樊新武 张帅 杜香燕 北京林业大学信息化建设与管理办公室

●网络安全的新形势

随着《数字中国建设整体布局规划》的正式发布，以及教育部关于教育数字化战略行动的正式实施，数字赋能成为推进教育现代化、建设教育强国的重要支撑。高校智慧校园建设已经全面展开，师生对泛在、便捷的网络资源和服务，已经产生强烈的需求和依赖，涉及教学、管理、服务、统一门户等各部门的上百个信息系统应运而生。因此，保障网络与信息安全，成为高校信息化建设面临的重大课题和挑战。

1.我国网络安全法律规范体系逐步形成

《中华人民共和国网络安全法》于2016年11月1日正式实施，该法是中国网络安全领域的基础性法律，不仅规定了网络运营者的义务，还规定了网络安全监管的职责和机构，并对违法行为进行了明确的处罚规定。

除此之外，我国还制定了《关键信息基础设施安全保护条例》《个人信息保护法》《数据安全法》等一系列相关法律法规和政策文件，进一步完善了中国的网络安全法律规范体系，并为网络安全的保障提供了更具体和有效的措施。

2.等级保护进入2.0时代

《网络安全法》明确规定“国家实行网络安全等级保护制度”，网络安全等级保护是国家网络安全保障的基本制度、基本方法。[1]等级保护是指对信息系统的安全等级进行分类、分级保护的一种安全保护模式。我国自2007年开始实施信息系统安全等级保护制度，该制度将信息系统分为5个等级，并对不同等级的信息系统提出了不同的安全保护要求和措施。[2]等级保护进入2.0时代表明我国正在加强信息安全保护工作，以应对不断增加的网络安全威胁。

3.数据安全成为新的重要挑战

教育数字化建设的一个必经阶段，是对数据进行梳理整合,打破信息壁垒，实现数据逻辑上的数据大集中，从而形成数据资产。这使得数据共享、数据交换、数据分析等新的应用场景不断涌现，但同时，数据的流动和循环也使得数据安全及个人隐私泄露等问题日益凸显。

数据安全事件频发，已严重阻碍了高校数据资源的开发应用及数据资产价值的有效释放。因此，如何建立有效的数据安全保障体系，保障数据的保密性、完整性、可用性，确保数据应用安全可控，已成为高校智慧校园建设中首要关注且亟须解决的问题。

●高校网络安全的现状和问题

随着教育数字化的快速发展，网络基础环境逐步升级，数据与应用的体量急剧增大，与之相应的网络安全基础设施建设水平，需要及时跟进升级。但高校在信息化建设过程中，普遍存在“重建设轻安全”的现象，技术设施已经面临使用瓶颈，管理工作还需进一步完善及加强。

1.网络安全基础设施薄弱

随着信息技术的发展和无线技术的进步，高校网络基础环境迅速发展，网络出口带宽不断提升，网络安全保障能力需求增强。但由于信息安全经费投入有限等，网络安全设备更新滞后，设备性能无法匹配升级后的网络基础环境，安全防护能力有所降低，导致无法形成全方位的物理设施防御体系。

2.校园网内部安全建设不足

高校往往比较重视对校外威胁攻击的防御，却忽视内部网络安全威胁建设。而横向渗透攻击是一种具有高危害性的攻击手段，攻击者一旦攻陷校内某一主机，即可通过这台主机攻击校内其他主机，从而使整个校园网络失去防护能力。

3.高校网络安全管理建设缺乏体系指导

由于高校对网络安全管理工作的认识不足，“重建设、轻安全”现象普遍存在，高校业务系统在整个建设周期往往只考虑功能需求，而缺乏对网络安全的同步建设与规划，未形成完善的网络安全管理体系，导致高校各业务系统在使用过程中存在安全隐患，从而提升后续安全运维成本。

4.专业人员建设不足

目前，高校网络安全人员的培养和队伍建设投入不足，许多高校没有专职的网络安全工作人员，多是由其他岗位的教师兼任，其对网络安全知识结构的认识并不健全，使得高校网络安全防御的意识逐渐淡薄。同时，由于缺乏专职网络安全人员，各学校针对网络安全事件基本上采取事后处理的手段，无法及时主动发现并应对安全风险。

