第20期2023年10月无线互联科技Wireless Internet Science and TechnologyNo.20October,2023基金项目:内蒙古电子信息职业技术学院自然科学重点课题;项目名称:基于智慧校园的网络安全体系建设与研究;项目编号:KZZ202202㊂作者简介:付天举(1981 ),男,内蒙古呼和浩特人,副教授,硕士;研究方向:计算机㊂智慧校园环境下网络安全防护体系构建研究付天举,许昱苹(内蒙古电子信息职业技术学院,内蒙古呼和浩特010070)摘要:文章以 网络安全等级保护2.0 (简称 等保2.0 )的建设标准为依据,分析高校智慧校园建设现状和面临的安全威胁及需求,找到当前网络安全建设工作中存在的问题与不足,着重从管理角度与技术防护角度提出高校网络安全防护的整体解决方案,避免网络攻击造成的信息破坏和损失,使师生在信息化建设与应用过程中的安全感和获得感得到明显提升㊂关键词:智慧校园;网络安全;防护体系中图分类号:TP39;G647㊀㊀文献标志码:A0㊀引言㊀㊀近年来,高等职业院校通过信息技术将学生㊁教师㊁教育资源㊁管理㊁服务等多个方面进行全面协调和优化,实现教育信息化㊁数字化㊁智能化,为师生创造更好的工作学习条件,形成了智慧校园环境㊂在此环境下,伴随物联网㊁大数据㊁人工智能等新技术㊁新应用的不断运用和学校业务系统的不断增多,大量信息系统新建或升级改造,使网络应用的规模变得更加庞大,系统结构更加复杂,在推进智慧校园建设中面临着网络安全诸多风险与挑战㊂建立健全网络安全管理体系㊁加大对各类信息系统的安全防护㊁保障智慧校园业务系统安全稳定可靠运行㊁防止黑客与病毒入侵㊁肃清网络环境㊁增强师生信息化的安全感和获得感已经成为智慧校园建设过程中迫切需要重点解决的问题㊂1㊀网络安全存在的问题㊀㊀自2017年6月1日‘中华人民共和国网络安全法“正式施行以来,高职院校在网络安全建设方面得到重视并取得较大进步,但大多仅停留在满足基本的网络安全需要阶段,网络安全防护体系尚未形成㊂一些与教育教学㊁管理服务相关的应用部署在云平台上或教学单位自建数据中心机房,缺乏统一管理,以移动互联网㊁云计算㊁物联网㊁大数据㊁人工智能为代表的新一代信息技术广泛应用于智慧校园的不同场景,使得网络安全防护问题变得更加复杂,原有的网络安全体系已经不能完全满足安全的需要,面临着网络管理制度缺失㊁安全策略更新不及时㊁安全产品盲目堆砌㊁系统漏洞脆弱性聚积以及师生的信息化素养不高带来的安全隐患等问题,为一些黑客组织和个人提供了可乘之机㊂个别青年学生法律意识淡薄,信息素养较低,受到新技术和好奇心的驱使,尝试在内网进行非法或越权访问㊂与此同时,安全事件预防难度大㊁处置水平低㊁应急响应不及时等问题越发突出,网络安全的事前㊁事中㊁事后缺少整体综合防护,在网络基本安全㊁系统安全㊁应用安全㊁管理与运维安全等方面存在诸多问题[1](见表1)㊂2㊀校园网络安全需求㊀㊀高职院校应当依据网络安全等级保护测评的有关要求和相关法律法规,结合其面临的安全威胁及需求,参考等保安全保障框架,即应用 安全域 的思想对网络进行安全域规划,分域部署相应的安全域保护措施和相关标准的安全产品[2],定期对校园内网进行自查㊁风险评估,对面临的安全威胁和安全需求进行深入分析,识别网络㊁主机及应用层面㊁管理层面可能存在的风险,通过风险监测㊁安全审计㊁实时监控㊁统一身份认证㊁边界安全接入等手段及时发现威胁㊂在学校内网形成纵深防御的 安全技术保障 体系,制定完善网络安全管理制度,配备专业安全管理人员,建立安全基线,将信息系统的安全管理水准维持在较高的水平,最终使学校门户网站㊁业务系统和数据资源得到安全保障,阻断互联网上的恶意攻击,免受安全威胁㊂3㊀网络安全体系的建设路径㊀㊀智慧校园总体框架主要包括基础设施建设㊁数据㊀㊀表1㊀校园网络安全存在的问题描述网络安全类型存在的问题网络安全物理/逻辑区域划分不合规;安全策略部署管控粗放;安全监测审计不够精准,事后无法溯源㊁定位等情况系统安全业务系统逐渐增多,缺乏必要的入侵防护手段;不能及时发现操作系统漏洞和进行补丁更新;全网的数据备份与恢复机制不够完善应用安全不能有效抵御口令猜测/破解㊁缓冲溢出等应用层协议攻击;黑名单应用无法管控,违规事件难以追责;业务系统加固机制不完善,权限控制不合理,危险访问行为难以识别;网络病毒层出不穷,传播迅速,不能防止网站篡改运维安全安全管理制度不完善,安全管理技术手段缺乏,无法进行整体安全态势的观察,应用系统的相关操作缺乏有效