谈高校网络与信息安全建设

摘要：随着高校信息化建设的逐步深入，大量与教学和管理相关的信息系统上线使用，校园网络已和师生的日常生活密不可分。但与此同时，互联网上的网络攻击、内部资源滥用、木马和病毒等不安全因素越来越多，师生却对网络安全认识不足、重视程度不够，因此如何维护网络与信息安全，保护个人隐私，保障学校的网络数据资产安全，已经成为高校网络与信息安全建设的重点。基于此，本文重点探讨了高校网络与信息安全建设的基本思路，希望能够为相关研究提供借鉴。

关键词：高校；校园网络；信息安全；安全建设

1高校网络与信息安全建设的重要性

随着信息技术的快速发展和信息手段的不断更新，网络已经在不知不觉间融入人们的日常生活中，时刻影响着我国政治、经济、文化等多方面的建设与发展[1-4]。但与此同时，由于受黑客、计算机病毒、木马、恶意代码、信息丢失、钓鱼软件等因素的影响，网络安全事件不断出现，网络和信息安全问题也变得极其重要。2015年北京某学院网站被黑。2017年某大学网站被黑。2017年5月12日，一种名为“想哭”的勒索病毒袭击全球150多个国家和地区，影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。2018年2月，国内再次发生多起勒索病毒攻击事件，该勒索病毒将加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名，并通过邮件告知受害者付款方式，使其获利更加容易方便。2019年3月13日，我国部分政府部门和医院等公立机构遭遇国外黑客攻击。在此次攻击中，黑客组织利用勒索病毒对上述机构展开邮件攻击，运行后将对用户主机的硬盘数据进行加密，并让受害用户访问网址下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口，要求受害用户缴纳赎金。以上网络安全事件举不胜举，2020年上半年我国互联网网络安全监测数据分析报告指出，捕获计算机恶意程序样本数量约1815万次，国内约有3.59万个网站植入后门，遭篡改网站约有7.4万个。由此可见，网络与信息安全对于国家和人民显得日益重要，不可忽视。2014年2月27日，在中央网络安全和信息化领导小组第一次会议上强调：“没有网络安全就没有国家安全，没有信息化就没有现代化。”2017年6月1日起施行的《中华人民共和国网络安全法》，其根本目的在于保障网络安全与国家网络空间主权，同时维护国家、社会、公民或组织的合法权益，为构建和谐的网络环境打下基础。

教育部办公厅关于印发《2019年教育信息化和网络安全工作要点》的通知，再次强调网络安全建设内容：提升网络安全人才培养能力和质量，强化网络安全宣传教育，开展网络空间国际治理研究，深入贯彻落实《网络安全法》，加强教育系统数据安全防护能力，推进关键信息基础设施保障工作，建立常态化的网络安全保障机制。2019年12月1日开始实施的等保2.0相关的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准，适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，发现企业网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。从以上分析可以看出，随着国家对网络安全的不断关注和重视，网络与信息安全已经提到一个非常高的高度，已经上升到国家安全的层面。而在高校，校园网作为学校的重要基础设施，作为对外信息和交流的主要通道，为教学、科研和管理等工作提供服务。高校学生作为互联网上一个比较大的群体，时刻使用校园网获取知识和资讯[5-8]。但在校园网内也存在不少的网络与信息安全问题，如业务信息系统众多、代码不规范、安全漏洞多、师生的网络安全意识薄弱、对网络安全不重视、网络安全防护手段不足等，严重影响了师生的正常上网体验和学校的信息安全。因此，为保障校园网络安全，为师生提供更好的网络服务，让师生借助网络和信息化技术手段开展教学及管理工作，校园网络与信息安全建设尤为重要。

2高校网络与信息安全建设的基本思路

在互联网高速发展的今天，网络和信息安全工作不可能一蹴而就。如何建设一个高效、高速、稳定和安全的校园网络；如何为数据中心的各个信息系统构建一套完善的防御机制，实现内外部网络隔离和访问控制，保护内部业务系统免受非法侵入；如何对潜在风险威胁提前预警，从被动防御变为主动防御；如何增强师生的网络安全意识，需要高校一步步落实。高校网络与信息安全建设，可以从以下5个方面入手。

2.1加强组织管理，明确各部门职责

第一，坚持学校对网络与信息安全工作的统一领导，完善网络与信息安全管理制度体系。第二，明确网络安全管理部门和其他部门之间的权责关系，网络安全管理部门负责技术支持和统筹管理，其他部门负责各自业务系统的日常安全维护。第三，明确信息系统安全工作的责任领导和具体维护人员，规范信息系统和网站日常管理维护工作程序，责任到人。