5.信息资产繁多，漏洞多

不法人员经常利用网络漏洞来窃取相关资源，这会导致师生遭受较大的损失。随着学校信息资产越来越多，管理和维护难度也随之增加，面临的漏洞威胁形势更加严峻。

●高校网络安全主动防御体系建设思路

笔者认为，高校网络安全主动防御体系建设应以网络安全法及网络安全等级保护2.0标准为指导，针对校园网络安全风险评估结果，结合校园实际情况，区分等保2级和等保3级标准，升级或补齐关键网络安全防护设备（包括但不限于防火墙、入侵检测、安全审计等设备），完善校园网络结构，优化网络安全防护策略，变被动防御为主动防御[3]，最终形成网络安全技术防护闭环。在此基础上，建立网络安全事件应急处置预案，定期开展网络安全演练，提升校园网络安全防护能力，保障师生网络安全。

1.建设网络安全管理运营平台

网络安全管理运营平台是网络安全的核心组成部分之一，依托态势感知平台、威胁探针等设备，通过集成各种安全技术设备的管理，实现对整个网络安全的监控和管理。平台基于信息资产管理，利用大数据分析技术，对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。通过安全管理运营平台的建设，实现快速响应的主动防御，提高网络安全监控技术水平，增强网络安全预警和应急能力，确保信息资产稳定运行。

在校园网络中，建设一个安全管理运营平台可以为整个网络提供实时监控、事件管理、漏洞扫描、安全策略管理等功能，为保障校园网络的安全提供有力支撑。

2.网络安全基础设施升级

（1）防火墙及Web应用防火墙

防火墙是网络安全的第一道防线，通过防火墙，可以实现对网络流量的控制，防止网络攻击的发生。部署的防火墙应同时具备入侵防御、防病毒等能力，集中化实现安全保护。

目前，高校建设的业务系统绝大部分以Web应用平台为主，Web应用平台的程序漏洞容易被攻击者利用，带来一定的安全威胁。Web应用防火墙是集Web防护、网页保护、负载均衡、应用交付于一体的Web整体安全防护设备，部署Web应用防火墙可从一定程度上解决Web应用平台的安全问题，它能有效防护Web应用程序常见的安全威胁[4]，如防SQL注入、网页篡改防护、XSS跨站脚本攻击防护等。

同时，高性能的防火墙、Web应用防火墙等网络安全设备，性能上应当满足带宽吞吐需求。

（2）建设日志审计系统、堡垒机系统

学校业务系统多，系统产生的日志量巨大，为满足《网络安全法》中第二十一条关于留存日志不得少于6个月的法律要求，应当建设日志审计系统。通过日志审计系统全面收集网络设备、安全设备、应用系统、数据库等资产日志，将日志进行汇总、清洗与范式化处理，识别发现潜在的安全事件与安全风险[5]，助力高校构建网络安全防线。

堡垒机系统是一种安全访问控制系统，可以有效防止恶意攻击和内部人员的非法访问，代理服务器、数据库等系统的运维工作，实现一键改密等功能，虽然存在运维单点突破隐患，但是瑕不掩瑜，属于应当部署的设备。

（3）漏洞扫描系统

漏洞扫描系统可以帮助及时发现网络安全漏洞，并对漏洞进行修复。部署漏洞扫描系统，对校园网络进行全面的漏洞扫描，定期更新漏洞库和扫描策略，保证漏洞扫描的准确性和有效性。同时，配合其他安全设备（如防火墙、IDS/IPS等），发现威胁，及时处理，可以全面提升校园网络的安全防护能力。

（4）流量控制系统

流量控制系统可进行串联部署或旁路部署，串联部署可更好地进行流量控制，但容易出现单点故障，一旦流量控制系统出现问题，会影响整个网络的正常运行；流量控制系统旁路部署不会影响网络的正常运行，同时又可记录用户上网流量信息，用于数据采集和分析，方便事件后追溯。

3.加强校园网内部安全建设

（1）校园网内部分区

通过部署防火墙进行校园内部网络的微隔离，实现区域边界的访问控制防护，过滤不安全的服务，从而降低进入校内网后的横向攻击对全局网络造成的影响。

（2）主机安全加固

主机加固设备从事前事中事后构建一整套闭环能力，是对威胁全生命周期的防护。主机安全加固可安装在重要资产上，做到事前轻补丁漏洞免疫、事中的威胁检测以及事后的联动闭环响应。终端资产安全在安全事件中有极其重要的地位，可与其他网络安全设备共同建立威胁处置闭环体系。

