智慧校園網(wǎng)絡(luò)與信息安全防護(hù)的實(shí)施—以浙江中醫(yī)藥大學(xué)為例

馬 亮，王曉東，賴小波

浙江中醫(yī)藥大學(xué)：1 信息與教育技術(shù)中心；2 第三臨床醫(yī)學(xué)院；3 醫(yī)學(xué)技術(shù)學(xué)院， 杭州 310053

高校信息化建設(shè)發(fā)展迅速。信息化程度越高，網(wǎng)絡(luò)安全問題就越突出，網(wǎng)絡(luò)安全防護(hù)工作遇到的挑戰(zhàn)也會(huì)越嚴(yán)峻[1-3]。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，提出“保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益”“采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性”[4]。針對(duì)目前高校網(wǎng)絡(luò)和信息安全所受威脅，根據(jù)高校網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)類型，從管理和技術(shù)的角度規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)與信息安全防護(hù)體系，確保高校網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，是所有高校都必須重點(diǎn)抓的一項(xiàng)艱巨任務(wù)。

1 智慧校園網(wǎng)絡(luò)與信息安全面臨的威脅分析

智慧校園網(wǎng)絡(luò)與信息安全[5-9]常見威脅包括以下幾個(gè)方面：

①操作系統(tǒng)漏洞及網(wǎng)絡(luò)協(xié)議本身的缺陷。網(wǎng)絡(luò)安全離不開網(wǎng)絡(luò)操作系統(tǒng)的安全，許多攻擊就是由于操作系統(tǒng)本身源代碼、不正確的配置等缺陷造成。因此，在智慧校園網(wǎng)絡(luò)建設(shè)時(shí)，盡量選擇安全性高的操作系統(tǒng)，及時(shí)打補(bǔ)丁，加強(qiáng)用戶登錄認(rèn)證，控制用戶權(quán)限，防止非法訪問及重要信息的泄露，否則將會(huì)導(dǎo)致嚴(yán)重的后果。另外，黑客還會(huì)利用一系列如sniffer、wire- shark等抓包工具來竊取網(wǎng)絡(luò)傳輸中的信息，進(jìn)行數(shù)據(jù)竊聽、IP欺騙、ARP欺騙、SYN Flood與Land攻擊、Tear- drop攻擊等。

②計(jì)算機(jī)病毒、網(wǎng)頁掛馬攻擊。計(jì)算機(jī)病毒種類繁多、傳播速度快、消耗資源，甚至?xí)?dǎo)致DOS，給用戶帶來很大煩惱。應(yīng)增強(qiáng)用戶的安全意識(shí)、安裝殺毒軟件、下載經(jīng)過認(rèn)證的安全軟件，做好終端安全。

③不良信息及垃圾郵件的傳播，給師生使用網(wǎng)絡(luò)帶來困擾。

④管理者對(duì)網(wǎng)絡(luò)和信息安全問題重視不夠，沒有建立安全制度，或者所建制度形同虛設(shè)等。

2 智慧校園網(wǎng)絡(luò)與信息安全防護(hù)體系設(shè)計(jì)

浙江中醫(yī)藥大學(xué)是以中醫(yī)中藥為特色學(xué)科的教學(xué)研究型大學(xué)，是浙江省人民政府、國家中醫(yī)藥管理局、教育部共建高校，師生分布于濱文校區(qū)和富春校區(qū)，兩個(gè)校區(qū)分別建有網(wǎng)絡(luò)機(jī)房，保障2萬多用戶正常使用網(wǎng)絡(luò)。該校自2010年啟動(dòng)數(shù)字化校園建設(shè)，逐步完成了三大平臺(tái)和20多個(gè)業(yè)務(wù)系統(tǒng)建設(shè)，以及各學(xué)院和部門的網(wǎng)站建設(shè)。隨著數(shù)字化校園建設(shè)的不斷深化，新增的網(wǎng)站和業(yè)務(wù)系統(tǒng)不斷增多，需求變得更復(fù)雜，維護(hù)和管理難度增大，網(wǎng)絡(luò)安全隱患也不斷增加，業(yè)務(wù)數(shù)據(jù)共享遠(yuǎn)遠(yuǎn)不夠。于是，該校自2015年啟動(dòng)智慧校園建設(shè)規(guī)劃，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、系統(tǒng)均衡性等原則，從網(wǎng)絡(luò)與信息安全、數(shù)據(jù)共享和服務(wù)、信息化統(tǒng)一監(jiān)控和運(yùn)維等方面進(jìn)行智慧校園建設(shè)頂層設(shè)計(jì)，設(shè)計(jì)后的智慧校園體系架構(gòu)如圖1所示。文章限于篇幅，重點(diǎn)分析網(wǎng)絡(luò)與信息安全，網(wǎng)絡(luò)和信息安全覆蓋了從物理層到應(yīng)用的所有安全相關(guān)問題。網(wǎng)絡(luò)與信息安全保障體系包括：管理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、等保測評(píng)等，如圖2所示。

