吴永兴 菅志宇 王丽梅 苏昌
摘要:本文在总结阐释高校智慧校园网络安全运营体系相关概念、内涵,深入分析高校智慧校园网络安全运营“痛点”及面临的挑战等基础上,从“一个网络安全管理中心”和包括物理网络安全技术、逻辑网络安全技术、访问与计算环境安全技术在内的“三重防护技术”角度,深入探讨了高校智慧校园建设中网络安全运营体系的构建。
关键词:高校; 智慧校园建设; 网络安全运营体系; 构建
中图分类号:G434 文献标识码:A 论文编号:1674-2117(2024)01-0107-05
网络安全运营作为高校智慧校园建设的重要工作内容之一,是保障高校智慧校园安全、稳定、可靠运行的基础。为更好地践行总体国家安全观,构建一流的高校智慧校园网络安全运营体系,确保高校智慧校园不发生网络安全重大事件,以及切实增强师生网络安全和信息化服务的体验感、满足感和幸福感,笔者在总结阐释高校智慧校园网络安全运营体系相关概念、内涵,深入分析高校智慧校园网络安全运营“痛点”及面临的挑战等基础上,尝试从“一个网络安全管理中心”和包括物理网络安全技术、逻辑网络安全技术、访问与计算环境安全技术在内的“三重防护技术”角度,深入探讨高校智慧校园建设中网络安全运营体系的构建问题。
高校智慧校园网络安全运营体系概述
1.高校智慧校园
高校智慧校園是在数字化校园升级、升华基础上高校信息化发展的高级形态。高校智慧校园指的是基于推进现代信息技术与教育教学融合,提高教与学、科研、管理工作效率和效果以及生活服务水平这一目的,以物联网、云计算、大数据、虚拟化、人工智能等为核心技术,以各种应用服务系统为载体,将学校相关课程教学、科学研究、教育管理和日常生活等内容“整合”,实现一体化、科学化、高效化教育服务的“高校校园环境”。高校智慧校园能够全面“感知”校园的物理环境、人文环境,具备提供知识化的服务需求、科学化的数据管理、智能化的决策分析等功能,较好实现了校园范围内人、财、物、信息、业务、流程等的智能融合。与传统高校信息化建设相比,高校智慧校园建设不论是在智能层次上还是在技术水平上都实现了跃升,这也对高校智慧校网络安全运营提出了更高要求和更大挑战。
2.网络安全运营
目前,学界和业界关于网络安全运营还没有形成一个广泛认可的定义,经过较多的理论研究与实践探索,只是在网络安全运营核心思想上趋于一致,即通过网络安全检测、预警、防护、自适应等一系列工作的开展,达到保障网络软件、硬件及数据安全和相关应用系统稳定可靠运行的目的。参照2022年电子工业出版社出版的《网络安全运营服务能力指南》中关于网络安全运营的描述,网络安全运营是指以特定网络设施、设备、系统为对象,以保障网络安全为目标,以网络资源管理为核心,以安全事件管理为关键环节,以安全态势感知为主要技术、手段、措施,相关组织、人员协调开展风险评估、事件处置等的一系列过程和活动。其具体内容包括网络安全管理运营和网络安全技术运营,其中管理运营方面,包括组织机构设置、管理制度建立、运营人员和工作管理等,技术运营方面,包括资产管理、安全防护、监测分析和应急处置等。
3.高校智慧校园网络安全运营体系
高校智慧校园建设在定位上是我国典型的、重要的“关键信息基础设施”,所谓“关键信息基础设施”指的是相关领域、行业内遭到破坏的可能危害国家安全、国计民生、公共利益的重要网络设施和信息系统。我国现行《中华人民共和国网络安全法》《网络安全等级保护条例》中对关键信息基础设施安全运营内容有较为明确的规定,目的就是要确保相关体系建设合理、合规。我国高校智慧校园建设尚处于起步阶段,建设重点主要集中在应用场景的构建和整体功能的设计、应用上,对网络安全运营问题关注相对不足。高校智慧校园网络安全运营有必要围绕管理和技术两个方面,探索建立具有实时检测、事前预警、动态响应、及时防护、自适应和闭环等特点的网络安全运营体系,实现高校智慧校园网络安全体系化运营,切实提高高校智慧校园的网络安全防御能力。
高校智慧校园网络安全运营“痛点”及面临的挑战
