校園網安全運維分析與研究

摘?要：隨著網絡技術的不斷發展，以及網絡應用的普及，人們對網絡的依賴性越來越高。網絡在生活、學習、工作方面帶給人們便捷的同時，也衍生出一系列網絡安全問題。近年來，各行各業網絡安全事件時有發生，如何通過安全運維的手段最大程度地避免安全事件，是每一個網絡運維人員需要思考的問題。

關鍵詞：網絡技術；網絡安全；安全運維

校園網是高校重要的信息平臺［1］，目前高校基本都有專屬校園網絡，主要為全校師生提供網絡服務和數據中心服務。高校校園網存在以下特點：用戶體量大，用戶網絡安全意識低，網絡運維人員少且技術力量薄弱，網絡設備數量大，業務種類多等。針對這一現象，旨在最大限度降低校園網絡安全風險，必須建立健全網絡安全防護體系，從網絡安全技術運維層面、網絡安全政策意識層面出發，保障高校網絡安全可靠穩定運行。

1?網絡安全運維技術層面

現代校園網系統的正常運行和各項功能的順利實現，離不開軟件系統和硬件設備的日常管理維護和合理配置［2］。網絡安全必須落實在網絡運維環境中，網絡環境本身必須最大程度降低安全風險。網絡安全運行的前提是夯實網絡安全基礎架構，在該架構的基礎上通過安全運維、策略優化、安全加固等技術手段才能保障整個運維技術層面的安全可靠性。

1.1?網絡基礎架構

網絡架構是校園網運行的基石，網絡架構的設計直接影響上層網絡運行的質量，網絡架構的原則是簡約、靈活、安全、健壯等。一個完整的網絡架構通常包含外聯域、互聯網出口域、云端安全服務、運維管理域、核心交換域、對外服務區域、二級系統業務域及終端接入域名等8個區域，如圖1所示。為保障各區域間的網絡安全訪問，各個域之間有明顯的物理界限（邊界防火墻），通過邊界防火墻的安全策略靈活控制數據流的走向。

（1）外聯域：主要負責校內各個專網的對外互聯業務，例如財政專網、銀聯專網等，服務內容專一，數據量小，但安全系數高。

（2）互聯網出口域：主要負責向廣大師生等校園網用戶提供網絡帶寬接入服務，提供對外業務的發布服務，例如電信寬帶出口、聯通帶寬出口、移動帶寬出口以及教育科研網出口等。

（3）云端安全服務：嚴格意義上該區域不算是網絡架構中的一個業務分區，但它又是網絡安全體系中的一個重要組成部分，云端安全配合本地安全設備雙重保障。

（4）運維管理域：主要負責全網范圍內的網絡安全運維設備，例如堡壘機、安全態勢感知平臺、日志審計系統、數據庫審計系統、網管平臺等。

（5）核心交換域：主要負責全校網絡流量的控制和轉發，是整張網絡的數據處理中樞。

（6）對外服務域：主要負責全校對外服務的公共服務（DMZ區），例如官方網站、校級APP應用等公共服務。

（7）二級系統業務域：主要負責校內的數據中心業務，例如校內私有云平臺、數據庫系統、存儲系統，業務部門的二級網站和業務等。

（8）終端接入域：主要負責終端用戶的網絡接入。例如有線網絡、無線網絡，一卡通等。

1.2?網絡業務精細規劃

傳統網絡中各種不同的網絡應用混雜無序，運維難度大，網絡安全風險系數較高。例如，網絡打印機、門禁、攝像頭等業務部署在同一個子網中，難以精準管理和優化調試。隨著網絡應用及網絡終端設備種類的增多，傳統的網絡規劃無論在健壯性、靈活性和擴展性上都難以滿足未來信息化的快速發展要求。

終端接入域中，可分為辦公網、網絡打印機、門禁、攝像頭等業務；二級系統業務域中，可分為中間件、數據庫、存儲區等；運維管理域中可分為安全設備區、帶外管理區等。

1.3?終端接入域內部的安全

“堡壘往往都是從內部攻破的”，首先要做的一點就是避免網絡終端的橫向流量。局域網的病毒感染之所以傳播速度快，最主要的原因就是利用局域網的廣播特性。

根據高校運維經驗，該區域內部網絡終端之間除了共享打印機之外，無其他必要的橫向流量傳播需求。打印機的需求可以通過在各辦公地點增設路由器或者交換機的方式解決，盡量將廣播域縮減到最小，或者通過為網絡打印機單獨規劃網絡的方式解決。

