刘鹏 孙谦 贺宝华 王光武

摘   要：随着计算机及互联网的不断发展与普及，我国各高校先后建设了自己的校园网络，并不断加大网络建设的投入力度，校园网络已然成为各高校教育信息化的重要组成部分。校园网络尤其是校园数据中心的正常运行与否，直接影响到学校的教学、科研、管理等工作的顺利开展。而其中的数据与信息安全维稳工作，更是至关重要。高校数据中心建设与管理工作，作为推动高校信息化发展的重要内容，需要高校网络运维人员高度重视数据中心运维过程中出现各种安全问题，在此基础上提出相对应的解决措施和建议，以此提升校园数据中心的信息安全系数。

关键词：校园网络;网路管理;信息安全

中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2019）01-0066-04

随着计算机及互联网的不断发展与广泛应用，我国各高校先后建设了自己的校园网络，校园网络已经成为高校教育信息化的重要组成部分，在高校人才培养、科学研究、文化传承以及社会服务方面带来了深远影响。但是互联网的数据爆炸、去中心化、信息鸿沟等特性也加剧了网络风险产生的可能性。校园网络安全包括整网可用性、用户主机安全以及校园信息安全等多个方面，其中校园数据中心内各个应用系统的数据与信息，作为学校多年来在教学、科研、管理等方面积累的无形资产，直接关系到学校师生个人利益、校园稳定以及学校办学实力，其安全维稳工作更是至关重要。

一、高校数据中心网络安全保障的时代背景

近年来，网络安全问题日益复杂，敲诈勒索病毒盛行，分布式拒绝服务攻击事件峰值流量突破新高，联网智能设备面临安全威胁加剧，随着国家几大电信运营商多网融合、全网覆盖工作的深入推进，随着云计算中心的泛化，随着智能硬件设备的普及，随着手机终端网民数量占据中国网民的绝大多数（97.5%），互联网安全问题越来越复杂化，手机APP恶意程序、智能硬件恶意程序、服务器僵尸网络和流量劫持木马成为互联网威胁的主流。

黨的十八大以来，以习近平同志为核心的党中央根据国内外网络安全形势的新变化，提出了一系列重要的网络安全思想。2014年2月，中央网络安全和信息化领导小组成立，中共中央总书记习近平亲任组长，提出了“没有网络安全就没有国家安全，没有信息化就没有现代化” 和“建设网络强国”的宏伟目标，以此将网络安全纳入总体国家安全观。2017年10月，党的十九大顺利召开并提出，要“加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间”，是新时代网络安全的总要求。2018年3月，中共中央印发《深化党和国家机构改革方案》，成立中国共产党中央网络安全和信息化委员会，负责领域内重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。由此可见，网络安全早已上升为国家战略，愈来愈被重视，与信息化建设同等重要，需要共同发展。

二、高校数据中心网络安全所面临的问题

1.病毒非法入侵与传播

目前校园数据中心的最大威胁通常来自于恶意病毒代码。校园网络内的各类应用服务较多，操作系统、应用程序纷繁复杂，版本多样，病毒代码很容易通过系统、软件的漏洞对服务进行攻击和破坏。同时随着校园网络带宽不断增加，万兆核心、千兆桌面的环境早已普及，用户众多且集中，校园网络通常对内网用户限制较少，致使病毒传播迅速，给服务应用造成的影响较为严重。

2.远程控制木马和流量劫持木马

目前随着比特币等区块链货币的火热，大量黑客团体甚至大型网络公司实体劫持用户流量然后加载挖矿代码进行挖矿，导致高校服务器和用户电脑CPU资源消耗，校园网网络速度严重下降，严重者造成整个网络体系的拥堵甚至假死。

3.僵尸主机的威胁

目前校园网络的主要用户多为学生，学生缺乏网络与信息安全意识，稍不注意就会感染木马等程序，导致其使用的计算机被外来黑客非法利用，当作僵尸主机，对学校内部服务器等进行攻击和破环。同时在学生对网络使用过程中，对互联网上的各类应用及技术好奇心强，喜欢尝试，往往意识不到后果，在一定程度上也会给网络服务带来一定的影响和破坏。

4.主机自身安全隐患

由于校园数据中心设备数量较多，所有接入网络的服务设备所安装的操作系统都不尽相同，而各类操作系统由于自身设计漏洞而带来的潜在威胁更是不胜枚举。用户在日常使用与系统管理层面，往往忽视了定期的系统更新及漏洞补丁，从而埋下了安全隐患，直到问题暴露才被动修复，2017年5月全球爆发的勒索病毒事件就是很好的反思案例。

5.安全意识薄弱，安全管理复杂

虽然高校信息化的建设不断拓展，但本应和信息化建设配套的相关安全管理手段却相对滞后，这就导致很多网络建设与运维者都没有正确意识到网络与信息安全的重要性;同时，在高校信息化建设队伍里，缺乏专业安全管理人员，而现有人员在此方面的能力和经验相对欠缺，对网络与信息安全培训缺少积极性，这些现状都导致高校信息化运维能力难以应对当下信息安全的需要，使高校数据中心的网络安全面临威胁的可能性严重加大。

