肖 伟

(扬州大学 信息化建设与管理处，江苏 扬州 225012)

0 引言

随着信息技术的不断进步和信息化应用的广泛普及，网络已深入到社会的各个方面，在工农业生产、交通运输、医疗卫生等领域发挥着重要作用，高等教育领域也不例外。随着教育信息化进程的不断推进，网络已经在高校的教学、科研、管理等方面表现出不可替代的作用。与此同时，高校的网络安全风险也不断增加。如何做好网络安全工作，是众多高校、信息化部门和工作人员面临的一个共性问题。

1 高校网络安全现状

笔者在工作中发现，高校的网络安全工作中存在的问题多种多样，表现形式也五花八门。有大面积使用弱口令的，有公民个人信息泄露频发的，有数据库直接暴露在互联网上的，如此种种，不一而足。笔者对之前数年在工作中遇到的问题进行总结，发现问题主要存在以下几个方面。

一是网络安全责任制落实不到位。近年来，从党中央，教育部，到省教育厅，学校，各层各级都多次强调网络安全的重要性。学校层面对网络安全的重视程度也不断提升，多数高校都成立了网络安全与信息化领导小组。在这样的大环境下，仍有少数二级单位在思想上对网络安全不够重视，认为网络安全事件是小概率事件，作为二级单位，只管建设与使用，不用管防护，没有将其视为重要议事日程[1]。由于网络安全责任制仅落实到二级单位，单位管理员多为兼职人员，不熟悉本单位的信息系统，给网络安全应急响应和处置带来了很多不便，严重影响了网络安全工作效率。

二是部分常见网络安全问题频发。笔者对之前数年发生的网络安全漏洞进行统计，发现整体分布如图1所示：发生频次最高的是弱密码漏洞，占27%；发生频次第二高的是敏感信息泄露漏洞，占16%；排名第三的是SQL注入漏洞，占12%。排名前五的漏洞(弱密码漏洞、敏感信息泄露、SQL注入、操作系统漏洞、任意文件上传)合计占比72%。可以说，解决了弱密码漏洞、敏感信息泄露等五类漏洞，就解决了72%的网络安全问题。

图1 近年网络安全漏洞统计情况

三是网络安全防御手段不成体系。随着技术的发展，网络安全防护设备的种类和防护功能也不断增加，新型网络安全设备层出不穷[2]。很多高校面临的情况是，学校投入了大量经费，采购了众多的网络安全设备。但是这些设备“各自为战”，没有建立起网络安全防护体系，不能发挥出“1+1>2“的效果，甚至有些设备之间还会相互影响，反而降低了各自的性能。

四是关键时段安全保障缺乏重点。近年来，在一些关键时段，境外非法黑客及组织多次攻击国内网站，传播发布非法信息，造成了恶劣的影响。这就对关键时段的安全工作提出了新的要求[3]。高校业务复杂且信息系统较多，面对新的形势，如果不能制定一个完整的防御策略，可能会因为防护力量分散导致各点力量薄弱，防护人员疲于奔命却无法做好安全防护工作。

五是缺乏网络安全事后补救措施。虽然已经部署了严密的网络安全防护措施，但是“百密终有一疏“，面对纷繁复杂的网络安全形势，多种多样的网络安全攻击，无法预防的设备自身故障，总有被突破防御遭受攻击的情况[4-5]。笔者曾经遇到某虚拟化集群上的一个数据存储因故障宕机，数十台在该存储上虚拟机及相关业务受到影响，涉及多个二级单位，严重影响了工作。

2 高校网络安全防护体系研究与设计

为了解决上述网络安全问题，从严从实做好网络安全工作，需要建立一套网络安全防护体系，架构如图2所示。

图2 网络安全防护体系架构

2.1 建立网络安全责任制体系

首先制定学校层面的网络安全责任制考核办法，从制度层面落实网络安全责任制。定期要求二级单位负责人签订网络安全承诺书，以书面形式落实“谁主管谁负责，谁运维谁负责，谁使用谁负责“的要求[6]。将网络安全责任制层级拓展，最终落实到信息系统管理员层级。经过一年多的实践，发现各单位对于网络安全责任有了更明确的认识，各二级单位管理员对于本单位的信息系统有了初步了解，出现网络安全问题时能够快速定位到责任人，处理问题的效率也得到了提高。

