张瑞英 刘永铎 武永娇
摘要:随着数字化网络发展的不断深入,日益成熟的网络基础建设和互联网资源大大提高了高校各项工作的开展和完成效率。但是,网络在带来各种便利的同时,也带来了很多的网络安全风险。随着教师教学、学生上课、办公等工作对校园网平台的日益依赖,国家对网络安全日益重视,高校网络安全的加强也迫在眉睫。文章通过对高校信息化网络现状和网络信息安全面临的问题进行研究分析,在建设、运维管理等方面提出了有效措施。
关键词:信息化建设:运维管理:网络安全
中图分类号:TN915. 07
文献标志码:A
0 引言
在当前云计算、大数据、人工智能、移动应用等新一代数字化技术高速发展的形势下,各高校广泛应用新兴技术进行学校基础建设、应用系统的建设和数据的存储、处理、传递和分析等。例如通过云计算技术将计算、存储、网络等资源整合为统一的资源池,从而实现对硬件资源的二次分配,有效利用空闲资源[1]。通过运用大数据、人工智能等数字化技术,实现业务与技术的深度融合,打通部分内外业务流程、优化业务管理及服务。高校作为人才培养、新兴技术研究和广泛应用的区域,涵盖大量重要数据,其网络和应用系统是黑客攻击的重要目标之一,对于高校面临的网络攻击、数据泄露等问题,必须采取有效的应对措施,对加强高校网络安全具有非常重要且积极的意义[2]。本文主要从高校网络现状出发,进一步分析高校的信息化建设,并对网络安全运行运维提出一些建议。
1 高校信息化网络现状分析
高校网络分为有线网络和无线网络兩部分,其中有线网络用于提供高速可靠的数据传输服务,而无线网络主要用于移动终端的网络接入。校园网络建设必须具备高速、稳定、安全、便捷、易管理等特点,根据校园网络建设的特点和等级保护2.0的要求,经过近年来的不断强化建设,校园网络已经基本完善,但是也存在一些问题。
1.1 高校信息化网络现状
高校校园网络采用标准的三层物理网络拓扑结构,即核心层、汇聚层和接人层三层网络逻辑架构。校园网络核心层采用双冗余模式,部署两台核心交换机,核心交换机之间通过双万兆链路互联,采用热备技术和虚拟化技术,大大提高了网络的稳定性和转发性能,骨干链路根据学校规模及业务运行特点,选择了合理带宽,从而保障了校园网的稳定运行。核心交换机下连两台交换机作为核心汇聚设备,主要进行核心层到接入层网络的汇合,通过千兆及以上光纤链路连接到接入层。接入层根据终端的类型(台式电脑或移动终端),配备接入交换机或PoE交换机(支持对外供电).用于连接台式电脑等网络终端或无线接入点( AP).从而实现千百兆到桌面。高校基本实现校园无线网络全覆盖,根据当前应用需求和未来几年的网络需求,构建了千兆高速无线网,无线控制器(AC)负责管理无线接入点( AP),采用N+1冗余模式,并使用双链路与双核心交换机相连.AC通过核心交换机、汇聚交换机、PoE接入交换机与无线接入AP连接,形成逻辑二层的无线网络。
随着云计算技术的不断发展,云计算技术已经广泛应用于教育行业,云计算通过使用虚拟化技术将数据中心的计算、存储及网络等资源进行逻辑层面的化整为零,整合为统一的资源池,可以同时创建多台逻辑云主机,每台逻辑云主机上可安装运行不同的操作系统和不同的应用程序,不同云主机上的应用程序之间互不影响,提升了基础设施的资源利用率。云计算主要有基础设施即服务( IaaS)、平台即服务(PaaS)和软件即服务( SaaS)3种模型,按照不同的部署方式可以分为公有云、私有云和混合云,混合云融合了公有云的强扩展性和私有云的安全性等特点[3]。高校除了在本地数据中心物理服务器上部署一些应用,也结合当前实际情况在信息化基础设施建设上构建了混合云平台,将站群、OA等应用系统部署在本地中心机房的私有云平台上运行管理,实现将内部重要数据保存在本地数据中心,从而有效保障了数据的安全性,将部分应用系统部署在公有云平台上,解决了带宽限制等问题。私有云与公有云之间采用双链路数据专线互联互通,同时在本地数据中心部署一台备份设备集中备份、存储公有云和私有云的重要业务及数据,以解决故障导致的数据丢失问题。
