智慧校园环境下网络安全防护体系构建研究

付天举,许昱苹

(内蒙古电子信息职业技术学院,内蒙古 呼和浩特 010070)

0 引言

近年来,高等职业院校通过信息技术将学生、教师、教育资源、管理、服务等多个方面进行全面协调和优化,实现教育信息化、数字化、智能化,为师生创造更好的工作学习条件,形成了智慧校园环境。在此环境下,伴随物联网、大数据、人工智能等新技术、新应用的不断运用和学校业务系统的不断增多,大量信息系统新建或升级改造,使网络应用的规模变得更加庞大,系统结构更加复杂,在推进智慧校园建设中面临着网络安全诸多风险与挑战。建立健全网络安全管理体系、加大对各类信息系统的安全防护、保障智慧校园业务系统安全稳定可靠运行、防止黑客与病毒入侵、肃清网络环境、增强师生信息化的安全感和获得感已经成为智慧校园建设过程中迫切需要重点解决的问题。

1 网络安全存在的问题

自2017年6月1日《中华人民共和国网络安全法》正式施行以来,高职院校在网络安全建设方面得到重视并取得较大进步,但大多仅停留在满足基本的网络安全需要阶段,网络安全防护体系尚未形成。一些与教育教学、管理服务相关的应用部署在云平台上或教学单位自建数据中心机房,缺乏统一管理,以移动互联网、云计算、物联网、大数据、人工智能为代表的新一代信息技术广泛应用于智慧校园的不同场景,使得网络安全防护问题变得更加复杂,原有的网络安全体系已经不能完全满足安全的需要,面临着网络管理制度缺失、安全策略更新不及时、安全产品盲目堆砌、系统漏洞脆弱性聚积以及师生的信息化素养不高带来的安全隐患等问题,为一些黑客组织和个人提供了可乘之机。个别青年学生法律意识淡薄,信息素养较低,受到新技术和好奇心的驱使,尝试在内网进行非法或越权访问。与此同时,安全事件预防难度大、处置水平低、应急响应不及时等问题越发突出,网络安全的事前、事中、事后缺少整体综合防护,在网络基本安全、系统安全、应用安全、管理与运维安全等方面存在诸多问题[1](见表1)。

表1 校园网络安全存在的问题描述

2 校园网络安全需求

高职院校应当依据网络安全等级保护测评的有关要求和相关法律法规,结合其面临的安全威胁及需求,参考等保安全保障框架,即应用“安全域”的思想对网络进行安全域规划,分域部署相应的安全域保护措施和相关标准的安全产品[2],定期对校园内网进行自查、风险评估,对面临的安全威胁和安全需求进行深入分析,识别网络、主机及应用层面、管理层面可能存在的风险,通过风险监测、安全审计、实时监控、统一身份认证、边界安全接入等手段及时发现威胁。在学校内网形成纵深防御的“安全技术保障”体系,制定完善网络安全管理制度,配备专业安全管理人员,建立安全基线,将信息系统的安全管理水准维持在较高的水平,最终使学校门户网站、业务系统和数据资源得到安全保障,阻断互联网上的恶意攻击,免受安全威胁。

3 网络安全体系的建设路径

智慧校园总体框架主要包括基础设施建设、数据治理、智慧校园应用、安全保障4个部分,其安全保障体系构建是一项关乎管理、技术、人员、法规制度的系统工程,需要从管理等方面强化统筹,完善工作机制,把制度建设贯穿网络安全体系建设全过程。在技术防护方面,要以“等保2.0”为核心指导,建立完备的“技术支撑”平台,以强化信息资产管理为基础,不断优化网络安全防护策略与设备,能够形成事前、事中、事后的网络安全突发事件应急处置的闭环,实现网络安全预警和快速应急处置的工作目标。

3.1 畅通网络安全管理工作机制

高职院校在智慧校园建设过程中的水平参差不齐,网络安全管理工作机制还有待完善。一是学校缺乏总体的网络安全观,表现在思想上重视,行动上保障不足;二是工作机制不畅,网络安全工作的联动机制尚未形成,责任边界不清晰,缺乏统筹协调;三是安全防护体系难以建立,在人防、物防、技防等方面缺乏一体推进,综合运用。归结起来,高职院校还是要通过管理手段保障和促进网络安全工作机制的形成。

3.1.1 领导重视,层层压实责任

以网络安全法和网络安全等级保护测评为工作基本方向,统筹全校的网络安全建设。充分发挥网络安全与信息化领导小组的重要推动作用,不断完善网络安全制度,签订网络安全责任状,层层落实网络安全责任,形成人人讲安全的工作氛围。

