基于智慧校園的網(wǎng)絡(luò)安全保障體系建設(shè)

夏冬梅

（中國石油大學(xué) （北京） 克拉瑪依校區(qū)，新疆 克拉瑪依 834000）

近年來，借助新一代移動互聯(lián)網(wǎng)技術(shù)和開放平臺的成熟應(yīng)用，校園管理、服務(wù)、生活等各類業(yè)務(wù)系統(tǒng)開始集成整合到各類開放平臺上。隨著各類服務(wù)于師生的信息系統(tǒng)和業(yè)務(wù)應(yīng)用的增加，業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)共享交換和功能的集成整合將會越來越復(fù)雜，如何保障各類數(shù)據(jù)的安全和業(yè)務(wù)系統(tǒng)的穩(wěn)定運行是關(guān)鍵。因此，在智慧校園的建設(shè)過程中，新應(yīng)用、新系統(tǒng)的建設(shè)過程中，需要充分考慮各類安全問題，既要保證信息系統(tǒng)在獨立運行過程中不會給師生帶來各類信息問題，又要保證在數(shù)據(jù)共享和功能集成整合過程中，不會影響其他平臺和應(yīng)用的安全穩(wěn)定運行。中國石油大學(xué)（北京） 克拉瑪依校區(qū) （以下簡稱“校區(qū)”） 十分重視信息化建設(shè)，自籌建以來，經(jīng)過三年的努力，建成智慧校園雛形，穩(wěn)步推進網(wǎng)絡(luò)安全建設(shè)。

1 智慧校園

對于智慧校園而言，該理念是在IBM公司等科技巨頭公司提出的智慧地球定義基礎(chǔ)上演變而來的，智慧校園所遵循的宗旨便是利用云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)以及虛擬運營等諸多的新型科技來提高學(xué)生與教職工人員對學(xué)校資源進行有效利用效率，將教學(xué)、科研、日常生活等實現(xiàn)和學(xué)校資源進行共享，對校園內(nèi)部的運營體系加以高效整合，從而為學(xué)校提供智能服務(wù)的一種管理方式。通過智慧校園建設(shè)可以完全準(zhǔn)確并迅速進行問題的分析與解決。

2 網(wǎng)絡(luò)安全現(xiàn)狀及問題分析

智慧校園在建設(shè)過程中并非是一帆風(fēng)順的，其也在帶來便利的同時也隱藏著諸多的安全隱患?，F(xiàn)階段，智慧校園建設(shè)中面臨的網(wǎng)絡(luò)安全問題主要包括幾方面。

2.1 缺乏網(wǎng)絡(luò)安全教育，安全防范意識淡薄

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，各類網(wǎng)絡(luò)安全事件格式層出不窮，如信息泄露、系統(tǒng)受到攻擊、信息被篡改等，給個人或單位造成一定的損失。另外，部分學(xué)生面對網(wǎng)絡(luò)陷阱和誘惑時，不能有效區(qū)分，影響正常學(xué)業(yè)，甚至危害身心健康。

師生存在的不良上網(wǎng)習(xí)慣和不規(guī)范的操作，如不安裝殺毒軟件，未能及時更新計算機中的軟件和補丁、不定期殺毒、無意識攻擊校園網(wǎng)、設(shè)置弱口令等。這些行為容易導(dǎo)致病毒入侵、文件丟失、信息泄露的情況，甚至造成網(wǎng)絡(luò)癱瘓。

學(xué)生缺乏正確的網(wǎng)絡(luò)安全觀念和安全防范意識，不能識別網(wǎng)絡(luò)中繁多的有害信息，易受某些不良網(wǎng)站的影響，無法有效進行防護應(yīng)對，甚至引發(fā)安全事故。

2.2 技術(shù)防范建設(shè)不足，安全對抗能力較弱

目前，網(wǎng)絡(luò)安全建設(shè)尚不完善，校園網(wǎng)絡(luò)應(yīng)對病毒入侵、網(wǎng)絡(luò)攻擊的控制防御能力不足，難以發(fā)現(xiàn)潛在的風(fēng)險隱患，一旦不法分子利用操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫存在的安全缺陷和漏洞進行網(wǎng)絡(luò)攻擊，將會給師生的信息和資金安全帶來較大影響。