（3）蜜罐系统

蜜罐系统是一种被动式的安全防御技术，用于诱骗攻击者入侵，以便收集攻击者的攻击行为和手段。蜜罐系统通常部署在网络的边缘、内部或者DMZ区域，可以与其他防御措施协同工作，提高网络安全防御的能力。

校园网络用户数量多，网络管理相对松散，机房内网环境复杂，易于攻击者潜伏和攻击，蜜罐系统的部署可以为校园网络的安全防御提供一定的保障，降低内网安全风险。

●高校网络安全管理体系建设

构建完备的网络安全技术防护体系安全设备、安全策略是从技术层面来解决安全防护问题，为保证学校业务系统长期稳定运行以及业务数据的安全性，还应逐步提高系统运维及人员管理的安全保障机制，健全网络安全管理体系。

1.构建网络安全管理体系

构建网络安全管理体系，首先要加强网络安全组织领导，成立专门的网络安全与信息化领导小组统筹领导学校网络安全信息化工作，加强顶层设计，按照“同步规划、同步建设、同步运维”三同步原则，在系统建设的同时制订网络安全规划方案；其次，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，压实安全责任，确保校内各个部门做好网站和信息系统的网络安全工作；最后，定期举办网络安全相关讲座，提高师生网络安全意识。

2.完善网络安全管理制度

完善并可执行的规章制度是做好网络安全工作的重要保障，是网络安全管理体系和网络安全技术防护体系相结合的重要体现。高校应在现有制度基础上经过充分调研和试运行，进行制度规范和优化，确保制度符合实际情况并可落实到位，以确保高校网络安全管理工作的正常运行。

3.开展定期应急演练、攻防演习

定期应急演练是评估网络安全应急响应能力和准备工作是否充分的有效手段，通过演练可以发现应急响应计划的不足之处，并及时进行修正和完善。攻防演习是一种模拟网络攻击与防御的实践活动，通过模拟真实攻击手段和攻击情景，测试网络安全防御的能力，及时发现网络漏洞和安全隐患。

定期开展应急演练、攻防演习对于提升高校网络安全防御和响应能力至关重要。针对高校特殊的网络安全需求和风险，可以定制化设计应急演练和攻防演习的内容，如模拟高校内部常见的攻击手段和攻击情境、恶意软件攻击等，以验证网络安全防御的有效性。同时，可以加强应急演练和攻防演习的宣传和推广，提高高校网络安全意识和能力。

●思考

随着信息技术的快速发展和普及，在未来，网络安全问题将越来越严峻，国家将面临更多的网络安全威胁。网络安全体系建设是保障网络安全的基础，一个完善的网络安全体系可以为学校和个人提供全面、系统和可靠的安全保护。笔者认为，建设完善的网络安全体系需要从以下几方面来加强：

一是建立完善的网络安全管理体系。安全管理的建立是网络安全体系建设的关键，可以保证安全管理的规范和有效性，确保学校关键基础设施的安全保护。

二是加强网络安全技术体系的建设。随着网络安全技术的发展，加强对网络安全的监管，优化网络安全防护体系的建设，尤其是建立数据安全保护体系，化被动防范为主动防御，可有效防范网络攻击和数据泄露。

三是加强网络安全日常检查，建立网络安全应急机制。安全漏洞的发现和修复是网络安全体系建设的持续工作，同时，建立网络安全应急机制是保障网络安全的重要手段，对故障事件迅速、及时处理，减少损失。

四是加强网安领域人才培养，提高人才素质。全面加强网络安全人才储备，加快建设人才培养体系，制订具体的人才培育计划。

五是提高全校师生网络安全意识。安全意识的培养是网络安全体系建设的重要组成部分，学校和个人需要加强安全意识教育和培训，提高安全防护意识和应对能力。

总之，网络安全体系建设需要全面考虑学校和个人的实际需求和风险评估，采用多种手段和措施，以保障网络安全。

●结语

大部分高校的信息系统经过多年建设和完善，形成了以多元信息化应用为基础的立体式信息服务基础环境。随着国家法律法规对网络安全提出更高的要求，高校应重视网络安全技术防护体系及安全管理体系的同步完善，技术防护及管理体系建设相融合，确保高校信息系统健康、有序发展。