三、高校数据中心网络安全保障的主要手段

现阶段我国高校数据中心的网络安全保障主要依靠以下两方面：

1.技术手段

高校数据中心网络安全保障技术手段主要包括以下四种：

第一是防火墙技术。防火墙是网络防护中应用最为广泛的一种保护方式，防火墙通常作为内、外部网络之间通信的唯一通道，对内部网络与互联网出入的数据实施有效的监控和管理，在一定程度上可以抵御互联网上的恶意攻击。同时，防火墙还要与入侵检测、入侵防御系统形成有效联动和统一，保证内部网络在受到威胁和攻击时，网络管理人员能够及时发现并做出应对措施。

第二是病毒防御技术。防火墙虽然作为内外网络的隔离防护工具，但内部网络环境也很复杂。校园网络内部主机、服务器较多，网络带宽高，造成病毒传播迅速，危害性大，那么为了保证主机、服务器的安全使用，就必须要提高计算机病毒防御能力，根据不同类型的病毒，采用对应的防护措施，同时也要在网关和主机上均部署病毒防御措施。并且对网络管理人员来说，还要提高病毒防御的重视程度和应对能力。

第三是入侵检测技术。入侵检测技术是为保证网络或计算机系统的安全而设计与配置的，能够对网络流量进行采集与分析，及时发现网络流量中未授权或异常行为现象，进而与防火墙、入侵防护设备联动，采用相应的手段，以此达到网络防护的目的。

第四是信息加密技术。信息加密技术通常采用数据重构方式，保障内部网络的数据及信息安全，可以防止数据和信息在传输的过程中被第三方捕获。所以，信息加密技术在高校网络运维中应用也较为广泛。

2.管理手段

互联网设计的初衷之一是资源共享，但是共享的前提是要求用户遵循一定的协议和规则。由此，高校网络安全防护要本着技术安全与管理规范并重的思想，以管理和技术双轮驱动作为网络安全保障手段，即技术手段解决存在困难的问题用管理手段辅助解决，管理手段解决存在困难的问题用技术手段辅助解决。

（1）建立网络安全工作机制

加强组织领导、健全机制、明确责任，是高校数据中心网络安全工作的根本保证。所以，高校要按照“谁使用、谁主管、谁负责”的原则，切实加强校园数据中心网络安全工作的领导。应当成立相关的网络安全与信息化领导小组，由校长和书记担任组长，小组成员由相关职能部门的负责人组成。领导小组作为全面推进学校网络安全与信息化建设的最高管理与决策机构，做好顶层设计，合理规划学校网络安全工作与信息化资源。

（2）完善网络管理规章制度

校园网络管理制度是高校数据中心网络安全的保障，学校可以根据国家法律法规及上级有关部门的文件精神，结合学校实际，出台一系列保障校园数据中心的规章制度，例如《数据中心建设管理办法》、《信息化数据管理办法》、《学校二级网站管理办法》等等。不仅应针对校园网用户、校园邮件用户、信息化管理人员制定相应的管理办法，还应针对各类服务器、应用系统做出安全规范操作的说明等等，以此提高数据中心内部防御的能力。以上这些制度的建立，对加强数据中心监管、保护信息安全能够起到重要的规范和保障作用。

四、我校数据中心网络安全工作探索

1.安全防范技术手段方面

（1）校园边界及核心方面

学校在校园网络出口边界以及数据中心前端，均部署具备入侵检测、僵尸主机扫描、实时漏洞监测、Web应用防护等防御功能的下一代防火墙。同时，在访问控制方面，用户层面，对于通过实地址进行外网访问的区域，关闭外到内方向的全部端口，禁止公网到用户内网访问请求;对于数据中心区域，仅开放HTTP及HTTPS等相关Web端口，其余端口全部关闭，尤其是远程管理如22、23、3389，以及隐患端口135、136、445等均进行了屏蔽。同时对于远程管理的默认端口均要求更改，以防止对默认端口的非法扫描和利用。对非Web端口开放，实行审批与备案制度。

学校对关键信息系统的后台管理端进行外网访问控制或IP地址管理控制，所有远程管理均通过VPN系统进行加密接入。同时VPN认证与校园网络认证实现RADIUS联动，即方便系统管理员远程接入使用，同时也增强了身份辨识度。

（2）网络终端接入方面

数据中心网络安全威胁不仅仅来自于外部互联网，内部网络威胁也不容忽视。伴随着学校有线网络的全覆盖以及无线网络的逐步覆盖，一方面使网络终端接入变得更为便捷与灵活;另一方面也带来了网络安全问题。终端的随意接入、直接进入校园内网，对内网应用服务、数据存储都是潜在的威胁。对此，学校对原有出口边界准出认证方式进行改造，将认证机制下移至核心层，通过IP+MAC+PORTAL等网络元素的绑定，实现边缘准入准出双认证，凡所有终端接入，均需身份认证。从网络边缘阻止不真实、不合规的身份进入校园内网。

