高校网络安全防护的若干思考

完善体制机制

加强顶层设计 优化发展结构

国家高度重视网络安全工作，中央网络安全和信息化领导小组的成立，是加强网络安全和信息化发展顶层设计的重大举措。高校也必须从顶层设计开始，体系化提升网络安全能力。为此，高校需成立网络安全和信息化领导小组，领导小组下设办公室，挂靠信息化管理和服务机构，来组织部署学校网络安全和信息化工作，研究制定网络安全和信息化发展战略与规划，统筹协调和检查督促各相关工作的开展。图1为高校可采用的网络安全组织架构。

图1 网络安全组织架构

坚持党政同责 落实发展责任

做好网络安全工作，需要加强监督管理，压紧压实网络安全工作责任。网络安全覆盖面广、涉及对象复杂、科技分量高，网络安全工作管理应按照“谁主管谁负责、属地管理”的原则，层层落实单位和个人责任；坚持目标和问题导向，充分发挥考核评价的引导和监督作用，促进网络安全责任制落实和信息化的健康发展。网络安全工作责任制实施办法需要明确制定依据、责任体系、问责机制、考评办法等内容，明确学校各单位网络安全主体责任，构建网络安全责任制，细化工作职责与内容，建立评价与问责体系，提升学校网络安全工作管控与保障水平。

加强技术防护

优化校园网络 夯实发展基础

1 校园全光网络

目前，高校在网络建设方面面临以下问题：一是空间资源不足，校园网接入系统和铜缆不断增多，空间趋于饱和，限制学校信息化发展；二是原有网络规划不能适应现在的教学、办公、生活、娱乐等多方位需求；三是校园无线网络信号不强、接入速率不高，影响师生上网体验和工作效率；四是弱电间设备多，出现潜在故障点较多，可靠性低，维护困难加大；五是弱电间有源设备超负荷运行，受环境影响，存在一定的消防安全隐患。面对这些情况，全光网络的建设对高校发展来说意义重大。

全光网在现有扁平化架构的校园网基础上，采用光纤入室设计，建设一张覆盖全校区的光接入网，有利于进一步满足师生日益增长的网络应用需求，确保师生通过网络分享最优质的教学资源；有利于全面提升校园网速度，有效改善师生上网体验；有利于减少有源设备间，消除安全隐患，为学校教学、科研、管理和服务工作提供基础支撑和保障。

全光网有三个特点：一是极简，扁平化网络架构，集中配置与管理；二是极宽，采用10G PON组网，满足千兆业务接入；三是融合，一网承载，多业务统一接入。建设校园全光网络，高校的弱电间网络设备台数会大幅减少，降低弱电间运行安全风险，减少网络安全事件的发生。

2 校园无线网络

与有线网络相比，无线网络不需要复杂的布线工程，设备安装也更加便捷，具有扩展性强和移动性强的特点。由于无线网络是采取公用的无线信号方式来进行信号传播的，所以师生在使用无线网络享受便捷服务的同时也面临着一些威胁和网络安全问题，如信息重放、WEP破解、网络窃听、MAC地址欺骗、拒绝服务等。同时，也需要面对来自各地的黑客对无线网络服务器的攻击。校园网络建设中，可以采取无线有线分别组网的方式，从边界安全防御、接入安全与业务安全三方面利用现有技术和安全方案，实施无线网安全防护措施。

第一，为提高边界防御安全，在无线AC上配置无线入侵检测系统WIDS和无线干扰防御系统WIPS。利用AP不同的工作模式，适时开启空口扫描功能，监测周边设备来发现非法无线设备，对严重违规设备采取反制措施。

第二，用户接入无线网络的合法性和安全性，包括链路认证、用户接入认证和数据加密。通过校园网同意身份认证结合Portal认证，在不需要特定客户端软件条件下，有效实行接入实名认证，为方便师生使用无线网络，开启无感知认证，实现“一次认证，多次登录”。

第三，为提高数据在传输过程中的安全性，避免合法用户的业务数据在传输过程中被非法捕获，可为不同类型的业务设置不同的SSID（服务集标识），通过绑定不同的业务VLAN（虚拟局域网），利用VLAN等技术限制用户访问的资源，通过这种方法可以很好地限制用户根据授权访问。用户采用集中转发，有效锁定流量，并在核心网络层制定严格的访问策略，通过二层、三层隔离和白名单业务管理，提高无线网络安全性。