現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備不能從技術(shù)上過濾不良信息，不能控制“黃賭毒”信息、虛假廣告、騙局信息、謠言等的傳播，不能有效規(guī)范校園網(wǎng)用戶的上網(wǎng)行為。長此以往，不僅影響學(xué)生人生觀、世界觀及價值觀的形成，還會影響學(xué)校網(wǎng)絡(luò)的正常使用，阻礙學(xué)校各項工作的推進。而且，還不能對網(wǎng)絡(luò)安全風(fēng)險感知和預(yù)警，不能有效地通過局域網(wǎng)的流量數(shù)據(jù)、網(wǎng)絡(luò)行為數(shù)據(jù)進行分析預(yù)測，發(fā)現(xiàn)潛在風(fēng)險、異常攻擊等。缺少快速有效的控制策略和應(yīng)對機制，面對突然爆發(fā)的風(fēng)險，不能第一時間對不良勢力和不良客戶端進行快速管控。

2.3 管理規(guī)范尚不完善，無法持續(xù)保障安全

在管理方面，各類管理制度不健全，對校園網(wǎng)絡(luò)安全維護監(jiān)控管理不到位，缺少規(guī)范的應(yīng)急預(yù)案和處置措施，一旦發(fā)生網(wǎng)絡(luò)安全狀況，無法快速響應(yīng)，網(wǎng)絡(luò)故障在短時間內(nèi)不能得到處理，最終可能會導(dǎo)致更嚴(yán)重的后果。另外，運維管理工作不全面，運維隊伍成員不齊全，導(dǎo)致運維服務(wù)能力有限，而且部分設(shè)備管理權(quán)限不明確，部分重要資源沒有納入運維監(jiān)控范圍，一旦出現(xiàn)故障，不能精準(zhǔn)定位問題，不能高效快速地解決問題。

3 網(wǎng)絡(luò)安全問題的對策探討

3.1 提高網(wǎng)絡(luò)用戶的防范意識

面向教職工、學(xué)生等校園網(wǎng)絡(luò)用戶，開展網(wǎng)絡(luò)安全教育專題活動。如以網(wǎng)絡(luò)信息安全防范、網(wǎng)絡(luò)不良信息危害、網(wǎng)絡(luò)漏洞危害等為主題的講座，讓師生認(rèn)清網(wǎng)絡(luò)的弊端和校內(nèi)信息網(wǎng)絡(luò)安全的重要性，幫助在校大學(xué)生樹立網(wǎng)絡(luò)新時代的安全觀。普及網(wǎng)絡(luò)安全防護知識，通過微信公眾號、門戶網(wǎng)站等校園媒體平臺定期向師生推送網(wǎng)絡(luò)安全知識、網(wǎng)絡(luò)安全風(fēng)險提示和應(yīng)對措施。提高校園網(wǎng)絡(luò)用戶的安全風(fēng)險防范意識，有效避免校園內(nèi)部人員帶來各種網(wǎng)絡(luò)安全問題。

3.2 強化網(wǎng)絡(luò)安全防護能力

（1） 網(wǎng)絡(luò)安全的整體規(guī)劃和建設(shè)。針對出口安全、內(nèi)網(wǎng)安全、內(nèi)容安全、數(shù)據(jù)安全等方面，特別是下一代互聯(lián)網(wǎng)IPv6，結(jié)合智慧校園的建設(shè)，整體規(guī)劃校園網(wǎng)絡(luò)安全。加強網(wǎng)絡(luò)邊界防護，部署高性能的網(wǎng)絡(luò)安全防護系統(tǒng)，縝密構(gòu)建網(wǎng)絡(luò)配置，合理制定訪問策略，對重點區(qū)域?qū)嵤└綦x保護，形成科學(xué)的防護體系。

（2） 網(wǎng)絡(luò)防火墻的策略。根據(jù)機房、辦公樓、教學(xué)樓、活動樓、宿舍樓等區(qū)域的訪問權(quán)限和要求制定不同的訪問策略，實現(xiàn)不同人員、不同區(qū)域、不同時間的用網(wǎng)控制。設(shè)置重點區(qū)域 （如機房、強弱電井、監(jiān)控室） 的訪問控制，攔截非法非正常訪問，實現(xiàn)隔離保護。利用交換機端口禁用和防火墻聯(lián)動，實現(xiàn)故障自動隔離，限制網(wǎng)絡(luò)故障范圍，確保重要區(qū)域、重要設(shè)備、重要數(shù)據(jù)的安全。

（3） 用戶入網(wǎng)管理。通過部署校園網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)，對用戶的網(wǎng)絡(luò)接入進行認(rèn)證和行為審計。根據(jù)入網(wǎng)用戶的身份、入網(wǎng)終端、地理位置進行入網(wǎng)規(guī)則設(shè)置。如，對于學(xué)生用戶，根據(jù)宿舍安排的作息時間在夜間斷網(wǎng)，在教學(xué)樓和辦公樓，在上班和上課時間，過濾游戲網(wǎng)站和游戲軟件的網(wǎng)絡(luò)接入，避免耽誤學(xué)習(xí)和工作。

