高校校園網(wǎng)安全防護(hù)建議

◆張瑞霞 馮冰潔

高校校園網(wǎng)安全防護(hù)建議

◆張瑞霞 馮冰潔

（河南理工大學(xué) 信管中心 河南 454000）

隨著高校的信息化快速發(fā)展，高校網(wǎng)絡(luò)安全問題越來越突出。本文結(jié)合高校校園網(wǎng)現(xiàn)狀，從加強(qiáng)網(wǎng)絡(luò)安全頂層設(shè)計、完善學(xué)校網(wǎng)絡(luò)安全工作機(jī)制、網(wǎng)絡(luò)安全教育、加大校園網(wǎng)絡(luò)信息監(jiān)管力度、提高網(wǎng)絡(luò)安全預(yù)警和應(yīng)急處置能力等方面對高校校園網(wǎng)安全防護(hù)建設(shè)工作給出了建議·。

網(wǎng)絡(luò)安全；校園網(wǎng)建設(shè)；分級防護(hù)

1 高校校園網(wǎng)現(xiàn)狀分析

近年來隨著高校信息化快速發(fā)展，高校網(wǎng)絡(luò)安全問題越來越突出，網(wǎng)絡(luò)安全事件時有發(fā)生，一旦發(fā)生網(wǎng)絡(luò)安全事件，影響面很大。而究其原因，主要是教育系統(tǒng)本身涉及的機(jī)構(gòu)數(shù)量極多，建設(shè)單位雜，管理層級多，安全管理困難。而《網(wǎng)絡(luò)安全法》的頒布和等保2.0的出臺給高校網(wǎng)絡(luò)安全建設(shè)提出了新的準(zhǔn)則，指明了新的方向。

2 存在的問題

2.1 對網(wǎng)絡(luò)安全不夠重視

《網(wǎng)絡(luò)安全法》的頒布及網(wǎng)絡(luò)安全等級保護(hù)制度的制定使得各高校對校園網(wǎng)絡(luò)安全的重視程度有所增加，但明顯還是不夠的，目前普遍存在制度不完善、執(zhí)行不到位以及人才缺失等問題。由于高校網(wǎng)站的公益性，被入侵和篡改網(wǎng)頁造成的損失不太明顯，網(wǎng)站安全往往得不到重視，弱口令、信息泄露隨處可見，甚至一些二級單位為了節(jié)省經(jīng)費(fèi)在網(wǎng)站建設(shè)和維護(hù)上根本就不考慮網(wǎng)絡(luò)安全問題。

2.2 網(wǎng)站和系統(tǒng)建設(shè)不規(guī)范，更新不及時

高校內(nèi)部網(wǎng)站及系統(tǒng)數(shù)量眾多，這些網(wǎng)站及系統(tǒng)在建立初期由于各種原因大都是找一些小的開發(fā)團(tuán)隊來做的，這些開發(fā)團(tuán)隊在做系統(tǒng)時主要目的是實現(xiàn)需方所要求的全部功能，往往不會去考慮安全問題，認(rèn)為運(yùn)維安全應(yīng)當(dāng)由安全設(shè)備來保護(hù)，例如對于弱密碼問題，開發(fā)者可能根本就不關(guān)注，并且認(rèn)為是后期使用者和運(yùn)維人員的責(zé)任，系統(tǒng)上線之前也沒有通過專業(yè)的安全檢測和評估，上線之后漏洞很多；部分應(yīng)用系統(tǒng)的服務(wù)器太過老舊，以至于系統(tǒng)無法升級，不能安裝最新的防病毒軟件，而二級單位因為經(jīng)費(fèi)問題不會及時更換這些服務(wù)器，致使存在非常多的網(wǎng)絡(luò)安全漏洞。而且由于學(xué)校信息系統(tǒng)產(chǎn)生的數(shù)據(jù)量大，而且部分?jǐn)?shù)據(jù)很有價值，所以成了某些不法分子攻擊的主要目標(biāo)。

2.3 網(wǎng)絡(luò)安全管理制度不完善[1-2]

網(wǎng)絡(luò)安全管理制度的完善，是校園網(wǎng)安全防護(hù)體系的基本保障。而部分校園網(wǎng)的規(guī)章制度不系統(tǒng)、不完善，有的規(guī)章制度就是照搬其他單位的，沒有從自身實際出發(fā)，根本就適用。有些制度制定年代久遠(yuǎn)更新不及時，無法適應(yīng)網(wǎng)絡(luò)安全的快速發(fā)展，在實際工作中起不到應(yīng)有的作用。

