曾君 怀化学院

“没有网络安全，就没有国家安全”，随着高校信息化建设程度的深入，网络及信息安全问题日益严峻，层出不穷的安全事故，让高校信息部门疲于防护，等保制度的建立，给高校安全防护工作指明了方向，等保2.0 制度的出台，将信息安全工作提高到了新的高度。那么，对于我们高校信息管理部门，怎么去做好安全防护工作，需要从以下方面着手。

一、建立健全安全防护管理制度

1、建立完善的安全管理制度

没有规矩就没有方圆，信息安全工作最终是落实到相关人员在实施，因此，建立完善的安全管理制度，是信息安全工作的基础。在安全管理制度的建设中，我们需要建立和完善安全管理制度体系，健全信息安全管理机构，明确职能部门、各级管理人员和全体信息管理人员的安全防护职责；建立安全防护管理长效机制，确保信息系统及数据的安全；建立信息数据的保密机制，确保重要信息不被人为的泄露。

2、加强安全责任教育

安全防护意识淡薄，是目前出现信息安全事件、信息泄露的一个重要环节，如网站管理员的意识淡薄，将含有敏感信息的内容发布到网路；通过QQ 等公共平台传输敏感数据等，都是造成信息泄露的重灾区。因此加强全校师生的信息安全教育，提高全校师生的安全防范意识，能有效的提高信息安全防护等级。在安全责任教育中，我们需要完善安全教育培训制度，制定安全培训计划，建立培训档案，分类别、分层次开展法律法规、安全管理规章制度、安全技术、操作规程、事故案例、应急管理和遵章守纪等教育培训活动。

二、划分区域，分级防护

在信息系统的建设中，合理的划分区域，分级防护，能有效的提高防护能力。根据信息系统的使用不同，可以将信息系统划分为对外服务区、对内服务区及运维管理区等区域，针对不同的区域建立不同的防护机制。

1、对外服务区

此区域的信息系统为对校外即互联网提供服务，此区域一般运行的系统多为学校对外的服务，如网站，区域内的信息系统面临的安全入侵风险最大，因此需要做到最严的防护，此区域部署防火墙，只开发必要的服务端口，利用WAF、入侵防御、入侵检测等安全设备做到最严的安全防护。

2、对内服务区

此区域的信息系统为内部服务系统，只对校内提供服务，服务对象为校内师生，相对对外服务区，安全风险相对小很多，一般出现的安全事件主要来自学生的实验测试，可以采用防火墙设备只开发必要的业务端口，有条件的可以上其它的安全设备。

3、运维管理区

此区域内运行的业务系统为校内信息管理系统及网络的管理平台，使用用户为特定的管理人员，因此可以采用限制访问IP的防护方式，最大程度的保证安全。

三、建立合理的防护策略

当前形势下，校内信息系统大部分为WEB 应用系统，针对信息系统攻击的主要手段有WEB 注入、框架漏洞、系统漏洞、业务系统本身漏洞、业务系统间的入侵等方式。因此，我们可以根据不同的入侵手段，建立相应的防护策略，最大程度的保证信息系统的安全。

1、WEB 注入防护

针对WEB 注入入侵，目前最普遍的做法就是部署WAF 防护墙，利用安全厂商给定的规则来防护，这样的做法，有效果，但不是最佳的方式。我们其实可以分析WEB 业务系统的URL，利用WAF等安全设备，自定义URL 规则。就拿网站群系统来说，其访问一般分为三级，即首页、列表页、阅读页，其URL 是具有规律的，如列表页，一般是页面程序后带栏目ID 及页号两个参数，如URL 为list.php？cid=1&p=1，我们就可以在WAF 设备中建立属于该网站群的一个URL 规则list.php？cid={d}&p={d}，限定合法的URL，其它形式的URL 均阻止访问，即可最大程度的阻止WEB 注入入侵。当然，如果能从信息系统程序本身去完善安全机制，这是最彻底的做法。

2、框架、系统漏洞防护

操作系统、信息系统框架，这些都会有漏洞，对于操作系统的漏洞，毫无疑问，最佳的做法就是及时修补系统补丁。信息系统框架的漏洞，则是需要及时关注其官方网站，随着掌握其漏洞及修补方法，采用最合理的方法来修复漏洞，如Nginx 曾经出现的文件解析漏洞，通过官网的相关漏洞文档，可以采用修改配置文件或者升级Nginx 版本的方式来修复，具体采用哪种方式，根据业务系统的情况来决定。

3、业务系统间的防护

高校的业务系统众多，服务器也多，同一区域内含有众多的业务系统及服务器，服务器间一般没有安全防护设备。在安全防护建设中，我们做的最多的是防止非法用户入侵到业务系统及服务器中，但是凡事都有万一，一旦入侵到了某一台服务器，将此服务器变成肉鸡，那么此区域内的其它服务器及业务系统就变成了透明，毫无安全可言。

但是，我们可以看到，服务器间，绝大部门情况下是不需要互相访问的，因此，针对业务系统间的防护，我们可以采用访问隔离的方式，即在服务器交换机中做相关配置，进行端口隔离，禁止服务器间访问；对于某些一定需要互访的服务器，采用引流的方式，将数据流引入安全设备，最大程度的保证业务系统间的安全。

四、敏感数据，分级防护

敏感信息的防护，是高校数据安全防护中重点防护对象。对高校而言，敏感信息，除了公民的个人信息外，还有如公文、档案等信息，对于敏感信息防护，可以从以下几方面入手：

1、限定访问区域，校内业务系统不开放互联网访问，仅限校内访问，通过限制访问范围，最大程度的保障敏感信息的安全。

2、通过VPN 访问，对于一些必须要在校外访问的业务系统，由于访问用户为既定群体，可以采用VPN 的方式，建立安全隧道来访问信息。

3、通过安全设备，限定敏感信息，可以通过在安全设备上建立策略，来限定敏感信息的流向，如对来自互联网的访问，对敏感信息进行过滤，让其只能访问普通信息，即保障了业务系统的正常访问，又保障了敏感信息数据安全。

五、改善部署模式，提高安全机制

对于WEB应用系统来说，最安全的办法，就是采用静态HTML了。在高校，不法分子攻击入侵最多的是网站，因此，对于网站，完全可以通过改善其部署模式来提高安全机制。建立发布服务与管理服务相分离的部署模式，在发布服务器上，只有静态HTML 页面，用户访问的永远是静态HTML 页面；而发布服务器则在内网，通过安全设备隔离，大大的提高网站系统的安全。对于不具备分离部署条件的业务系统则可以采用反向代理方式进行部署，在反向代理设备上，映射的是业务系统的静态HTML 页面，业务系统本身则运行于内网，使得用户无法直接访问业务系统，有效的提高了业务系统的安全性。

六、总结

信息安全防护任重而道远，我们要做的就是最大程度的建立安全防护机制、保障信息安全。通过制度建立、等级保护、技术保障等多方面来建立安全防护机制，有效的保护信息安全，当然，提高信息部门自身素养及技术能力，也是一个重要的组成部分。本文从安全制度建设、信息系统业务安全、数据安全等方面，从制度及技术模式进行思考，为当前高校信息安全防护提供知识参考依据。