◆李运佳 张智勇 陈知新 李竹村 肖新祥

（湖南师范大学（长沙）信息化中心湖南 410081）

当前，高校信息化建设工作正在稳步推进，应用系统的整合、统一门户平台的实施、数据中心的建立、手机客户端和微信小程序的上线都为广大师生提供了方便的信息化服务。伴随越来越多的应用和服务的上线，这对高校网络与信息安全工作提出了更高要求。[1]在确保广大师生信息系统服务正常的同时，如何建立科学、立体的网络安全防护技术体系以保障学校的网络与信息安全工作成为当前高校网络安全管理人员的首要工作[2]。

1 高校校园在网络安全方面存在以下问题

（1）计算机或者网络自身存在的系统漏洞，可能导致信息泄露、被恶意控制或者更严重的后果[3]；（2）在数据包传输过程中会面临被窃取、被恶意篡改、被假冒利用或者蓄意破坏的风险；（3）在高校校园里，行政人员、老师和学生经常会使用电子邮件、在互联网查询信息、利用移动硬盘等存储设备拷贝文件，一旦感染病毒将损失巨大，大多数病毒是利用用户未加辨别的下载、不经意间打开导致的传播，校园网是一个整体，各个节点相互连接，极易造成病毒互感，严重影响校园网络的正常运行[4]；（4）对于网络安全意识淡薄的用户而言，电脑终端是仅仅服务于用户的机器，没有安装杀毒软件、更新病毒库的习惯，这使得黑客容易通过注入病毒的方式攻击或控制终端，不但可以窃取电脑中的重要资料和信息，而且可以把终端作为跳板攻击校园里的服务器[5]；（5）鉴于信息化建设是一种新型建设投入，大部分高校的投入经费达不到理想比例，这其中投入在网络安全设备和系统上的经费就更少了，没有较完备的网络安全设备的部署，高校校园网几乎只能满足基本的网络通畅保障任务，加上网络安全管理制度、安全预警方案的缺失，这使得高校校园网络变成了遭受黑客攻击的重灾区[6]；（6）高校网络安全管理制度缺失，相关人员网络安全意识淡薄，黑客容易利用社会工程学手段冒充其他组织或个人进入内网；（7）网络管理人员只注重设备的日常护理和简单防范，多数不精于技术的学习和研究，对于技术性强的问题束手无策，因此导致网络管理出现管而不理的局面[7]。

2 探索网络安全立体防御体系

探索网络安全立体防御体系可以从两方面入手，一是要有过硬的网络安全知识和技能作为保障，部署功能完备的网络安全设备，和网络安全队伍形成“物有所管，有物可用”的合理结构；二是构建较为完备的网络安全管理模型，出台相应制度，比如“网络与信息安全管理办法”、“突发事件应急响应办法”、“网络设备割接标准化流程”、“网络安全承诺书”等。

（1）提高高校校园网络技术治理

①对防火墙准入策略进行调整。防火墙通过定义某个IP或端口的流量是否被允许通行，防止校外不法分子访问校内公有IP的方式来保护内部网络资源的安全。防火墙不仅可以配置允许或禁止数据包的通行，还可以对通过的数据包按照安全策略进行实时检查，监视网络运行状态。其技术运用是在校园网的入口处架设防火墙，实时对校园网络进行监测分析，将结果呈现给管理人员，有效保护内部网络以免遭受外部攻击，高校校园骨干网络安全设备拓扑如下图1所示。

图1 高校校园骨干网络安全设备拓扑

②安装杀毒软件。随着学校规模的日益增大，在校师生的数量也逐渐增多，高校校园网络节点数也不断增加，大部分用户没有下载杀毒软件定期查杀的习惯，即时下载了也没有定期更新病毒库的习惯，很容易造成病毒感染和传播，网络管理员必须安装高效的杀毒软件并及时升级、周期进行系统扫描。

③数据加密。在信息化高速发展的背景下，大量数据随即产生，包含了个人隐私、商业秘密、考试数据等敏感的数据，一旦泄露将会给相应组织和个人带来不可估量的后果。利用数据加密手段提高系统数据的安全性，确保数据的保密性，敏感数据即使被外部获取，也难以轻易破解。特别是高校的教务处、财务处、科研处、招就处等掌握公民私人数据的部门，必须采用相应技术以保证数据的私密性、准确性、完整性。

④访问控制。利用反向代理服务器、WEBVPN对学校提供的对外开放的服务进行严格认证和控制。如将只有少数师生访问，WEBVPN可以承受访问流量的服务限制校内访问，减少系统被攻击的风险，将限制在校内访问的系统通过WEBVPN进行统一认证后访问，既保障了网络安全，又最大程度上给校内师生提供了便捷服务。VPN客户端则是针对系统管理人员、系统开发人员操作服务器后台提供的如学生上网查询课程成绩需进行身份认证，使校园的网络资源不会被未授权的非法用户使用和访问。

⑤堡垒机设备。将堡垒机限制在内网，开发人员通过客户端VPN登录堡垒机，在访问列表内快捷访问权限内的系统，既方便了开发人员对所用服务器的快捷访问，又对其操作访问进行了监督和审计，提高了厂家人员的安全意识，也为人为操作事故提供了追责依据。

⑥https协议加密访问。为确保数据包在传输过程中的安全性、完整性，https协议在HTTP的基础上添加了加密和认证的功能，可以保证信息在传送过程中没有被篡改。可以配置通配符https证书，在全校范围内，所有同级域名都可以使用该证书加密。

⑦应用防火墙技术（WAF）。将应用防火墙设置于反向代理服务器前面，检测和验证客户端发送到服务器的各种请求信息，确保其安全性与合法性，阻断非法的请求。

（2）加强高校校园网络规范管理

①规范出口管理。对原有网络设施、机房环境、动环系统等管理制度进行升级改造，对在校教职工、学生进出网络进行统一管理。

②强化网络软件安装管理。要求所有计算机设备安装高性能防火墙、合适的杀毒软件，管理人员要及时发现网络病毒入侵，及时向所有计算机用户发布相关信息。

③建立统一身份认证系统。要求高校管理机构、教学机构、教辅机构及其他部门建立上网身份认证制度，各部门必须有统一对应的身份认证系统，保证只允许本部门职工才能查看各自对应的相关信息。

④规范电子邮件传递方式。 要求电子邮件用户采用加密措施或简单加密传送文件或采用认证技术中的数字签名机制来解决伪造、抵赖、冒充、篡改等问题。

⑤提高网络管理人才队伍水平。完备的网络安全设备是需要管理人员进行部署和操作的，打造一支专业技术过硬、管理水平较高、安全意识较强的网络安全管理人才队伍尤为重要。

3 总结与展望

在网络安全法确立、网络安全等级保护升级2.0的背景下，高校网络安全形势异常严峻，要更加重视校园网络安全工作，加大对网络安全的经济和人力投入，及时升级保障校园网络安全的软硬件设备，确保能适应当前网络安全的需要。同时，完善网络安全管理制度，增强在校师生的网络安全意识，提高网络安全管理人员处置网络安全突发事件的能力，才能有效地保障高校的网络与信息安全。