2.4 網(wǎng)站和系統(tǒng)日常維護(hù)缺失

高校網(wǎng)站和系統(tǒng)往往重建設(shè)、重功能，輕維護(hù)輕安全防護(hù)，各類安全漏洞長期得不到修復(fù)。高校的二級單位信息管理員大多身兼數(shù)職，沒有專門的信息管理人員，而且這些管理人員的安全技術(shù)能力普遍不足，甚至有的運(yùn)維團(tuán)隊就是由學(xué)生擔(dān)任。很多安全漏洞尤其是弱密碼漏洞由于重視度不夠而行不到及時修復(fù)，甚至存在不通報就不修復(fù)的現(xiàn)象。

2.5 網(wǎng)絡(luò)安全意識淡薄[2]

首先，一般的高校網(wǎng)絡(luò)安全建設(shè)中往往關(guān)注重點(diǎn)在于校外的網(wǎng)絡(luò)安全威脅，對校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全不夠重視，以至一旦某臺內(nèi)網(wǎng)主機(jī)被入侵，就會漫延到整個校園網(wǎng)；其次，高校校園網(wǎng)用戶組成結(jié)構(gòu)較為復(fù)雜，人員眾多，包括管理人員、教師、教輔工作人員及學(xué)生等，這些用戶的水平參差不齊，大部分校園網(wǎng)用戶存在“網(wǎng)絡(luò)安全問題與己無關(guān)“、”出現(xiàn)網(wǎng)絡(luò)安全問題影響不大“、”方便省錢是王道“等思想，這些都是校園網(wǎng)絡(luò)安全的極大不穩(wěn)定因素。

3 網(wǎng)絡(luò)安全防護(hù)建議

3.1 提升網(wǎng)絡(luò)安全意識

沒有信息化就沒有網(wǎng)絡(luò)安全，沒有網(wǎng)絡(luò)安全就無法保障信息化的正常發(fā)展。高校的信息化建設(shè)離不開網(wǎng)絡(luò)安全，所以一定要從意識形態(tài)上重視網(wǎng)絡(luò)安全杜絕安全隱患。首先，在管理層面，定期組織全校各單位開展網(wǎng)站評比工作，將網(wǎng)絡(luò)安全問題作為評比的重要指標(biāo)，或?qū)⒕W(wǎng)絡(luò)安全作為年度考核指標(biāo)。以加強(qiáng)管理人員對網(wǎng)絡(luò)安全的重視，上行下效，起到良好的帶頭作用。還可以組織網(wǎng)絡(luò)安全培訓(xùn)。對于網(wǎng)絡(luò)安全管理人員，需要定期組織網(wǎng)絡(luò)安全新技術(shù)方面的培訓(xùn)，以提高管理人員應(yīng)對網(wǎng)絡(luò)安全事故的能力；對于二級單位信息員，可以適當(dāng)培訓(xùn)網(wǎng)絡(luò)安全知識，使其可以處理常見的網(wǎng)絡(luò)安全故障。其次，要加強(qiáng)師生安全教育，師生的安全意識提高、終端防護(hù)提高后，安全就會得到很大的提高。無論是黑客攻擊還是網(wǎng)絡(luò)安全事件，大都源于師生個人終端或操作，如個人信息泄露、因而導(dǎo)致的攻擊事件，以個人終端作為跳板來攻擊校園網(wǎng)。師生都要守法用網(wǎng)，并加強(qiáng)自我保護(hù)，提升師生端的安全。

3.2 構(gòu)建校園網(wǎng)絡(luò)安全分級防護(hù)體系

校園網(wǎng)網(wǎng)絡(luò)安全應(yīng)遵循統(tǒng)一領(lǐng)導(dǎo)、分級管理的原則。從組織行政架構(gòu)上進(jìn)行校園網(wǎng)網(wǎng)絡(luò)安全的組織管理分級防護(hù)，主要分三個層面：學(xué)校層、院系和職能部門（校內(nèi)二級單位）、師生（終端用戶）。