3.1.2 完善安全管理制度,规范操作规程

不断完善网络安全管理制度,从技术管理、运维管理、信息安全管理、信息化服务管理、信息化项目管理、信息化支撑管理等方面建立安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程[3]。制定学校信息安全标准规范,指导信息系统在物理部署、网络设置、系统安全防治、应用平台安全等方面制定落实安全措施,明确信息系统可以获取的安全支撑环境以及应用支撑平台对信息系统的安全要求。通过制度建设,实现网络安全与信息化建设工作全面统筹、相互约束的建设工作机制,形成网络安全“全校一盘棋”的工作格局。

3.1.3 加强日常管理

加强数据中心的日常管理,定期对机房、供配电、温湿度控制等设备进行维护管理,完善操作规程,加强对办公区、运维区等保密性管理,日常办公与驻厂运维要分配在不同的区域,要做好信息资产台账的管理,并对信息的使用、传输和存储进行规范化管理。通过规范完善网络安全事前、事中、事后各环节的操作规程,提升网络安全管理工作水平。

3.1.4 开展网络安全突发事件应急处置演练

胸段椎管内硬膜外腔血肿(thoracic spinal epidural hematoma,TSHE)是一种少见疾病，起病急，易发生截瘫或其他不可逆神经损害，一旦发生后果往往很严重，早期准确诊断具有重要意义。现将笔者所在医院近期发生的1例处理经过和体会报告如下。

根据网络安全形势发展的需要,结合实际定期开展相应科目的网络安全突发事件应急处置演练,不断优化处置流程,规范操作规程,提升网络管理人员处置突发事件的应急能力。

3.1.5 提升师生的信息素养

营造数字化的学习环境,对师生进行有计划、有针对性地培训,形成全方位、一体化的信息素养培训体系。开设信息素养选修课,培养和增强学生具有信息意识、信息技能、信息伦理与网络安全意识。充分利用国家网络安全宣传周等契机,面向师生举办专题讲座、知识竞赛等活动,进行网络安全方面的宣传教育。建立教师信息管理员队伍和学生信息员队伍,充分发挥两支队伍在网络安全与信息化建设工作中的重要作用,通过“以点带面,少数带动多数”等方式,使广大师生的网络安全意识和信息化应用能力得到提升[4]。

3.1.6 做好信息系统等级保护测评

信息系统建设之初,应当阐明信息系统的边界和安全保护级别,形成系统定级文档,并组织有关部门和安全技术专家对信息系统定级进行论证和审定,所有的信息系统要严格按照等保测评的要求进行整改,实现网络安全等级保护测评的工作目标。

3.1.7 建立安全基线

基线一般指配置和管理系统的详细描述或者是信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求[5]。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线,不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险。建立安全基线能够帮助学校发现各类服务器、网络设备、安全设备、操作系统、中间件、数据库等存在的安全漏洞与薄弱环节,认清自身风险现状。

3.2 构建“三防融合”技术支撑体系

必须构建人防、物防、技防并重的网络安全综合防护支撑体系[6]。人防是指依靠人的网络安全意识、觉悟和能力建立起来的安全防护,是“三防”体系建设的核心,加强人防,关键是要健全完善和落实网络安全工作责任制。物防是指加大资源设备投入,为网络安全工作的开展提供强有力的物质保障。技防是指采用现代技术手段对信息资产进行保护,防止网络安全事件的发生。实际工作中,要将人防、物防、技防有机结合起来,促进“三防融合”技术支撑体系的形成。

3.2.1 人防

网络安全工作基本上是三分技术七分管理,对于安全保障体系而言,光靠安全设备是远远不够的,更重要的是要有一支技术精湛的专业队伍、一套合理的工作流程和较高的人员安全意识才能真正让安全落到实处[7]。人防是网络安全防护体系建设的核心,无论技术手段多么高深,设备多么先进,都离不开网络安全的核心要素,即人本身。高职院校在加强自身专业队伍建设的同时,要积极开展与安全公司以及第三方安全服务机构的联系与合作,通过服务合作模式,加强网络安全能力建设,提升本校安全团队攻防技能,要转变传统网络安全防护工作的角色,倡导主动防御理念。

