等保2.0下高職院校智慧校園網(wǎng)絡(luò)安全體系建設(shè)研究
——以深圳職業(yè)技術(shù)學(xué)院為例

◆莫民 曹璞

（深圳職業(yè)技術(shù)學(xué)院教育技術(shù)與信息中心 廣東 518055）

隨著物聯(lián)網(wǎng)、人工智能、云計(jì)算、虛擬現(xiàn)實(shí)等為代表的新興信息技術(shù)與高職教育深度融合，高職教育數(shù)字化校園建設(shè)已逐步走向智慧校園建設(shè)新階段。智慧校園建設(shè)的目標(biāo)是實(shí)現(xiàn)校園智慧化服務(wù)和管理，覆蓋包括智慧教學(xué)、智慧管理、智慧環(huán)境、智慧安保等多種智慧化業(yè)務(wù)。在推進(jìn)智慧校園建設(shè)中，保障智慧校園各業(yè)務(wù)系統(tǒng)安全可靠運(yùn)行是首要任務(wù)，這對(duì)校園網(wǎng)絡(luò)安全提出了更高的要求。建立全面的網(wǎng)絡(luò)安全保障體系，加大對(duì)各類(lèi)數(shù)據(jù)信息的保護(hù)，是目前高職院校智慧校園信息化建設(shè)中面臨的新挑戰(zhàn)。我校在智慧校園建設(shè)中，依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)，開(kāi)展校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)，并與各應(yīng)用系統(tǒng)同步進(jìn)行實(shí)施，為師生提供快速、安全可靠的網(wǎng)絡(luò)環(huán)境，更好地為智慧校園提供服務(wù)。

1 智慧校園網(wǎng)絡(luò)安全現(xiàn)狀

校園網(wǎng)絡(luò)是智慧校園各業(yè)務(wù)系統(tǒng)運(yùn)行的基礎(chǔ)。智慧校園建設(shè)過(guò)程中，大量的信息系統(tǒng)新建或系統(tǒng)升級(jí)改造，網(wǎng)絡(luò)和應(yīng)用規(guī)模更加龐大，系統(tǒng)結(jié)構(gòu)更加復(fù)雜，校園網(wǎng)絡(luò)面臨著全新的安全隱患，無(wú)論是學(xué)校內(nèi)部還是外部網(wǎng)絡(luò)都面臨著嚴(yán)峻的信息安全挑戰(zhàn)。

校園網(wǎng)絡(luò)架構(gòu)不完善。高職院校校園網(wǎng)絡(luò)大多存在分期建設(shè)的情況，在建設(shè)的初期，對(duì)網(wǎng)絡(luò)安全的建設(shè)缺乏中、長(zhǎng)期規(guī)劃，安全設(shè)備多是后期通過(guò)打補(bǔ)丁的方式進(jìn)行整改和新增，設(shè)備部署分散、管理復(fù)雜，難于協(xié)同管理。隨著智慧校園建設(shè)工作的推進(jìn)，網(wǎng)絡(luò)平臺(tái)規(guī)模的逐步擴(kuò)大，校園網(wǎng)上提供的服務(wù)和加載的應(yīng)用程序不斷增多，涉及大量的信息數(shù)據(jù)、管理數(shù)據(jù)和師生敏感信息，對(duì)校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)、以及網(wǎng)絡(luò)安全提出了更高的安全等級(jí)要求。

應(yīng)用防御手段不足。隨著智慧校園建設(shè)的不斷深化，新增業(yè)務(wù)系統(tǒng)不斷增多，需求變得更復(fù)雜，應(yīng)用功能多樣，維護(hù)和管理難度增大，但相應(yīng)的應(yīng)用防御手段不足，網(wǎng)絡(luò)安全隱患不斷增加。

