高校网络安全运营防护体系研究

陈敏锋

(无锡商业职业技术学院， 江苏 无锡 214153)

习近平总书记强调,大数据发展日新月异，应该审时度势、精心谋划、超前布局、力争主动，深入了解大数据发展现状和趋势及其对经济社会发展的影响，加快完善数字基础设施，推进数据资源整合和开放共享，保障数据安全，加快建设数字中国[1]。为顺应国家的数字化转型战略要求，扎实推进“教育信息化2.0行动计划”，积极发展“互联网+教育”，推动信息技术与教育教学深度融合，提升高校信息化建设与应用水平，支撑教育高质量发展，教育部于2021年3月发布了《高等学校数字校园建设规范(试行)》。

目前，高校网络安全运营防护体系建设已经成为数字化校园建设的一个重要环节，各高校对网络安全和信息化工作的关注度越来越高，构建高校网络安全运营防护体系十分重要。

一、高校网络安全现状

(一)资产管理难度大

高校的信息化资产涉及教学、科研、管理等方面，基数较大，有些高校的网站和业务系统有好几百个，甚至学校的二级单位都有自己的网站。管理人员对资产运行状况、备案情况、域名是否过期、是否存在安全隐患等信息掌握不全面，对资产的承建方、开发方、使用方、运维方联系人的信息掌握也不够全面，导致资产管理比较困难，安全风险未知。疏于管理的资产往往存在大量的漏洞，例如SQL注入漏洞、任意文件读写漏洞、弱口令等，不需要太高明的技术手段就可以拿下其系统权限，所以这些资产属于黑客重点攻击的目标。很多高校对互联网暴露面的网站和业务系统的安全风险不够敏感，往往不能第一时间发现网站失陷，直至被公安、网信办或上级单位通报，使工作陷入被动局面。

(二)安全域管理粗放化

很多高校将校园网网络按照物理机构划分为安全运维区、互联区、终端区、无线接入区、内网服务器区、数据冗余灾备区、外部服务器区和测试服务器区，安全域和安全域之间的访问控制策略极为简单，无法实现有效隔离，黑客一旦成功从外网突破，可以对内网的情况一览无余。由于隔离措施不到位，如果有数台主机感染勒索病毒，在很短时间就会出现大面积感染的情况，导致整个校园网络不能正常使用，极大影响日常教育教学工作。

(三)纵深防御能力较差

目前绝大多数高校都构建了纵深防御体系，但是从具体的建设效果来看，部分高校由于经费有限，在核心业务的安全防护方面投入不够，安全覆盖面较小，同时疏于管理，实效性较差，安全防护效果不明显。特别是这几年高校纷纷自建基于云计算平台的数据中心，在传统IT技术的基础上增加了一个虚拟化层，具有资源池化、按需分配、弹性调配、高可靠等特点。由于高校对云计算平台上的信息资源和用户采用集中统一管理，黑客们喜欢选择云计算平台作为攻击目标，突破一台服务器就可以攻下整个云计算平台，造成的破坏性会非常大。云计算的应用给高校带来了新的安全挑战，除了传统的安全威胁之外，还有东西向异常流量监测、动态虚拟化网络边界安全、虚拟化主机安全等需要解决的新问题。

(四)应急响应体系不够健全

大多数高校对于应急响应的理解不够全面，制定应急管理流程和应急预案之后并不重视演练工作，在安全事件应急过程中，只针对本次攻击事件进行响应和事后修复，往往造成同类攻击反复中招的后果。由于管理人员对流程不熟悉疲于应付，应急工作常陷入被动混乱局面。应急响应是和时间赛跑，只有第一时间发现和定位安全事件，并采用快速有效的手段进行处置，才能最大限度降低信息安全突发事件的负面影响，否则将造成严重后果。如在一次城市级网络安全攻防演习中，某高校作为防守方进行防守，协助防护的企业工程师在上午9点通过数据分析发现一台主机疑似被攻击方成功拿下，通过学校信息中心紧急联系该主机的负责人提供主机的账号和密码以便于登录主机进行检查，但是一直到下午下班之前才通过协调拿到账号和密码，而在此时间段内，攻击队伍已经拿下该主机控制权限，在内网进行横向渗透，窃取了大量有效信息。