当前,我国高校智慧校园建设开展得如火如荼,智慧校园的诸多积极影响、独特优势逐步显现,但同时暴露出的一些“痛点”和面临的挑战也值得深思和关注,特别是在网络安全运营方面。
1.统一的数据中心及网络安全等级保护还未完全按要求落实
数据中心是高校智慧校园的核心网络基础设施,部署统一的数据中心及进行网络安全等级保护是高校智慧校园建设的重要目标之一。所谓数据中心的网络安全等级保护,是指以数据中心为主要等级保护对象,对数据中心的相关设施、设备、数据等进行定级、备案、测评、整改工作。对数据中心相关设施、设备、数据等进行等级保护,可以使智慧校园建设中的其他系统、服务以数据中心为底层架构依附于数据中心运行,而减少对这些系统、服务安全进行专门保护的工作量。目前,我国部分高校智慧校园建设中统一的数据中心及网络安全等级保护并未完全按要求落实,一个主要原因是智慧校园建设多采用分期方式,对数据中心建设及网络安全运营等缺乏长远、整体规划,随着智慧校园建设的不断深入,数据中心相关设施、设备、数据等的安全保障不得不通过“打补丁”整改、新增,导致高校智慧校园建设中在数据中心的部署上相对分散,难以协同管理,加大了网络安全等级保护难度。
2.事前监测预警等网络安全防御系统功能还有待进一步加强
我国现行《关键信息基础设施安全保护条例》(简称“关保”)规定,要做好关键信息基础设施网络安全监测预警工作,相应关键信息基础设施应该具备态势感知、流量监控、APT攻击等功能。我国高校智慧校园是典型关键信息基础设施之一,其建设目的是服务学校教学、科学研究和日常管理,在网络安全运营上多采用服务购买方式,包括网络安全预警功能及相关服务,这种方式相对容易操作、节省成本,但是也存在着一定功能与安全上的不足,还不能够做到完全从高校实际情况和需求出发以及对关键信息的绝对控制,事前监测预警成效不够显著。随着我国高校智慧校园建设事业的不断推进,新增网络设施、设备与业务应用系统越来越多,相关安全需求复杂多样,安全隐患不断增加,加上与之相对应的网络安全防御技术、手段缺乏,增加了网络安全运营有针对性开展安全防护、防御工作的难度,有必要进一步加强高校智慧校园网络安全防御系统功能建设。
3.网络安全运营还不能做到对相关风险、攻击等的综合防控
我国于2019年12月正式颁布实施的《信息安全技术网络安全等级保护基本要求》2.0版本(简称“等保2.0”),对特定网络系统的安全运营进行了较为全面而系统的描述,这是一部相对完整的以底层技术保障为支撑、以主动管理运营为抓手、以事前监测预警为核心、以及时协同响应为目标的网络安全运营体系指导标准与规划指南。等保2.0的一个重要变化是将等级保护的对象由单个应用系统、信息系统扩展为包括网络基础设施、云计算、大数据、物联网、工业控制、移动互联等平台、系统、技术在内的“综合应用系统”。以此为基础,对特定网络系统相关风险、攻击进行综合防控成为网络安全运营工作的主要发展趋势,这也是对高校智慧校园网络安全运营提出的基本要求。就目前我国高校智慧校园网络安全运营而言,它与对相关风险、攻击进行综合防控这一目标还有较大差距。
4.新技术环境对人员的专业素质、安全意识等提出更高要求
当前我国高校智慧校园建设中网络安全运营工作人员的专业素质令人担忧,由于对新技术、设备、系统的专业应用操作、深层工作机制等不熟悉,他们还不能做到对所发生风险、攻击进行及时响应和科学处理,造成网络安全风险的“升级”。再就是高校智慧校园环境下的网络用户构成复杂,既有学校方面的管理者、教师、学生及餐饮、物业人员等,也有工程方面的管理与建设人员、设备运维人员等,上述不同类型人员由于网络技术、安全意识水平等参差不齐,对网络安全风险的反应程度不一,甚至“故意”訪问风险网站、下载恶意软件、开展网络攻击等。上述问题的存在增加了网络安全运营的复杂性。
高校智慧校园网络安全运营体系的构建