新技術(shù)應(yīng)用給校園網(wǎng)絡(luò)安全帶來(lái)全新挑戰(zhàn)。智慧校園是一種全新的校園信息化形態(tài)，物聯(lián)網(wǎng)、云計(jì)算、虛擬化技術(shù)、移動(dòng)互聯(lián)網(wǎng)、數(shù)據(jù)挖掘、數(shù)據(jù)交換、應(yīng)用集成等前沿信息技術(shù)已廣泛應(yīng)用到智慧校園中。學(xué)校采購(gòu)了高性能大容量的服務(wù)器等硬件設(shè)備，搭配專(zhuān)業(yè)的虛擬化平臺(tái)軟件進(jìn)行云數(shù)據(jù)中心建設(shè)，在其上部署各種應(yīng)用系統(tǒng)。但是云數(shù)據(jù)中心、云平臺(tái)、虛擬機(jī)架構(gòu)缺乏立體安全防護(hù)，云平臺(tái)下虛擬機(jī)東西向流量的安全也往往被忽視。而智慧校園建設(shè)中移動(dòng)應(yīng)用、虛擬現(xiàn)實(shí)和人工智能技術(shù)的應(yīng)用，也離不開(kāi)校園網(wǎng)絡(luò)的發(fā)展，要求高職院校的網(wǎng)絡(luò)更加安全和智能。

安全管理制度尚需完善。智慧校園建設(shè)中，網(wǎng)絡(luò)用戶(hù)群體復(fù)雜，有學(xué)校管理人員、勤務(wù)人員、教師、在校學(xué)生，還有大量的設(shè)備廠商開(kāi)發(fā)和運(yùn)維人員等，校園網(wǎng)用戶(hù)的網(wǎng)絡(luò)操作技能良莠不齊，相當(dāng)一部分校園網(wǎng)用戶(hù)存在“網(wǎng)絡(luò)安全問(wèn)題事不關(guān)己”“網(wǎng)絡(luò)安全防護(hù)意識(shí)差”等現(xiàn)象。學(xué)校業(yè)務(wù)應(yīng)用系統(tǒng)種類(lèi)繁多，大多數(shù)管理員不是專(zhuān)業(yè)人員，缺乏安全意識(shí)，安全措施不到位。高職院校網(wǎng)絡(luò)安全管理方面的制度還不夠完善或制度執(zhí)行不到位，不能對(duì)高校信息化建設(shè)、以及建設(shè)和使用人員形成有效的約束。以上問(wèn)題，對(duì)校園網(wǎng)安全管理帶來(lái)很大的困難。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是我國(guó)信息安全工作的基本制度和基本國(guó)策，是開(kāi)展信息安全工作的基本方法。

在等級(jí)保護(hù)1.0 時(shí)代，信息化建設(shè)以信息系統(tǒng)為基本單位，等級(jí)保護(hù)以信息系統(tǒng)為基本單位進(jìn)行定級(jí)、備案、測(cè)評(píng)、整改。隨著近幾年來(lái)一些新技術(shù)如云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能不斷提出和實(shí)現(xiàn)，信息技術(shù)的業(yè)務(wù)目標(biāo)、應(yīng)用技術(shù)、應(yīng)用場(chǎng)景等都發(fā)生了變化。為順應(yīng)新技術(shù)的發(fā)展，等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)也需要跟上新技術(shù)的發(fā)展，2019 年5 月，在等保1.0 的基礎(chǔ)上，公安部發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（簡(jiǎn)稱(chēng)“等保2.0”）

等保2.0將等級(jí)保護(hù)的對(duì)象由單個(gè)的信息系統(tǒng)擴(kuò)充至基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含移動(dòng)應(yīng)用系統(tǒng)）、云計(jì)算平臺(tái)、大數(shù)據(jù)應(yīng)用、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等，將被動(dòng)的防御審計(jì)方式轉(zhuǎn)變?yōu)橹鲃?dòng)的安全監(jiān)測(cè)、動(dòng)態(tài)響應(yīng)。提出由傳統(tǒng)的分層防護(hù)，向綜合防控和集中防護(hù)轉(zhuǎn)變，并提出構(gòu)建“一個(gè)中心，三重防護(hù)”的體系框架。一個(gè)中心是指安全管理中心，是將系統(tǒng)管理、審計(jì)管理、安全管理和集中管理等進(jìn)行融合集中管控；三重防護(hù)是指安全通信環(huán)境、安全區(qū)域邊界和安全計(jì)算環(huán)境。

