◆张彬 张晓军 胡昱洁 周俐军

党建引领助推高校网络安全迈上新台阶———以山东科技大学为例

◆张彬1张晓军2胡昱洁3周俐军4

（1.山东科技大学 研究生院 山东 266590；2.山东科技大学 马克思主义学院 山东 266590；3.山东科技大学 地球科学与工程与工程学院 山东 266590；4.山东科技大学 网络安全与信息化办公室 山东 266590）

随着互联网、AI、大数据、区块链为代表的“新基建”迅猛发展，网络安全问题日益受到重视。习近平总书记强调“没有网络安全就没有国家安全”、“没有信息化就没有现代化”，为新时代网络强国建设指明了前进方向。“新基建”推动着传统高校的数字化转型，为高校智慧校园建设增添了新动能。随着智慧校园建设的开展，高校信息化系统应用不断增多，其安全问题也日益突出。本文以山东科技大学为例，就新网络时代背景下高校智慧校园网络安全研究进行了分析，从安全防护系统建设、态势感知中心建设、开展信息安全培训、强化安全队伍、安全审计、业务连续性管理等5个方面构建高校网络安全技术支撑体系，为其他高校提升网络安全保障能力提供了有益借鉴和参考。

校园网；党建引领；网络安全；技术支撑体系

1 引言

教育信息化的发展水平已成为衡量一个国家教育现代化水平的重要标志。随着我国信息化建设进程的加快，教育信息化发展面临着新的发展机遇和挑战。网络安全正日益受到重视。党的十八大以来，以习近平同志为核心的党中央统筹协调涉及政治、经济、文化等领域网络安全和信息化重大问题，推动我国网信事业取得历史性成就。2017年6月1日，《中华人民共和国网络安全法》正式施行；2018年4月，全国网络安全和信息化工作会议在北京召开。习近平总书记高度重视网络安全工作，多次强调要建设风清气正网络空间、共筑网络安全防线，“让互联网更好造福人民”。

山东科技大学是山东省第一批教育信息化的试点单位，认真贯彻落实《教育信息化2.0行动计划》，实施“智慧校园工程”，认真做好网络安全顶层设计，保障了全校信息化科学、健康、持续的发展，为以教育教学改革、科研体制改革、人事制度改革、财务资产管理改革、学生管理改革为主要内容的学校综合改革提供了重要的支撑保障。学校学习贯彻习近平总书记关于“网络安全”的重要讲话精神，强化党建引领，成立网络安全领导小组，深入学习贯彻会议精神，不断加强网络安全统筹协调力度，着力保障关键信息基础设施安全，积极开展网络安全宣传教育，努力提升网络安全保障水平。积极与深信服科技股份有限公司、安恒信息技术有限公司、360企业安全集团等企业党组织联合开展“以党建为引领，确保学校网络信息安全”活动。

2 加强网络安全防护能力建设的路径措施

学校从5个方面构建网络信息安全保障工程。

2.1 安全防护系统建设

部署漏洞扫描、安全评估、安全防范等硬件设施与管理系统，加强网站和信息系统的综合技术保护措施，提升各类网络安全事件的响应处理能力。部署综合安全防御、安全威胁预警、安全日志审计等支撑系统。

2.2 态势感知中心建设

构建基于环境、动态、整体洞悉校园安全风险的感知中心，实时监控校园网络出口和主干网络攻击的主要指标、学校各类网站的攻击状态，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力，服务于决策行动。

2.3 开展信息安全培训，强化安全队伍

开展多层次的信息安全技术培训，提高网络安全业务水平。面向师生、信息化联络员、信息化专职人员、合作企业，开展信息安全管理及技术培训。形成由专职队伍、专家团队、信息化联络员及相关企业共同组成的网络信息安全人才队伍，提高全校网络安全防御能力。

2.4 安全审计

内网审计系统以旁路方式接入，通常采用交换机数据镜像，将需要审计关注的数据镜像到系统的数据采集端口。运维审计系统采用物理旁路，逻辑串联的方式接入用户网络。接入点为服务器区的出口。设备日志审计系统直接部署于网络中保持与被采集设备网络互通即可。

内网审计管理系统包括：数据库类（SQL Server、DB2、Oracle、MySQL）、运维管理类（Telnet、FTP、NetBIOS）、业务类（HTTP、POP3、SMTP）；同时，系统支持对其他协议基本信息的审计，并能方便地扩展对其他协议更细粒度的支持；采用领先的协议识别和智能关联技术，提供全面深入的协议分析、解码、回放，审计内容包括登录账号、持续时间、流量、操作命令、操作对象、操作参数、关键词、敏感数据、涉密信息、操作执行结果等。

设备日志审计采用典型设备日志采集协议：SNMP、SYSLOG、自定义等，对主机设备、网络设备、安全设备等基础设施系统安全日志进行采集、归档、分析、输出，最终形成全面的报表，提供高危日志告警等预处理功能。

