劉 鵬，孫 謙，賀寶華，王光武①

（1.大連海洋大學(xué) 信息化工作辦公室，遼寧 大連 116023；2.大連海洋大學(xué) 學(xué)科與研究生管理處，遼寧 大連116023；3.大連海洋大學(xué) 組織人事部，遼寧 大連 116023）

隨著計算機及互聯(lián)網(wǎng)的不斷發(fā)展與廣泛應(yīng)用，我國各高校先后建設(shè)了自己的校園網(wǎng)絡(luò)，校園網(wǎng)絡(luò)已經(jīng)成為高校教育信息化的重要組成部分，在高校人才培養(yǎng)、科學(xué)研究、文化傳承以及社會服務(wù)方面帶來了深遠影響。但是互聯(lián)網(wǎng)的數(shù)據(jù)爆炸、去中心化、信息鴻溝等特性也加劇了網(wǎng)絡(luò)風(fēng)險產(chǎn)生的可能性。校園網(wǎng)絡(luò)安全包括整網(wǎng)可用性、用戶主機安全以及校園信息安全等多個方面，其中校園數(shù)據(jù)中心內(nèi)各個應(yīng)用系統(tǒng)的數(shù)據(jù)與信息，作為學(xué)校多年來在教學(xué)、科研、管理等方面積累的無形資產(chǎn)，直接關(guān)系到學(xué)校師生個人利益、校園穩(wěn)定以及學(xué)校辦學(xué)實力，其安全維穩(wěn)工作更是至關(guān)重要。

一、高校數(shù)據(jù)中心網(wǎng)絡(luò)安全保障的時代背景

近年來，網(wǎng)絡(luò)安全問題日益復(fù)雜，敲詐勒索病毒盛行，分布式拒絕服務(wù)攻擊事件峰值流量突破新高，聯(lián)網(wǎng)智能設(shè)備面臨安全威脅加劇，隨著國家?guī)状箅娦胚\營商多網(wǎng)融合、全網(wǎng)覆蓋工作的深入推進，隨著云計算中心的泛化，隨著智能硬件設(shè)備的普及，隨著手機終端網(wǎng)民數(shù)量占據(jù)中國網(wǎng)民的絕大多數(shù)（97.5%），互聯(lián)網(wǎng)安全問題越來越復(fù)雜化，手機APP惡意程序、智能硬件惡意程序、服務(wù)器僵尸網(wǎng)絡(luò)和流量劫持木馬成為互聯(lián)網(wǎng)威脅的主流。

黨的十八大以來，以習(xí)近平同志為核心的黨中央根據(jù)國內(nèi)外網(wǎng)絡(luò)安全形勢的新變化，提出了一系列重要的網(wǎng)絡(luò)安全思想。2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，中共中央總書記習(xí)近平親任組長，提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”和“建設(shè)網(wǎng)絡(luò)強國”的宏偉目標(biāo)，以此將網(wǎng)絡(luò)安全納入總體國家安全觀。2017年10月，黨的十九大順利召開并提出，要“加強互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營造清朗的網(wǎng)絡(luò)空間”，是新時代網(wǎng)絡(luò)安全的總要求。2018年3月，中共中央印發(fā)《深化黨和國家機構(gòu)改革方案》，成立中國共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會，負責(zé)領(lǐng)域內(nèi)重大工作的頂層設(shè)計、總體布局、統(tǒng)籌協(xié)調(diào)、整體推進、督促落實。由此可見，網(wǎng)絡(luò)安全早已上升為國家戰(zhàn)略，愈來愈被重視，與信息化建設(shè)同等重要，需要共同發(fā)展。

二、高校數(shù)據(jù)中心網(wǎng)絡(luò)安全所面臨的問題

1.病毒非法入侵與傳播

目前校園數(shù)據(jù)中心的最大威脅通常來自于惡意病毒代碼。校園網(wǎng)絡(luò)內(nèi)的各類應(yīng)用服務(wù)較多，操作系統(tǒng)、應(yīng)用程序紛繁復(fù)雜，版本多樣，病毒代碼很容易通過系統(tǒng)、軟件的漏洞對服務(wù)進行攻擊和破壞。同時隨著校園網(wǎng)絡(luò)帶寬不斷增加，萬兆核心、千兆桌面的環(huán)境早已普及，用戶眾多且集中，校園網(wǎng)絡(luò)通常對內(nèi)網(wǎng)用戶限制較少，致使病毒傳播迅速，給服務(wù)應(yīng)用造成的影響較為嚴重。

2.遠程控制木馬和流量劫持木馬

目前隨著比特幣等區(qū)塊鏈貨幣的火熱，大量黑客團體甚至大型網(wǎng)絡(luò)公司實體劫持用戶流量然后加載挖礦代碼進行挖礦，導(dǎo)致高校服務(wù)器和用戶電腦CPU資源消耗，校園網(wǎng)網(wǎng)絡(luò)速度嚴重下降，嚴重者造成整個網(wǎng)絡(luò)體系的擁堵甚至假死。