等保2.0從技術(shù)和管理兩大方面對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全保障進(jìn)行了全面描述與規(guī)范（如圖1 所示），其是一部完整的以技術(shù)保障為基礎(chǔ)、以管理運(yùn)營(yíng)為抓手、以監(jiān)測(cè) 預(yù)警為核心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全防御體系框架性指導(dǎo)標(biāo)準(zhǔn)與規(guī)劃建設(shè)指南。高職院智慧校園網(wǎng)絡(luò)安全建設(shè)應(yīng)從學(xué)校實(shí)際出發(fā)，結(jié)合國(guó)家信息安全等級(jí)保護(hù)相關(guān)要求，制定一體化安全保障策略。

圖1 等保2.0 安全技術(shù)體系

3 網(wǎng)絡(luò)安全技術(shù)體系設(shè)計(jì)

校園網(wǎng)絡(luò)安全體系建設(shè)，一方面要考慮校園信息化發(fā)展現(xiàn)狀，針對(duì)教學(xué)系統(tǒng)、應(yīng)用管理系統(tǒng)、服務(wù)系統(tǒng)，大數(shù)據(jù)、輔助業(yè)務(wù)等應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的要求；另一方面還要從校內(nèi)核心用戶(hù)，比如：教師、學(xué)生、服務(wù)人員的角度出發(fā)；充分結(jié)合各種網(wǎng)絡(luò)構(gòu)成部分，比如：一卡通專(zhuān)網(wǎng)、財(cái)務(wù)專(zhuān)網(wǎng)、校園骨干網(wǎng)、校園匯聚網(wǎng)、校園接入網(wǎng)等組成部分，綜合評(píng)級(jí)并制定學(xué)校校園網(wǎng)安全保護(hù)且應(yīng)滿(mǎn)足等級(jí)保護(hù)二級(jí)要求，應(yīng)從物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境和管理安全等方面進(jìn)行設(shè)計(jì)。

3.1 物理環(huán)境安全設(shè)計(jì)與實(shí)現(xiàn)

網(wǎng)絡(luò)物理環(huán)境安全是網(wǎng)絡(luò)安全的前提，物理環(huán)境安全包括機(jī)房安全、網(wǎng)絡(luò)設(shè)備安全、線路安全等。網(wǎng)絡(luò)機(jī)房作為信息網(wǎng)絡(luò)樞紐和數(shù)據(jù)采集、傳輸與處理中心，為智慧校園各種應(yīng)用系統(tǒng)平臺(tái)提供安全、可靠、穩(wěn)定的運(yùn)行環(huán)境。為提升機(jī)房的整體環(huán)境，學(xué)校將校園網(wǎng)機(jī)房進(jìn)行改造升級(jí)。采用新一代模塊化機(jī)房，將機(jī)架、制冷、配電、安防、監(jiān)控和消防系統(tǒng)等基礎(chǔ)設(shè)置集成到一個(gè)特殊設(shè)計(jì)的框架內(nèi)，形成一個(gè)高度集成、多用途的機(jī)房模塊，并可實(shí)現(xiàn)積木式擴(kuò)展。機(jī)房中除提供穩(wěn)定的電力供應(yīng)、還配備UPS、溫濕度控制、門(mén)禁、電磁防護(hù)、動(dòng)環(huán)監(jiān)控平臺(tái)等軟硬件設(shè)施來(lái)建立系統(tǒng)運(yùn)行的物理保護(hù)架構(gòu)。

3.2 校園網(wǎng)安全通信網(wǎng)絡(luò)體系設(shè)計(jì)

構(gòu)建校園網(wǎng)安全通信網(wǎng)絡(luò)包含網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗(yàn)證等控制點(diǎn)，可通過(guò)結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)等幾個(gè)方面進(jìn)行整體設(shè)計(jì)部署。

