◆钟机灵

（河源职业技术学院信息中心 广东 517000）

1 引言

党的十八大以来，国家高度重视网络安全工作，出台了《国家网络安全法》、《国家网络空间安全战略》等法律法规，把网络安全工作提升到国家安全的高度，提出“没有网络安全就没有国家安全，网络安全与信息化建设是一体之两翼、驱动之双轮”等重要论述[1]。高校信息系统规模大，用户群体多，受关注度高，网络安全形势非常严峻，传统的“亡羊补牢”式防护手段已无法保障高校网络安全，高校网络安全涉及多个要素，根据TCP/IP参考模型的层次划分，可以把网络安全分为物理层安全、数据链路层安全、网络层安全、传输层安全、应用层安全和用户层安全。“木桶法则”适用于网络安全，必须综合考虑每一层的安全，才能确保整个网络系统的安全，因此，高校的网络安全必须依靠建立一个安全防护体系，充分考虑到学校的每一个安全节点、每一个要素，并把这些要素有机联系起来，形成综合防护体系，才能有效保障高校网络安全。

2 存在问题

根据笔者所在高校网络情况，梳理了学校在网络方面存在的问题，主要如下：

（1）网络安全工作机制不够健全

高校信息资产庞大，包括各类服务器、信息系统、网站系统、网络信息点和电脑等，均涉及网络安全工作开展问题，网络安全工作是一项系统性工程，涉及的人多、事多、部门多，若没有一个健全合理的网络安全工作机制，缺少专职队伍进行网络安全维护，高校的网络安全工作很难做得好，网络安全工作责任制也难以真正落实到位[2-3]。

（2）落实网络安全等级保护工作不够到位

国家《网络安全法》规定，“我国实行网络安全等级保护制度”，并要求每两年对所有二级系统完成一次等级保护测评工作。这是衡量一个系统或网站是否安全与合规的依据。但是，由于高校的信息系统数量多，信息化资产庞大，信息系统之间的数据流复杂，实施等级保护工作量极大，需要投入相当多的人力物力，一般高校都因为人手不足，或者涉及的关系人多而应付了事，因此，有时候一个系统即使完成了等级保护工作，它的防护效果也不能令人满意。

（3）网络安全工作经费投入不够

随着信息化的发展，一般高校把大部分经费都用于信息化应用方面的建设，而在网络安全方面的专项经费比例偏低，开展网络安全等级保护工作所需的费用不小，市场价是4万元/系统（网站），若按一般高校的网站和系统数量计算，预算要数百万元，对于山区高职院校来说，这是一笔不菲的投入，面临资金困难问题。

（4）师生网络安全意识薄弱

青年学生思想活跃，好奇心强，近年来，高校学生攻击网络系统，篡改或泄露系统数据，利用漏洞非法贩卖上网账号，利用翻墙软件非法浏览国外敏感信息并传播的事件时有发生。学生网络安全法律意识薄弱，网络安全法律专题教育不够。

3 建设目标

高校要高度重视网络安全工作，贯彻落实《网络安全法》，建立健全学校网络安全工作机制，完善规章制度，落实责任制度，有效防范、控制和抵御信息安全风险，增强安全预警、应急处置和灾难恢复能力，提高学校整体安全防护水平，形成与学校信息化发展相适应的、完备的网络安全保障体系。

4 建设措施

（1）健全网络安全工作机制，专人专岗，强化执行

在高校成立网络安全与信息化领导小组统筹学校网络与信息安全工作，小组成员由学校各职能部门负责人以上人员组成，定期召开会议，协调网络安全与信息化的发展问题，在领导小组下面成立网络安全具体事务办理机构，负责开展网络安全日常工作，做到专人专岗，强化执行。