3.僵尸主機的威脅

目前校園網(wǎng)絡(luò)的主要用戶多為學(xué)生，學(xué)生缺乏網(wǎng)絡(luò)與信息安全意識，稍不注意就會感染木馬等程序，導(dǎo)致其使用的計算機被外來黑客非法利用，當(dāng)作僵尸主機，對學(xué)校內(nèi)部服務(wù)器等進行攻擊和破環(huán)。同時在學(xué)生對網(wǎng)絡(luò)使用過程中，對互聯(lián)網(wǎng)上的各類應(yīng)用及技術(shù)好奇心強，喜歡嘗試，往往意識不到后果，在一定程度上也會給網(wǎng)絡(luò)服務(wù)帶來一定的影響和破壞。

4.主機自身安全隱患

由于校園數(shù)據(jù)中心設(shè)備數(shù)量較多，所有接入網(wǎng)絡(luò)的服務(wù)設(shè)備所安裝的操作系統(tǒng)都不盡相同，而各類操作系統(tǒng)由于自身設(shè)計漏洞而帶來的潛在威脅更是不勝枚舉。用戶在日常使用與系統(tǒng)管理層面，往往忽視了定期的系統(tǒng)更新及漏洞補丁，從而埋下了安全隱患，直到問題暴露才被動修復(fù)，2017年5月全球爆發(fā)的勒索病毒事件就是很好的反思案例。

5.安全意識薄弱，安全管理復(fù)雜

雖然高校信息化的建設(shè)不斷拓展，但本應(yīng)和信息化建設(shè)配套的相關(guān)安全管理手段卻相對滯后，這就導(dǎo)致很多網(wǎng)絡(luò)建設(shè)與運維者都沒有正確意識到網(wǎng)絡(luò)與信息安全的重要性；同時，在高校信息化建設(shè)隊伍里，缺乏專業(yè)安全管理人員，而現(xiàn)有人員在此方面的能力和經(jīng)驗相對欠缺，對網(wǎng)絡(luò)與信息安全培訓(xùn)缺少積極性，這些現(xiàn)狀都導(dǎo)致高校信息化運維能力難以應(yīng)對當(dāng)下信息安全的需要，使高校數(shù)據(jù)中心的網(wǎng)絡(luò)安全面臨威脅的可能性嚴重加大。

三、高校數(shù)據(jù)中心網(wǎng)絡(luò)安全保障的主要手段

現(xiàn)階段我國高校數(shù)據(jù)中心的網(wǎng)絡(luò)安全保障主要依靠以下兩方面：

1.技術(shù)手段

高校數(shù)據(jù)中心網(wǎng)絡(luò)安全保障技術(shù)手段主要包括以下四種：

第一是防火墻技術(shù)。防火墻是網(wǎng)絡(luò)防護中應(yīng)用最為廣泛的一種保護方式，防火墻通常作為內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，對內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)出入的數(shù)據(jù)實施有效的監(jiān)控和管理，在一定程度上可以抵御互聯(lián)網(wǎng)上的惡意攻擊。同時，防火墻還要與入侵檢測、入侵防御系統(tǒng)形成有效聯(lián)動和統(tǒng)一，保證內(nèi)部網(wǎng)絡(luò)在受到威脅和攻擊時，網(wǎng)絡(luò)管理人員能夠及時發(fā)現(xiàn)并做出應(yīng)對措施。

第二是病毒防御技術(shù)。防火墻雖然作為內(nèi)外網(wǎng)絡(luò)的隔離防護工具，但內(nèi)部網(wǎng)絡(luò)環(huán)境也很復(fù)雜。校園網(wǎng)絡(luò)內(nèi)部主機、服務(wù)器較多，網(wǎng)絡(luò)帶寬高，造成病毒傳播迅速，危害性大，那么為了保證主機、服務(wù)器的安全使用，就必須要提高計算機病毒防御能力，根據(jù)不同類型的病毒，采用對應(yīng)的防護措施，同時也要在網(wǎng)關(guān)和主機上均部署病毒防御措施。并且對網(wǎng)絡(luò)管理人員來說，還要提高病毒防御的重視程度和應(yīng)對能力。

第三是入侵檢測技術(shù)。入侵檢測技術(shù)是為保證網(wǎng)絡(luò)或計算機系統(tǒng)的安全而設(shè)計與配置的，能夠?qū)W(wǎng)絡(luò)流量進行采集與分析，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量中未授權(quán)或異常行為現(xiàn)象，進而與防火墻、入侵防護設(shè)備聯(lián)動，采用相應(yīng)的手段，以此達到網(wǎng)絡(luò)防護的目的。