2.2制定网络安全整体防护策略，提高网络与信息系统安全水平

（1）在网络边界部署出口防火墙、链路负载和行为管理等出口安全设备，用于加强互联网与学校内部网络之间的防护。①封闭不必要的端口（135、136、137、138、139、445等），关闭不常用的应用（远程管理应用等），设置安全区域将校园网的各个区域安全隔离，并通过安全策略控制各个区域间的互访权限，在网络出口方向解决一部分网络与信息安全隐患。②在行为管理设备上开启基于用户、应用、位置、终端类型的权限控制，记录上网日志数据。（2）加强实时监控、防护。①将学校主页、邮件管理系统、DNS、网络办公系统和一些需要对外服务的业务系统划分安全域，通过WEB应用防护系统（WAF）、入侵检测设备(IPS)和防火墙进行实时监控、防护。②仅开启需要使用的业务端口，关闭其他不需要的端口，关闭不需要的应用，严格控制对外服务的权限，最小化开放业务访问，禁止远程访问。③将教务管理系统、学生信息管理系统、财务管理系统、人事管理系统和国资管理系统等内网访问的业务系统，通过WEB应用防护系统（WAF）、入侵检测设备(IPS)和防火墙进行实时监控、防护，并通过VPN访问一些需要外网访问的业务系统和资源，方便师生在家、在外进行办公和学习。④对内网资源通过VLAN隔离和堡垒机远程访问维护的方式进行精细化管理，做到了网络与信息安全影响最小化。⑤加强业务专网（财务管理系统、一卡通系统等）建设，做到专网与校园网完全隔开，在物理上独立。（3）安装主流杀毒软件。在用户终端，要求用户安装主流杀毒软件，开启自动更新病毒库，定时查杀，关闭不必要的端口，不要轻易点开或下载不明邮件，关闭文件共享功能，设置复杂的密码，禁用弱口令密码，及时升级操作系统补丁。

2.3定期开展网络与信息安全巡检，查漏补缺

①对服务器、业务系统等定期进行安全漏洞检查，及时更新操作系统和补丁，加强业务账户口令管理，不得使用弱口令，更不允许使用默认口令，及时注销过期和不必要的账户信息。②对网络设备、安全设备等定期进行规则库检查，及时更新规则和补丁，定期更改管理口令。③建设网络与信息安全巡检体系，部署统一安全管理平台、安全感知态势平台等，加强维护安全管理，不断查看各服务器、业务系统和安全设备存在的安全隐患，及时发现，马上处理。④做好日志管理，加强审计，能对相关事件进行回溯。⑤做好信息安全技术网络安全等级保护测评工作，按照新颁布等级保护2.0标准积极进行业务系统的测评，查漏补缺，完善整个校园网络安全防护措施。

2.4加强网络与信息安全应急管理，提高突发事件处理能力

第一，为了切实做好校园网络突发事件的防范和应急处理工作，进一步提高学校预防和控制网络突发事件的能力和水平，应制订网络与信息安全应急预案。第二，为了检验预案的可行性，应对预案定期进行演练，组建以网络中心技术人员为骨干、重要系统管理员参加的应急响应技术队伍，加强部门间协作。第三，要求网络安全相关人员对预案做到熟练掌握操作、心中有数，对可能发生的各类网络与信息安全事件能做到及时处理。

2.5加强网络安全宣传教育工作，增强师生的网络与信息安全意识

第一，通过视频、宣传栏、微信和微博等方式教育引导师生学习国家网络安全有关法律法规和政策标准，学习网络安全基本防护技能，不断增强师生的网络安全意识，切实维护校园网络安全。第二，定期对信息系统管理人员开展相关网络安全培训，引导他们积极学习网络和信息安全技术，增强网络安全意识，达到提升网络安全维护能力的目的。

3结语

高校网络与信息安全建设不能一蹴而就，没有固定的格式和模板，需要进行不断建设和完善，高校应该根据各自的网络结构和管理权则，认真探索出一套科学的建设思路。另外，可以结合信息安全等级保护测评工作，根据等级保护测评整改建设方案，逐步解决高校在网络与信息安全防护方面存在的问题，加强高校网络安全建设，加强网络和应用系统的安全防护，保障各个业务系统的数据安全，建设一个高效、稳定、安全的校园网络。最后，高校应定期开展网络安全宣传教育，增强全体师生的网络安全意识，构建一个安全和谐的校园网。

参考文献

[1].在中央网络安全和信息化领导小组第一次会议上的讲话[N].人民日报,2014-04-26.

[2]马力,祝国邦,陆磊.《网络安全等级保护基本要求》(GB/T22239-2019)标准解读[J].信息网络安全,2019,218(2):77-84.

[3]刁喆.等保2.0标准体制下关键信息基础设施安全建设研究[C]//中国计算机用户协会网络应用分会2019年第二十三届网络新技术与应用年会,2019.

[4]曲洁,范春玲,陈广勇,等.新时代下网络安全服务能力体系建设思路[J].信息网络安全,2019,217(1):89-93.

[5]杜亚星,隋新.校园网络安全与防护技术[J].网络安全技术与应用,2018(1):70-71.

[6]刁晓婧.高校校园网络安全问题分析及对策[J].网络安全技术与应用,2020(8):73.

[7]陈慧铭.大学生网络安全教育存在的问题及对策研究[D].武汉:华中师范大学,2019.

[8]卢建有.新时期我国高校网络意识形态安全问题研究[D].长春:东北师范大学,2018.

作者：刘群 单位：西北民族大学