监控和审计主机与用户终端安全联网终端缺少上网行为和移动介质使用的监管;主机与用户终端入网合规性审查不严,终端设备缺少安全防护,在互联网入口未进行防病毒过滤,未能有效地对访问流量及用户访问行为进行审计和分析,提供审计和研判依据数据安全在数据安全方面,缺少必要的数据传输安全与保密措施,对于可能出现的数据安全缺陷㊁漏洞等风险不能及时发现,数据资产不清晰,在涉及组织㊁个人的数据采集与使用等方面还存在很多薄弱环节,缺乏数据备份容灾的工作机制治理㊁智慧校园应用㊁安全保障4个部分,其安全保障体系构建是一项关乎管理㊁技术㊁人员㊁法规制度的系统工程,需要从管理等方面强化统筹,完善工作机制,把制度建设贯穿网络安全体系建设全过程㊂在技术防护方面,要以 等保2.0 为核心指导,建立完备的技术支撑 平台,以强化信息资产管理为基础,不断优化网络安全防护策略与设备,能够形成事前㊁事中㊁事后的网络安全突发事件应急处置的闭环,实现网络安全预警和快速应急处置的工作目标㊂3.1㊀畅通网络安全管理工作机制㊀㊀高职院校在智慧校园建设过程中的水平参差不齐,网络安全管理工作机制还有待完善㊂一是学校缺乏总体的网络安全观,表现在思想上重视,行动上保障不足;二是工作机制不畅,网络安全工作的联动机制尚未形成,责任边界不清晰,缺乏统筹协调;三是安全防护体系难以建立,在人防㊁物防㊁技防等方面缺乏一体推进,综合运用㊂归结起来,高职院校还是要通过管理手段保障和促进网络安全工作机制的形成㊂3.1.1㊀领导重视,层层压实责任㊀㊀以网络安全法和网络安全等级保护测评为工作基本方向,统筹全校的网络安全建设㊂充分发挥网络安全与信息化领导小组的重要推动作用,不断完善网络安全制度,签订网络安全责任状,层层落实网络安全责任,形成人人讲安全的工作氛围㊂3.1.2㊀完善安全管理制度,规范操作规程㊀㊀不断完善网络安全管理制度,从技术管理㊁运维管理㊁信息安全管理㊁信息化服务管理㊁信息化项目管理㊁信息化支撑管理等方面建立安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程[3]㊂制定学校信息安全标准规范,指导信息系统在物理部署㊁网络设置㊁系统安全防治㊁应用平台安全等方面制定落实安全措施,明确信息系统可以获取的安全支撑环境以及应用支撑平台对信息系统的安全要求㊂通过制度建设,实现网络安全与信息化建设工作全面统筹㊁相互约束的建设工作机制,形成网络安全 全校一盘棋 的工作格局㊂3.1.3㊀加强日常管理㊀㊀加强数据中心的日常管理,定期对机房㊁供配电㊁温湿度控制等设备进行维护管理,完善操作规程,加强对办公区㊁运维区等保密性管理,日常办公与驻厂运维要分配在不同的区域,要做好信息资产台账的管理,并对信息的使用㊁传输和存储进行规范化管理㊂通过规范完善网络安全事前㊁事中㊁事后各环节的操作规程,提升网络安全管理工作水平㊂3.1.4㊀开展网络安全突发事件应急处置演练㊀㊀根据网络安全形势发展的需要,结合实际定期开展相应科目的网络安全突发事件应急处置演练,不断优化处置流程,规范操作规程,提升网络管理人员处置突发事件的应急能力㊂3.1.5㊀提升师生的信息素养㊀㊀营造数字化的学习环境,对师生进行有计划㊁有针对性地培训,形成全方位㊁一体化的信息素养培训体系㊂开设信息素养选修课,培养和增强学生具有信息意识㊁信息技能㊁信息伦理与网络安全意识㊂充分利用国家网络安全宣传周等契机,面向师生举办专题讲座㊁知识竞赛等活动,进行网络安全方面的宣传教育㊂建立教师信息管理员队伍和学生信息员队伍,充分发挥两支队伍在网络安全与信息化建设工作中的重要作用,通过 以点带面,少数带动多数 等方式,使广大师生的网络安全意识和信息化应用能力得到提升[4]㊂3.1.6㊀做好信息系统等级保护测评㊀㊀信息系统建设之初,应当阐明信息系统的边界和安全保护级别,形成系统定级文档,并组织有关部门和安全技术专家对信息系统定级进行论证和审定,所有的信息系统要严格按照等保测评的要求进行整改,实现网络安全等级保护测评的工作目标㊂3.1.7㊀建立安全基线㊀㊀基线一般指配置和管理系统的详细描述或者是信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求[5]㊂信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线,不满足系统最基本的安全需求,也就无法承受由此带来的安全风险㊂建立安全基线能够帮助学校发现各类服务器㊁网络设备㊁安全设备㊁操作系统㊁中间件㊁数据库等存在的安全漏洞与薄弱环节,认清自身风险现状㊂3.2㊀构建 