摘要：随着国家教育数字化战略行动的实施，我国教育数字化取得积极成效，随之带来的网络安全压力也日益增加，寻求更高效的网络安全运营方式迫在眉睫。针对在保障数字化工作平稳推进的过程中如何妥善利用有限资源提升校园网络安全防护能力的问题，提出一种将安全产品与技术服务化，减轻网络安全运营工作中对单一安全设备的依赖性，强化对整体安全工作统一管理的新型安全体系，最终实现安全工作流程化、解决方案标准化、安全防护可视化。

关键词：云地协同；校园网络；安全体系

一、前言

互联网的发展促使教育数字化时代到来，而网络安全工作的推进为教育数字化提供安全保障。网络安全是为广大师生提供专业信息化服务的前置条件，构建完善的网络安全体系是守护高校网络与数据资源安全的基础[1]。目前，教育领域网络安全的发展着重于强化对安全产品特性的利用，扩大安全产品的部署规模，容易形成孤岛式安全防御体系[2]。在短周期内，针对小规模场景确实可以有效提升安全防护能力，而对于中大型网络环境则容易陷入人手不足、运维复杂的困境。而且网络安全技术具有技术迭代速度快、内容涉及范围广的特点，因此，不断完善网络安全解决方案，促进网络健康发展是新环境下的互联网需要研究的重要课题[3]。

二、云地协同安全体系构建背景

随着国家对于网络安全法律法规的日益完善，以及各高校网络安全意识的不断强化，校园网络架构中部署的安全设备种类逐渐丰富，整体网络安全防护能力逐步提升。然而，数字化校园建设的不断推进使各类业务系统相继上线，导致网络暴露面和业务系统的暴露面进一步扩大。业务责任部门的网络安全技术及整体网络安全运营经验不足，导致网络安全隐患和已知安全问题无法及时得到处置。网络安全技术负责人以及驻场工作人员工作精力有限，无法7×24小时实时守护校园网络安全。以上种种现状广泛存在于现有的安全体系中，在不同程度上延缓了校园网络安全工作的推进。因此，需要构建一种覆盖无死角、运营无门槛、防护不间断的新型网络安全体系，助力校园网络安全高质量发展。

三、云地协同安全体系构建原则

（一）安全监控实时性：提供7×24小时专人值守服务

网络威胁分布于互联网的各个角落，网络攻击也可能发生在任何一个时段，仅在工作时间实施安全监控远远不能实现无死角的安全防护，因此，7×24小时安全值守服务是一个合格的网络安全体系必备的元素。从网络潜在威胁识别到网络攻击行为防御，从内网终端病毒扫描到外网公开漏洞匹配，构建全方位安全屏障。

（二）安全组件兼容性：确保安全设备及系统的统一纳管

传统网络设备供应商之间遵循的公共协议比例较高，网络异构部署风险低、稳定性强。而安全设备和安全信息系统则完全相反，各个安全供应商私有协议比例较高，安全算法大相径庭，供应商之间兼容性较低。因此，构建安全防护网络时应尽力避免供应商过于分散的情况。在基础协议兼容性和API接口扩展性能基本满足日常运维的情况下，聚焦2至3个供应商采购，既能避免供应商过多带来的管理复杂度高的问题，也能依托多元化供应商增加整体网络结构的容错性。

（三）安全服务专业性：提供线上安全专家服务以及实时更新的安全资料库

网络安全技术的发展日新月异，网络威胁的形态也千变万化。一个时刻掌握前沿安全技术的专家团队，以及具备实时更新安全威胁信息的数据中台，是良好的网络生态必不可少的两大核心元素。定制化的安全服务通过私有的数据中台与各大公共漏洞共享平台建立数据共享，依托安全专家团队同步更新安全防护技术，可以大幅提升整体安全防护能力。

四、云地协同安全体系设计

（一）云地协同安全体系介绍

构建以7×24高效能监控为目标的云地协同网络安全体系，本质是通过云端安全专家配合专属安全服务经理，协助本地驻场服务人员进行安全运维工作，充分发挥安全网络架构内各安全组件的功能，简化安全工作流程、促使工作效能提升、助力网络安全运营汇报，进一步管控网络安全风险，保障业务系统的运行安全。

（二）云地协同安全体系关键角色介绍

在云地安全体系中安全服务能力为最大的亮点，安全服务又可以拆分为三大角色：云端服务专家团、云端专属服务经理和现场运维工程师，如图1所示。

云端安全服务专家团作为整个云地协同安全体系的技术中台，为整体校园网络安全提供技术保障。专家团的工作可以分为以下五类。一是安全技术支撑，为专属服务经理及现场运维工程师提供专业技术支持，整合后台资源处理安全问题、解决用户痛点。二是安全事件挖掘，定期结合日常上报的安全事件、平台内收集的安全日志挖掘潜在安全风险，主动分析安全态势。三是解决方案固化，结合校园网络实际情况，优化事件的处理方法，固化问题处理流程，输出标准化问题处理指导文档。四是安全技术赋能，定期为校网运维教职工、现场运维工程师和专属服务经理输出最新的安全防护经验。五是安全问题通告，定期结合威胁情报排查用户资产风险，及时通知相关网络安全技术负责人已知威胁，并协助进行安全加固。