（4） 數(shù)據(jù)安全。合理制定數(shù)據(jù)容災(zāi)備份機制，部署EMC備份系統(tǒng)，自動、定期定時備份各個業(yè)務(wù)系統(tǒng)的重要數(shù)據(jù)，并將備份數(shù)據(jù)進行異地保存，通過不同介質(zhì)存儲數(shù)據(jù)，為數(shù)據(jù)信息的安全保存和快速恢復(fù)提供強有力的數(shù)據(jù)來源。

針對校園局域網(wǎng)內(nèi)資源，開通VPN虛擬專用通道，方便在校外的校園用戶無差異訪問內(nèi)網(wǎng)資源。針對校園外部網(wǎng)絡(luò)可以訪問的校內(nèi)信息系統(tǒng)和網(wǎng)絡(luò)資源，安裝SSL證書對網(wǎng)站數(shù)據(jù)進行HTTPS加密，確保傳輸數(shù)據(jù)的完整性和安全性。

（5） 網(wǎng)絡(luò)威脅感知。部署深信服安全感知平臺，通過大數(shù)據(jù)分析和關(guān)聯(lián)檢索技術(shù)，對全網(wǎng)進行入侵檢測、漏洞掃描、攻擊防護、威脅分析等，直觀掌握失陷主機的威脅影響，根據(jù)展示攻擊、違規(guī)訪問、風(fēng)險訪問、可疑行為、正常訪問等詳細信息，主動發(fā)現(xiàn)風(fēng)險隱患，追溯攻擊源。

（6） 網(wǎng)絡(luò)行為的管理。通過校園行為管理和監(jiān)控系統(tǒng)，積極掌握校園網(wǎng)用戶的網(wǎng)絡(luò)行為，關(guān)注所有用戶的網(wǎng)絡(luò)行為并對其進行記錄、過濾、分析，事后追蹤查詢，對所有用戶的所有網(wǎng)絡(luò)行為進行流量分析、行為分析、安全分析，如校園網(wǎng)貸、沉迷網(wǎng)絡(luò)、圖書館資源、敏感事件等，避免惡性事件的爆發(fā)，協(xié)同相關(guān)部門積極應(yīng)對，實現(xiàn)對網(wǎng)絡(luò)有害信息的撲殺。

3.3 健全網(wǎng)絡(luò)安全運維保障

制定并完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案、網(wǎng)絡(luò)安全責(zé)任制實施細則、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源、信息標(biāo)準(zhǔn)及其他網(wǎng)絡(luò)安全相關(guān)制度，加強網(wǎng)絡(luò)安全的規(guī)范管理。規(guī)范運維管理工作，明確運維隊伍的工作職責(zé)與流程，積極配合，嚴(yán)加排查安全隱患，監(jiān)管校園網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)環(huán)境安全。

采用遠程和本地相結(jié)合、定期巡檢、隨機抽查的方式，及時升級操作系統(tǒng)安全補丁，升級數(shù)據(jù)庫、服務(wù)程序。全面掌握終端部署情況和活動情況，全面檢測每個終端可能發(fā)生的攻擊入侵、病毒傳播、流量異常、外設(shè)接入等安全隱患，保證網(wǎng)絡(luò)終端的數(shù)據(jù)信息安全。全面感知隔離網(wǎng)內(nèi)安全態(tài)勢，對各類風(fēng)險實時響應(yīng)，降低用戶被竊取信息的風(fēng)險。結(jié)合全網(wǎng)運維監(jiān)控，定期進行安全風(fēng)險評估，及時發(fā)現(xiàn)并處理不當(dāng)內(nèi)容，啟動實時響應(yīng)機制，通過“一鍵斷網(wǎng)”快速處置事件，消除或減輕各類影響，持續(xù)保障內(nèi)網(wǎng)安全。

面向各類信息系統(tǒng)的責(zé)任人、聯(lián)系人、管理人員等，開展網(wǎng)絡(luò)安全技能的培訓(xùn)。采取集中學(xué)習(xí)、專題討論和案例分析相結(jié)合的方式，強化基本的防護意識，提高他們的防護能力。

4 結(jié)語

網(wǎng)絡(luò)安全建設(shè)一直是各大高校關(guān)注的重點內(nèi)容，網(wǎng)絡(luò)環(huán)境的安全、穩(wěn)定更是高校開展各項工作的基礎(chǔ)。本文分析了網(wǎng)絡(luò)安全現(xiàn)狀及問題，提出了網(wǎng)絡(luò)安全問題的對策，希望以此為高校開展智慧校園建設(shè)規(guī)劃好網(wǎng)絡(luò)安全的建設(shè)，從而保障智慧校園建設(shè)的安全運行和穩(wěn)步推進。