圖1 智慧校園體系架構(gòu)

圖2 網(wǎng)絡(luò)與信息安全保障體系架構(gòu)

管理安全：需要做好安全管理體系建設(shè)，從安全領(lǐng)導(dǎo)小組到安全保障員都要重視網(wǎng)絡(luò)和信息安全，建立規(guī)范的制度和安全操作手冊(cè)，開展安全培訓(xùn)，以確保網(wǎng)絡(luò)和信息安全。

網(wǎng)絡(luò)安全：包括安全網(wǎng)關(guān)、入侵檢測、防火墻，VPN接入等。

主機(jī)安全：包括漏洞修補(bǔ)、訪問權(quán)限控制、安全加固、堡壘主機(jī)等。

應(yīng)用安全：包括流量負(fù)載均衡、統(tǒng)一身份認(rèn)證、Web漏洞掃描等。

數(shù)據(jù)安全：包括數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)加密、容災(zāi)備份等。

等保評(píng)測：根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中規(guī)定的信息系統(tǒng)安全等級(jí)測評(píng)標(biāo)準(zhǔn)進(jìn)行評(píng)估、整改。

另外，還建立統(tǒng)一的運(yùn)維監(jiān)控管理平臺(tái)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)和信息安全，一旦發(fā)現(xiàn)安全問題，根據(jù)預(yù)警情況迅速處理。

3 智慧校園網(wǎng)絡(luò)與信息安全防護(hù)實(shí)施經(jīng)驗(yàn)

該校自2016年開始智慧校園建設(shè)，年底基本完成一期工程，先后經(jīng)歷了G20杭州峰會(huì)、烏鎮(zhèn)國際互聯(lián)網(wǎng)峰會(huì)和2017年全國學(xué)生運(yùn)動(dòng)會(huì)的網(wǎng)絡(luò)安全保障考驗(yàn)，分別獲得了2016年度和2018年度平安校園建設(shè)先進(jìn)單位榮譽(yù)稱號(hào)。這些都得益于以下四個(gè)方面：

3.1 領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)安全，建立健全相關(guān)制度，確保管理安全

該校在積極推進(jìn)智慧校園建設(shè)的過程中，高度重視信息安全保障建設(shè)工作，把信息安全的建設(shè)與管理放在學(xué)校各項(xiàng)工作的重要位置。2016年，建立了校長掛帥的智慧校園建設(shè)領(lǐng)導(dǎo)小組和工作小組，成為學(xué)校網(wǎng)絡(luò)安全和智慧校園建設(shè)的主要組織保證。2018年，成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組，制定發(fā)展規(guī)劃、政策，統(tǒng)籌協(xié)調(diào)、研究解決涉及網(wǎng)絡(luò)安全和信息化工作的重大問題。該校發(fā)布了一系列網(wǎng)絡(luò)和信息安全相關(guān)的規(guī)章制度，包括《計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)保密管理規(guī)定》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息安全管理工作的通知》《校園計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與管理暫行辦法》《實(shí)名上網(wǎng)認(rèn)證帳號(hào)申請(qǐng)》《機(jī)房安全管理制度》《機(jī)房操作管理制度》《機(jī)房消防安全管理制度》《數(shù)據(jù)維護(hù)及備份管理制度》《校園網(wǎng)應(yīng)急操作規(guī)程》《網(wǎng)絡(luò)與信息安全應(yīng)急處理辦法》等，相關(guān)制度越來越健全。

通過各種方式定期或不定期開展網(wǎng)絡(luò)與信息安全知識(shí)講座和論壇，宣傳網(wǎng)絡(luò)安全知識(shí)、強(qiáng)化網(wǎng)絡(luò)安全意識(shí)。根據(jù)網(wǎng)絡(luò)安全教育和培訓(xùn)計(jì)劃，組織各部門的網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)安全法規(guī)學(xué)習(xí)和網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。

3.2 從技術(shù)和設(shè)備上確保網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全

該校每年安排網(wǎng)絡(luò)與信息安全專項(xiàng)經(jīng)費(fèi)，用于網(wǎng)絡(luò)與信息安全建設(shè)。校園網(wǎng)絡(luò)出口配置了具有網(wǎng)絡(luò)入侵檢測和防護(hù)的防火墻，配置了VPN系統(tǒng)，對(duì)需要校外訪問的重要應(yīng)用予以保護(hù)；校內(nèi)統(tǒng)一進(jìn)行VLAN規(guī)劃，對(duì)財(cái)務(wù)專網(wǎng)等重要系統(tǒng)采用物理隔離；所有的開發(fā)和維護(hù)工作需要登錄服務(wù)器時(shí)，通過堡壘主機(jī)進(jìn)入操作，操作記錄可以回放，日志可以查詢。