網(wǎng)絡(luò)布局及架構(gòu)。在網(wǎng)絡(luò)建設(shè)中，校園網(wǎng)絡(luò)架構(gòu)以星型結(jié)構(gòu)為主，將校園網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。遵照網(wǎng)絡(luò)結(jié)構(gòu)扁平化設(shè)計(jì)原則，利用核心設(shè)備的強(qiáng)大功能盡量減少匯聚層設(shè)備，接入層和樓宇匯聚以下以二層交換接入到核心設(shè)備，在核心上做路由。三層的相關(guān)設(shè)備都采用支持IPv6 協(xié)議和多協(xié)議標(biāo)簽交換MPLS 技術(shù)的設(shè)備，以迎接IPv6 的普及并提升安全性。學(xué)校有東、西、北三大主要校區(qū)，核心層采用三校區(qū)核心環(huán)形網(wǎng)絡(luò)結(jié)構(gòu)，在東校區(qū)部署兩臺(tái)核心交換機(jī)來(lái)確保實(shí)現(xiàn)雙機(jī)熱備功能，并與西、北校區(qū)形成環(huán)狀結(jié)構(gòu)。各校區(qū)之間的核心通過(guò)城域網(wǎng)互聯(lián)，帶寬40G 的骨干鏈路保證各校區(qū)的數(shù)據(jù)流量帶寬。同時(shí)，在此基礎(chǔ)上拓展校園無(wú)線網(wǎng)絡(luò)的部署，將無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的延伸和補(bǔ)充，實(shí)施全校區(qū)統(tǒng)一覆蓋和無(wú)縫銜接。校園網(wǎng)絡(luò)建設(shè)實(shí)現(xiàn)“接入層千兆”“匯聚層萬(wàn)兆”“核心層十萬(wàn)兆”的高速三層網(wǎng)絡(luò)構(gòu)架。

網(wǎng)絡(luò)安全區(qū)域劃分。根據(jù)學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用，依據(jù)信息安全等級(jí)保護(hù)的需求，按照“分區(qū)隔離、整體防護(hù)、分層把守”的原則，采用邏輯隔離技術(shù)（VLAN 和防火墻技術(shù)）將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為互聯(lián)網(wǎng)接入域、核心鏈路域、數(shù)據(jù)中心域、網(wǎng)絡(luò)管理域、辦公域等共五個(gè)區(qū)域，每個(gè)區(qū)域之下根據(jù)業(yè)務(wù)情況可細(xì)分不同的子域，如數(shù)據(jù)中心區(qū)域又劃分為DMZ、運(yùn)維管理、安全管理三個(gè)子域。在各區(qū)域部署相應(yīng)的網(wǎng)絡(luò)安全設(shè)備，設(shè)置相應(yīng)的網(wǎng)絡(luò)策略，實(shí)現(xiàn)不同安全域之間的隔離，形成區(qū)域邊界，加強(qiáng)安全防護(hù)信息，防護(hù)來(lái)自域之外的安全風(fēng)險(xiǎn)。

安全區(qū)域邊界控制。校園出口網(wǎng)絡(luò)采用多條ISP 鏈路，通過(guò)負(fù)載均衡機(jī)制均衡多條鏈路之間的流量分布。部署出口防火墻、核心鏈路防火墻和數(shù)據(jù)中心防火墻，構(gòu)成多層防火墻實(shí)現(xiàn)區(qū)域邊界的安全防護(hù)策略。出口防火墻主要完成互聯(lián)網(wǎng)域和校園網(wǎng)的訪問(wèn)控制，核心鏈路防火墻和數(shù)據(jù)中心防火墻主要完成校園網(wǎng)內(nèi)部訪問(wèn)控制。部署抗 DDoS 攻擊設(shè)備，就外部網(wǎng)絡(luò)對(duì)校園網(wǎng)的 DDoS 攻擊流量進(jìn)行檢測(cè)、報(bào)警和清理。對(duì)于互聯(lián)網(wǎng)接入域的核心設(shè)備，如出口防火墻、DDoS 防御、流量控制、VPN 系統(tǒng)進(jìn)行冗余設(shè)計(jì)，以保障學(xué)校關(guān)鍵業(yè)務(wù)系統(tǒng)的可用性與連續(xù)性。

