浅析高校网络安全防护关键

◆李 琴 杜 林 李建军

（1.仲恺农业工程学院网络与现代教育技术中心 广东 510225； 2.仲恺农业工程学院轻工食品学院 广东 510225）

1 高校网络安全现状分析

1.1 高校网络现状

计算机网络的快速发展和应用普及为高校信息化建设奠定了坚实的基础。随着电子政务、商务等技术日渐成熟，高校师生通过简易操作就可以完成购物、订餐、约车、政务预约、接受来自世界各地的文化信息和娱乐节目等。校园网把多个领域资源整合共享，大学生可以在校园的任何地方完成选课、就餐充值、消费、查阅电子资源等，缓解了以往就餐充值和电子资源紧张等问题。目前大部分高校都存在多校区、多带宽、用户量大、应用业务复杂等问题，缺乏统一有效的安全防护，所以保证网络安全，已成为高校网络信息化建设重点任务[1]。

1.2 高校网络技术威胁

在网络规划、设计、建设、应用、运行管理及网络信息的收集、存储、传输、处理等环节仍存在安全漏洞。师生在使用计算机时往往会忽视如不及时杀毒、修补漏洞、设置安全密码、更新系统等安全细节，以及病毒、木马入侵、黑客攻击等无处不在、网络威胁从网络空间到物理空间、从炫技到图财会时时刻刻威胁着高校网络安全[2]。然而，当前的网络安全防护大多是被动型的，主要模式仅限于发现一种攻击或威胁，然后针对此威胁，提出防护手段。因此，网络安全防护手段严重滞后于网络攻击手段。

1.3 高校网络管理威胁

高校网络主体用户安全意识淡薄，安全意识亟待提升。电子支付、刷脸支付等消费方式已成为当今主流消费模式。高校师生在注册开通网上银行、社交平台、支付平台和应用软件时，往往会面临录入实名制及个人信息的要求，也存在师生在支付平台或软件开通免密支付、电脑浏览网页时通常选择记住密码等情况，极易造成师生个人信息泄露和财产损失[3]。高校学生获取信息渠道多样化，一些学生容易在不良网络言论诱导下，他们可能会采取人肉搜索、人肉攻击、网络暴力、转发虚假言论和诽谤信息等激进违法行为[3][4]。整个校园网的安全管理工作量大、任务重，网络管理人员不足且经验和技术能力有限，很难保证高校网络安全的全面维护。此外，高校网络设备及日常维护和监测经验不足、网络安全风险防范手段和机制不完善，在网络管理方面缺乏资金投入及行之有效的管理制度，部分高校领导的重视程度也不够，把网络安全员定义为“消防员”角色，认为网络安全仅仅看作保障手段，缺乏组织创新、变革、成功的动力。

2 根据网络安全等级保护制度要求抓高校网络安全防护之技术关键

网络安全等级保护2.0 制度的实施使我国的网络安全等级保护工作进入了一个新阶段。在高校大力进行信息化建设的同时，它对高校网络安全提出了新的要求。高校网络安全可以依据网络安全等级保护制度技术要求，进行相应技术防护。