建立統(tǒng)一的站群系統(tǒng)，并裝備網(wǎng)站漏洞掃描系統(tǒng)，對(duì)校內(nèi)各類網(wǎng)站定期進(jìn)行漏洞掃描，對(duì)于存在安全漏洞的網(wǎng)站，通知負(fù)責(zé)人及時(shí)整改后再上線(如圖3、圖4所示)。新建平臺(tái)和網(wǎng)站必須要填寫《浙江中醫(yī)藥大學(xué)網(wǎng)絡(luò)平臺(tái)審批(備案)表》進(jìn)行審批。每年3月份對(duì)全校范圍內(nèi)網(wǎng)絡(luò)平臺(tái)(含網(wǎng)站和業(yè)務(wù)系統(tǒng))進(jìn)行集中網(wǎng)絡(luò)漏洞掃描，及時(shí)向相應(yīng)管理員反饋掃描結(jié)果。

圖3 網(wǎng)站漏洞掃描結(jié)果為危險(xiǎn)的網(wǎng)站

圖4 整改后變得安全的網(wǎng)站

對(duì)訪問量大的教務(wù)系統(tǒng)做了流量負(fù)載均衡，以確保應(yīng)用系統(tǒng)的正常使用；對(duì)重要應(yīng)用建立了存儲(chǔ)數(shù)據(jù)容災(zāi)備份機(jī)制；對(duì)數(shù)據(jù)中心進(jìn)行雙機(jī)熱備，購買了數(shù)據(jù)庫審計(jì)系統(tǒng)，確保數(shù)據(jù)安全。

“堡壘最易從內(nèi)部攻破”，校內(nèi)網(wǎng)師生用戶的電腦也可能成為攻擊源，為了防止校內(nèi)地址的試探性和惡意攻擊，校內(nèi)網(wǎng)的用戶上網(wǎng)必須實(shí)名認(rèn)證，訪問日志保留6個(gè)月可查。在校園網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時(shí)采用了具有入侵檢測功能的雙防火墻設(shè)計(jì)：校園網(wǎng)的進(jìn)出口放置一臺(tái)防火墻抵御校外IP地址的攻擊，在校內(nèi)所有服務(wù)器之前再放置一臺(tái)功能更強(qiáng)大的防火墻，既可以檢測校外IP地址，又可以檢測校內(nèi)IP地址。入侵檢測規(guī)則一旦觸犯，自動(dòng)針對(duì)該IP地址封堵端口和服務(wù)，并短信通知網(wǎng)絡(luò)管理員，對(duì)于連續(xù)發(fā)起攻擊的可疑IP，加入封堵名單。系統(tǒng)管理員可以查詢黑白名單列表，查出被封堵的IP地址用戶后及時(shí)通知該用戶，該用戶必須再次申請(qǐng)，系統(tǒng)管理員確認(rèn)后才能解除封堵。

3.3 積極進(jìn)行等級(jí)保護(hù)評(píng)測

信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測評(píng)、信息安全檢查五個(gè)階段。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，通過在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來實(shí)現(xiàn)，除了安全控制評(píng)測，還包括系統(tǒng)整體評(píng)測，并根據(jù)評(píng)測結(jié)果進(jìn)行整改。目前，該校已經(jīng)完成11個(gè)系統(tǒng)的等級(jí)保護(hù)二級(jí)備案工作，后續(xù)的系統(tǒng)還在陸續(xù)進(jìn)行等級(jí)保護(hù)評(píng)測中，如圖5所示。

圖5 信息系統(tǒng)安全等級(jí)保護(hù)備案證書

3.4 加強(qiáng)網(wǎng)絡(luò)與信息安全監(jiān)控，實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀態(tài)

該校建立了網(wǎng)絡(luò)與信息安全統(tǒng)一監(jiān)測平臺(tái)、24小時(shí)網(wǎng)絡(luò)輿情監(jiān)控平臺(tái)、第三方網(wǎng)絡(luò)安全監(jiān)察服務(wù)機(jī)制和網(wǎng)絡(luò)突發(fā)事件應(yīng)急措施，實(shí)時(shí)掌握學(xué)校網(wǎng)絡(luò)與信息安全保護(hù)狀況。每逢重大活動(dòng)和會(huì)議期間，均安排專職員工進(jìn)行24小時(shí)值班，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全。

4 總結(jié)

智慧校園建設(shè)過程中，網(wǎng)絡(luò)和應(yīng)用的規(guī)模更加龐大，網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜，用戶數(shù)不斷增多，網(wǎng)絡(luò)與信息安全問題不容忽視。該文以浙江中醫(yī)藥大學(xué)為例，介紹了智慧校園網(wǎng)絡(luò)與信息安全防護(hù)體系及其實(shí)施經(jīng)驗(yàn)，今后將進(jìn)一步加強(qiáng)技術(shù)防護(hù)方案的改進(jìn)，優(yōu)化安全預(yù)警平臺(tái)，以確保校園網(wǎng)絡(luò)與信息安全。