在安全性方面,高校基本对数据中心整体网络进行了区域划分,将校园网络区域划分为互联网出口区、核心交换区、服务器区、办公区、安全运维管理区等区域,各区域间进行了安全隔离。在网络边界部署了防火墙及入侵防御系统,对非法访问、入侵行为和DDos等攻击进行检测和防护,在核心交换机和防火墙上设置了不同网段、不同用户对服务器的访问控制权限。高校基本构建了基于B/S架构的有线无线一体化上网认证系统,校园网用户无论通过有线还是无线接入校园网络,都必须经过认证后才可以访问。在安全管理区部署了漏洞扫描设备,定期对内部的服务器、网络设备及应用系统进行漏洞扫描,及时发现漏洞并及时修复;部署了WAF设备防止soL注入、流量攻击等:部署了数据库审计设备对所有数据库操作进行审计及分析,防止管理员人员或恶意攻击者对数据库的误操作、恶意操作及破坏等行为无法追溯:服务器和终端都安装企业版杀毒软件进行安全防护,降低安全风险:部署了上网行为管理系统对终端的上网行为和访问的内容进行审计阻断:部署了安全感知平台获取探针数据及其他安全设备的日志来实现智能分析、危险点防护及清查、统一呈现全网安全风险并联动其他安全设备及时处置安全威胁,同时为后续的跟踪审计提供依据:部署了堡垒机可以进行统一的安全运维和审计,保证运维人员的所有操作可溯源。
1.2 高校信息化网络安全存在的问题
校园网络安全是整个校园网络的基本保障,除了为用户提供高速便利的网络服务,还必须采用有效的安全管理措施。通过分析发现,高校网络安全存在问题如下:
(1)在资产管理方面,由于高校信息化建设早期管理不规范,没有统一的管理标准,存在信息资产管理混乱、资产档案不完善,更新不及时,交接档案不完整等现象,使得网络安全管理工作不能得到很好的落实。
(2)校园有线网络的进一步扩展存在高成本和扩展时间周期长等问题。无线网络存在信号不稳定、安全性能低和管理机制不完善等问题。安全体系通过部署防火墙、IPS、应用防护系统WAF、漏扫系统、防病毒网关、上网行为管理、数据库审计系统、态势感知系统等网络安全设施设备,应对网络和数据安全等问题,但是各类安全设备分属不同厂商,产品之间存在孤立分散、无法有效对接,数据无法形成有效关联等问题[4]。
(3)云计算应用带来很多优势,如多可用区架构可以提供更好的容灾能力,中间件服务可以提供更好的安全运维能力,容器化部署可以提高系统弹性扩容能力,微服务系统解耦应用模块,避免单点故障。但是云计算应用也存在一些问题:如系统稳定性有待提高,服务链路更长更复杂,数据流转更加复杂,一个异常或故障可能引起整个系统的故障,且故障呈现多样化,云管理工具功能单一,需要大量定制开发服务,标准化程度有待提高。
(4)网络安全相关管理制度需进一步完善,大部分网络管理员为非网络安全专业的人员,网络安全知识储备和安全防范意识有待进一步提高,在遇到复杂网络安全问题或事件时,无法及时对其进行分析判断并采取正确应对措施处理,导致网络安全问题扩大造成安全威胁[5]。
2 信息化建设及管理
信息化建设是一个长期投入的过程,网络设备有生命周期,不是一旦有,就可以一直用,需要根据发展要求及使用需求等因素做好迭代更新工作,且随着信息化的变化发展,高校校园网络及应用系统也会存在新的安全隐患威胁,因此需要在现有网络环境中不断更新、完善设备及应用系统。
2.1 建立“一网通办”平台
随着校园信息化业务逐步增多,校内各部门购置使用的多业务应用系统不仅会浪费存储空间,还存在反复报送同样的信息数据、各系统数据信息不同步不共享等现象。近几年,政府建立“一网通办”服务型政务大厅,加速了信息化的應用,实现了向服务型政府的转型升级,由此也带动了高校建设“一网通办”智能型服务大厅的热潮。“一网通办”以网上办事大厅为延展,扩充教学办公等工作,通过内外网融合、角色融合、资讯与办事融合、多终端融合,一站式集成业务处理、实现业务可视、智能协助、在线协同等功能,突破了各系统之间信息孤岛现象,其技术架构如图1所示。
搭建“一网通办”服务平台,可实现对外办事服务的统一注册、登录、授权、服务、审计、展示等功能,提升前端办事服务能力,为用户提供统一、标准、全面、便捷的“前端、中端、后端”一体化服务平台,方便完成各类流程等事项办理,实现数据共享,实现对PC端、移动端和各类白助终端的支撑。“一网通办”平台,通过统一标准规范,用户、应用、服务管理等核心组件,对接入系统进行有效管理、实现统一身份认证、单点登录、统一消息服务等。同时可缩短应用建设周期,能够迅速利用已有的基础设施快速搭建需要的流程或应用系统,避免各个项目在建设、运行运维等环节的重复投资,降低了总体成本。
