基于“可控可查”的高职校园网安全体系建设

姚正超

摘要； 针对高职院校校园网安全方面存在的各种问题，分析造成各类问题的原因，提出构建“可控可查”的校园网安全体系，实现校园网“人防”+“技防”一体化的防护目标。

【关键词】校园网 安全防护 要素 体系

随着教育信息化的不断推进和业务系统的不断增加，校园网在高职院校的信息化教育工作中发挥的作用日渐突出。校园网具备规模大、速度快、环境开放、用户活跃等特性，能为信息化教育提供有力的支撑；然而，这些特性往往又是引发重要数据丢失、损坏、泄漏，甚至造成系统崩溃等安全事件发生的因素之一。为加强校园网安全防护能力，实现安全事件“可控可查”目的，深入推进校园网安全防护体系建设显得至关重要。

1 高职院校校园网安全防护现状分析

1.1 网络日益壮大，防护压力增加

随着教育信息化不断推进，高职院校校园网也在日益壮大。目前，高职院校教学、办公、科研以及生活管理等等，都需要校园网提供支撑；同时，各种移动终端（智能手机、平板电脑、一体机等）和泛在学习方式的出现，促使无线网络承载的服务也在不断增加；另外，监控网、广播网、一卡通等功能网络的并入，使得整个校园网的安全防护压力与日俱增。

1.2 师生信息化水平参差不齐，自我防护意识不强

对高职院校来说，校园网最大的服务对象是学院全体师生员工，也就是内网用户；校园网安全威胁统计数据显示，约占50%以上的威胁来自内网地址；再加上，师生信息化水平参差不齐，自我防护意识不强，导致整个校园网的安全防护难度增加。

2 高职院校校园网面临的安全问题

2.1 黑客攻击

高职院校校园网由于用户多、防范意识不强、防护体系不健全等原因，往往成为黑客重点攻击的对象；网络环境的开放性和技术手段的公开性，使得黑客更易利用网络协议、弱口令等有针对性地攻击学校网站和服务器；另外，黑客攻击了一个校园网的用户后，大量的病毒将在整个校园网蔓延开来，黑客攻击的成本将大大降低、其攻击效率也将大大提升。近几年，席卷全球的勒索病毒，大多数被攻击的用户就是校园网用户。

2.2 非法访问

校园网是学院全体师生员工访问互联网的桥梁和载体，也是外部用户访问校内资源的必经之路。面对互联网中良莠不齐的信息，校园网用户不加甄别的非法访问，也是导致校园网遭受安全威胁的主要源头。

2.3 系统漏洞

校园网承载的业务系统是对内、对外访问最多的应用之一。业务系统大都是基于某种语言开发的代码（有的甚至直接调用一些开源的代码），而这些代码往往存在这种或那种漏洞。系统漏洞的存在，通常又被非法入侵者利用，作为入侵手段打入校园网内部，进行破坏行动，造成校园网安全事故。

3 解决方案

面对如此之多的安全威胁，高职院校校园网要确保稳定运行，安全防护该怎样构建呢？解决这个问题，要从校园网承载的服务等级和类别出发，全面调研，统筹规划，做好顶层设计，深入推进校园网安全防护建设，构建基于“可控可查”的校园网安全体系。

3.1 构建校园网安全分级防护体系

校园网安全分级防护体系主要从高职院校内部入手，从上至下分三级（即：院级、系/处/部级、师生级）开展，明确并落实每个层级职责和义务，实现事故“可控可查”。

（1）从院级层面来看，做好安全防护的顶层设计，突出组织领导、强化制度建设，实现“可控”。突出组织领导，建设完善的校园网安全组织领导体系：一是建设以学院书记和院长为组长的校园网与信息安全领导小组；二是成立负责校园网与信息安全的专职部门，统筹和协调全院网络与信息安全基础建设；三是打造校园网与信息安全专（兼）职队伍。强化制度建设，坚持技术安全与内容安全并重，建立健全校园网与信息安全制度体系。

（2）从系/处/部级层面来看，做到安全防护的制度落地，强化综合治理、实施责任追究，实现“可查”。强化综合治理，按照“治乱、堵漏、补短、规范”要求，全面系统地落实校园网与信息安全治理工作；构建网格化分级责任机制，实施责任追究。

（3）从师生级层面来看，保障安全防护的行动到位，重在宣传教育、培训提升，不断增强个人防护意识，突出個人在校园网与信息安全防护中的责任和担当。

3.2 构建校园网安全分类防护体系

高职院校校园网安全分类防护可依据分类标准不同（安全需求、安全要素、发生阶段），从三方面着手构建，实现风险“可控可查”。

（1）按照安全需求标准，将校园网承载的业务系统分类实施定级保护；依据类别不同开展等保测评工作，对存在的风险和威胁进行评估，及时整改和补短加固，进一步提升业务系统和整个校园网的安全防护能力。

（2）按照安全要素分类，从技术要素和管理要素两方面构建安全防护体系。技术上，从管理策略、技术平台、数据安全三块实施技术手段，实现整体防护；在管理策略方面，实施一“管理”二“结合”：即全生命周期安全管理、自查与统查结合、边防和内防结合；在技术平台方面，实施“三纵…‘三横…一代”：即纵向对业务系统实施“分级、分类、分离”管理模式，横向对业务系统提供三个层次基础平台（网站群、共享空间、虚拟机），一代就是对未经校园网基础平台发布的网站实施“反向代理”；在数据安全方面，主要采用灾备技术对重要数据实施本地或异地容灾和同步接管。管理上，实施上网实名认证、统一行为管控，加强管理人员培训、提升服务能力，开展网络安全防护评比、促进个人防护水平提升。

（3）按照发生阶段分类，从网络安全事件发生的三个阶段（事前、事中、事后）展开防护。事前，做好应急预案、开展应急演练；事中，通过多种途径获知安全事件，按预案及时处理、恢复业务，降低风险、减少损失；事后，查找安全事件根源，分析原因和彻底根除办法，持续监测、评估后果。

4 结束语

随着教育信息化的不断推进、承载的业务系统不断增加、校园网不断壮大，高职院校校园网网络与信息安全问题越来越凸显。针对日趋严重的网络与信息安全问题，高职院校教育信息化推进工作到了发展的“分水岭”。全面深入调研校园网安全防护能力，积极开展等级保护测评工作，构建“可控可查”的校园网安全防护体系，能有效降低高职院校校园网网络与信息安全风险。