打造智能平台，激活发展动能

1 台：统一身份认证

随着高校教育的发展，高校人员规模越来越大，承载业务的应用系统越来越多，网络安全事件层出不穷，在身份安全方面面临着这些问题：一是账号繁重，学生的入学、毕业，教师的入职、变更、离职，带来网络、应用账号的新增删改，管理员需要同时操作多套系统，运维工作量大，容易出错；二是认证复杂，师生需要记住多套账号密码，每个系统都需要一次认证，严重影响了学习和办公效率；三是安全不足，基于账号密码的认证方式，很容易出现账号共享、越权访问、弱密码等问题，容易造成网络安全事件，产生负面影响。因此，要建立安全的统一身份认证系统。

统一身份认证系统需要通过构建基于一体化安全架构并以身份ID为核心的身份认证管理中心，动态授权师生访问权限，对师生的行为进行自动化智能学习并时刻监测行为风险，在实现多业务系统单点登录能力的同时，提升师生体验并对访问安全进行加强，实现同一个账户可以访问所有校内的网络应用系统。

2 云：云数据中心

云数据中心是指挥校园建设的基础工程，推动计算、存储、网络等资源由分散建设转向集约化建设。云数据中心需要构筑动态可演进、高安全、高可靠和高可用的IT基础架构，实现绿色高校、节能减排的统一规划，需要坚持“内外有别、内外同防”原则。云数据中心建设主要包含云计算系统软件、云计算服务器、数据库服务器、千兆交换机、云数据中心万兆接入交换机和核心交换机、SAN存储、SAN交换机、系统集成、云管理服务器等。在安全方面，云数据中心可以通过建立大二层网络，实现校区主备运行，提升容灾能力；通过设备冗余、链路冗余、虚拟机高可用、存储高可用，保证系统不会出现单点故障。

建设服务平台 落实发展理念

1 公共平台

门禁系统。目前，高校门禁系统存在三个问题：一是高校各部门、学院单独建设，存在各楼宇门禁系统平台不统一、信息和数据无法共享的问题；二是门禁管理系统设备陈旧，门禁读头出现无法维修的情况；三是部分楼宇敞开式管理，存在安全隐患。安全便捷的门禁管理系统应具备这些功能：一是可以管理不同厂家的人脸识别一体机和刷卡扫码门禁读头，实现多品牌设备统一管理，增加设备选型的自由度；二是可以查看设备在线情况，方便日常管理；三是系统可以设置二级管理员，进行分层管理，按照“谁使用、谁负责”的原则，二级管理员通过统一身份认证登录后，可以对本部门的门禁进行权限下发、流水查询、设备监控统一管理；四是门禁管理平台应该与数据中心对接，数据从数据管理平台自动获取，照片信息从介质管理平台获取，实现电子数据一次上传，多系统自动同步使用。

电子邮件。高校电子邮件在安全方面面临三个问题：一是垃圾邮件多，误判率高，反垃圾邮件引擎过时，过滤率逐年下降；二是师生抱怨多，邮件发不出去，服务器IP被拉黑、收不到、拦截或转送到垃圾邮件箱，影响国内外交流；三是自建邮箱，需要专业人才运维才能用好系统。为应对以上挑战，高校也可以采用云端企业邮箱，同时将其与学校统一认证、企业微信等信息化基础设施融合打通。

软件正版化。推进软件正版化工作不仅对振兴软件产业、提高全社会版权保护意识意义重大，也是实施创新驱动发展战略、加快创新型国家建设的必然要求。高校应该积极推进软件正版化工作，做到自主可控、国产可替代。在采购正版软件时，要注意规范采购软件行为，建立完善、健全的相关工作机制；应当在采购合同中明确软件的准确信息，包括软件名称、版本、数量及授权方式、范围、时效等，不能笼统概括；验收时，除软件正确安装外，还应核验软件厂商出具的授权书或计算机厂商装箱清单中是否有操作系统OEM授权，并准确核对软件授权数量、版本、授权范围及时效等。