2.2 零信任安全访问
零信任技术的原理是基于网络内外部充满威胁,基于网络位置(IP地址)信任关系的判断是不可靠的,所有设备、用户和流量必须经过认证和授权,没有权限的坚决不能放通,访问控制策略应该是动态的假设下,得出结论,即零信任必须验证用户,验证用户所使用的设备,给予最小权限,还需要自适应动态控制以适应零信任的理念。零信任架构是一种新的安全架构理念和思想,它使得安全建设视角从“基于风险”向“基于业务访问过程”转变。并且从理论上构建了一个端(人/终端/程序/设备…)到端(系统/应用/数据…)的最小访问模型,建立了一个动态的、基于身份和安全的逻辑访问边界,其安全访问架构如图2所示。
基于零信任架构,可实现让正确的人使用正确的终端,在任意位置,使用正确的权限,访问正确的业务,获得正确的数据,将人(身份)、终端、网络位置、访问权限、业务、数据等分散的安全单元有效串联起来,可实现用户、权限、策略的统一管理和运维,大大降低安全管理复杂度和难度:最大化落地“最小权限原则”,收缩业务暴露面,大大提升安全性,同时也降低了ACL访问管理的投入:与“一网通办”平台打通,可实现全场景的、一致性的访问体验,获得与内网接近一致的访问体验:确保能够方便地接入业务,还能有效阻断来自终端的风险,避免远程办公/上课成为风险入口,通过严格的、有效的数据防泄露手段,避免业务重要的数据对外泄露。
2.3 安全管理与运维
信息化安全管理是一个不断完善各种规章制度和加强管理的过程,网络安全是“三分技术、七分管理”,在加强安全防护技术的前提下,建立信息安全管理机制,保障网络安全运行。
(1)需要做到资产清晰,做好完整资产档案,及时做好资产更新工作,及时和相关部门做好不用设备的后期处置移交工作,并做好记录。对于安全设备要做好特征库、病毒库、版本的及时更新工作,使安全设备发挥最有效的作用,同时不断完善管理制度。
(2)系统管理工作要求系统管理员有高度责任心,管理涵盖服务器管理和系统管理两方面,服务器管理员需要打开系统防火墙,打开日志,根据业务需求只开放必须使用的端口,关闭盘符共享:设置策略密码定期更换登录口令,且密码复杂性需在6位或8位以上,含大写字母、小写字母、数字、特殊字符;服务器上除安装系统运行必需的软件及安全应用外,不应安装其他软件,从而防范因在服务器上安装不必要软件出现安全问题。系统管理方面根据需求做好系统管理工作,及时修复整改系统漏洞,做好备份工作,开启日志,日志留存至少6个月。
(3)需要通过培训或进修方式,加强对网络安全管理技术人员的培养,加强日常维护管理,提高网络安全技术人员的安全敏感性,从而对出现的安全问题能够做出快速判断及合理应对。加强与其他高校和厂商的技术交流,通过网络、移动App等方式加强对网络安全知识的宣传,不定期发布网络使用注意事项,提高人们的网络安全意识。
3 结语
高校信息化建设是一个不断迭代更新及完善的过程,信息化网络安全是学校信息化网络建设中的重要考虑因素,需要加强网络安全软硬件投入、健全网络安全相关制度、严格网络维护管理、提高网络使用人员及管理人员的网络安全意识和技术水平等,是未来重要的研究方向和发展前景,只有更好地实现了网络安全,才能更好地保证高校网络信息化的安全和稳定发展。
参考文献
[1]曾昊川.高校信息化建设中网络安全管理与对策研究[J].网络安全技术与应用,2022(3):83-84.
[2]王龙飞.高校信息化建设中的网络安全问题分析[J].无线互联科技.2019(5):21-22.
[3]邓梓芃.云计算在高校信息化建设中的应用[J].电子元器件与信息技术.2021( 12):137-138.
[4]陈超.高校信息化建设中网络安全管理与对策研究[J].网络安全技术与应用.2021(4):79-80.
[5]林正地.网络信息安全技术在高校信息化建设中的应用[J].电子元器件与信息技术,2021(3):26-27.
(编辑王雪芬)