黨建引領助推高校網(wǎng)絡安全邁上新臺階———以山東科技大學為例

◆張彬 張曉軍 胡昱潔 周俐軍

黨建引領助推高校網(wǎng)絡安全邁上新臺階———以山東科技大學為例

◆張彬1張曉軍2胡昱潔3周俐軍4

（1.山東科技大學 研究生院 山東 266590；2.山東科技大學 馬克思主義學院 山東 266590；3.山東科技大學 地球科學與工程與工程學院 山東 266590；4.山東科技大學 網(wǎng)絡安全與信息化辦公室 山東 266590）

隨著互聯(lián)網(wǎng)、AI、大數(shù)據(jù)、區(qū)塊鏈為代表的“新基建”迅猛發(fā)展，網(wǎng)絡安全問題日益受到重視。習近平總書記強調“沒有網(wǎng)絡安全就沒有國家安全”、“沒有信息化就沒有現(xiàn)代化”，為新時代網(wǎng)絡強國建設指明了前進方向?！靶禄ā蓖苿又鴤鹘y(tǒng)高校的數(shù)字化轉型，為高校智慧校園建設增添了新動能。隨著智慧校園建設的開展，高校信息化系統(tǒng)應用不斷增多，其安全問題也日益突出。本文以山東科技大學為例，就新網(wǎng)絡時代背景下高校智慧校園網(wǎng)絡安全研究進行了分析，從安全防護系統(tǒng)建設、態(tài)勢感知中心建設、開展信息安全培訓、強化安全隊伍、安全審計、業(yè)務連續(xù)性管理等5個方面構建高校網(wǎng)絡安全技術支撐體系，為其他高校提升網(wǎng)絡安全保障能力提供了有益借鑒和參考。

校園網(wǎng)；黨建引領；網(wǎng)絡安全；技術支撐體系

1 引言

教育信息化的發(fā)展水平已成為衡量一個國家教育現(xiàn)代化水平的重要標志。隨著我國信息化建設進程的加快，教育信息化發(fā)展面臨著新的發(fā)展機遇和挑戰(zhàn)。網(wǎng)絡安全正日益受到重視。黨的十八大以來，以習近平同志為核心的黨中央統(tǒng)籌協(xié)調涉及政治、經(jīng)濟、文化等領域網(wǎng)絡安全和信息化重大問題，推動我國網(wǎng)信事業(yè)取得歷史性成就。2017年6月1日，《中華人民共和國網(wǎng)絡安全法》正式施行；2018年4月，全國網(wǎng)絡安全和信息化工作會議在北京召開。習近平總書記高度重視網(wǎng)絡安全工作，多次強調要建設風清氣正網(wǎng)絡空間、共筑網(wǎng)絡安全防線，“讓互聯(lián)網(wǎng)更好造福人民”。

山東科技大學是山東省第一批教育信息化的試點單位，認真貫徹落實《教育信息化2.0行動計劃》，實施“智慧校園工程”，認真做好網(wǎng)絡安全頂層設計，保障了全校信息化科學、健康、持續(xù)的發(fā)展，為以教育教學改革、科研體制改革、人事制度改革、財務資產(chǎn)管理改革、學生管理改革為主要內(nèi)容的學校綜合改革提供了重要的支撐保障。學校學習貫徹習近平總書記關于“網(wǎng)絡安全”的重要講話精神，強化黨建引領，成立網(wǎng)絡安全領導小組，深入學習貫徹會議精神，不斷加強網(wǎng)絡安全統(tǒng)籌協(xié)調力度，著力保障關鍵信息基礎設施安全，積極開展網(wǎng)絡安全宣傳教育，努力提升網(wǎng)絡安全保障水平。積極與深信服科技股份有限公司、安恒信息技術有限公司、360企業(yè)安全集團等企業(yè)黨組織聯(lián)合開展“以黨建為引領，確保學校網(wǎng)絡信息安全”活動。

2 加強網(wǎng)絡安全防護能力建設的路徑措施

學校從5個方面構建網(wǎng)絡信息安全保障工程。

2.1 安全防護系統(tǒng)建設

部署漏洞掃描、安全評估、安全防范等硬件設施與管理系統(tǒng)，加強網(wǎng)站和信息系統(tǒng)的綜合技術保護措施，提升各類網(wǎng)絡安全事件的響應處理能力。部署綜合安全防御、安全威脅預警、安全日志審計等支撐系統(tǒng)。