安全策略的制定。在出口防火墻上部署安全防護(hù)策略，只允許互聯(lián)網(wǎng)訪問(wèn)數(shù)據(jù)中心域部分開(kāi)放服務(wù)端口，拒絕互聯(lián)網(wǎng)主動(dòng)訪問(wèn)核心鏈路域、網(wǎng)絡(luò)管理域和辦公域，允許辦公域和網(wǎng)絡(luò)管理域訪問(wèn)互聯(lián)網(wǎng)，根據(jù)業(yè)務(wù)需求允許部分核心鏈路域和數(shù)據(jù)中心域設(shè)備訪問(wèn)互聯(lián)網(wǎng)。在核心鏈路防火墻部署安全防護(hù)策略，允許網(wǎng)絡(luò)管理域訪問(wèn)所有校園網(wǎng)區(qū)域，只允許辦公域訪問(wèn)數(shù)據(jù)中心域業(yè)務(wù)服務(wù)端口，根據(jù)業(yè)務(wù)服務(wù)需求，允許部分辦公域訪問(wèn)網(wǎng)絡(luò)管理域服務(wù)。在數(shù)據(jù)中心防火墻部署安全防護(hù)策略，允許有業(yè)務(wù)關(guān)聯(lián)服務(wù)器間互相訪問(wèn)服務(wù)端口，保障業(yè)務(wù)正常運(yùn)行，禁止無(wú)業(yè)務(wù)關(guān)聯(lián)服務(wù)器間訪問(wèn)。

校園網(wǎng)安全體系設(shè)計(jì)如圖2 所示。

圖2 校園網(wǎng)絡(luò)安全體系拓?fù)鋱D

3.3 安全計(jì)算環(huán)境

安全計(jì)算環(huán)境要求主要包括：用戶(hù)身份鑒別、自主訪問(wèn)控制、系統(tǒng)安全審計(jì)、用戶(hù)數(shù)據(jù)完整性保護(hù)、用戶(hù)數(shù)據(jù)保密性保護(hù)、數(shù)據(jù)備份恢復(fù)、入侵檢測(cè)和惡意代碼防范等方面內(nèi)容。

用戶(hù)認(rèn)證及授權(quán)。采用統(tǒng)一身份認(rèn)證系統(tǒng)為校園所有應(yīng)用系統(tǒng)提供統(tǒng)一的用戶(hù)管理、統(tǒng)一的身份認(rèn)證服務(wù)，同時(shí)支持基于角色的用戶(hù)權(quán)限管理。采用數(shù)字證書(shū)、數(shù)據(jù)加密技術(shù)以及基于角色訪問(wèn)控制技術(shù)，提高應(yīng)用系統(tǒng)的安全性和用戶(hù)信息的安全性。重要應(yīng)用系統(tǒng)在管理后臺(tái)添加應(yīng)用程序認(rèn)證模塊功能，設(shè)置用戶(hù)認(rèn)證通過(guò)CA 證書(shū)和用戶(hù)名口令進(jìn)行身份鑒別，滿(mǎn)足雙因子身份鑒別方式。

主機(jī)安全設(shè)計(jì)與實(shí)現(xiàn)。智慧校園中采用的是云平臺(tái)模式，虛擬化集群服務(wù)器安全主要考慮虛擬云平臺(tái)安全策略。將云平臺(tái)劃分為計(jì)算域、服務(wù)域、維護(hù)域等不同的安全子域，通過(guò)部署虛擬化安全設(shè)備（如：虛擬化防火墻、虛擬化WAF、虛擬化IPS），將一臺(tái)安全設(shè)備在邏輯上劃分成多臺(tái)虛擬的安全設(shè)備，每個(gè)虛擬安全設(shè)備都可以被看成是一臺(tái)完全獨(dú)立的安全設(shè)備，可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)等，從而進(jìn)行有效的網(wǎng)絡(luò)隔離和防護(hù)。

訪問(wèn)控制與安全審計(jì)。在網(wǎng)絡(luò)管理域中部署堡壘機(jī)系統(tǒng)，實(shí)現(xiàn)對(duì)運(yùn)維管理人員的統(tǒng)一安全審計(jì)；通過(guò)堡壘主機(jī)控制運(yùn)維管理用戶(hù)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器的訪問(wèn)。在堡壘機(jī)上啟用安全的遠(yuǎn)程管理協(xié)議，保證身份鑒別等敏感信息在傳輸過(guò)程中的安全。

惡意代碼防范設(shè)計(jì)。在網(wǎng)絡(luò)管理域中部署網(wǎng)絡(luò)版防病毒軟件的根服務(wù)器，在各業(yè)務(wù)系統(tǒng)中各部署一套級(jí)聯(lián)服務(wù)器對(duì)安裝網(wǎng)絡(luò)版防毒軟件的服務(wù)器進(jìn)行管理和特征庫(kù)同步更新。對(duì)經(jīng)過(guò)網(wǎng)絡(luò)傳輸?shù)膼阂獯a進(jìn)行檢測(cè)，在惡意代碼（蠕蟲(chóng)、木馬和病毒等）未到達(dá)目標(biāo)主機(jī)前完成查殺。