學(xué)校層面，應(yīng)加強(qiáng)組織領(lǐng)導(dǎo)、強(qiáng)化制度建設(shè)。首先，成立學(xué)校層面的網(wǎng)絡(luò)安全與信息化辦公室負(fù)責(zé)決策和統(tǒng)籌，設(shè)立網(wǎng)絡(luò)安全科負(fù)責(zé)管理和協(xié)調(diào)；各院系所和各職能部門的信息員構(gòu)成應(yīng)用層和操作層。其次，建立健全校內(nèi)網(wǎng)絡(luò)安全制度體系：根據(jù)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)需求，制定針對性的信息安全管理辦法、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、網(wǎng)絡(luò)信息安全事件報告與處置流程、二級網(wǎng)絡(luò)管理規(guī)范等網(wǎng)絡(luò)信息安全管理規(guī)章制度，形成網(wǎng)絡(luò)信息安全事件監(jiān)管常態(tài)化和規(guī)范化機(jī)制。

二級單位層面，：做好網(wǎng)絡(luò)安全的綜合治理，實行網(wǎng)絡(luò)化管理機(jī)制。實行分級網(wǎng)絡(luò)化責(zé)任機(jī)制，充分調(diào)動各方力量。在校內(nèi)各二級單位設(shè)立網(wǎng)絡(luò)信息安全責(zé)任人，由院系書記擔(dān)任；根據(jù)各二級單位規(guī)模，設(shè)置1至2名網(wǎng)絡(luò)安全管理員；各應(yīng)用系統(tǒng)（含網(wǎng)站）都由專門人員負(fù)責(zé)；二級單位網(wǎng)絡(luò)管理員變更應(yīng)及時向網(wǎng)絡(luò)安全科報備。

師生層面，加強(qiáng)師生個人終端設(shè)備防護(hù)。為培養(yǎng)全面發(fā)展的高素質(zhì)人才，高校應(yīng)高度重視網(wǎng)絡(luò)安全教育工作。要普及網(wǎng)絡(luò)安全知識，營造良好校園網(wǎng)絡(luò)環(huán)境。學(xué)校領(lǐng)導(dǎo)班子帶頭學(xué)習(xí)《網(wǎng)絡(luò)安全法》，各級分黨委和支部、各職能部門層層學(xué)習(xí)。充分利用國家網(wǎng)絡(luò)安全周，在此期間可開展網(wǎng)絡(luò)安全知識宣講活動，組織參與“高校師生同上一堂網(wǎng)絡(luò)安全課”，動員全體師生學(xué)習(xí)《網(wǎng)絡(luò)安全法》及相關(guān)配套法規(guī)，并組織參加全國大學(xué)生網(wǎng)絡(luò)安全知識競賽，激發(fā)學(xué)生學(xué)習(xí)網(wǎng)絡(luò)安全知識興趣，提升網(wǎng)絡(luò)安全防護(hù)技能。在日常學(xué)習(xí)和工作中也不能忽視網(wǎng)絡(luò)安全教育，要充分利用網(wǎng)絡(luò)優(yōu)勢、學(xué)校主頁、信息門戶、微信門戶《網(wǎng)絡(luò)安全法》專題學(xué)習(xí)視頻，可以設(shè)置有獎問答等環(huán)節(jié)以提高師生的學(xué)習(xí)積極性。其次，為師生提供正版軟件，引導(dǎo)師生增強(qiáng)網(wǎng)絡(luò)安全防范意識。師生終端防護(hù)提高后，整個校園網(wǎng)安全就會得到很大提高。

3.3 系統(tǒng)全面地落實網(wǎng)絡(luò)安全綜合治理

3.3.1治理管理亂象

首先，高校應(yīng)根據(jù)等保2.0的規(guī)定對校內(nèi)各單位的系統(tǒng)定級備案，對日后將上線的系統(tǒng)應(yīng)制定嚴(yán)格的信息系統(tǒng)備案流程。其次，要網(wǎng)站規(guī)范標(biāo)識。未經(jīng)學(xué)校審批，嚴(yán)禁托管于校外的信息系統(tǒng)（含網(wǎng)站）使用本校中英文校名、校徽等標(biāo)識。再次，校內(nèi)各網(wǎng)站盡量遷移到網(wǎng)站群統(tǒng)一管理，或使用反向代理系統(tǒng)以進(jìn)一步保障網(wǎng)絡(luò)安全。最后，應(yīng)加強(qiáng)和規(guī)范網(wǎng)絡(luò)安全管理，高校各二級單位應(yīng)嚴(yán)格按照網(wǎng)絡(luò)信息安全管理制度推進(jìn)信息化工作。