云端专属服务经理是连接安全专家团与校园网络的纽带，对校园网络中安全相关事务负责。云端专属服务经理的工作可以分为以下四类。一是7×24小时值守，提供全天候、不间断安全监管服务，随时应对安全事件。二是安全问题处理，对现网发现的安全事件跟踪处理，紧急情况下配合高校规范实施应急响应，对安全事件进行总结归档并输出报告。三是工单流程监管，全程跟踪安全问题处理进展，把握问题处理节奏，保障服务满意度。四是网络安全运营汇报，按月、季、年度为周期汇报安全体系中各角色工作情况，并输出校园网络安全深度剖析报告。

现场运维工程师是云地协同安全体系中的基础，对校园内安全工作的落实负责。现场运维工程师的工作可以分为以下四类。一是安全资产管理，负责安全托管服务平台的维护，以及安全设备、日志系统、以探针为代表的各类辅助安全系统管理。定期清点在网资产，并输出资产运营报告。二是安全问题处置，全程跟踪处置安全问题，创建、更新、闭环安全问题工单，跟进安全事件处理过程，及时向校园网络安全技术负责人通报进展。三是主动安全扫描，通过漏洞扫描、EDR等功能性组件定期巡查在网资产，识别潜在安全威胁，及时处理已发现安全隐患。四是安全工作汇报，每日汇报工作进展，并输出工作日报。

（三）云地协同安全体系优势

综合性价比更高。不同于常见的本地运营模式需要耗费较多的精力、时间培养安全工程师，云地协同安全体系直接引入专业的安全技术团队，依靠成熟的网络安全运营经验在短时间内接管整个校园网络，且高校无需承担人员变动带来的潜在风险，可获得不间断的可靠服务。

服务覆盖面更广。科技发展日新月异成为影响网络与信息安全最灵动的因素。以人工智能为代表的新一轮科技被称为“超级创新集群”，逐渐衍生出大量全新的应用，各项技术彼此交叉、相互加强、不断完善，展现出无限可能性，由此引发的安全风险难以预测。而新一轮技术的新特点又会成倍地放大安全风险[4]。在当前复杂的网络大环境下，网络攻击手段快速演变，高校网络安全技术负责人和驻场运维工程师可能无法及时解决和响应新的安全威胁。而云地协同安全体系依托经验丰富的安全团队可以实现快速、准确响应，协助高校在关键时刻减少损失，保障信息系统平稳运行。

五、安全服务详细实施方案

安全服务详细实施方案是对云地协同体系内所有安全相关工作的总结，共分为六大部分：网络安全组件维护、整网风险评估、脆弱性管理、威胁管理、安全托管服务平台维护和网络安全运营情况总结。实施方案以基础性的安全组件维护为起点，以总结性的网络安全运营报告为终点，将安全工作固化为标准工作流程，如图2所示。

（一）安全组件维护

安全组件是整个网络安全体系的基石，是所有安全功能的承载体，合理配置安全组件并充分发挥组件的安全特性才可以夯实网络安全防护能力。网络安全组件维护工作由现场运维工程师主导，维护整个云地协同安全体系内所有的安全设备。安全维护工作可以划分为三个大类。一是基础状态巡检，针对维护范围内的安全设备每日进行基础状态信息巡检操作，收集CPU利用率、内存使用率、光模块收光及发光强度、授权使用情况、物理接口状态等指标，分析并上报物理设备风险等级，提供运行状态预警。二是跨系统连通性巡检，安全设备均以模块化组件的形式对接至安全托管服务平台，为整个安全体系提供服务。安全设备与安全托管服务平台之间的对接形式因供应商及设备款型不同而存在差异，涵盖路由对接、业务端口对接、私有协议对接、公共协议对接、哑终端式对接、日志对接等多种方式，现场运维工程师需每日检查系统之间的连通性，以确保体系内各项安全功能正常运行。三是业务配置巡检，针对频繁更改配置的安全设备，如防火墙、上网行为管理、身份认证系统等场景，需要每天进行配置备份，并核查每一项业务配置的变更，排除因误操作引发安全问题的隐患。

（二）整网风险评估

准确评估安全风险是网络安全工作重要任务，力求将潜在风险扼杀在摇篮之中。整网风险评估工作是对校园网络状态的初步分析，由专属服务经理牵头，现场运维工程师协助，从脆弱性评估、病毒类事件评估、攻击行为评估、失陷类事件评估等多方面对现有安全问题以及安全状况进行客观评估。对安全评估发现的问题进行全流程跟踪处理，实现校园网络内部安全问题清零，校园网络外部安全隐患隔绝。