(五)网络安全职责不明确

高校的信息中心作为全校信息化系统的管理单位，工作内容大致分为以下几类：(1)负责制定学校信息基础支撑平台建设规划及支撑平台的管理制度、安全制度、操作规范；(2)掌握学校信息基础支撑平台的现状，推进学校信息基础支撑平台的建设；(3)负责学校教学科研数字资源系统及各类应用信息系统的正常运行，保障学校信息基础支撑平台安全；(4)负责数据机房运行管理，保障数据机房服务器、网络、电源的正常运行，负责数据机房软硬件升级和报修。从工作内容来看，网络安全工作只是其中的一部分，想要完全依靠信息中心来做好全校的网络安全管理工作比较困难。

当前绝大多数高校都已经成立网络安全与信息化建设领导小组办公室，由党委牵头，包括各二级学院、机关部处、直属部门及学校其他机构，落实了对应责任人，签署了责任保证书，并制定了网络安全责任制考核评价标准，确定了网络安全的工作内容、工作要求和评分规则，其主要目的是站在整个学校的层面来统一解决网络安全管理问题。但实际上，由于我国《网络安全法》、“等保2.0”等法律和标准普及不到位，高校很多业务部门的相关负责人认为网络安全跟自己没有关系，既然本部门的系统都是运行在信息中心的数据机房中，那网络安全责任和网络安全管理工作的归属单位就应该是信息中心，从而导致工作配合度较低。

二、高校网络安全运营防护体系整体框架设计

高校校园网络应用系统范围在不断扩大，黑客的攻击技术水平也越来越高，基于“等保2.0”安全新形势的要求，迫切需要规划和设计符合高校校园网特点的智能网络安全运营防护体系。根据实施全面防护、确保网络安全的总体要求，本研究针对高校网络安全工作中存在的问题，设计了高校网络安全运营防护体系整体框架，如图1所示。

图1 高校网络安全运营防护体系整体框架

(一)设计思路

高校网络安全运营防护体系整体框架基于“统一规划，整体防护，精确预测，主动防御，快速处置”的核心思路，建立主动、开放、有效的安全管理体系，打造高校网络安全管理平台。整体框架由组织人员、安全管理和技术保障三个方面组成，以关键信息基础设施等级保护测评为基本要求，对网络资产进行摸排梳理、登记备案，对安全风险进行自动识别、攻击预警，对网络攻击进行主动防御、响应处置，实现系统全面防护，提升高校网络安全运营能力。

(二)组成部分

1.组织人员管理

为进一步落实党中央、国务院对教育领域网络安全和信息化的战略部署，切实做好新时期高校网络安全和信息化工作，成立高校网络安全和信息化领导小组，统筹协调全校网络安全和信息化重大问题，研究制定学校网络安全和信息化发展战略、建设规划和制度规范，审定校内网络安全和信息化建设项目及任务分解方案，督促各部门落实网络安全和信息化工作责任，不断提高学校网络安全和信息化发展水平。

2.网络安全管理

网络安全管理是高校网络安全运营防护体系的重要组成部分，主要由闭环管理、差异管理和最小化开放三个部分构成。闭环管理包括安全准入、日常检查和年审退出等安全管理制度；差异管理包括网络边界、业务分类分级、一区一策等管理手段；最小化开放包括白名单、开放范围控制、VPN和统一身份认证等管理措施。网络安全管理在高校网络安全运营防护体系的各个环节中体现。

3.安全技术保障

网络安全技术包含工具、产品和服务等，主要由物理安全治理、应用安全治理、系统安全治理、网络安全治理等方面组成，是网络安全的保障手段。网络安全技术保障主要包括事前安全评估、策略下发、系统备份，事中设备防护、威胁识别、攻击预测、应急响应，事后业务恢复、健康确认、安全审计，可以实现事前防范、事中防护、事后溯源等安全防护目的。