三防融合 技术支撑体系㊀㊀必须构建人防㊁物防㊁技防并重的网络安全综合防护支撑体系[6]㊂人防是指依靠人的网络安全意识㊁觉悟和能力建立起来的安全防护,是 三防 体系建设的核心,加强人防,关键是要健全完善和落实网络安全工作责任制㊂物防是指加大资源设备投入,为网络安全工作的开展提供强有力的物质保障㊂技防是指采用现代技术手段对信息资产进行保护,防止网络安全事件的发生㊂实际工作中,要将人防㊁物防㊁技防有机结合起来,促进 三防融合 技术支撑体系的形成㊂3.2.1㊀人防㊀㊀网络安全工作基本上是三分技术七分管理,对于安全保障体系而言,光靠安全设备是远远不够的,更重要的是要有一支技术精湛的专业队伍㊁一套合理的工作流程和较高的人员安全意识才能真正让安全落到实处[7]㊂人防是网络安全防护体系建设的核心,无论技术手段多么高深,设备多么先进,都离不开网络安全的核心要素,即人本身㊂高职院校在加强自身专业队伍建设的同时,要积极开展与安全公司以及第三方安全服务机构的联系与合作,通过服务合作模式,加强网络安全能力建设,提升本校安全团队攻防技能,要转变传统网络安全防护工作的角色,倡导主动防御理念㊂要做好日常巡检与应急巡检㊂建立以资产㊁业务系统为核心全生命周期的资产管理体系,严格执行入网审批制度,入网前进行安全检查㊁基线检查,避免带病上线,入网后,进行日常安全合规巡检和应急巡检并行机制,日常巡检要加强系统安全性㊁基线合规性㊁服务健康度的巡检,确保业务系统安全稳定的运行,应急巡检目的在于加强对新漏洞㊁高危漏洞的响应能力,及时发现㊁及时处理,防患未然㊂倡导健康退网机制,在资产或业务系统生命周期终止后,业务单位及时发起退网申请,避免形成 僵尸 系统,同时提高技术手段,加强对 僵尸 系统的检测,做到及时发现,及时处置㊂应对运维管理人员进行详细严格的权限划分,并通过技术手段限制运维边界,对运维行为进行全程审计,对违规运维操作进行实时告警㊂3.2.2㊀物防㊀㊀进行安全设备加固㊂按照事前监测㊁事中防护㊁事后回溯的网络安全工作机制部署网络安全设备㊂在高职院校现有基础网络设施条件下,分别从网络基础安全㊁系统安全㊁应用安全㊁数据安全㊁管理运维安全5个维度进行网络安全加固㊂在出口互联网接入区域部署有防火墙和流控设备,旁挂上网行为管理设备,加强安全风险识别,进行访问控制㊂在数据中心业务区部署网络入侵防御系统,对业务系统应用和威胁进行监测㊂在安全管理中心部署数据库审计系统㊁日志审计系统㊁堡垒机,对业务访问行为和运维管控行为进行审计㊂在服务器及用户终端安装系统防护软件和防病毒软件㊂对所有的信息系统实行全生命周期的管理,在系统上线之前,即要明确信息系统的边界和安全保护等级,选择基本安全措施,明确对系统的安全保护要求㊁策略和措施等内容㊂3.2.3㊀技防㊀㊀ 等保2.0 是我国最新㊁最权威的网络安全保护标准体系,在具体的技防工作中,要参照标准体系开展技术防护工作,包含优化网络安全策略㊁即时修补漏洞㊁日常实时监测㊁事件应急处置㊁数据保密与备份恢复等方面的内容[8]㊂(1)优化网络安全策略㊂校园网络出口应对可能发生的拒绝服务攻击进行有效识别㊁过滤㊁清洗,保证网络出口的畅通,保证骨干链路的负载处于正常范围之内㊂网络出口链路应有边界安全防护措施,对来源于公网或内网的黑客入侵㊁病毒传播等安全威胁进行实时识别与阻断㊂DMZ区及内网服务器区出口链路上,针对WEB应用的7层攻击,如SQL注入㊁XSS㊁HTTP GET FLOOD等威胁进行全面深入的防护㊂所有流经核心交换区域的流量要进行深入的检测,以识别内部各网络区域之间发生的入侵事件和可疑行为㊂面向内网用户要进行网络行为全面的记录和审计,以满足违规事件发生后的追查取证㊂要在不同区域之间进行访问控制㊁病毒检测㊁入侵防护等安全控制措施㊂应对全网的网络节点进行配置合规管理,实现违规配置及时识别㊁配置整改全面深入㊁配置风险全程可控㊂(2)即时修补漏洞㊂对全校网络节点进行漏洞脆弱性管理,实现漏洞预警㊁漏洞加固和漏洞审计的全程风险控制,建立以漏洞为核心,全生命周期的漏洞管理体系㊂(3)加强日常实时监测㊂通过本地网络安全与云端威胁情报结合,建立以威胁为核心,结合威胁情报感知㊁应急响应和恢复过程,构建主动感知和预警的威胁运营体系,做到实时监控㊁实时预警,提升日常监控和应急响应能力㊂(4)做好事件的应急处置,建立联动的工作机制㊂按照事前㊁事中㊁事后的网络安全防护体系不断优化应急处