2 信息管理系统

高校建设各类信息管理系统，如OA办公系统、教务系统等，应该有明确的技术安全标准和规则。信息管理系统应按学校信息化顶层设计规范要求，新建系统不应重复建设，须完全消除信息孤岛。在数据安全方面，数据是学校的核心资产之一，学校数据平台读取各类信息管理系统的全量业务数据，系统须完全遵守学校数据标准规范，提供完整、规范的数据字典，并按学校顶层设计要求及数据治理规范和数据质量报告进行优化调整。涉及从学校数据平台获取第三方系统数据的共享，须与学校签订数据使用保密协议。信息管理系统应满足信息安全等级保护“三级”备案条件，进行信息安全等级保护“三级”备案和测评。

信息管理系统性能应具备四个特点：一是可靠性，需提供7×24的不间断服务；二是稳定性，需合理的利用资源，保证前后台数据操作的效率，以及在数据响应和界面承载方面都要达到不会出现界面混乱、数据报错、触发按钮功能缺失、操作频繁或者快速容易崩溃的问题；三是兼容性，应保证客户端浏览器的正常使用，兼容IE、Chrome、FireFox等主流浏览器；四是可扩展性，应具有良好的扩展性与二次开发能力，采用“平台框架+功能模块+个性化配置”的设计思想，采用模块化、组件式开发模式，提供便于进行二次开发的各种接口。

信息管理系统的安全技术方案需要全盘考量。在身份鉴别方面，应与统一权限管理系统进行集成，实现统一身份认证、单点登录和统一授权。在访问控制方面，使用基于角色的权限控制方式对系统资源的访问进行授权，支持根据业务角色不同赋予权限，严格限制默认账户的访问权限，具备对重要信息资源设置敏感标记的功能，并制定统一安全策略。在安全审计方面，对用户的登录、重要用户行为、系统资源的异常使用和重要系统功能的执行等进行审计，审计的日志应包括日期和时间、类型、主体标识、客体标识、客体敏感标记、事件的结果等。在通信保密性方面，用户访问平台的数据通信应支持使用加密技术，在会话初始化时进行认证，并在通信过程中对整个会话过程进行加密。在软件容错方面，在人工输入或通过接口进行输入时提供对输入数据的有效性检验，在功能实现上应支持回退功能。

强化综合管理

构建网安防护体系 实现动态主动防御

图2 网络安全防护体系

如图2所示，面向校园网基础网络、云数据中心、科研和教学数据以及个人信息等网络安全保护对象，以“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”为具体措施，通过安全管理、安全技术、安全运营、安全评价四大体系实现校园网络安全的全面支撑。通过完善制度文件，规范管理流程，优化安全管理队伍，打造安全管理体系，全面提升各阶段安全管理水平；从事前监控、事中防护、事后审计三个阶段，构建分区、分域、分层、分类的网络安全技术体系，保障网络安全可知、可管、可控；各类管理人员、安服人员、学生团队参与网络安全运营，建立完善网络安全的工作机制和流程，形成完善的网络安全运营体系。依托四大安全体系相辅相成、循环优化的能力架构，持续提升学校网络安全能力，最终实现“实战有效、体系合规、常态保护”的工作目标。

强化主动防御 筑实安全防线

以“外防边界渗透，内防横向移动”为防御指导思想，构建校园网边界、云数据中心边界、云主机终端的三道安全防线，切实筑牢筑实校园网络安全屏障。

第一道防线是校园网边界防护。部署流量防火墙，覆盖校园网内所有的流量边界。梳理全校信息化资产，对资产进行分类分级、分区分域的安全管理。根据“非必要不出网”的最小权限原则，定义好需暴露到互联网上资产的IPv4/IPv6双栈IP地址和端口，在校园网边界严控资产的暴露面。同时，定义好资产之间的通信白名单，做好域与域之间的安全隔离，级与级之间的访问控制，以防边界被攻破导致攻击扩散。

第二道防线是云数据中心边界防护。部署流量防火墙和WAF防护设备，默认仅放行HTTP和HTTPS流量以收缩云主机暴露面，同时自动化封禁Web扫描行为，以守护Web安全及API数据安全，防止数据泄露。部署资源发布平台，建立域名白名单发布审核机制，仅允许域名访问Web资源，禁止IP直接访问云主机。通过堡垒机远程管理操作系统及数据库，对堡垒机等集权系统进行严格的访问控制。