應(yīng)用安全設(shè)計(jì)與實(shí)現(xiàn)。重要應(yīng)用系統(tǒng)采用HTTPS 協(xié)議支撐后臺(tái)服務(wù)或通過(guò)VPN 訪問(wèn)后臺(tái)，對(duì)通信過(guò)程中數(shù)據(jù)的完整性進(jìn)行驗(yàn)證，并對(duì)通信過(guò)程中報(bào)文或會(huì)話(huà)過(guò)程進(jìn)行加密。在應(yīng)用系統(tǒng)前部署 Web 應(yīng)用防火墻，開(kāi)啟Web 防護(hù)策略、防掃描功能、DDoS 攻擊防護(hù)策略等對(duì)來(lái)自應(yīng)用層的攻擊（如注入攻擊、網(wǎng)頁(yè)木馬、HTTP 協(xié)議攻擊等）進(jìn)行檢測(cè)及防范。在應(yīng)用系統(tǒng)前部署防篡改設(shè)備，對(duì)相關(guān)應(yīng)用系統(tǒng)進(jìn)行惡意篡改監(jiān)控和防護(hù)。部署 Web 安全掃描系統(tǒng)對(duì)相關(guān)Web應(yīng)用系統(tǒng)安全進(jìn)行掃描檢測(cè)，及時(shí)發(fā)現(xiàn)安全問(wèn)題。通過(guò)調(diào)整安全策略及添加審計(jì)功能，提高應(yīng)用系統(tǒng)安全防護(hù)能力。

數(shù)據(jù)安全設(shè)計(jì)與實(shí)現(xiàn)。建立統(tǒng)一的數(shù)據(jù)中心和數(shù)據(jù)標(biāo)準(zhǔn)，對(duì)接入智慧校園各系統(tǒng)的所有數(shù)據(jù)進(jìn)行統(tǒng)一管理，建立并完善數(shù)據(jù)訪問(wèn)控制機(jī)制。部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，將信息系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器VLAN 中的數(shù)據(jù)以鏡像方式發(fā)送至數(shù)據(jù)庫(kù)審計(jì)引擎的采集端口，并發(fā)送至安全管理中心進(jìn)行數(shù)據(jù)庫(kù)日志審計(jì)。通過(guò)建立數(shù)據(jù)庫(kù)賬號(hào)密碼策略、數(shù)據(jù)庫(kù)訪問(wèn)控制策略、數(shù)據(jù)完整性校驗(yàn)及加密、數(shù)據(jù)備份與恢復(fù)等一系列的措施，加強(qiáng)對(duì)數(shù)據(jù)庫(kù)的防護(hù)。

終端安全設(shè)計(jì)。在辦公域中使用域控并開(kāi)啟組策略，安裝終端安全管理系統(tǒng)和網(wǎng)絡(luò)版防病毒軟件。防病毒及統(tǒng)一終端安全管理系統(tǒng)服務(wù)器端部署在數(shù)據(jù)中心域中，辦公域中所有辦公終端安裝終端安全管理系統(tǒng)客戶(hù)端，所有的安全策略由終端安全管理系統(tǒng)服務(wù)端統(tǒng)一部署并下發(fā)策略。

3.4 管理安全中心

建立安全管理中心是等保2.0 新增的控制措施。安全管理中心建設(shè)可實(shí)現(xiàn)對(duì)所有設(shè)備和運(yùn)維人員的統(tǒng)一集中管理，包括系統(tǒng)管理、安全管理、審計(jì)管理和集中管控四項(xiàng)要求。通過(guò)部署堡壘機(jī)系統(tǒng)進(jìn)行網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運(yùn)維權(quán)限管控和信息安全審計(jì)，對(duì)所有運(yùn)維人員的登錄進(jìn)行統(tǒng)一身份驗(yàn)證與審計(jì)，實(shí)現(xiàn)單點(diǎn)登錄、賬號(hào)管理、身份認(rèn)證、統(tǒng)一資源授權(quán)管理、配置相應(yīng)的安全策略，對(duì)運(yùn)維操作進(jìn)行集中管理和分析，實(shí)現(xiàn)對(duì)運(yùn)維操作的安全監(jiān)控與審計(jì)。使用堡壘機(jī)接管了運(yùn)維終端對(duì)目標(biāo)資源的直接訪問(wèn)，邏輯上將運(yùn)維人員與目標(biāo)設(shè)備進(jìn)行了分離。

