◆张瑞霞 冯冰洁
高校校园网安全防护建议
◆张瑞霞 冯冰洁
(河南理工大学 信管中心 河南 454000)
随着高校的信息化快速发展,高校网络安全问题越来越突出。本文结合高校校园网现状,从加强网络安全顶层设计、完善学校网络安全工作机制、网络安全教育、加大校园网络信息监管力度、提高网络安全预警和应急处置能力等方面对高校校园网安全防护建设工作给出了建议·。
网络安全;校园网建设;分级防护
近年来随着高校信息化快速发展,高校网络安全问题越来越突出,网络安全事件时有发生,一旦发生网络安全事件,影响面很大。而究其原因,主要是教育系统本身涉及的机构数量极多,建设单位杂,管理层级多,安全管理困难。而《网络安全法》的颁布和等保2.0的出台给高校网络安全建设提出了新的准则,指明了新的方向。
《网络安全法》的颁布及网络安全等级保护制度的制定使得各高校对校园网络安全的重视程度有所增加,但明显还是不够的,目前普遍存在制度不完善、执行不到位以及人才缺失等问题。由于高校网站的公益性,被入侵和篡改网页造成的损失不太明显,网站安全往往得不到重视,弱口令、信息泄露随处可见,甚至一些二级单位为了节省经费在网站建设和维护上根本就不考虑网络安全问题。
高校内部网站及系统数量众多,这些网站及系统在建立初期由于各种原因大都是找一些小的开发团队来做的,这些开发团队在做系统时主要目的是实现需方所要求的全部功能,往往不会去考虑安全问题,认为运维安全应当由安全设备来保护,例如对于弱密码问题,开发者可能根本就不关注,并且认为是后期使用者和运维人员的责任,系统上线之前也没有通过专业的安全检测和评估,上线之后漏洞很多;部分应用系统的服务器太过老旧,以至于系统无法升级,不能安装最新的防病毒软件,而二级单位因为经费问题不会及时更换这些服务器,致使存在非常多的网络安全漏洞。而且由于学校信息系统产生的数据量大,而且部分数据很有价值,所以成了某些不法分子攻击的主要目标。
网络安全管理制度的完善,是校园网安全防护体系的基本保障。而部分校园网的规章制度不系统、不完善,有的规章制度就是照搬其他单位的,没有从自身实际出发,根本就适用。有些制度制定年代久远更新不及时,无法适应网络安全的快速发展,在实际工作中起不到应有的作用。
高校网站和系统往往重建设、重功能,轻维护轻安全防护,各类安全漏洞长期得不到修复。高校的二级单位信息管理员大多身兼数职,没有专门的信息管理人员,而且这些管理人员的安全技术能力普遍不足,甚至有的运维团队就是由学生担任。很多安全漏洞尤其是弱密码漏洞由于重视度不够而行不到及时修复,甚至存在不通报就不修复的现象。
首先,一般的高校网络安全建设中往往关注重点在于校外的网络安全威胁,对校园网内部的网络安全不够重视,以至一旦某台内网主机被入侵,就会漫延到整个校园网;其次,高校校园网用户组成结构较为复杂,人员众多,包括管理人员、教师、教辅工作人员及学生等,这些用户的水平参差不齐,大部分校园网用户存在“网络安全问题与己无关“、”出现网络安全问题影响不大“、”方便省钱是王道“等思想,这些都是校园网络安全的极大不稳定因素。
没有信息化就没有网络安全,没有网络安全就无法保障信息化的正常发展。高校的信息化建设离不开网络安全,所以一定要从意识形态上重视网络安全杜绝安全隐患。首先,在管理层面,定期组织全校各单位开展网站评比工作,将网络安全问题作为评比的重要指标,或将网络安全作为年度考核指标。以加强管理人员对网络安全的重视,上行下效,起到良好的带头作用。还可以组织网络安全培训。对于网络安全管理人员,需要定期组织网络安全新技术方面的培训,以提高管理人员应对网络安全事故的能力;对于二级单位信息员,可以适当培训网络安全知识,使其可以处理常见的网络安全故障。其次,要加强师生安全教育,师生的安全意识提高、终端防护提高后,安全就会得到很大的提高。无论是黑客攻击还是网络安全事件,大都源于师生个人终端或操作,如个人信息泄露、因而导致的攻击事件,以个人终端作为跳板来攻击校园网。师生都要守法用网,并加强自我保护,提升师生端的安全。
校园网网络安全应遵循统一领导、分级管理的原则。从组织行政架构上进行校园网网络安全的组织管理分级防护,主要分三个层面:学校层、院系和职能部门(校内二级单位)、师生(终端用户)。