要做好日常巡检与应急巡检。建立以资产、业务系统为核心全生命周期的资产管理体系,严格执行入网审批制度,入网前进行安全检查、基线检查,避免带病上线,入网后,进行日常安全合规巡检和应急巡检并行机制,日常巡检要加强系统安全性、基线合规性、服务健康度的巡检,确保业务系统安全稳定的运行,应急巡检目的在于加强对新漏洞、高危漏洞的响应能力,及时发现、及时处理,防患未然。倡导健康退网机制,在资产或业务系统生命周期终止后,业务单位及时发起退网申请,避免形成“僵尸”系统,同时提高技术手段,加强对“僵尸”系统的检测,做到及时发现,及时处置。应对运维管理人员进行详细严格的权限划分,并通过技术手段限制运维边界,对运维行为进行全程审计,对违规运维操作进行实时告警。

3.2.2 物防

进行安全设备加固。按照事前监测、事中防护、事后回溯的网络安全工作机制部署网络安全设备。在高职院校现有基础网络设施条件下,分别从网络基础安全、系统安全、应用安全、数据安全、管理运维安全5个维度进行网络安全加固。在出口互联网接入区域部署有防火墙和流控设备,旁挂上网行为管理设备,加强安全风险识别,进行访问控制。在数据中心业务区部署网络入侵防御系统,对业务系统应用和威胁进行监测。在安全管理中心部署数据库审计系统、日志审计系统、堡垒机,对业务访问行为和运维管控行为进行审计。在服务器及用户终端安装系统防护软件和防病毒软件。对所有的信息系统实行全生命周期的管理,在系统上线之前,即要明确信息系统的边界和安全保护等级,选择基本安全措施,明确对系统的安全保护要求、策略和措施等内容。

3.2.3 技防

“等保2.0”是我国最新、最权威的网络安全保护标准体系,在具体的技防工作中,要参照标准体系开展技术防护工作,包含优化网络安全策略、即时修补漏洞、日常实时监测、事件应急处置、数据保密与备份恢复等方面的内容[8]。

(1)优化网络安全策略。

校园网络出口应对可能发生的拒绝服务攻击进行有效识别、过滤、清洗,保证网络出口的畅通,保证骨干链路的负载处于正常范围之内。网络出口链路应有边界安全防护措施,对来源于公网或内网的黑客入侵、病毒传播等安全威胁进行实时识别与阻断。DMZ区及内网服务器区出口链路上,针对WEB应用的7层攻击,如SQL注入、XSS、HTTP GET FLOOD等威胁进行全面深入的防护。所有流经核心交换区域的流量要进行深入的检测,以识别内部各网络区域之间发生的入侵事件和可疑行为。面向内网用户要进行网络行为全面的记录和审计,以满足违规事件发生后的追查取证。要在不同区域之间进行访问控制、病毒检测、入侵防护等安全控制措施。应对全网的网络节点进行配置合规管理,实现违规配置及时识别、配置整改全面深入、配置风险全程可控。

(2)即时修补漏洞。

对全校网络节点进行漏洞脆弱性管理,实现漏洞预警、漏洞加固和漏洞审计的全程风险控制,建立以漏洞为核心,全生命周期的漏洞管理体系。

(3)加强日常实时监测。

通过本地网络安全与云端威胁情报结合,建立以威胁为核心,结合威胁情报感知、应急响应和恢复过程,构建主动感知和预警的威胁运营体系,做到实时监控、实时预警,提升日常监控和应急响应能力。

(4)做好事件的应急处置,建立联动的工作机制。

按照事前、事中、事后的网络安全防护体系不断优化应急处置流程,安全事件发生时,人员能够第一时间到位,并即时启动网络安全突发应急事件处置预案,通过运用相关安全设备和技术手段快速定位事件源[4]。

(5)做好数据保密与备份恢复。

强化数据资源全生命周期安全保护,完善适用于大数据环境下的数据分类分级保护制度,保障数据安全。对于终端敏感信息或重要数据在存储和流转过程中需要使用密码技术保障数据传输过程中的完整性与保密性。例如使用WEBVPN或HTTPS的协议进行访问,不具有证书加密的场景可采用其他第三方软件加密。要做好重要数据备份与恢复,制定数据备份策略,做到全量备份与增量备份相结合,并提供异地数据备份功能,要对重要系统和数据库进行容灾备份,使灾备系统随时处在就绪状态或运营状态。

4 结语

习近平总书记始终高度重视网络安全与信息化建设工作,强调没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼、驱动之双轮。作为承担人才培养任务的高校,要将观念和认识统一到习近平总书记关于网信事业的重要讲话精神上来,树立正确的网络安全观,在具体的工作中要将管理机制与技术手段进行全面有效的融合,充分发挥人员、技术、产品的优势,形成网络安全工作合力,建设安全、稳定、可靠的网络环境,抵御网络安全威胁,从而筑牢智慧校园发展根基,推动教育数字化赋能学校高质量发展。