同时，在接入层设备上，除Vlan隔离外，还开启ACL过滤，对隐患端口如135、136、445、9996等进行隔离，确保网络设备不被非法访问或被用作攻击跳板，有效防止了问题终端异常报文进入校园网络，进而威胁学校数据中心。

（3）校园信息发布方面

对于校园信息发布方面，学校早在建网之初，就摒弃了传统单独建站模式，而是优先采用了网站群平台的管理机制，除应用信息系统外，对所有二级Web站点进行归口整合与集中管理，进而实现统一安全防护与部署。在信息发布流程中，全部站点启用二级审批机制，重要站点启用三级审批机制。以此在技术层面上，实现信息起草与审核发布相分离。同时在口令设置方面，通过技术手段，对口令复杂程度进行严格控制，避免123456、qwer、admin等弱口令问题的出现。

同时通过网站群所具备的信息相对独立、相互共享的特点，有效实现了校园信息的权威性与唯一性，避免了重复冗余、紊乱不一致等问题。

2.安全防范制度手段方面

（1）加强领导，明确责任分工

学校成立了由党委书记、校长共同担任组长的网络安全与信息化领导小组，由分管宣传思想、教育管理、信息化建设、安全保卫等相关工作的党政领导分别担任副组长，各部门负责人、各单位党政负责人为小组成员，形成全校、全员参与的工作机制。同时归口管理，明确责任与分工，学校整体层面明确网络安全责任部门和安全责任人;并按照“谁使用、谁主管、谁负责”的原则，校内各单位同样落实与明确网络信息安全责任人与信息管理员，并签署了《二级单位网络信息安全管理责任书》，对本单位所设立的二级网站及其他网络渠道发布的信息安全负责，以此规范各单位网站信息发布审核流程。

（2）建章立制，规范用网行为

学校根据国家相关互联网使用法律法规，结合学校实际，既要保障网络安全，又要有利于工作开展的原则，建立了一系列配套的校园网络安全规章制度与审批流程，以此保障数据中心网络安全。

数据中心自身方面，制定数据中心托管审批流程、二级网站建站审批流程、《学校域名管理辦法》等，流程与制度中明确信息安全责任人、系统维护人员及系统研发人员信息，系统（网站）开放范围、域名配置等，以此建立起运维部门、托管业务部门、售后服务单位共同维护信息安全的工作机制。

日常运维期间，数据中心各类服务器如出现信息安全隐患问题，第一时间对服务进行关停，并对问题单位下达《网络安全事件整改通知书》，限期整改并向网络安全与信息化领导小组上报整改报告。以此建立学校网络安全工作的一系列安全事件台账。

内部用户方面，制定《学校网络用户账号管理办法》、《学校电子邮件管理办法》、《网络安全保密办法》等，以此落实公安部82号令的用网实名制，并规范用户用网行为，以此发挥校园数据中心效益，更好地为教职员工及学生提供信息化服务。

信息化部门方面，其既是学校网络建设与技术支持部门，也承担着日常数据中心的运维工作。所以同样需要建立健全网络安全工作细则，如《数据中心（核心机房）管理规定》、《部门人员离岗离职信息安全管理规定》、《部门存储介质维护、销毁管理办法》等，以此规范校内信息化从业人员在数据中心相关的工作流程和安全对策。

学校近年来在校园数据中心网络安全保障方面通过以上一些探索和举措，做到制度与技术手段并行，不断完善，与时俱进。2016年以来，圆满完成了党的十九大、G20峰会、上合峰会、国家网络安全宣传周、世界互联网大会、省党代会、大连夏季达沃斯等一系列关键时期的网络安全保障工作，以及有效抵御了如勒索病毒、暗云木马、震网三代等网络安全威胁。习近平总书记指出，“安全是发展的前提，发展是安全的保障，安全和发展同步推进” 。网络安全与信息化建设同等重要，保护好学校重要数据及信息，是学校每一位信息化工作者不懈的追求，这不仅需要学校管理者的顶层设计、技术人员的精心运维，更需要每名网络用户树立安全意识，通过正规渠道和方式合法合理地使用校园网络以及相关信息服务。维护校园数据中心安全，需要全校、全員共同参与和努力。

参考文献：

[1]中国互联网络信息中心（CNNIC）.中国互联网络发展状况统计报告[R].2018.

[2]国家计算机网络应急技术处理协调中心.2017年我国互联网网络安全态势综述[R].2018.4.25.

[3]新华社（北京）.总体布局统筹各方创新发展 努力把我国建设成为网络强国[N].人民日报，2014-2-28（01）.

[4]刘定一.数字化校园安全管理研究[J].网络安全技术与应用，2014（2）：67-68.

[5]韩婷，董默，何志鹏.高校校园网安全分析及防范[J].网络安全技术与应用，2015（1）.

[6]岳强，胡中玉，张大卫.基于数据挖掘的校园网安全体系研究[J].信息系统工程，2015（12）：34-36.

[7]中共中央文献研究室.习近平关于社会主义社会建设论述摘编[M].北京：中央文献出版社，2017.10：182.

（编辑：王天鹏）