图1 高校等级保护总体设计流程图

图2 等级保护安全防护技术要求

在高校等级保护实施工作中，应根据图1 高校等级保护总体设计流程图所示，从全局出发，制定切实可行的等保实施规划，分步实施网络安全等级保护；按规划要求全面梳理高校的信息资产，包括“双非”系统（网站），只有在摸清信息资产底数并对业务流程、系统的现状、特点及特殊安全需求进行全面分析情况下，才能对高校信息系统（网站）制定适合的安全设计方案；在此基础上可以对所有信息系统进行重要性分析，对重要系统、部门实施特殊保障，从而进行分类、分级、分层有效的安全防护；对于用户数多、涉及面广的重要信息系统进行重点防护，从不同层次、不同位置设计安全保护机制、防御体系[5]。 等保2.0 中对系统安全防护提出了一套完整的技术要求标准。在高校网络安全技术防护中可以按图2 等级保护安全防护技术要求从物理、网络、主机、应用及数据等技术要点进行防护，实现网络安全防护工作。在物理安全方面应做到机房防震、防雷、防风、防火、防潮、防静电、防雨、防盗等，从而做到网络设备及存储介质的安全防护；机房温度、湿度等环境监测可以借助于现已广泛应用的机房环境监测系统对机房环境进行实时且可视化的监控，结合符合高校实情的机房管理制度，充分保证机房环境及设备的物理安全性。在网络安全方面应从各业务功能流程及物理分布出发，根据网络拓扑图划分不同网段及地址做到网络结构的安全；在网络节点和边界设置访问控制机制，按确定的网络访问控制策略控制用户对网络的访问。在防火墙上可以通过源地址、目的地址、源端口、目的端口和协议等相应的策略设置进行访问控制，严格区分内、外网运行系统，限制用户访问权限，关闭不必要的对外开放服务，对于可以在VPN 系统中实现外网访问的系统，均在VPN 系统中实现外网访问，减少内部网络系统对外开放风险。借助于上网行为审计等设备对用户上网行为及设备运行状况记录，按等保要求审计记录要保存6 个月以上；通过审计记录结合上网实名认证系统，可以追溯安全事件的时间、用户、数据、内容、状态等，并通过分析可以根据安全事件特点制定防攻击策略。在网络设备登录管理权限方面，可以通过身份标识、鉴别并在管理后台设定IP 段、IP 及用户密码级别并设定账户尝试登录次数限制等措施防止爆破登录以保设备安全；对登录到操作系统和数据库管理系统的一般用户和系统用户进行标识和鉴别。在应用、操作、数据库管理等系统中，采用密码、完整性等检验机制保证数据信息安全。对高校重要信息系统、用户数量多、有敏感信息的信息系统和基础设施，严格执行等级保护的有关规定，加强监督检查，实行更为严格的信息安全等级保护管理制度保障。通过在防火墙，上网行为审计系统、上网认证系统、入侵检测系统、杀毒软件等设备及相应策略机制等技术手段保证网络边界、应用、数据、用户等安全[6]。

3 高校网络安全防护之关键管理安全

3.1 采取多种宣传方式，提升网络安全防范意识

高校可以通过不定期开展线上、线下宣传及课程培训等多种方式相结合，来提升广大师生的网络安全意识，对于个人电脑等上网设备，必须安装防火墙、杀毒软件并及时升级，及时更新补丁并定期查杀病毒、木马等，及时进行数据备份并关闭暂时不使用的上网设备及电源，做到防患于未然。高校师生应谨慎对待个人信息，设置QQ 空间及微信朋友圈的访问权限，关闭免密支付功能等预防个人信息泄漏。通过对网络安全法的学习，让师生做到不传播流言、不相信谣言，杜绝网络安全事件发生及不良信息在高校网络中传播，避免在使用网络的过程中触犯法律[7]。

3.2 制定符合高校实情的网络安全管理规章制度、做好网络安全建设经费、人员保障

高校网络安全管理需要有相应的规章制度来约束和规范。高校应根据国家网络安全管理的相关法律法规要求，根据高校自身的实际情况，制定和完善高校师生、计算机机房、信息系统、应急事件处理、信息发布、应急预案、舆情监控等网络安全管理制度，明确网络使用规范。在网络安全重要时期，要加强网络安全监测，有独立机房和服务器等重点部门、重点岗位、重点时期要进行重点防护。在发生突发网络安全事件时，高校各单位要严格落实《网络安全突发事件应急预案》对突发事件应急工作的要求，做好突发事件应急响应、溯源及上报等工作。高校要高度重视网络安全人员及设备建设，适当增加资金投入，购置先进的设备和系统，在硬件和软件上保证高校网络安全管理的稳定性，提高网络效率和安全系数，并选聘专业计算机技术人员，定期对负责网络安全维护的相关技术人员进行培训和考核。

3.3 建立、健全高校网络安全管理和责任体系

高校网络安全管理应遵循信息安全等级保护中“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的信息安全责任制原则，统一领导、分级管理的原则，建立健全高校网络安全管理和责任体系。各级单位要指定专人负责网络安全信息的维护，以安全为中心，明确第一责任人，自上而下高度重视，并签署《网络安全责任书》，保证责任到人。对于高校学生群体要用多种措施结合网络设备及系统，做好舆情监控、报告、处理防护工作，确保校园网安全运行。

4 结语

校园网在为师生提供便利的同时，也带来了许多安全隐患。高校应按网络安全等级保护2.0相关要求，网络信息建设、应用、管理和安全统筹规划设计，从物理、网络、主机、应用及数据等技术要点进行防护，提升广大师生网络安全防范意识，结合网络安全管理规章制度，建立、健全高校网络安全管理和责任体系，从而实现技术和管理双轮驱动，确保高校网络安全。