在解決了共享打印機需求的條件下，針對所有的接入設備進行端口安全隔離，可采取端口隔離技術，如圖2，也可采用QinQ技術，如圖3。

1.4?共享端口的關閉

共享服務在提供便捷服務的同時也帶來了很大的安全風險，共享端口是被很多黑客利用傳播網絡病毒一種途徑。例如共享打印機是利用tcp445端口進行數據交換的，勒索病毒通過該端口利用微軟系統漏洞造成了非常嚴重的網絡安全事件。共享端口有135、139、138、137和445等；

用戶可以通過防火墻的安全策略或者安全軟件進行封堵，但對一些網絡安全素養偏低或者網絡安全意識薄弱的用戶上述操作存在一定的困難，所以必須在網絡設備接入控制層面進行一定的安全策略限制，在網絡傳輸的過程中切斷病毒傳播，以達到保護用戶終端安全的目的。

為簡化運維工作量，該策略可在網絡控制設備BRAS上統一進行策略配置。若沒有BRAS設備，可在網關設備統一進行策略控制，或者接入交換機層面增加相應ACL策略控制。

1.5?網絡設備的安全管理

上文已經提高，高校校園網絡其中一個特點是網絡設備數量大，種類多，如何安全管理網絡設備，對廣大運維人員是一個挑戰。網絡設備的運維過程中主要存在賬號密碼的定期維護量大，賬號密碼復用、混用，人為操作不當的策略回退以及訪問控制權限等問題。

為解決上述問題，有條件的高校可以采用堡壘機設備進行管理運維。首先，堡壘機的作用是保障系統運維和安全審計管控，只有通過堡壘機設備授權的用戶或網段才能訪問網絡設備；其次，堡壘機可以為不同用戶分配不同操作權限，精細化運維；堡壘機還有一個重要作用就是審計作用，避免人為操作不當引起的網絡安全事件，大大降低了網絡設備的安全運維風險。若無堡壘機，建議通過網絡設備側設置遠程登錄訪問控制策略來指定特定的網段或者賬號登錄。如圖4，通過設置訪問控制列表ACL的方式限定登錄源。

1.6?業務發布精細化

業務開發部署完成之后，預上線期間，嚴格評估開放端口，在保證業務運行正常的基礎上保持端口開放最小化、精細化的原則，堅決杜絕全端口開發，尤其避免遠程管理端口直接暴露公網。業務系統的后臺管理頁面不允許暴露在公網，必須通過VPN等邊界設備進行網絡安全訪問。遠程端口包括telnet（22）、ssh（23）、微軟遠程（3389）、mysql數據庫服務（3306）等。若因特殊需求必須開放一些風險端口，必須明細源目的地址的精細安全訪問策略。

1.7?定期進行基線核查

基線檢查功能針對服務器操作系統、數據庫、軟件和容器的配置進行安全檢測，并提供檢測結果說明和加固建議。通過基線檢查結果，達到系統安全加固，降低入侵風險的目的。

基線核查主要包括弱口令、未授權訪問、最佳安全實踐、容器安全、等保合規、CIS合規以及自定義基線等內容。

弱口令基線：使用非登錄爆破方式檢測是否存在弱口令。避免登錄爆破方式鎖定賬戶影響業務的正常運行。主要包括Zabbix登錄弱口令檢查、Samba登錄弱口令檢查、ElasticSearch服務登錄弱口令檢查、Activemq登錄弱口令檢查、RabbitMQ登錄弱口令檢查、Linux系統OpenVpan弱口令檢查、Oracle數據庫登錄弱口令檢查等。

未授權訪問基線：檢測服務是否存在未授權訪問風險，避免被入侵或者數據泄露。主要包括InfluxDB未授權訪問、Redis未授權訪問、Jboss未授權訪問、OpenLDAP未授權訪問、Hadoop未授權訪問、Docker容器未授權訪問等。

