高校网络安全防护体系建设与研究

钟焯荣　张晓鹏

摘 要：信息化技术快速发展，推动了高校的信息化应用系统快速发展，根据国家《网络安全法》和网络安全等级保护2.0的相关要求，高校需提高网络安全防护水平和管理能力。文章对高校网络安全现状进行分析，结合学校的实际情况，从网络安全技术防护、健全网络安全机制和管理制度方面探讨高校网络安全防护体系的建设。

关键词：网络安全;等保2.0;安全机制;防护体系

0 引言

计算机网络的快速发展和高校校园网普及使用为高校信息化建设奠定了坚实的基础。高校在发展当中也紧跟互联网发展的步伐，在各个领域和业务中进行信息化系统建设，涉及学校的方方面面如网站、统一门户、教学课程、网上办事、消费、电子借阅、财务等。然而，在这些信息系统中还普遍存在重建设轻安全的现象，普遍存在网络安全问题。随着《网络安全法》、等保2.0和《关键信息基础设施保护条例》等相关国家文件的相继出台和实施，对网络安全建设提出更高的要求。因此构建一个完善的高校网络安全技术防护和网络安全管理体系显得尤为重要[1-2]。

1 高校网络安全现状

1.1  主机服务器系统防护力低

在进行信息业务系统建设中，大部分主机服务器的端操作系统存在系统版本低，存在补丁安装不及时和漏洞较多的问题，有些系统采用默认配置导致弱口令问题且存在未安装杀毒软件或者未更新病毒库等问题。网络攻击者很容易通过非法手段获取用户权限，并利用这些非法权限对主机进行未经授权的非法操作，存在数据涉密和主机系统被控制等重大风险。

1.2  信息系统防护能力低

高校在应用系统建设中，主要关注点在信息系统的功能需求上，而对信息系统的安全性考虑较少。有些系统上线前未进行漏洞及恶意代码检测，存在安全漏洞;有些应用程序部署时采用默认配置，后续运行维护过程中应用程序、中间件等版本更新不及时，安全配置不完善，遗留了安全隐患;有些应用程序用户数量多，弱口令问题无法避免，简单的“用户名+ 密码”认证方式存在很多缺点，密码的维护和管理问题层出不穷，容易被人入侵，导致信息和数据涉漏或篡改等严重问题[3]。

1.3  网络安全防护基础实施投入不足

在高校信息化建设中，主要注重于实际需要的信息系统建设，对网络安全方面并不重视，在网络安全基础设施和防护产品方面投入不多，使校园网络安全防护能力弱。很多时候高校对于网络安全问题，几乎都是采取事后解决方式，忽视网络安全问题和网络安全对学校信息化建设的重要性。

1.4 网络安全专业技术人才缺乏

高校对计算机网络安全管理技术人才的培养远远落后于高校信息化的发展需求。网络安全人员的要求相对较高，需要了解熟悉跨多专业的知识领域，网络安全技术人员的专业技术能力决定了校园网络安全防护体系建设的水平。

2 网络安全技术防护体系建设

2.1  完善服务器区的安全防护

高校一般都是自建网络机房并有大量服务器在同一网络里。因此首先要做到就是在网络设备做好安全配置，如通过交换机ACL配置访问控制列表，阻断远程管理的端口如远程桌面、ssh、telnet等端口，防止服务器内部之间的可以进行远程管理。应部署服务器统一安全控制管理平台，如华南农业大学部署了深信服EDR平台，实现对服务器终端资产安全生命周期监控，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力，保证了服务器安全、可靠、稳定运行[4]。

2.2  部署WAF，IPS产品进行防护

通过部署WAF，IPS安全防护产品能够实现服务器群整体的安全防护。WAF防火墙实现对Web应用进行防护，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，能更有效的防护网站的各类安全漏洞，代码漏洞/注入、弱口令探测等，有效防止網页篡改、信息泄露、木马植入等恶意网络入侵行为，从而对各类网站站点进行有效防护。IPS入侵防护设备能有效地进行端口以及数据包的严格过滤，能够对网络中3～7层的各种网络应用检测和阻断，实时、主动拦截黑客攻击如蠕虫、网络病毒、后门木马、DDOS等，保护信息系统和网络架构免受侵害，防止操作系统和应用程序损坏，阻止服务器的远程管理操作等。

2.3  建立堡垒机安全访问管理

服务器和系统的远程管理维护必须通过堡垒机才能进行管理，只允许管理所授权的服务器。堡垒机对授权人员的操作行为进行记录、控制和审计，做到全部可溯可查，以此加强管理行为的规范和监管[5]。