網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)設(shè)計(jì)建設(shè)。為實(shí)時(shí)監(jiān)測(cè)校園網(wǎng)絡(luò)安全狀況，及時(shí)發(fā)現(xiàn)并處置安全事件，化被動(dòng)為主動(dòng)，為校園網(wǎng)絡(luò)安全提供保障，因此充分利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等先進(jìn)技術(shù)，建立校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案。平臺(tái)架構(gòu)設(shè)計(jì)為數(shù)據(jù)采集、大數(shù)據(jù)平臺(tái)、檢測(cè)分析、應(yīng)用展示四層邏輯架構(gòu)。通過(guò)全面采集全網(wǎng)流量數(shù)據(jù)、收集校內(nèi)各類(lèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)以及各種應(yīng)用系統(tǒng)的日志、事件、告警信息、審計(jì)信息等數(shù)據(jù)進(jìn)行匯總和集中分析，對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等事項(xiàng)進(jìn)行集中管理，對(duì)整個(gè)校園網(wǎng)的線路、設(shè)備和服務(wù)狀態(tài)進(jìn)行監(jiān)控。借助大數(shù)據(jù)采集、處理、存儲(chǔ)、分析等相關(guān)技術(shù)，對(duì)海量網(wǎng)絡(luò)安全信息進(jìn)行自動(dòng)分析處理和深度挖掘，對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià)，建立一個(gè)實(shí)時(shí)展示、識(shí)別、分析、預(yù)警安全威脅的統(tǒng)一的安全管理系統(tǒng)。隨著該系統(tǒng)平臺(tái)的部署實(shí)施，將整個(gè)校園網(wǎng)安全態(tài)勢(shì)以可視化形式呈現(xiàn)，網(wǎng)絡(luò)運(yùn)維人員可非常直觀地持續(xù)監(jiān)控網(wǎng)絡(luò)活動(dòng)，檢測(cè)、分析并判斷異常事件，聯(lián)動(dòng)安全設(shè)備實(shí)現(xiàn)自動(dòng)精準(zhǔn)阻斷，同時(shí)可以對(duì)網(wǎng)絡(luò)攻擊溯源進(jìn)行取證。實(shí)現(xiàn)安全態(tài)勢(shì)可感知、安全威脅可預(yù)警、異常行為可監(jiān)控，切實(shí)做到事前有效預(yù)警、事中及時(shí)處理、事后查補(bǔ)漏洞的有效的信息安全防范手段，有效提高校園網(wǎng)絡(luò)安全水平。

3.5 安全服務(wù)體系

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，單靠某一個(gè)人或部門(mén)無(wú)法把網(wǎng)絡(luò)安全工作做好。學(xué)校要建立起運(yùn)營(yíng)商級(jí)、安全運(yùn)維級(jí)和校級(jí)三級(jí)安全服務(wù)體系。學(xué)校是安全責(zé)任的主體，在網(wǎng)絡(luò)安全運(yùn)維過(guò)程中，學(xué)校采用人防和技防相結(jié)合的模式，一方面既要充分發(fā)揮網(wǎng)絡(luò)安全設(shè)備的功能，還要學(xué)校網(wǎng)絡(luò)技術(shù)人員起到主導(dǎo)作用，主要問(wèn)題、關(guān)鍵環(huán)節(jié)要了然于胸，做好安全日常運(yùn)維和事故處置。另一方面，加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通，利用運(yùn)營(yíng)商和網(wǎng)絡(luò)安全公司的技術(shù)力量，來(lái)彌補(bǔ)學(xué)校技術(shù)力量不足的問(wèn)題，如引進(jìn)漏洞檢測(cè)設(shè)備、采用安全評(píng)估工具以及委托第三方安全檢測(cè)機(jī)構(gòu)，由專(zhuān)業(yè)安全運(yùn)維團(tuán)隊(duì)開(kāi)展人工滲透測(cè)試，定期對(duì)學(xué)校重要應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)、虛擬機(jī)、移動(dòng)APP 等進(jìn)行漏洞檢測(cè)和滲透測(cè)試，提前發(fā)現(xiàn)問(wèn)題，對(duì)于存在高危漏洞的信息系統(tǒng)及時(shí)進(jìn)行整改。