3.3.2加強(qiáng)網(wǎng)絡(luò)安全建設(shè)

第一、全面清理整頓IP地址等信息資產(chǎn)。關(guān)閉已不使用、過期、指向校外IP的域名，未經(jīng)許可，校內(nèi)域名將禁止解析到校外IP地址。私自開通與原申請用途不符的，將對其IP地址進(jìn)行回收。

第二、嚴(yán)控服務(wù)器區(qū)域的訪問權(quán)限

在服務(wù)器區(qū)細(xì)化IP和端口層規(guī)則，完全做到白名單管理。對于服務(wù)器區(qū)的出口流量，只允許訪問Web、DNS等常規(guī)服務(wù)，拒絕訪問校外遠(yuǎn)程桌面等端口，最大化流量安全；將服務(wù)器入口流量具體細(xì)化為完全白名單規(guī)則，遠(yuǎn)程桌面等安全服務(wù)具體到特定個人，HTTP服務(wù)流量細(xì)化為校內(nèi)和校外，外加時間段訪問管理規(guī)則，更進(jìn)一步在IP和端口層保護(hù)服務(wù)器區(qū)的安全。在服務(wù)器區(qū)應(yīng)用層訪問方面，采用WAF防火墻，實現(xiàn)應(yīng)用安全保護(hù)，防護(hù)SQL注入攻擊、爬蟲攻擊、目錄服務(wù)攻擊等，防止SQL漏洞注入攻入，最大化保護(hù)應(yīng)用層安全，并采用態(tài)勢感知系統(tǒng)監(jiān)控服務(wù)區(qū)域的所有流入流出流量，進(jìn)一步保護(hù)服務(wù)器區(qū)域安全。

第三、安排24小時值班

加強(qiáng)網(wǎng)絡(luò)信息安全監(jiān)控下應(yīng)急處置工作部署，落實敏感時期的24小時值守。設(shè)置一鍵斷網(wǎng)功能，值班期間密切關(guān)注網(wǎng)絡(luò)安全和網(wǎng)絡(luò)輿情，實時掌握安全態(tài)勢，及時反應(yīng)，及時匯報。通過制度與措施并舉，提高應(yīng)急處置水平。

第四、建設(shè)漏洞掃描及發(fā)布平臺

搭建漏洞掃描及發(fā)布平臺，提前預(yù)警校內(nèi)應(yīng)用系統(tǒng)安全問題，把安全隱患遏制于萌芽階段，提高信息安全的等級，保護(hù)高校校園網(wǎng)應(yīng)用系統(tǒng)安全。

4 總結(jié)

高校信息化與網(wǎng)絡(luò)安全是辯證統(tǒng)一的關(guān)系。要處理好發(fā)展和安全的關(guān)系，以網(wǎng)絡(luò)安全保障學(xué)校發(fā)展，以發(fā)展促安全，兩者必須齊頭并進(jìn)、協(xié)調(diào)一致。沒有信息化就沒有網(wǎng)絡(luò)安全，沒有網(wǎng)絡(luò)安全就無法保障信息化的正常發(fā)展。要保障網(wǎng)絡(luò)安全首先要做好網(wǎng)絡(luò)安全頂層設(shè)計，完善學(xué)校網(wǎng)絡(luò)安全工作機(jī)制，深入開展網(wǎng)絡(luò)安全教育，加大校園網(wǎng)絡(luò)信息監(jiān)管力度，提高網(wǎng)絡(luò)安全預(yù)警和應(yīng)急處置能力，以確保學(xué)校網(wǎng)絡(luò)安全。

[1]丁康健，劉立棟，董國芃，楊文.智能校園建設(shè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].軟件，2020，41（12）：233-235.

[2]覃仲宇. 安全新形勢下高校網(wǎng)絡(luò)安全防護(hù)體系建設(shè)思路[J] .計算機(jī)時代，2021（3）：26-29.

[3]王大川，王永書，林紅.淺議計算機(jī)信息系統(tǒng)安全等級保護(hù)[J]. 中國公共安全（學(xué)術(shù)版），2009，3（3）：4-10

[4]陳斯迅.筑牢網(wǎng)絡(luò)安全"防火墻"[J].企業(yè)管理，2020（2）： 102-104.

[5]魯學(xué)亮，劉臻.高校分級分類的網(wǎng)絡(luò)安全防護(hù)體系研究[J].電腦知識與技術(shù), 2018，14（31）：43-44，48.