最佳安全實踐基線：主要檢測是否存在賬號權限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置風險。

等保合規基線：等保二級、三級合規基于服務器安全等保基線檢查。對標權威測評機構安全計算環境測評標準和要求。主要包括等保三級SUSE15合規基線檢查、等保三級Bind合規基線檢查、等保三級CentOS?Linux?6合規基線核查、等保三級Oracle合規基線檢查等。

CIS合規基線：基于CIS標準的操作系統安全基線檢查。包括CIS標準CentOS?Linux?6安全基線檢查、CIS標準CentOS?Linux?7安全基線檢查、CIS標準Windows?Server?2008?R2安全基線檢查、CIS標準Windows?Server?2012?R2安全基線檢查等。

1.8?云端值守

上文已經提到過高校的網絡安全運維管理目前存在人員緊張、技術薄弱等現象，且短時間無法從根本上解決問題。云端值守相對是一個過渡或者輔助的解決方案。通過云端值守實現全流程數據防護、風險預警與攻防響應為一體，多重保障線上安全，全天候（7×24小時）的網絡安全監控工作。

2?網絡安全政策層面

無規矩不成方圓，技術手段只能解決設備層面、軟件層面或者代碼層面的問題，網絡安全體系不能僅僅依靠技術，更要配套的政策、規章制度與之配合。

近年來網絡安全的重要性已經上升到了國家安全層面。國家每年以“網絡安全宣傳周”的活動提高全民的網絡安全意識，教育系統更是每年以“網絡攻防演練”的形式提高各高校的網絡安全意識和安全運維技能。各高校更要結合本校實際制定相應政策，形成有效的網絡安全工作機制。

2.1?成立網絡安全領導小組

網絡安全工作不是學校某個部門、某個人的工作，而是學校層面及全員共同參與的全民工作。網絡安全領導小組由校黨委、行政一把手任組長，分管校領導任副組長，成員由各業務部門負責人組成，適時根據學校實際情況調整成員單位。

網絡安全領導小組主要職責為：貫徹落實上級有關部門關于網絡安全工作的決策部署；統籌協調我校網絡安全工作的重大問題；研究制定我校網絡安全發展規劃、政策制定和安全標準；督促各單位、各部門落實網絡安全的政策規定，不斷提高學校網絡安全水平。

2.2?信息系統網絡安全等級保護

信息系統網絡安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作。包含存儲安全、數據庫安全、主機安全、網絡設備安全、物理環境安全等。信息系統必須確定等保測評等級，完成等保測評后方可正式上線，堅決杜絕“帶病”上線。

2.3?信息化日常管理規章制度

目前各高校的信息化工作一般都有各高校信息中心或者信息處負責。該部門不僅承擔為高校信息化的建設工作，還要負責日常的運維保障工作。在建設和運維工作中，要把網絡安全落到實處。各項日常管理工作必須出臺相應的規章制度，在工作中嚴格執行。例如《信息化項目建設管理細則》《機房管理規章制度》《樓宇弱電間管理辦法》《數據對接使用安全規范》等。

2.4?網絡宣傳

“網絡安全靠人民，網絡安全為人民”。只有人人都參與到網絡安全的工作中，才能形成健康、有效、可持續的網絡安全防護體系。通過各種渠道、形式加強網絡安全宣傳工作，努力提高全校師生的信息安全素養。

結語

信息技術的快速發展給網絡安全帶來了前所未有的挑戰。網絡安全問題已經從一個單純的技術問題上升到關乎人們的工作和生活的重要問題，上升到關乎社會經濟乃至國家安全的戰略問題。各高校應加強網絡安全建設工作，為師生營造安全綠色的網絡環境，推動學校信息化快速、安全、穩定運行［3］。

參考文獻：

［1］刁曉婧.高校校園網絡安全問題分析及對策［J］.網絡安全技術與應用，2020（08）：9091.

［2］龍曼麗.高校語言室的網絡安全問題和對策研究［J］.網絡安全技術與應用，2020（03）：8283.

［3］賈潔.校園網絡建設及網絡安全［J］.網絡安全及應用，2020（07）：8889.

作者簡介：岳超（1989—?），男，漢族，山東菏澤人，碩士研究生，網絡工程師，研究方向：網絡技術。