2.2 態(tài)勢感知中心建設

構建基于環(huán)境、動態(tài)、整體洞悉校園安全風險的感知中心，實時監(jiān)控校園網(wǎng)絡出口和主干網(wǎng)絡攻擊的主要指標、學校各類網(wǎng)站的攻擊狀態(tài)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應處置能力，服務于決策行動。

2.3 開展信息安全培訓，強化安全隊伍

開展多層次的信息安全技術培訓，提高網(wǎng)絡安全業(yè)務水平。面向師生、信息化聯(lián)絡員、信息化專職人員、合作企業(yè)，開展信息安全管理及技術培訓。形成由專職隊伍、專家團隊、信息化聯(lián)絡員及相關企業(yè)共同組成的網(wǎng)絡信息安全人才隊伍，提高全校網(wǎng)絡安全防御能力。

2.4 安全審計

內(nèi)網(wǎng)審計系統(tǒng)以旁路方式接入，通常采用交換機數(shù)據(jù)鏡像，將需要審計關注的數(shù)據(jù)鏡像到系統(tǒng)的數(shù)據(jù)采集端口。運維審計系統(tǒng)采用物理旁路，邏輯串聯(lián)的方式接入用戶網(wǎng)絡。接入點為服務器區(qū)的出口。設備日志審計系統(tǒng)直接部署于網(wǎng)絡中保持與被采集設備網(wǎng)絡互通即可。

內(nèi)網(wǎng)審計管理系統(tǒng)包括：數(shù)據(jù)庫類（SQL Server、DB2、Oracle、MySQL）、運維管理類（Telnet、FTP、NetBIOS）、業(yè)務類（HTTP、POP3、SMTP）；同時，系統(tǒng)支持對其他協(xié)議基本信息的審計，并能方便地擴展對其他協(xié)議更細粒度的支持；采用領先的協(xié)議識別和智能關聯(lián)技術，提供全面深入的協(xié)議分析、解碼、回放，審計內(nèi)容包括登錄賬號、持續(xù)時間、流量、操作命令、操作對象、操作參數(shù)、關鍵詞、敏感數(shù)據(jù)、涉密信息、操作執(zhí)行結果等。

設備日志審計采用典型設備日志采集協(xié)議：SNMP、SYSLOG、自定義等，對主機設備、網(wǎng)絡設備、安全設備等基礎設施系統(tǒng)安全日志進行采集、歸檔、分析、輸出，最終形成全面的報表，提供高危日志告警等預處理功能。

綜合安全審計管理系統(tǒng)提供多級授權管理支持集成第三方認證、高效查詢功能、強大的報表生成功能；系統(tǒng)管理支持配置備份、還原，支持雙機熱備，支持“集中管理、分級部署”，支持高性能高可用負起均衡集群部署，系統(tǒng)自身具有系統(tǒng)審計功能，對管理員配置變更、用戶操作登錄等信息有詳細的記錄和日志查詢。

2.5 業(yè)務連續(xù)性管理

2.5.1容災備份參數(shù)

在設計容災系統(tǒng)時，經(jīng)常涉及以下三個關鍵參數(shù)：

（1）恢復點目標（Recovery-Point Objective - RPO）

恢復點目標指在發(fā)生災難的情況下企業(yè)可容忍的數(shù)據(jù)丟失量的衡量標準。

（2）恢復時間目標（Recovery-Time Objective - RTO）

恢復時間目標指災難發(fā)生后，企業(yè)業(yè)務系統(tǒng)恢復運營所需要耗費的時間。

（3）備份成本

實現(xiàn)預定的RPO和RTO需要投入的資源總和。

成本、RPO和RTO關系如圖1所示。

圖1 成本、RPO和RTO關系

RPO越接近零，丟失的數(shù)據(jù)量越少，則成本越高；同理，RTO越接近零，系統(tǒng)恢復的時間越少，則成本也會越高。

2.5.2數(shù)據(jù)保護的挑戰(zhàn)

隨著企業(yè)的不斷發(fā)展，企業(yè)內(nèi)部的數(shù)據(jù)將呈現(xiàn)幾何式增長。如果將企業(yè)的數(shù)據(jù)分為：非結構化數(shù)據(jù)（文檔、圖片等）、結構化數(shù)據(jù)（數(shù)據(jù)庫數(shù)據(jù)）和半結構化數(shù)據(jù)（電子郵件數(shù)據(jù)），根據(jù)國際權威分析機構的分析結果：非結構化數(shù)據(jù)在企業(yè)總數(shù)據(jù)中的比重最大、增長最迅速。如此海量的數(shù)據(jù)為企業(yè)數(shù)據(jù)保護工作帶來了極大的挑戰(zhàn)。