2.2 建立信息系统上线检测机制

在高校内部启动新建信息系统上线检测流程，信息系统建设完成需要上线时，由建设单位向信息化部门提出上线申请，信息化部门收到申请后，通过表1所示的标准化表格收集系统信息并提交给安全工程师进行渗透测试、漏洞扫描等一系列安全检测，经检测不存在中高危漏洞且基线检测合格的信息系统才允许上线[7]。据笔者统计，启动该流程后，弱密码、SQL注入等漏洞数量从2020年的96起降低到2021年的46起，同比下降52.1%，证明对新建信息系统在上线前进行全方位上线检测，可以有效减少弱密码、SQL注入等漏洞。

表1 系统上线检测基本信息

2.3 网站发布启用敏感信息检测

通过事先在网站系统设定，可以建立一套检测名单，内容包括身份证号、手机号等敏感信息。工作人员在网站发布文章时，系统会自动对文章内容进行检测。如果检测到身份证号等敏感信息，会通过弹窗进行提示，人工复核后可以选择继续发布或进行修改后再发布。据统计，自上线敏感信息检测功能后，敏感信息泄露量从2020年的55起降低到2021年的28起，同比下降49.1%，证明敏感信息检测功能可以有效降低敏感信息泄露的可能性。

2.4 构建全方位立体化安全防御网

“工欲善其事，必先利其器“，要做好学校网络安全工作，就要建立一张包含网络防火墙、Web应用防火墙、入侵防御设备等在内的全方位立体化安全防御网，发挥不同设备的长处，为学校网络提供安全保障。以笔者所在学校为例，在校园网出口处部署了防火墙设备，对整个网络的出入进行管控。在防火墙后方，部署入侵防御设备，对流量的深层行为进行分析判断，结合特征库可以有效拦截攻击，同时增强抗DoS攻击和抗扫描能力。在入侵防御设备后方，部署Web应用防火墙，对流量进行Web层面的检测，可以有效抵御远程代码执行、SQL注入等攻击。传统的网络安全设备都是基于特征库进行拦截的，缺乏对模拟合法人行为的自动化工具攻击，如：撞库、暴力破解、恶意爬虫行为的防护能力，本体系引入了动态防护设备，加强对非特征模拟合法人行为攻击的防护能力。整个体系架构如图3所示。

2.5 制定关键时段分级保护策略

高校根据资产的重要程度和业务延续性要求，对所有信息资产实行分级管理。制定 “0+3”级安全策略，在不同时段实施不同的互联网访问策略，即：在关键时段当天，仅开放一级资产(如学校网站群)，保证主站等的正常访问；在关键时段前后数天，仅开放一、二级资产(如智慧校园)；其他时段开放三级资产。一旦发生重大网络安全事件，立即启动0级安全策略(即一键断网)。

2.6 建立数据容灾备份机制

通过数据备份实现网络安全事后补救，对重要信息系统进行定期备份，实行每周一次完全备份，每天一次增量备份的备份计划，确保每24小时进行一次备份操作。如因网络攻击或故障导致数据丢失，可以确保数据丢失量不超过24小时。在此基础上，实施数据容灾机制，在异地(如高校的不同校区)设置具有信息系统服务功能的备份设备，平时做备份，一旦主系统出现故障，即时切换到备份系统，提供信息化服务。

3 结语

面临复杂多变的网络安全形势，如何做好网络安全工作对高校网络安全管理者而言是一个难题。高校网络安全管理者应该总结分析网络安全现状，剖析问题原因，理清工作思路，制定行之有效的网络安全工作措施，保障好高校的网络安全，为教学、管理、科研提供一个安全可靠的网络环境。