学校层面,应加强组织领导、强化制度建设。首先,成立学校层面的网络安全与信息化办公室负责决策和统筹,设立网络安全科负责管理和协调;各院系所和各职能部门的信息员构成应用层和操作层。其次,建立健全校内网络安全制度体系:根据学校网络安全和信息化建设需求,制定针对性的信息安全管理办法、网络安全事件应急预案、网络信息安全事件报告与处置流程、二级网络管理规范等网络信息安全管理规章制度,形成网络信息安全事件监管常态化和规范化机制。
二级单位层面,:做好网络安全的综合治理,实行网络化管理机制。实行分级网络化责任机制,充分调动各方力量。在校内各二级单位设立网络信息安全责任人,由院系书记担任;根据各二级单位规模,设置1至2名网络安全管理员;各应用系统(含网站)都由专门人员负责;二级单位网络管理员变更应及时向网络安全科报备。
师生层面,加强师生个人终端设备防护。为培养全面发展的高素质人才,高校应高度重视网络安全教育工作。要普及网络安全知识,营造良好校园网络环境。学校领导班子带头学习《网络安全法》,各级分党委和支部、各职能部门层层学习。充分利用国家网络安全周,在此期间可开展网络安全知识宣讲活动,组织参与“高校师生同上一堂网络安全课”,动员全体师生学习《网络安全法》及相关配套法规,并组织参加全国大学生网络安全知识竞赛,激发学生学习网络安全知识兴趣,提升网络安全防护技能。在日常学习和工作中也不能忽视网络安全教育,要充分利用网络优势、学校主页、信息门户、微信门户《网络安全法》专题学习视频,可以设置有奖问答等环节以提高师生的学习积极性。其次,为师生提供正版软件,引导师生增强网络安全防范意识。师生终端防护提高后,整个校园网安全就会得到很大提高。
3.3.1治理管理乱象
首先,高校应根据等保2.0的规定对校内各单位的系统定级备案,对日后将上线的系统应制定严格的信息系统备案流程。其次,要网站规范标识。未经学校审批,严禁托管于校外的信息系统(含网站)使用本校中英文校名、校徽等标识。再次,校内各网站尽量迁移到网站群统一管理,或使用反向代理系统以进一步保障网络安全。最后,应加强和规范网络安全管理,高校各二级单位应严格按照网络信息安全管理制度推进信息化工作。
3.3.2加强网络安全建设
第一、全面清理整顿IP地址等信息资产。关闭已不使用、过期、指向校外IP的域名,未经许可,校内域名将禁止解析到校外IP地址。私自开通与原申请用途不符的,将对其IP地址进行回收。
第二、严控服务器区域的访问权限
在服务器区细化IP和端口层规则,完全做到白名单管理。对于服务器区的出口流量,只允许访问Web、DNS等常规服务,拒绝访问校外远程桌面等端口,最大化流量安全;将服务器入口流量具体细化为完全白名单规则,远程桌面等安全服务具体到特定个人,HTTP服务流量细化为校内和校外,外加时间段访问管理规则,更进一步在IP和端口层保护服务器区的安全。在服务器区应用层访问方面,采用WAF防火墙,实现应用安全保护,防护SQL注入攻击、爬虫攻击、目录服务攻击等,防止SQL漏洞注入攻入,最大化保护应用层安全,并采用态势感知系统监控服务区域的所有流入流出流量,进一步保护服务器区域安全。
第三、安排24小时值班
加强网络信息安全监控下应急处置工作部署,落实敏感时期的24小时值守。设置一键断网功能,值班期间密切关注网络安全和网络舆情,实时掌握安全态势,及时反应,及时汇报。通过制度与措施并举,提高应急处置水平。
第四、建设漏洞扫描及发布平台
搭建漏洞扫描及发布平台,提前预警校内应用系统安全问题,把安全隐患遏制于萌芽阶段,提高信息安全的等级,保护高校校园网应用系统安全。
高校信息化与网络安全是辩证统一的关系。要处理好发展和安全的关系,以网络安全保障学校发展,以发展促安全,两者必须齐头并进、协调一致。没有信息化就没有网络安全,没有网络安全就无法保障信息化的正常发展。要保障网络安全首先要做好网络安全顶层设计,完善学校网络安全工作机制,深入开展网络安全教育,加大校园网络信息监管力度,提高网络安全预警和应急处置能力,以确保学校网络安全。
[1]丁康健,刘立栋,董国芃,杨文.智能校园建设网络安全防护体系研究[J].软件,2020,41(12):233-235.
[2]覃仲宇. 安全新形势下高校网络安全防护体系建设思路[J] .计算机时代,2021(3):26-29.
[3]王大川,王永书,林红.浅议计算机信息系统安全等级保护[J]. 中国公共安全(学术版),2009,3(3):4-10
[4]陈斯迅.筑牢网络安全"防火墙"[J].企业管理,2020(2): 102-104.
[5]鲁学亮,刘臻.高校分级分类的网络安全防护体系研究[J].电脑知识与技术, 2018,14(31):43-44,48.