建立具有实时检测、动态响应、事前预警、及时防护、自适应和闭环等特点的网络安全运营体系,是高校智慧校园建设中网络运营的重要目标。如上所述,网络安全运营包括管理运营和技术运营两方面内容,结合高校智慧校园网络安全运营工作实际,笔者认为可以尝试构建以“一个网络安全管理中心”和包括物理网络安全技术、逻辑网络安全技术、访问与计算环境安全技术在内的“三重防护技术”为主体的网络安全运营体系,促进高校智慧校园网络安全运营工作水平的提升。
1.“一个网络安全管理中心”的组建及功能
等保2.0要求网络系统的防御方式要由被动防御审计向主动监测、动态响应转变,要对相关风险、攻击等进行综合防控。结合高校智慧校园建设,考虑到网络安全运营工作的开展及效果需要,笔者认为有必要组建“一个网络安全管理中心”,集中、重点围绕系统认证管理、安全审计管理、风险综合管理和人员与制度管理四方面功能开展网络安全运营工作,形成高校智慧校园网络安全运营的“管理体系”。
一是系统认证管理,通过部署“堡垒机”对相关网络设备、系统运维和信息审计等的权限进行统一认证和授权,对运维操作进行全程、全面记录及集中审计,并“隔离”运维人员与目标设备,避免直接操作引起“越权”现象。
二是安全审计管理,建设统一的大数据平台(或者称为数据中心),借助对大数据的采集、融合、挖掘和可视化分析等技术,配合算法迭代等自适应技术,实现对网络设备、安全设备、服务器、数据库及各类应用系统操作日志、告警事件等状态信息和流量数据的集中、闭环审计。
三是风险综合管理,严格按照等保2.0要求制订网络安全控制策略,借助“堡垒机”和大数据平台实现对智慧校园网络活动的持续监测、记录、分析、判断,逐步实现安全态势实时感知、安全威胁提前预警、异常行为动态监控、风险攻击及时处理等的“综合防控”目标。
四是人员与制度管理,结合智慧校园安全管理制度建设,规范学校管理者、教师、学生、后勤服务人员“用网”和运维人员录用、考核、离岗,并针对不同类型人员定期开展安全意识教育和专门安全技术培训等。
2.“三重防护技术”的改进与应用
网络安全“技术运营”是高校智慧校园网络安全运营的基础,是实现对网络安全风险、攻击等“综合防控”目标的关键,它包括物理网络安全技术、逻辑网络安全技术、访问与计算环境安全技术。这三重防护技术的防护重点、优势有所不同,彼此相互支持、协同工作,共同构成高校智慧校园网络安全运营的“技术体系”。
(1)物理网络安全技术的改进与应用
物理网络安全是保障高校智慧校园网络安全的基础,是高校智慧校园网络安全运营的首要关注点。通常高校智慧校园物理网络安全包括中心机房安全、网络设备安全、通信线路安全等几部分。中心机房作为高校智慧校园网络信息的枢纽和数据采集、传输与处理的中心,为高校智慧校园各种应用系统、平台提供安全、稳定、可靠运行的物理环境。考虑到高校智慧校园的整体环境安全度要求较高以及网络安全运营工作需要,建议中心机房建设整体采用模块化结构,将核心网络设备、机架、制冷、配电、安防、监控、消防等基础设施、平台、系统集成到一个统一框架内进行模块化设计、建设,但各项设施、平台、系统又自成一体,其内部构成及扩展等亦遵循模块化原则,使之可以根据需要进行自适应式动态调整。对处于中心机房环境范围以外的网络设备、通信线路等的建设、运维,除需要符合相关国家、地区、行业安全标准外,网络设备还应该具备支持中心机房网络管理系统的实时动态监控以及基本故障的自我诊断与修复等功能,通信线路则应该具备链路故障监控与冗余自动切换等功能。中心机房、网络设备、通信线路之间的实时、动态、协同工作机制共同保障了高校智慧校园物理网络的安全、稳定、可靠运行。
(2)逻辑网络安全技术的改进与应用
