高校網絡安全防護體系設計

來源:用戶上傳      作者:肖偉

　　摘要： 隨著信息化的不斷發展，網絡安全已逐漸成為眾多高校面臨的共性難題。文章總結了筆者的工作經驗，總結了高校常見網絡安全問題并分析了問題產生的原因，進而設計了一套網絡安全防護體系，從落實網絡安全責任制、建立系統上線檢測機制、構建全方位立體化安全防御網、制定關鍵時段分級保護策略等6個方面落實相應的網絡安全工作舉措，提升了學校網絡安全保障能力，建立起一個風朗氣清的校園網絡環境。
　　關鍵詞：網絡安全；安全管理；防護策略
　　0引言
　　隨著信息技術的不斷進步和信息化應用的廣泛普及，網絡已深入到社會的各個方面，在工農業生產、交通運輸、醫療衛生等領域發揮著重要作用，高等教育領域也不例外。隨著教育信息化進程的不斷推進，網絡已經在高校的教學、科研、管理等方面表現出不可替代的作用。與此同時，高校的網絡安全風險也不斷增加。如何做好網絡安全工作，是眾多高校、信息化部門和工作人員面臨的一個共性問題。
　　1高校網絡安全現狀
　　筆者在工作中發現，高校的網絡安全工作中存在的問題多種多樣，表現形式也五花八門。有大面積使用弱口令的，有公民個人信息泄露頻發的，有數據庫直接暴露在互聯網上的，如此種種，不一而足。筆者對之前數年在工作中遇到的問題進行總結，發現問題主要存在以下幾個方面。
　　一是網絡安全責任制落實不到位。近年來，從黨中央，教育部，到省教育廳，學校，各層各級都多次強調網絡安全的重要性。學校層面對網絡安全的重視程度也不斷提升，多數高校都成立了網絡安全與信息化領導小組。在這樣的大環境下，仍有少數二級單位在思想上對網絡安全不夠重視，認為網絡安全事件是小概率事件，作為二級單位，只管建設與使用，不用管防護，沒有將其視為重要議事日程［1］。由于網絡安全責任制僅落實到二級單位，單位管理員多為兼職人員，不熟悉本單位的信息系統，給網絡安全應急響應和處置帶來了很多不便，嚴重影響了網絡安全工作效率。
　　二是部分常見網絡安全問題頻發。筆者對之前數年發生的網絡安全漏洞進行統計，發現整體分布如圖1所示：發生頻次最高的是弱密碼漏洞，占27%；發生頻次第二高的是敏感信息泄露漏洞，占16%；排名第三的是SQL注入漏洞，占12%。排名前五的漏洞（弱密碼漏洞、敏感信息泄露、SQL注入、操作系統漏洞、任意文件上傳）合計占比72%。可以說，解決了弱密碼漏洞、敏感信息泄露等五類漏洞，就解決了72%的網絡安全問題。
　　三是網絡安全防御手段不成體系。隨著技術的發展，網絡安全防護設備的種類和防護功能也不斷增加，新型網絡安全設備層出不窮［2］。很多高校面臨的情況是，學校投入了大量經費，采購了眾多的網絡安全設備。但是這些設備“各自為戰”，沒有建立起網絡安全防護體系，不能發揮出“1+1>2“的效果，甚至有些O備之間還會相互影響，反而降低了各自的性能。
　　四是關鍵時段安全保障缺乏重點。近年來，在一些關鍵時段，境外非法黑客及組織多次攻擊國內網站，傳播發布非法信息，造成了惡劣的影響。這就對關鍵時段的安全工作提出了新的要求［3］。高校業務復雜且信息系統較多，面對新的形勢，如果不能制定一個完整的防御策略，可能會因為防護力量分散導致各點力量薄弱，防護人員疲于奔命卻無法做好安全防護工作。
　　五是缺乏網絡安全事后補救措施。雖然已經部署了嚴密的網絡安全防護措施，但是“百密終有一疏“，面對紛繁復雜的網絡安全形勢，多種多樣的網絡安全攻擊，無法預防的設備自身故障，總有被突破防御遭受攻擊的情況［4-5］。筆者曾經遇到某虛擬化集群上的一個數據存儲因故障宕機，數十臺在該存儲上虛擬機及相關業務受到影響，涉及多個二級單位，嚴重影響了工作。
　　2高校網絡安全防護體系研究與設計
　　為了解決上述網絡安全問題，從嚴從實做好網絡安全工作，需要建立一套網絡安全防護體系，架構如圖2所示。
　　2.1建立網絡安全責任制體系
　　首先制定學校層面的網絡安全責任制考核辦法，從制度層面落實網絡安全責任制。定期要求二級單位負責人簽訂網絡安全承諾書，以書面形式落實“誰主管誰負責，誰運維誰負責，誰使用誰負責“的要求［6］。將網絡安全責任制層級拓展，最終落實到信息系統管理員層級。經過一年多的實踐，發現各單位對于網絡安全責任有了更明確的認識，各二級單位管理員對于本單位的信息系統有了初步了解，出現網絡安全問題時能夠快速定位到責任人，處理問題的效率也得到了提高。
　　2.2建立信息系統上線檢測機制
　　在高校內部啟動新建信息系統上線檢測流程，信息系統建設完成需要上線時，由建設單位向信息化部門提出上線申請，信息化部門收到申請后，通過表1所示的標準化表格收集系統信息并提交給安全工程師進行滲透測試、漏洞掃描等一系列安全檢測，經檢測不存在中高危漏洞且基線檢測合格的信息系統才允許上線［7］。據筆者統計，啟動該流程后，弱密碼、SQL注入等漏洞數量從2020年的96起降低到2021年的46起，同比下降52.1%，證明對新建信息系統在上線前進行全方位上線檢測，可以有效減少弱密碼、SQL注入等漏洞。
　　2.3網站發布啟用敏感信息檢測
　　通過事先在網站系統設定，可以建立一套檢測名單，內容包括身份證號、手機號等敏感信息。工作人員在網站發布文章時，系統會自動對文章內容進行檢測。如果檢測到身份證號等敏感信息，會通過彈窗進行提示，人工復核后可以選擇繼續發布或進行修改后再發布。據統計，自上線敏感信息檢測功能后，敏感信息泄露量從2020年的55起降低到2021年的28起，同比下降49.1%，證明敏感信息檢測功能可以有效降低敏感信息泄露的可能性。
　　2.4構建全方位立體化安全防御網
　　“工欲善其事，必先利其器“，要做好學校網絡安全工作，就要建立一張包含網絡防火墻、Web應用防火墻、入侵防御設備等在內的全方位立體化安全防御網，發揮不同設備的長處，為學校網絡提供安全保障。以筆者所在學校為例，在校園網出口處部署了防火墻設備，對整個網絡的出入進行管控。在防火墻后方，部署入侵防御設備，對流量的深層行為進行分析判斷，結合特征庫可以有效攔截攻擊，同時增強抗DoS攻擊和抗掃描能力。在入侵防御設備后方，部署Web應用防火墻，對流量進行Web層面的檢測，可以有效抵御遠程代碼執行、SQL注入等攻擊。傳統的網絡安全設備都是基于特征庫進行攔截的，缺乏對模擬合法人行為的自動化工具攻擊，如：撞庫、暴力破解、惡意爬蟲行為的防護能力，本體系引入了動態防護設備，加強對非特征模擬合法人行為攻擊的防護能力。整個體系架構如圖3所示。