2.4  部署网络安全态势感知系统

为了提高防护能力，可在校园网中部署安全态势感知系统，通过获取镜像校园网出口、服务器区流量、WAF、IPS设备的日志信息等形成大数据进行分析，通过恶意域名、IP、URL、木马特征等威胁情报库。在协议特征分析的基础上，通过情报命中、规则检测、深度学习模型的匹配等策略，及时掌握校园网内的所有失陷主机及关联威胁，进行及时处置，实现对校园网的高级入侵行为检测和防范，提高对新型网络攻击的预警和处置能力。

2.5  定期进行网络安全扫描

学校应部署专业的漏洞扫描产品，定期组织对主机系统及各类网站、业务系统进行漏洞扫描，从而发现存在的安全漏洞。对漏洞扫描结果进行评估和分析，提出可操作性的整改建议，将发现的安全漏洞和整改建议及时发到各级单位，督促限期进行处置，有助于降低或避免校园网主机管理信息系统的风险。

3 完善网络安全管理体系建设

3.1  加强领导、完善机构设置、健全制度

按照国家网络安全法的相关指导要要求，上级各主管部门关于互联网服务的安全技术要求，应当成立以校领导为组长的网络安全和信息化工作领导小组，设立网络安全工作小组和网络安全技术保障小组，明确工作职能，建立学校网络安全工作责任制、网站管理办法、网络安全事件应急预案等管理制度，明确各二级单位党政领导为网络安全责任第一人。各信息化系统根据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，签订学校信息系统（网站）安全承认书，信息系统所在单位领导和系统使用人要承担网络安全主体责任。

3.2 加强学校信息化资产管理

学校网络管理部门和网络安全工作小组应定期对校园网中运行的各类主机服务器、信息系统、网站等有形无形资产进行摸底，整理统计，建立资产台账。应建立信息化资产安全运营管理平台，加强资产校内备案和续期、校外开放访问等管理，清理无专人运维的或已不再使用的“僵尸”信息系统（网站），回收资源，对于未按时期续备案、长期未更新或存在高风险漏洞未整改的主机信息系统（网站），限制访问。

3.3  落实网络安全事件应急处理预案

建立学校层面的网络安全事件应急领导机构，按要求成立网络应急响应技术小组，在出现紧急事件时第一时间向领导小组汇报，这样才能做到有条不紊，由领导小组对事件的紧急程度以及事件等级进行研判，并制定相应的处理措施。出台网络安全应急预案，根据国家等级保护2.0的要求，网络安全预案是必要条件，根据自身实际情况设定合理的网络安全应急预案，明确事件的处理流程，这样在出现紧急事件时，有据可循，工作才能有条不紊。定期进行网络安全事件演练，根据各类不同的网络安全事件，定期开展针对性的安全演练，确保出现网络安全事件时，能够以最快的速度进行响应和处置，能够将事件的影响控制到最小，减少安全事件带来的损失。

3.4  提升网络安全技术人员专业水平

建设高校网络安全防护体系，需加强对网络安全技术管理人员进行专业的技能培训，特别是系统、应用及网絡技术等相关的安全技能培训，逐步实现持证上岗。有条件的学校可通过与网络安全厂商联合建立校内网络安全实验室或购买网络安全外包服务来整体提升学校网络安全监控和防护能力，提升学校网络安全技术人员的技术技能。

4 结语

建立、健全高校网络安全技术和管理体系是高校信息化应用系统安全、可靠运行的保障，然而网络安全治理和管理是一个长期、持续不断的过程，面临的安全威胁层出不穷，对新的网络威胁和风险需要跟进关注，加强风险评估，加固安全防护和安全策略优化调整，才能有效保障学校信息化建设的有序、健康、高质量发展。

[参考文献]

[1]杨俊斌，梁红.高校校园网络安全管理问题及对策研究[J].网络安全技术与应用，2017（12）：102.

[2]孙影.论高校网络建设中的信息安全[J].中外企业家，2019（34）：235.

[3]李 琴，杜 林，李建军.浅析高校网络安全防护关键[J].网络安全技术与应用，2020（4）：106-107.

[4]曾聪.高校服务器网络安全防范问题及策略研究[J].无线互联科技，2020（4）：28-29.

[5]傅钰.网络安全等级保护2.0 下的安全体系建设[J].网络安全技术与应用，2018（8）：13，16.

（编辑 姚 鑫）

Construction and research of network security protection system in universities

Zhong Zhuorong， Zhang Xiaopeng

（South China Agricultural Uniersity， Guangzhou 510640， China）

Abstract：The rapid development of information technology has promoted the rapid development of information application system in universities. According to the relevant requirements of National Network Security Law and classified protection of cybersecurity 2.0， the universities need to improve the level of network security protection and management ability. The thesis analyzes the current situation of network security in universities. Combined with the actual situation of the universities， it discusses the construction and research of the network security protection system in universities from the aspects of network security technology protection， and consummating network security mechanism and management system.

Key words：network security; classified protection of cybersecurity 2.0; security mechanism; protection system

作者简介：钟焯荣（1979— ），男，广东云安人，工程师，学士;研究方向：计算机网络。