4 網(wǎng)絡(luò)安全管理體系建立

在實(shí)施網(wǎng)絡(luò)安全建設(shè)中，要管理先行。網(wǎng)絡(luò)安全管理體系設(shè)計(jì)主要依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的管理要求而設(shè)計(jì)。分別從以下方面進(jìn)行設(shè)計(jì)：

安全管理機(jī)構(gòu)。學(xué)校成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，并由其制定信息安全工作的總體方針和安全策略，明確學(xué)校網(wǎng)絡(luò)安全工作的總體目標(biāo)、范圍、原則和安全框架等。確立網(wǎng)絡(luò)信息安全管理組織體系與崗位職責(zé)，通過(guò)網(wǎng)絡(luò)安全系列文件頒布實(shí)施落實(shí)網(wǎng)絡(luò)安全責(zé)任。建立分級(jí)安全責(zé)任體系，明確黨委書(shū)記和部門(mén)負(fù)責(zé)人為各單位網(wǎng)絡(luò)安全第一責(zé)任人；明確信息辦為網(wǎng)絡(luò)安全工作的統(tǒng)籌協(xié)調(diào)部門(mén)、信息中心為運(yùn)維和技術(shù)支撐部門(mén)。各單位指定一名網(wǎng)絡(luò)安全工作員，負(fù)責(zé)本單位網(wǎng)絡(luò)安全日常管理和具體落實(shí)協(xié)調(diào)工作。

安全管理制度。學(xué)校從技術(shù)管理、運(yùn)維管理、信息安全管理、信息化服務(wù)管理、信息化項(xiàng)目管理、信息化支撐管理等方面建立安全管理制度；對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。制定學(xué)校信息安全標(biāo)準(zhǔn)規(guī)范，用于建立信息系統(tǒng)可靠的安全防御，指導(dǎo)信息系統(tǒng)在物理部署、網(wǎng)絡(luò)設(shè)置、系統(tǒng)安全防治、應(yīng)用平臺(tái)安全等方面制定落實(shí)安全措施，明確信息系統(tǒng)可以獲取的安全支撐環(huán)境，以及應(yīng)用支撐平臺(tái)對(duì)信息系統(tǒng)的安全要求。

人員安全管理。加強(qiáng)各單位系統(tǒng)管理人員的錄用、考核和離崗管理。規(guī)范人員錄用過(guò)程，對(duì)被錄用人員的身份、背景和專(zhuān)業(yè)資格等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；與從事關(guān)鍵崗位的人員簽署保密協(xié)議。定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。規(guī)范系統(tǒng)管理人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限。

加強(qiáng)系統(tǒng)建設(shè)和運(yùn)維管理。實(shí)行信息系統(tǒng)全生命周期的管理。在系統(tǒng)方案設(shè)計(jì)之初，即要明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；選擇基本安全措施，明確對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。

5 結(jié)束語(yǔ)

安全的網(wǎng)絡(luò)環(huán)境為智慧校園的建設(shè)提供極為強(qiáng)大的基礎(chǔ)設(shè)施和助力作用。在推進(jìn)智慧校園建設(shè)的同時(shí)，本文研究了將網(wǎng)絡(luò)安全和應(yīng)用系統(tǒng)建設(shè)統(tǒng)籌推進(jìn)，以“等保2.0”的標(biāo)準(zhǔn)為抓手和依托，通過(guò)對(duì)學(xué)校網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、管理安全等各方面進(jìn)行規(guī)劃設(shè)計(jì)建設(shè)，部署相應(yīng)的安全產(chǎn)品并進(jìn)行相應(yīng)的安全配置，結(jié)合安全服務(wù)體系的構(gòu)建，建立起校園網(wǎng)絡(luò)安全保障體系，提高高職院校信息安全防護(hù)水平及能力，為智慧校園各項(xiàng)應(yīng)用保駕護(hù)航。