逻辑网络是依据通信、管理需要对物理网络相关架构及通信区域、规则、策略等的“再设计”,逻辑网络安全是保障高校智慧校园网络安全的关键。关于高校智慧校园逻辑网络的安全运营,具体可以从网络架构优化、安全区域划分和边界策略制订三方面入手。一是网络架构优化。总体上仍然采用核心层、汇聚层、接入层的三层网络架构,但需要依据扁平化设计原则通过增强核心层网络设备功能、增加核心层与接入层设备连接等来减少汇聚层设备使用,各层设备在功能上需要支持IPV6、MPLS等技术;对于多个校区之间的连接,可以在核心层借助城域网或者光纤专线实现。二是安全区域划分。严格按着信息安全等级保护要求,采用VLAN、防火墙等技术划分智慧校园各区域,特别是要将与数据中心、网络管理、核心链路相关的区域专门隔离出来,各区域之间部署专门的网络安全设备,设置不同的网络控制策略,实现分区隔离、分层把守、整体防护的管理目标。三是边界策略制订。智慧校园各区域与外网之间的关系,在外网出口处开放数据中心域部分服务端口,拒绝外网访问网络管理、核心链路等区域,根据业务需求允许数据中心、网络管理、核心链路等区域访问外网;在智慧校园内部各区域之间的关系中,网络管理域权限最高,可以访问智慧校园所有其他区域,办公域可以访问数据中心域的业务服务端口和网络管理域的办公业务,业务关联服务器之间可以互访及访问数据中心域。
(3)访问与计算环境安全技术的改进与应用
访问与计算是高校智慧校园的两个重要功能,访问关系到能否将风险、攻击“拒之门外”,计算关系到對数据的处理和存储,二者在保障高校智慧校园网络安全方面至关重要。访问安全分为服务端访问安全和客户端访问安全两个方面:服务端访问安全,建议采用统一用户管理、统一身份认证、基于角色的权限管理和数字证书、数据加密、双向认证、设置杀毒软件根服务器等技术、策略,提高用户信息的真实性和服务系统的安全性;客户端访问安全,配合网络管理域、数据中心域安装管理系统终端和网络杀毒软件,定期向网络管理域上传客户端运行状态信息、执行下发的网络控制策略,定期连接杀毒软件根服务器更新病毒特征库及全面杀毒,将恶意程序拦截在到达目标服务器、主机前。
另外,针对计算环境安全问题,高校智慧校园数据中心在数据计算上多采用云平台模式,可以使用虚拟化集群服务器来保障云平台的安全,每个虚拟出来的安全设备都可以看成是独立的安全设备,拥有独立的系统资源、管理员、安全策略和用户认证数据库等,从而对云平台中不同类型服务器进行有针对性的隔离和保护。高校智慧校园数据中心在数据存储上,首先需要建立统一的数据库和格式标准,统一管理各接入系统的数据,其次是部署专门的数据库审计系统,将库中数据以镜像方式发送至审计采集端口,同时发送给网络安全管理中心进行数据库日志审计,最后有必要进一步完善数据库账号密码策略、访问控制策略、数据完整性校验与加密、数据备份与恢复等功能,增强数据库及数据的安全性。
结语
伴随高校智慧校园建设进度的加快及应用范围的扩大,新的网络安全风险不断出现,传统高校网络安全运营体系已经不能够满足智慧校园的建设与发展需要。笔者认为有必要以进一步践行总体国家安全观为契机,结合高校智慧校园建设中网络安全运营工作实际,构建一流的高校智慧校园网络安全运营体系,确保高校智慧校园不发生网络安全重大事件,切实增强师生网络安全和信息化服务的体验感、满足感和幸福感。
参考文献:
[1]邢寒蕊.关于等保2.0高职院校建设智慧校园网络安全体系研究[J].信息系统工程,2023(01):74-76.
[2]张晶,李洪洋,张文婷,等.大数据背景下智慧校园网络数据安全研究[J].网络安全技术与应用,2023(01):76-77.
[3]张晓潮.智慧校园中的网络安全管理体系架构分析[J].电子技术,2022(09):194-195.
[4]张海霞,乔赞瑞,潘啸,等.网络安全数据采集关键技术研究[J].计算机科学与应用,2021,14(04):832-839.
[5]吴永兴,菅志宇,苏昌,等.大数据背景下的高职院校数字化智慧校园建设研究[J].中国信息技术教育,2023(02):109-112.
基金项目:教育部高等学校科学研究发展中心“2022年中国高校产学研创新基金-新一代信息技术创新项目”课题“网络安全运营体系在智慧校园建设中的研究与应用”(课题编号:2022IT206)。