李志博 李思远

关键词：校园信息化建设；网络安全；网络站群

0 引言

伴随校园信息化建设程度的加深，网络安全问题的重要性更加突出。网信办发布的《“十四五”国家信息化规划》中，强调安全和发展并重，以实现网络空间治理能力和安全保障能力显著增强为目标。同时《中国教育现代化2035》中也提出了“加快信息时代教育变革”的目标[1-3]。在这一背景下，网络安全问题的重要程度越发突出，本文将重点探讨西北大学信息化建设过程中的网络安全体系建设并总结经验，为校园网络安全体系建设提供参考。

1 校园信息化建设过程中的网络安全问题

校园网络安全建设是随着校园网络发展而逐步进行的，早期对网络安全问题认识不足，存在一定的滯后，后期认识到网络安全问题带来的严重威胁以后，网络安全建设就和网络发展逐渐同步进行了。根据西北大学的校园网络安全建设经验，校园网络安全建设主要经历了以下四个阶段：

第一阶段是2000年左右CERNET带动校园网络基础设施建设期，这一时期主要以教育网络、电子邮件系统的建设为代表。在“从无到有”的过程中，也奠定了网络环境基础，因此具备了进一步建设信息化系统的条件。这一时期用户基数小，网络安全问题并不明显，而且由于早期互联网设计时默认用户均为可信赖，并没有考虑安全威胁的问题，这一阶段的网络建设并没有将安全纳入重点考虑范围，安全防护表现在以终端杀毒软件为主。

第二阶段在2007年左右，数字校园带动下应用系统建设期，逐步实现了业务数字化。这一时期高校将大量的教学科研和管理工作通过例如办公自动化系统、教务系统等极大地提升了工作效率。同时网络安全威胁也逐步显现，常见的内部威胁有系统密码泄露等，外部威胁则有不法分子窃取师生信息牟利等。由于这一阶段的信息系统分散建设，因此进行网络安全防护也只能针对单个系统进行分散的防护工作，压力较大且效果有限。

第三阶段大约在10年前，由于校园网络存在复杂的各类系统，一方面不便于管理，另一方面也有数据使用困难、资源浪费等问题，因此开始了从“粗放扩张”向”集约提升”打通信息孤岛和用户体验，以校园信息门户、统一身份和基础数据共享平台建设为标志，进一步提升服务质量和效果，校园网络用户不需要再面对繁多的应用系统，通过统一的信息门户接入到各个系统。这样，一方面对用户而言，校园网用户不再需要记住各个业务系统的域名，可以通过一个入口进而跳转到各系统，极大地简化了信息化系统的使用流程，提升了用户的使用体验和业务流程的便利程度。另一方面将整个校园网络资源整合，成立了单独的负责日常的运行维护和安全防护工作的网络部门，极大地提高了网络安全防护，这一阶段建设目标是将校园内外网络隔离，进而缩减了网络攻击面，并且以网络出口防护和数据中心防护为抓手提升了重要部位防护能力。

目前，多数高校已经完成了第三阶段的信息化建设，具备统一信息门户和各类业务系统，开始进入智慧校园建设新阶段。其特征是伴随着5G、大数据和物联网等为代表的新一代信息技术的成熟，元宇宙概念的提出、新技术投入也改变了以往的网络服务模式，使校园网的安全由局部建设走向体系建设。

本文主要围绕第三阶段校园信息化建设过程中网络安全方面的工作，总结网络安全建设过程中的问题、解决方案和工作经验，为下一阶段的校园智慧化建设提供参考。

2 校园网络安全现状和问题

校园网建设在整体上已经实现了第三阶段，并且将伴随5G、大数据等新技术的融合进入第四阶段。总结分析校园网建设过程中遇到的安全问题和对应的解决方案，可以有效提高校园网络安全防护能力[4-5]。

一般情况下，对特定的园区网络会造成破坏的威胁来源根据内外可以分成两大类[6]，如图1所示.

其中内部威胁指使用系统内部用户身份发起的安全威胁行为，外部威胁则是指系统用户之外的安全威胁来源。其中内部用户包括校内教职工、学生和各类临时人员，“流氓”管理员威胁最大，难以防范，需要加强人员管理和行为审计；用户误操作是比较常见的行为，如误删等，需要针对性地做好权限管理，假冒身份人员和串通/合谋一般和外部相关，需要加强审计和权限管理进行应对。外部人员则是内部人员以外的所有恶意行为来源，其中恶意行为指有明确目标的入侵者，如境外间谍等；网络罪犯和恶意竞争对手会采取窃取信息、抹黑等手段，授信第三方指对高校提供各类信息服务的供应商，由于供应商采用的服务来源广泛，因此容易受到供应链攻击。对于高校而言，由于内部人员总体素质较高，一般不会主动进行信息系统破坏行动，主要的防范对象是外部威胁和内部假冒身份人员及串通行为。

校园网的核心资产包括网络硬件设施和其承载的无形的虚拟资产。对于校园环境而言，其物理设施不容易遭到破坏，内外威胁来源主要针对无形资产发起攻击、控制等恶意行为，其切入口通常是校园的各类线上系统，因此要针对这方面重点防护。

