(duì)系統(tǒng)管理人員、系統(tǒng)開發(fā)人員操作服務(wù)器后臺(tái)提供的如學(xué)生上網(wǎng)查詢課程成績(jī)需進(jìn)行身份認(rèn)證，使校園的網(wǎng)絡(luò)資源不會(huì)被未授權(quán)的非法用戶使用和訪問。

⑤堡壘機(jī)設(shè)備。將堡壘機(jī)限制在內(nèi)網(wǎng)，開發(fā)人員通過客戶端VPN登錄堡壘機(jī)，在訪問列表內(nèi)快捷訪問權(quán)限內(nèi)的系統(tǒng)，既方便了開發(fā)人員對(duì)所用服務(wù)器的快捷訪問，又對(duì)其操作訪問進(jìn)行了監(jiān)督和審計(jì)，提高了廠家人員的安全意識(shí)，也為人為操作事故提供了追責(zé)依據(jù)。

⑥https協(xié)議加密訪問。為確保數(shù)據(jù)包在傳輸過程中的安全性、完整性，https協(xié)議在HTTP的基礎(chǔ)上添加了加密和認(rèn)證的功能，可以保證信息在傳送過程中沒有被篡改。可以配置通配符https證書，在全校范圍內(nèi)，所有同級(jí)域名都可以使用該證書加密。

⑦應(yīng)用防火墻技術(shù)（WAF）。將應(yīng)用防火墻設(shè)置于反向代理服務(wù)器前面，檢測(cè)和驗(yàn)證客戶端發(fā)送到服務(wù)器的各種請(qǐng)求信息，確保其安全性與合法性，阻斷非法的請(qǐng)求。

（2）加強(qiáng)高校校園網(wǎng)絡(luò)規(guī)范管理

①規(guī)范出口管理。對(duì)原有網(wǎng)絡(luò)設(shè)施、機(jī)房環(huán)境、動(dòng)環(huán)系統(tǒng)等管理制度進(jìn)行升級(jí)改造，對(duì)在校教職工、學(xué)生進(jìn)出網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理。

②強(qiáng)化網(wǎng)絡(luò)軟件安裝管理。要求所有計(jì)算機(jī)設(shè)備安裝高性能防火墻、合適的殺毒軟件，管理人員要及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)病毒入侵，及時(shí)向所有計(jì)算機(jī)用戶發(fā)布相關(guān)信息。

③建立統(tǒng)一身份認(rèn)證系統(tǒng)。要求高校管理機(jī)構(gòu)、教學(xué)機(jī)構(gòu)、教輔機(jī)構(gòu)及其他部門建立上網(wǎng)身份認(rèn)證制度，各部門必須有統(tǒng)一對(duì)應(yīng)的身份認(rèn)證系統(tǒng)，保證只允許本部門職工才能查看各自對(duì)應(yīng)的相關(guān)信息。

④規(guī)范電子郵件傳遞方式。 要求電子郵件用戶采用加密措施或簡(jiǎn)單加密傳送文件或采用認(rèn)證技術(shù)中的數(shù)字簽名機(jī)制來解決偽造、抵賴、冒充、篡改等問題。

⑤提高網(wǎng)絡(luò)管理人才隊(duì)伍水平。完備的網(wǎng)絡(luò)安全設(shè)備是需要管理人員進(jìn)行部署和操作的，打造一支專業(yè)技術(shù)過硬、管理水平較高、安全意識(shí)較強(qiáng)的網(wǎng)絡(luò)安全管理人才隊(duì)伍尤為重要。

3 總結(jié)與展望

在網(wǎng)絡(luò)安全法確立、網(wǎng)絡(luò)安全等級(jí)保護(hù)升級(jí)2.0的背景下，高校網(wǎng)絡(luò)安全形勢(shì)異常嚴(yán)峻，要更加重視校園網(wǎng)絡(luò)安全工作，加大對(duì)網(wǎng)絡(luò)安全的經(jīng)濟(jì)和人力投入，及時(shí)升級(jí)保障校園網(wǎng)絡(luò)安全的軟硬件設(shè)備，確保能適應(yīng)當(dāng)前網(wǎng)絡(luò)安全的需要。同時(shí)，完善網(wǎng)絡(luò)安全管理制度，增強(qiáng)在校師生的網(wǎng)絡(luò)安全意識(shí)，提高網(wǎng)絡(luò)安全管理人員處置網(wǎng)絡(luò)安全突發(fā)事件的能力，才能有效地保障高校的網(wǎng)絡(luò)與信息安全。