(三)关键目标

1.提升对自有安全数据的认知能力

首先，通过多种快速先进的数据采集技术，全面采集网络内的各种安全数据，包括主机日志、安全设备日志、第三方设备(或系统)日志、流量日志等。然后，对采集到的各种安全数据进行归一化和富化，以可视化的方式直观呈现，提升对自身安全数据的认知能力。这样能够更容易发现数据中隐藏的安全问题，同时将这些数据统一存储，确保拥有长期保存数据的能力。

2.提升对高级威胁的监控分析能力

基于大数据平台存储量大、数据全面、计算效率高的特点，提供便捷高效的高级威胁事件监控分析平台，利用大数据处理技术在海量数据中充分挖掘分析可能存在的高级威胁事件。一方面，需要采用关联分析引擎，通过创建安全场景规则，结合对象资源、资产信息、漏洞信息等进行多维度分析，发现高级威胁事件；另一方面，需要快速比对威胁情报信息与本地原始数据，及时发现隐藏在本地的安全威胁；此外，需要采用可视化技术，提高数据的可读性和可操作性，提高安全运营人员对安全事件的分析效率。

3.提升持续的安全运营能力

持续的安全运营能力旨在为信息化建设和运营过程提供贴身、专业、高效的服务，以发现威胁为基础，以分析处置为核心，以发现隐患为关键，以推动安全运营能力提升为目标。通过组建专业化的运营团队，最大化地发挥态势感知与安全运营平台作为安全中枢的作用，基于平台采集的流量数据、各类日志关联资产，清晰地展现资产安全情况，通过开展安全监测、安全数据分析、基于威胁情报追踪溯源、网络安全事件处置、信息通报等工作，进一步提升网络安全运营保障能力。

三、基于“等保2.0”的网络安全运营防护体系构建

(一)梳理敏感重要的信息系统资产清单

通过网络资产探测和扫描技术，对开放在互联网上的校园官网及院系网站、OA系统、邮件系统、临时搭建的系统以及放在Github、Gitee上的学校的系统源代码资产进行查找和梳理，摸清家底，梳理系统信息和系统资产归属清单，例如匹配资产所对应的建设单位、开发单位、运行维护单位及相关联系人的信息。建立完备的资产指纹信息库，对单位重要资产进行周期性安全状态监测，实时感知资产状态变化，如新端口开放、指纹信息变动等。

梳理的资产如果属于测试类、旁站类或无人管理的，则全部予以关闭。对已经发现的放置在Github、Gitee上的系统源代码资产进行更深入的安全检查，若发现漏洞、弱口令、篡改、挂马、敏感内容等安全风险，则提前进行整改处理。全面收缩互联网的暴露面，对外只开放学校官方网站、院系网站等，只有收缩战线才能把有限的安全资源投入需要重点关注的资产，聚焦重点位置与黑客进行对抗，降低黑客突破校园网的成功率。

(二)规划细粒化合理的内外网安全域

根据目前高校网络信息系统现状、业务需求以及安全保护需求，通过安全区域划分，辅以身份认证、访问控制、审计等安全手段，解决各不同区域间的边界控制问题，同时通过实施安全域内部保护以解决内部整体安全控制问题。安全域以业务的逻辑为主要原则，辅以安全原则，合理地对网络系统进行梳理，在不损失或较少损失业务运作效率的前提下保障安全。安全的主要目的是保障业务系统的正常运行，超越业务逻辑谈安全是没有意义的。安全域在做好划分和配备细粒化的控制措施之后，对于以点带面的攻击手段有很明显的控制作用。通过外网突破渗透到内部网络的黑客难以开展内网横向渗透的攻击，他们往往受限于身份认证和访问控制，在内网的活动也会被审计系统记录，为防守方的追踪溯源工作提供了线索。