數(shù)據(jù)備份和恢復的成本越來越高（備份數(shù)據(jù)的存儲和維護成本），建議采用備份一體機，對核心重要的虛擬機進行備份。備份一體機會與VMware的VADP API對接，支持對虛擬機進行每天的全備份（之存儲變化的數(shù)據(jù)塊）。然后針對核心的數(shù)據(jù)庫建議通過腳本進行定期的備份。

同時定期進行備份恢復演練，編輯災難恢復手冊。最終建立一個完整的備份系統(tǒng)，實現(xiàn)業(yè)務系統(tǒng)與數(shù)據(jù)庫的本地備份。實現(xiàn)零宕機、零數(shù)據(jù)損失的故障切換，保障學校業(yè)務可用性和數(shù)據(jù)可恢復性。

2.5.3認證與授權

校園網(wǎng)承載著多個業(yè)務系統(tǒng)，每個業(yè)務系統(tǒng)都有自己獨立的用戶訪問認證方式，雖然建設了統(tǒng)一身份認證，對于特殊類型的用戶比如教師用工號進行認證缺乏必要的安全性，一旦工號丟失或被盜用，會給用戶或集體造成損失和風險；

另外，信息安全傳輸、安全存儲和抵抗攻擊缺乏有效的防護手段。

PKI/CA體系構建在學校應用系統(tǒng)前端，包括認證中心、注冊中心、密鑰管理中心、統(tǒng)一身份認證接口等幾個部分。PKI/CA認證體系部署示意圖如圖2。

圖2 PKI/CA認證體系部署示意圖

CA安全區(qū)：主要承載CA Server、主從LDAP、數(shù)據(jù)庫、加密機、OCSP等；其中CA服務器負責全網(wǎng)數(shù)字證書簽發(fā)、主從LDAP為全網(wǎng)數(shù)字證書的查詢提供服務、加密機用于產(chǎn)生CA中心的簽名密鑰對；OCSP服務器主要為數(shù)字證書應用提供實時在線查詢服務。

KMC管理區(qū)：主要承載KMC Server、加密機等；KM Server為CA Server提供加密密鑰的存儲及管理服務；加密機用于產(chǎn)生通信加密的對稱密鑰；KMC管理區(qū)承載的各種設施部署在數(shù)字化校園的網(wǎng)絡安全域，并通過VLAN及防火墻等技術與CA安全區(qū)實現(xiàn)邏輯隔離。

RA注冊區(qū)：主要承載各院所的RA注冊服務器，為各院所的師生管理提供數(shù)字證書注冊服務；該區(qū)域與CA安全區(qū)的通信采用加密的安全方式傳輸，并在區(qū)域邊界實施邏輯隔離。

3 結語

高校網(wǎng)絡安全是一個長期、復雜又而龐大的系統(tǒng)工程，任重道遠。本文介紹了山東科技大學以黨建為引領，構建高校網(wǎng)絡安全技術支撐體系采取的路徑措施。學校近年來在網(wǎng)絡安全保障方面與時俱進，不斷完善，圓滿完成了黨的十九大、青島上合峰會、海軍節(jié)、全國兩會、新中國成立70周年、建黨100周年、國家網(wǎng)絡安全宣傳周等一系列關鍵時期的網(wǎng)絡安全保障工作，為其他兄弟高校網(wǎng)絡安全發(fā)展思路提供新的視角和有益借鑒。

[1]湯湘林，陳方兵. 5G時代下高校網(wǎng)絡安全研究與應用[J]. 網(wǎng)絡安全技術與應用，2021，（06）：89-90.

[2]周立志，朱尚明.高校網(wǎng)絡信息安全體系建設實踐和思考[J].深圳大學學報（理工版），2020，37（S1）：73-77.

[3]張彬，李巖. 基于大數(shù)據(jù)引擎的智慧校園建設探討——以山東科技大學為例[J].山東教育（高教），2020，（04）：44-47.

本文系2018年度山東省研究生導師指導能力提升項目“新舊動能轉換背景下非全日制研究生產(chǎn)教融合培養(yǎng)路徑探索”（編號：Sdyz18006）；2020年度山東科技大學教育教學群星計劃“基于移動互聯(lián)的視頻交互式仿真實驗教學模式的研究與實踐”（編號：QX2020M95）；山東科技大學在線課程建設項目“遙感圖像解譯”（編號：ZXK2020017）研究成果