（2）深入贯彻落实《国家网络安全法》，全面开展网络安全等级保护工作

按照《网络安全法》的具体要求，制定学校网络安全管理制度和操作规程，规范应急处置流程，建立健全纵向贯通上下级和横向联通学校各部门的常态化工作沟通、协助和支援机制。按照国家网络安全等级保护要求，对学校各类信息系统（网站）开展定级备案、整改测评和验收测评等工作，重要系统（网站）必须在通过等级保护测评并与运营责任人、使用责任人签订安全责任书后，才能开通上线运行。按照《网络安全法》的具体要求，制定学校网络与信息安全应急预案，每年开展一次网络安全应急演练，明确应急处置流程和权限，提高网络与信息安全应急处置能力[4-5]。

（3）采用人防、技防相结合的模式建立多层次的网络与信息安全技术防护体系

a）制定学校网络与信息安全总体规划方案。按照国家有关网络和信息安全的政策要求，结合学校实际，进一步完善学校网络与信息安全总体规划方案，方案经行业专家论证后组织分步实施。

b）引进漏洞检测设备或委托第三方安全检测机构，定期对学校信息系统进行漏洞检测和渗透测试，对于存在高危漏洞的信息系统及时进行整改。在学校网络出口上封堵高危端口，启用全网流量解析技术，加强安全“运维”审计。

c）加强学校上网行为审计管理。重新梳理学校网络拓扑架构，在技术可行的情况下，采用“直连模式”部署学生上网行为审计系统，定期购买“非法上网行为特征库”，切实防范学生采用翻墙软件，代理软件、VPN等非法浏览国外有害信息，采用名单过滤、关键词过滤、图像过滤、模板过滤和智能过滤等技术手段，从源头控制学生传播非法信息。

一般高校的上网行为审计系统采用旁路方式挂接在核心交换机上，这样的好处是，校园网日常运行不受上网行为审计系统设备性能影响，不存在单点故障。缺点是上网行为审计系统只能获取用户上网流量信息，而无法做到控制学生的上网行为，这是一种事后行为，做不到事前预警，事中控制的效果。采用旁路方式连接的设备网络拓扑如图1所示。

图1旁路连接方式网络拓扑图

为了实现对上网用户的行为控制管理，由事后管理变成事前预警，事中控制的效果，需要把上网行为审计系统采用“直连方式”架构，同时，为了避免设备成为校园网出口的单点故障，需要部署ByPass设备，当上网行为审计系统宕机时，校园网出口流量绕过该设备，直通互联网，并短信告警技术维护人员，及时处理设备故障，恢复上网行为审计系统运行。采用“直连方式”连接的网络拓扑如图2所示。

图2“直连方式”网络拓扑图

d）落实重要时期学校网络安全值守制度。在重要时期由网络安全领导小组统筹安排学校网络安全值守工作任务，或购买第三方公司的网络安全值守服务，协助落实重要时期网络安全值守制度。

4.加强师生网络安全教育与技能考核

a）网络安全知识进课程。在《计算机应用基础》课里新增网络安全方面章节，每年面向大一新生讲授网络安全知识。

b）网络安全宣传活动进校园。每年按照国家制定下发的《网络安全宣传周》活动实施方案，大力开展网络安全宣传教育进校园活动，深入宣传学习《网络安全法》及配套法律法规，通过知识竞赛、专题讲座、宣传海报、互动交流等渠道普及网络安全知识，提升师生网络安全意识和防护技能，营造健康文明的校园网络环境[6]。

c）网络安全进考核。按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”的原则，学校各部门负责人负责本部门的网络信息安全领导责任，各技术管理员负责所管实训室或信息系统的网络安全管理工作，在各部门的年度责任书里设立网络安全工作考核指标，在技术管理员的绩效考核里设立网络安全考核内容。

5 结束语

没有网络安全就没有校园安全，网络安全是一个系统工程，单靠某一个人或部门无法把网络安全工作做好，网络安全工作遵循“木桶”原理，需要每一个人、每一个部门通力协作才能做好，要通过建立健全工作机制，落实等级保护制度，采用“人防+技防”相结合的方式以及提高师生网络安全意识与技能考核等措施来构建高校网络安全综合防护体系，才能把高校的网络安全工作做好。