综合安全审计管理系统提供多级授权管理支持集成第三方认证、高效查询功能、强大的报表生成功能；系统管理支持配置备份、还原，支持双机热备，支持“集中管理、分级部署”，支持高性能高可用负起均衡集群部署，系统自身具有系统审计功能，对管理员配置变更、用户操作登录等信息有详细的记录和日志查询。

2.5 业务连续性管理

2.5.1容灾备份参数

在设计容灾系统时，经常涉及以下三个关键参数：

（1）恢复点目标（Recovery-Point Objective - RPO）

恢复点目标指在发生灾难的情况下企业可容忍的数据丢失量的衡量标准。

（2）恢复时间目标（Recovery-Time Objective - RTO）

恢复时间目标指灾难发生后，企业业务系统恢复运营所需要耗费的时间。

（3）备份成本

实现预定的RPO和RTO需要投入的资源总和。

成本、RPO和RTO关系如图1所示。

图1 成本、RPO和RTO关系

RPO越接近零，丢失的数据量越少，则成本越高；同理，RTO越接近零，系统恢复的时间越少，则成本也会越高。

2.5.2数据保护的挑战

随着企业的不断发展，企业内部的数据将呈现几何式增长。如果将企业的数据分为：非结构化数据（文档、图片等）、结构化数据（数据库数据）和半结构化数据（电子邮件数据），根据国际权威分析机构的分析结果：非结构化数据在企业总数据中的比重最大、增长最迅速。如此海量的数据为企业数据保护工作带来了极大的挑战。

数据备份和恢复的成本越来越高（备份数据的存储和维护成本），建议采用备份一体机，对核心重要的虚拟机进行备份。备份一体机会与VMware的VADP API对接，支持对虚拟机进行每天的全备份（之存储变化的数据块）。然后针对核心的数据库建议通过脚本进行定期的备份。

同时定期进行备份恢复演练，编辑灾难恢复手册。最终建立一个完整的备份系统，实现业务系统与数据库的本地备份。实现零宕机、零数据损失的故障切换，保障学校业务可用性和数据可恢复性。

2.5.3认证与授权

校园网承载着多个业务系统，每个业务系统都有自己独立的用户访问认证方式，虽然建设了统一身份认证，对于特殊类型的用户比如教师用工号进行认证缺乏必要的安全性，一旦工号丢失或被盗用，会给用户或集体造成损失和风险；

另外，信息安全传输、安全存储和抵抗攻击缺乏有效的防护手段。

PKI/CA体系构建在学校应用系统前端，包括认证中心、注册中心、密钥管理中心、统一身份认证接口等几个部分。PKI/CA认证体系部署示意图如图2。

图2 PKI/CA认证体系部署示意图

CA安全区：主要承载CA Server、主从LDAP、数据库、加密机、OCSP等；其中CA服务器负责全网数字证书签发、主从LDAP为全网数字证书的查询提供服务、加密机用于产生CA中心的签名密钥对；OCSP服务器主要为数字证书应用提供实时在线查询服务。

KMC管理区：主要承载KMC Server、加密机等；KM Server为CA Server提供加密密钥的存储及管理服务；加密机用于产生通信加密的对称密钥；KMC管理区承载的各种设施部署在数字化校园的网络安全域，并通过VLAN及防火墙等技术与CA安全区实现逻辑隔离。

RA注册区：主要承载各院所的RA注册服务器，为各院所的师生管理提供数字证书注册服务；该区域与CA安全区的通信采用加密的安全方式传输，并在区域边界实施逻辑隔离。

3 结语

高校网络安全是一个长期、复杂又而庞大的系统工程，任重道远。本文介绍了山东科技大学以党建为引领，构建高校网络安全技术支撑体系采取的路径措施。学校近年来在网络安全保障方面与时俱进，不断完善，圆满完成了党的十九大、青岛上合峰会、海军节、全国两会、新中国成立70周年、建党100周年、国家网络安全宣传周等一系列关键时期的网络安全保障工作，为其他兄弟高校网络安全发展思路提供新的视角和有益借鉴。

[1]汤湘林，陈方兵. 5G时代下高校网络安全研究与应用[J]. 网络安全技术与应用，2021，（06）：89-90.

[2]周立志，朱尚明.高校网络信息安全体系建设实践和思考[J].深圳大学学报（理工版），2020，37（S1）：73-77.

[3]张彬，李岩. 基于大数据引擎的智慧校园建设探讨——以山东科技大学为例[J].山东教育（高教），2020，（04）：44-47.

本文系2018年度山东省研究生导师指导能力提升项目“新旧动能转换背景下非全日制研究生产教融合培养路径探索”（编号：Sdyz18006）；2020年度山东科技大学教育教学群星计划“基于移动互联的视频交互式仿真实验教学模式的研究与实践”（编号：QX2020M95）；山东科技大学在线课程建设项目“遥感图像解译”（编号：ZXK2020017）研究成果