(三)建立精准度高的动态防御体系

如果说了解安全风险是“知己”，那么了解情报就是“知彼”，通过情报，可以站在威胁以及攻击的视角，了解攻击者可能选择的目标、工具、方法，真正做到知己知彼，有针对性地进行防御、检测、响应和预防。依靠情报可以快速发现攻击事件，采取迅速、果断的行动应对安全威胁。构建威胁情报收集、共享机制，并赋能基于实现边界防护、应用防护、主机防护的安全设备，建立拦截精准度高的网络安全防御体系。

结合大数据与人工智能技术，构建安全数据分析平台，以持续监控和分析为核心，利用机器学习、复杂统计分析等技术进行安全建模和高级分析，对高校的环境进行有针对性的模型构建，形成符合业务的告警功能，并结合人与机器的能力进行安全事件分析决策，定义标准工作流，自动化驱动事件响应。

基于大数据和人工智能技术的分析平台能够在攻击阶段进行快速、准确的取证调查和威胁追溯，定位单个事件在渗透和攻击链中所处的阶段，结合溯源分析，进一步形成完整的证据链，还原攻击过程。通过还原攻击过程，动态调整安全检测策略和安全防护策略，构建主动防御体系。针对传统安全设备和防护体系无法应对的新型网络安全威胁，动态防御体系可以实现由被动防御向主动防御转变、由静态防御向动态防御转变、由分散防御向协同防御转变，逐步构建完全覆盖全网的纵深协同防御体系，同时还可以完善安全管理人员的职能，减轻安全管理人员的工作负担，提高网络安全运维工作效率。

(四)建设有快速响应能力的应急体系

随着互联网的快速发展，网络安全领域的相关技术手段也在不断更新，对应急指挥的能力、效率和准确性提出了更高的要求。在落实网络和信息安全应急指挥业务的过程中，要重点建立完整的应急业务流程并构建以信息收集、管理、分析、发布等为核心的完整能力体系[2]。当发生重大信息安全事件时，可以快速收集各种最新信息并提供给指挥机构和专家进行决策分析。同时，高校应该重点加强实战化演练，对应急演练流程、演练工具、演练方法和评价标准体系进行统一管理，并根据具体的情况进行定期修编，确保应急演练的标准化和规范化，提升协同能力。要建立健全演练绩效评估机制，明确方法，量化指标，通过全过程、全方位的系统评估总结，将演练过程中的感性认识提升为理性认识，进而转化为预期的应急能力[3]。建立良好的通信保障和顺畅的信息沟通机制是协调各部门、监管机构和第三方支持单位进行重大网络安全事件研判及处置的基本条件，通过常态化的网络安全应急演练工作，能够使团队和个人在面临安全事件时熟悉自身所处的角色并快速展开协调应急处置工作。

(五)打造良性循环的安全管理闭环体系

第一，高校要形成体系化的网络安全意识培养机制，建立全员网络安全意识培养体系，针对各级领导、教职员工、学生、合作伙伴与外包服务人员，根据网络安全职责开展不同主题、不同深度的网络安全宣传和网络安全培训活动。第二，高校要强化网络安全责任制考核。按照中共中央发布的《党委(党组)网络安全工作责任制实施办法》，各级党委(党组)对本单位网络安全工作负主体责任。因此，高校要对合作伙伴、开发公司、外包服务公司的服务要求履行情况进行动态监督，将结果纳入服务质量绩效考核，内外一致形成网络安全共识，在此基础上构建监测、预警、审核、通报、处置、考核的管理闭环。第三，高校要与监管机构加强沟通与交流，通过跟监管机构合作，提高网络安全风险形势研判能力，做到有备无患。

四、结语

高校网络安全运营防护体系应该是安全管理和安全技术的结合，两者缺一不可。为了实现对数字化校园的多层保护，真正达到保障信息安全的目标，必须从组织人员、安全管理和技术保障三个方面着手，在采用各种安全技术控制措施的同时，制定层次化的安全策略，完善组织机制，利用多种安全技术和安全管理手段实现多层保护，降低受到攻击的概率，防范安全事件的发生，提高对安全事件的反应处理能力，并在安全事件发生时尽量减少损失。