（三）脆弱性管理

脆弱性评估是提高网络可用性的一个关键技术，其又可以分为静态评估与动态评估。静态评估即针对网元静态配置信息的评估，如账号、密码、授权认证配置等。动态评估即针对实时业务的评估，如SSH会话、远程桌面连接、虚拟网络控制台连接等。在对网络进行静态配置信息下的安全脆弱性评估后，还需要根据移动网络服务运行时的状态来对安全脆弱性进行更全面的评估，以对静态安全脆弱性评估进行补充[5]。脆弱性管理工作由专属服务经理及现场运维工程师共同负责，利用脆弱性扫描工具扫描校园网中的服务器、核心网络设备以及各类信息系统，对设备进行脆弱性问题检测和分析。针对具有被攻击者用于非法入侵或非法获取信息资产可能性的漏洞，服务经理负责将这些漏洞信息与业务资产信息通过漏洞管理平台进行统一关联、展示与追踪，实现脆弱性问题可视、可控和可管。

（四）威胁管理

网络安全威胁情报是经过提炼的网络安全威胁信息，具有敏感性、时效性和异构性等特性[6]。网络安全威胁可以简单分为五个大类：一是网络运维人员误操作引发的直接威胁；二是外部自然灾害对物理基础设施的损害；三是网络信息系统或安全防御体系内部存在的漏洞；四是不法分子主动发起的网络攻击带来的威胁；五是网络安全设备自身的安全缺陷[7]。除不可抗力引起的安全威胁之外，所有安全威胁均可通过安全专家的技术服务有效缓解或消除。在云网协同安全体系下，云端安全专家团及专属服务经理基于“人机共智”模式，综合运用行业经验和丰富的威胁情报知识库，对从不同安全设备获取的数据进行文本分析、图像分析、情感分析、关系挖掘分析，帮助网络安全技术负责人精准检测网络设备和主机中有效的安全告警和威胁[8]。同时，专属服务经理会对识别到的威胁进行主动响应，采取措施降低威胁带来的潜在影响，协助网络安全技术负责人处置安全事件，并依托对安全威胁的趋势分析，提供长期的安全规划及改进建议。

（五）安全托管服务平台

安全托管服务平台是整个安全体系内工单管理、流程管理、日志管理、资产管理等所有功能的承载体，为所有安全工作提供平台支撑。经授权的用户可通过安全托管服务平台查看业务安全风险状态、处置闭环情况、SLA信息等内容，验证安全措施的有效性以及规划下一阶段安全工作的目标。对于页面篡改、安全漏洞通报、断网情况、WebShell、网站黑链等各类安全事件，现场运维工程师可通过安全托管服务平台申请主动紧急响应流程。安全托管服务平台可展示用户实时的威胁事件信息及脆弱性分析统计，并支持依据资产类别、威胁类型进行定制化筛选查看，使校园网络风险情况清晰、透明地展示。

（六）网络安全运营情况总结

由云端专属服务经理牵头，按月、季、年度为周期向高校网络安全技术负责人提供网络安全运营报告，涵盖整网风险评估报告、网络安全组件维护情况、脆弱性管理报告、威胁管理报告及云网络安全运营情况。网络安全运营报告可以系统性地总结校园网络安全工作进展，分析下一阶段安全工作重点，让安全工作呈现可视化、透明化、前瞻性的特点。

六、结语

维护网络安全是高校数字化发展过程中必须恪守的底线，同时，网络安全工作的投入也应符合高校的发展情况。基于云地协同的校园网络安全体系能够在有限的资源及人力投入下，构筑更全面、更及时、更专业的安全屏障，为复杂多样的校园网络环境，提供标准化的解决方案，全面提升校园网络安全防护能力。然而，该体系存在过度依赖供应商安全技术服务的隐患，容易导致高校网络安全技术负责人日常工作参与度降低、信息获取渠道单一的情况发生。高校如何在对网络安全形势时刻保持准确判断的前提下，更科学地使用网络安全技术服务将成为未来新型安全体系建设的探索方向。

参考文献

[1]周婉琦.等保2.0框架下高校网络安全体系建设研究[J].网络安全技术与应用，2021（11）：84-85.

[2]祁骏，相银堂，许锦程，等.一种自适应的网络安全态势感知系统设计.信息化研究，2020，46（06）：28-33.

[3]周冬.网络安全防护方案设计与实现[J].广播电视信息，2015（11）：102-104.

[4]吴世忠.2024年网络与信息安全风险前瞻[J].中国信息安全，2023（12）：14-18.

[5]包春晖，庄毅，郭黎烨.面向服务传输的SDN移动网络脆弱性评估模型[J].计算机与现代化，2022（11）：43-51.

[6]冯景瑜，张琪，黄文华，等.基于跨链交互的网络安全威胁情报共享方案[J].信息网络安全，2022（05）：21-29.

[7]李留英.数字化转型下的网络威胁情报治理能力建设研究[J].信息安全研究，2021（07）：632-639.

[8]谭小伟.基于人工智能的网络威胁情报分析与网络信息安全防护体系研究[J].信息记录材料，2023（12）：59-61.

作者单位：浙大城市学院

责任编辑：张津平 尚丹