第三道防线是云主机终端安全防护。以每组应用集群云主机为最小单元定义应用的安全组，组与组之间进行网络隔离，实行白名单访问机制，组内云主机之间进行严格的访问控制。部署EDR终端安全响应平台，对每台云主机进行进程级的防护。为了精准预警，强化主动防御，解决“谁进来了不知道，是敌是友不知道，干了什么不知道”的问题，部署态势感知、病毒检测、高级威胁检测、数据API接口检测等平台探针，第一时间对威胁进行研判、预警、溯源。图3为网络安全防护技术架构。

图3 网络安全防护技术架构

加大宣传力度 提升师生素养

做好网络安全工作，要紧紧围绕持续优化提升校园网络安全工作水平这一目标，进一步深化巩固网络建设工作的良好局面，整合各方力量，对校园网络安全工作进行全过程、全方位、多层次的深入宣传，重点宣传网络安全工作的重要意义、日常学习工作生活中的防护手段，不断提高广大师生对校园网络安全工作的知晓率、参与率和支持率，为网络安全工作发展提供强大的思想保证和舆论支持。坚持线上和线下相结合的方式，定期开展信息化和网络安全相关知识宣传。

线上依托学校网站、微信公众号、企业号等师生关注的线上平台，结合师生实际，如反诈骗宣传、挖矿的危害性、数据泄露等主题，开展理论宣讲、专题培训、交流研讨、知识竞赛等活动，让师生深刻认识网络安全的重要性，提高师生辨别能力和防御能力。

线下可以采取这三种方式：一是邀请专家作网络和信息化专题讲座，提高认识；二是开设专题展厅，让师生切身感知身边的网络安全威胁，以案例讲解、现场观摩等方式，组织师生进行网络安全体验，近距离感知网络安全，增强网络安全意识；三是知识竞赛，持续宣传普及和师生息息相关的网络安全知识，围绕生活中可能会遇到的网络安全问题以及针对师生关注的网络安全热门知识，组织知识竞赛，进一步在师生中宣传网络安全知识和防护技能。

抓实工作细节 垒高防护屏障

网络安全工作需要做实、做细、做小、做到位。

一是加强师生网络安全和信息化素养。高校在新生入学时需要开展网络安全素养相关的课程教育，并将其纳入学生培养体系；新进教职工在进行入职培训时需要考虑师生网络安全和信息化素养培训，加强日常工作生活中网络安全防护技能的养成。

二是开展学校各类信息系统等级保护测评和定期检查。高校开展域名年检工作，全面掌握学校各类信息系统安全登记保护工作的开展情况，及时发现潜在的问题和威胁，并消除隐患，可以采取自查和抽查相结合的方式，并将检查结果纳入综合考评重要环节。

三是强化数据安全和隐私保护。高校需要有明确的数据分级分类标准和数据安全管理办法，完善数据安全管理体系，明确保护策略，落实技术和管理措施，强化对数据的安全访问控制，建立数据全生命周期的安全闭环管理机制。

四是高校信息化部门需要不断优化队伍结构，加强队伍建设，丰富网络安全专业技能培训，提升网络安全技术研究水平，打造高素质的管理决策队伍、技术开发队伍和应用维护队伍，形成一支责任心强、技术过硬、结构合理、精简高效的网络安全专业团队，不断提高校园网络安全工作水平和能力。

在大数据和互联网时代，高校需要从战略和全局的高度把网络安全摆在更加重要、更加突出的位置，不断完善体制机制，加强技术防范，强化综合管理，构建动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全综合防控体系，确保网络安全工作稳步向前、扎实推进，为培养高质量人才创造一个稳定和谐的校园生态环境。

基金项目：2022年江苏省现代教育技术研究度智慧校园专项课题“大数据治理与分析助力学校疫情防控的创新应用与服务研究”(2022-R-107234)，2023年中央高校基本科研业务费专项资金资助“数字技术助力教育质量提升”(90YFY2300119)

来源：《中国教育网络》2023年11月刊

作者：徐晓红¹、张焱¹、王兴虎¹、袁家斌²（作者1单位为南京航空航天大学信息化处，作者2单位为南京航空航天大学图书馆）

声明：本文来自中国教育网络，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。