nlc202301041322

　　2.5制定關鍵時段分級保護策略
　　高校根據資產的重要程度和業務延續性要求，對所有信息資產實行分級管理。制定 “0+3”級安全策略，在不同時段實施不同的互聯網訪問策略，即：在關鍵時段當天，僅開放一級資產（如學校網站群），保證主站等的正常訪問；在關鍵時段前后數天，僅開放一、二級資產（如智慧校園）；其他時段開放三級資產。一旦發生重大網絡安全事件，立即啟動0級安全策略（即一鍵斷網）。2.6建立數據容災備份機制
　　通過數據備份實現網絡安全事后補救，對重要信息系統進行定期備份，實行每周一次完全備份，每天一次增量備份的備份計劃，確保每24小時進行一次備份操作。如因網絡攻擊或故障導致數據丟失，可以確保數據丟失量不超過24小時。在此基礎上，實施數據容災機制，在異地（如高校的不同校區）設置具有信息系統服務功能的備份設備，平時做備份，一旦主系統出現故障，即時切換到備份系統，提供信息化服務。
　　3結語
　　面臨復雜多變的網絡安全形勢，如何做好網絡安全工作對高校網絡安全管理者而言是一個難題。高校網絡安全管理者應該總結分析網絡安全現狀，剖析問題原因，理清工作思路，制定行之有效的網絡安全工作措施，保障好高校的網絡安全，為教學、管理、科研提供一個安全可靠的網絡環境。
　　
　　
　　［參考文獻］
　?。?］劉金勇.淺談高校網絡與信息安全及解決方案［J］.農業網絡信息，2015（5）：46-48.
　?。?］張新剛，于波，田燕，等.大數據時代高校網絡空間安全層次化保障體系分析［J］.網絡安全技術與應用，2017（1）：104-105.
　　［3］王金京.大數據背景下信息通信網絡安全管理策略研究［J］.數字通信世界，2021（1）：105-106，113.
　?。?］金紅華.基于大數據計算機網絡安全與應對措施［J］.吉林廣播電視大學學報，2021（1）：103-105.
　?。?］王雪.淺析高校信息系統安全隱患及防范措施［J］.吉林農業科技學院學報，2017（1）：41-43.
　?。?］S煜純.基于新時期高校計算機網絡安全管理的思考［J］.計算機產品與流通，2017（7）：71.
　?。?］劉植俊.網絡安全管理中的計算機信息技術［J］.電腦知識與技術，2021（26）：32-33.
　?。ň庉嫺到痤＃?
　　Design of network security protection system in universities
　　Xiao Wei
　　（Information Construction and Management Division， Yangzhou university， Yangzhou 225012， China）
　　Abstract： With the continuous development of information technology， network security has gradually become a common problem faced by many universities. This paper summarizes the author’s work experience， summarizes the common network security problems in universities and analyzes the reasons for the problems. Furthermore， a set of network security protection system is designed to implement corresponding network security measures from six aspects， such as implementing the network security responsibility system， establishing the system online detection mechanism， building an all-round and three-dimensional security defense network， and formulating graded protection strategies in key periods， so as to improve the school’s network security guarantee ability and establish a clean campus network environment.
　　Key words： network security; safety management; protection strategy

nlc202301041322

轉載注明來源:http://www.hailuomaifang.com/8/view-15443675.htm