校园网络安全体系建设过程中面临的主要问题是分散的业务系统带来的防护压力。由于早期网络建设没有统一进行，各业务部门分散建设自己的信息化系统，每个网站后端对应着一套业务系统和数据系统，且各网站都是在不同时期采取不同的技术，由不同的开发商建设的，运行在各自的分散的网络空间中。并且其中一部分网站已经没有技术力量进行有效的维护升级和安全保护。同时，分散的、技术水平参差不齐的运行模式存在着极大的安全隐患。网站之间必要的互联互通的需求使得技术水平低的网站成为整个系统上的巨大安全漏洞，网络攻击者有可能从防护等级低的网站侵入防护等级高的网站，导致整个系统沦陷。而分散的网络拓扑要求每个网站进行安全加固在技术和成本上不可能实现。

3 校园网络安全体系建设思路

网络安全是系统性、全面性的工作。根据“短板理论”，任何一个薄弱点会导致整个系统的防护失去价值。因此针对上述问题的主要解决思路就是将“一群网站”转换成“一个网站群”，将一群安全程度参差不齐的网站进行集中管理。针对集中的网站群构建完善、统一的安全保障体系，从而为校园网系统提供全面可靠的安全防护。在新的站群模式下，整个校园网络从体系上分为内外两个部分，并且内外隔离。内部的管理者通过独立的端口访问管理服务器，对校园网进行维护，同时内部提供了应用防火墙、数据库防火墙和文件防火墙等针对多种场景的安全防护工具。对外，将网站内容制作成静态页面并发布在对外的web服务器上。从而保障系统的网络安全。同时网络技术更新迭代快，应当不断升级防护技术。具体实施中可以按照具体工作的侧重点分成不同的方面，来逐步完善整个网络安全防护工作，争取从每个方面提升校园网络安全防护工作，以达到最佳效果。安全体系建设主要从以下四个方面来建设完善。

1） 防护方面

防护主要从三个角度考虑：web应用防护、主机防护和边界安全防护。web应用运行在业务服务器上，为业务提供支撑，是校园安全防护的核心。如果防护不足，可能会导致信息泄露。采取静态页面发布和内外网隔离的方式可以有效防护网页篡改和数据泄露等攻击手段，还可以采取对应的手段解决SQL注入、跨站攻击、命令注入、Webshell等网络攻击。主机防护方面，校园网内有大量计算机用户，相关的专业知识水平参差不齐，当安全意识薄弱的用户进行误操作时，也会对系统造成破坏。例如当用户使用存储介质不慎感染了木马程序，很可能给整个内部网络带来灾难性的破坏。因此需要对网络内主机进行系统防护和防攻击加固，使用文件诱饵引擎防御勒索软件，内核级流量隔离实现网络隔离与防护；实现补丁修复、外设管控、违规外联检测与阻断等功能，进而实现主机安全防护。对于边界安全防护，要在互联网接入边界采用防火墙进行隔离和访问控制，严格控制外部网络对内部信息资源的访问，确保网络和信息系统自身的安全。边界安全可以考虑传统防火墙、IPS、IDS、VPN等多种安全能力。

2） 审计方面

审计可分为运维审计、日志审计、行为审计和数据库审计四个角度建设网络安全体系。传统的网络安全攻击可以在事故后在边界系统设备中寻找攻击足迹，但随着攻击技术不断发展，内部或外部的非法访问完成后往往会清扫攻击足迹，给事后追查造成较大的困难。运维审计需要将系统运维访问控制和设计相结合，通过账号管理、身份认证、资源授权、实时阻断、同步监控、审计运维等功能综合起来，给内部日常运行中的各种误操作、恶意操作提供精细化控制和全过程审计，解决内部运维过程中的风险。日志审计方面，随着信息化系统规模的扩大，各个子系统产生大量复杂的安全日志，成为“信息孤岛”，有限的安全管理人员无法处理数量巨大且互相割裂的安全信息。日志审计需要将用户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种网络威胁、异常事件。网络行为审计方面，需要对网络行为进行精细化识别和控制，并利用智能流控、智能阻断、智能路由等技术，保障网络关键应用和服务的带宽。数据库审计需要对数据库操作进行全面风险审计，通过对数据库流量的分析，实时、智能地解析数据库操作，并保存审计日志以供后续分析。

3） 检测方面

检测方面主要分为高级威胁检测、漏洞扫描和大数据分析。传统的威胁检测手段在面对APT攻击时不能发挥作用，因此应基于丰富的特征库、全面的检测策略、机器学习、沙箱动态分析、本地离线威胁情报与云端威胁情报协同防御，实时发现网络中发生的已知威胁和未知威胁的高级威胁检测技术才能满足当下的需求。漏洞扫描能够准确发现网络中各主机存在的网络安全漏洞，从而发现网络安全问题，起着评估整个系统安全的重要作用。在检测方面，还需要积极应用大数据分析技术，集成大规模存查、大数据实时智能分析、用户行为分析等安全功能，为全局态势感知和业务不间断稳定运行提供保障。

4） 安全队伍建设方面

安全体系依赖于专业的技术团队运行，因此学校需要具有一定技术水平的网络管理部门，对整个校园网络的安全工作进行全面、有效、持续的保护。做好应急管理工作，如应急预案，应急演练等，确保突发情况下的网络安全手段充足，防止损失扩大。定期进行校园网络安全教育培训工作，强化师生安全意识。

4 结束语

网络安全体系建设需要持之以恒的投入。信息化越发深入校园各方面，有效提升了各方面工作的同时也带来了新的安全威脅。因而从防护、审计、检测和安全队伍建设等四个角度发掘当前安全体系的不足之处，进行针对性的改进，进而推动校园网络安全体系整体水平提升。