置流程,安全事件发生时,人员能够第一时间到位,并即时启动网络安全突发应急事件处置预案,通过运用相关安全设备和技术手段快速定位事件源[4]㊂(5)做好数据保密与备份恢复㊂强化数据资源全生命周期安全保护,完善适用于大数据环境下的数据分类分级保护制度,保障数据安全㊂对于终端敏感信息或重要数据在存储和流转过程中需要使用密码技术保障数据传输过程中的完整性与保密性㊂例如使用WEBVPN或HTTPS的协议进行访问,不具有证书加密的场景可采用其他第三方软件加密㊂要做好重要数据备份与恢复,制定数据备份策略,做到全量备份与增量备份相结合,并提供异地数据备份功能,要对重要系统和数据库进行容灾备份,使灾备系统随时处在就绪状态或运营状态㊂4 结语㊀㊀习近平总书记始终高度重视网络安全与信息化建设工作,强调没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼㊁驱动之双轮㊂作为承担人才培养任务的高校,要将观念和认识统一到习近平总书记关于网信事业的重要讲话精神上来,树立正确的网络安全观,在具体的工作中要将管理机制与技术手段进行全面有效的融合,充分发挥人员㊁技术㊁产品的优势,形成网络安全工作合力,建设安全㊁稳定㊁可靠的网络环境,抵御网络安全威胁,从而筑牢智慧校园发展根基,推动教育数字化赋能学校高质量发展㊂参考文献[1]徐喆.高校网络安全存在的问题与对策研究[D].秦皇岛:燕山大学,2014.[2]杨瑛霞,王静.智慧校园网络安全体系构建研究[J].网络安全技术与应用,2019(6):45-47. [3]尹珧人,唐玲.智慧校园 建设中信息安全体系建设研究[J].信息记录材料,2021(4):222-223. [4]陆晔,俞伟.江南大学网络安全管理体系建设[J].中国教育网络,2022(9):50-51.[5]陈永忠.安全基线与校园网络安全管理[J].网络安全和信息化,2018(9):108-111.[6]潘卿,顾江伟,窦立君. 技防+人防 的高校网络安全管理体系探究[J].江苏教育,2022(20):47-50,75.[7]史蕊,李鹏.智慧校园环境下网络安全防范预警与应急体系探讨[J].网络安全技术与应用,2020 (1):85-87.[8]郭启全.网络安全等级保护基本要求(通用要求部分)应用指南[M].北京:电子工业出版社,2022.(编辑㊀王雪芬)Research on the construction of network security protection system in thesmart campus environmentFu Tianju Xu YupingInner Mongolia Electronic Information Vocational Technical College Hohhot010070 ChinaAbstract Based on the construction standard of Network Security Level Protection2.0 the article analyzes the current situation security threats and needs faced by the construction of smart campuses in universities in order to identify the problems and deficiencies in current network security construction work and put forward an overall solution for network security protection from the perspectives of management and technical protection.The overall solution can avoid information damage and loss caused by network attacks so as to significantly enhance the sense of security and achievement of teachers and students in the process of information construction and application.Key words。