第四是信息加密技術(shù)。信息加密技術(shù)通常采用數(shù)據(jù)重構(gòu)方式，保障內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)及信息安全，可以防止數(shù)據(jù)和信息在傳輸?shù)倪^程中被第三方捕獲。所以，信息加密技術(shù)在高校網(wǎng)絡(luò)運維中應(yīng)用也較為廣泛。

2.管理手段

互聯(lián)網(wǎng)設(shè)計的初衷之一是資源共享，但是共享的前提是要求用戶遵循一定的協(xié)議和規(guī)則。由此，高校網(wǎng)絡(luò)安全防護要本著技術(shù)安全與管理規(guī)范并重的思想，以管理和技術(shù)雙輪驅(qū)動作為網(wǎng)絡(luò)安全保障手段，即技術(shù)手段解決存在困難的問題用管理手段輔助解決，管理手段解決存在困難的問題用技術(shù)手段輔助解決。

（1）建立網(wǎng)絡(luò)安全工作機制

加強組織領(lǐng)導(dǎo)、健全機制、明確責(zé)任，是高校數(shù)據(jù)中心網(wǎng)絡(luò)安全工作的根本保證。所以，高校要按照“誰使用、誰主管、誰負責(zé)”的原則，切實加強校園數(shù)據(jù)中心網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)。應(yīng)當(dāng)成立相關(guān)的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，由校長和書記擔(dān)任組長，小組成員由相關(guān)職能部門的負責(zé)人組成。領(lǐng)導(dǎo)小組作為全面推進學(xué)校網(wǎng)絡(luò)安全與信息化建設(shè)的最高管理與決策機構(gòu)，做好頂層設(shè)計，合理規(guī)劃學(xué)校網(wǎng)絡(luò)安全工作與信息化資源。

（2）完善網(wǎng)絡(luò)管理規(guī)章制度

校園網(wǎng)絡(luò)管理制度是高校數(shù)據(jù)中心網(wǎng)絡(luò)安全的保障，學(xué)校可以根據(jù)國家法律法規(guī)及上級有關(guān)部門的文件精神，結(jié)合學(xué)校實際，出臺一系列保障校園數(shù)據(jù)中心的規(guī)章制度，例如《數(shù)據(jù)中心建設(shè)管理辦法》、《信息化數(shù)據(jù)管理辦法》、《學(xué)校二級網(wǎng)站管理辦法》等等。不僅應(yīng)針對校園網(wǎng)用戶、校園郵件用戶、信息化管理人員制定相應(yīng)的管理辦法，還應(yīng)針對各類服務(wù)器、應(yīng)用系統(tǒng)做出安全規(guī)范操作的說明等等，以此提高數(shù)據(jù)中心內(nèi)部防御的能力。以上這些制度的建立，對加強數(shù)據(jù)中心監(jiān)管、保護信息安全能夠起到重要的規(guī)范和保障作用。

四、我校數(shù)據(jù)中心網(wǎng)絡(luò)安全工作探索

1.安全防范技術(shù)手段方面

（1）校園邊界及核心方面

學(xué)校在校園網(wǎng)絡(luò)出口邊界以及數(shù)據(jù)中心前端，均部署具備入侵檢測、僵尸主機掃描、實時漏洞監(jiān)測、Web應(yīng)用防護等防御功能的下一代防火墻。同時，在訪問控制方面，用戶層面，對于通過實地址進行外網(wǎng)訪問的區(qū)域，關(guān)閉外到內(nèi)方向的全部端口，禁止公網(wǎng)到用戶內(nèi)網(wǎng)訪問請求；對于數(shù)據(jù)中心區(qū)域，僅開放HTTP及HTTPS等相關(guān)Web端口，其余端口全部關(guān)閉，尤其是遠程管理如22、23、3389，以及隱患端口 135、136、445 等均進行了屏蔽。同時對于遠程管理的默認端口均要求更改，以防止對默認端口的非法掃描和利用。對非Web端口開放，實行審批與備案制度。

學(xué)校對關(guān)鍵信息系統(tǒng)的后臺管理端進行外網(wǎng)訪問控制或IP地址管理控制，所有遠程管理均通過VPN系統(tǒng)進行加密接入。同時VPN認證與校園網(wǎng)絡(luò)認證實現(xiàn)RADIUS聯(lián)動，即方便系統(tǒng)管理員遠程接入使用，同時也增強了身份辨識度。

（2）網(wǎng)絡(luò)終端接入方面

數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅不僅僅來自于外部互聯(lián)網(wǎng)，內(nèi)部網(wǎng)絡(luò)威脅也不容忽視。伴隨著學(xué)校有線網(wǎng)絡(luò)的全覆蓋以及無線網(wǎng)絡(luò)的逐步覆蓋，一方面使網(wǎng)絡(luò)終端接入變得更為便捷與靈活；另一方面也帶來了網(wǎng)絡(luò)安全問題。終端的隨意接入、直接進入校園內(nèi)網(wǎng)，對內(nèi)網(wǎng)應(yīng)用服務(wù)、數(shù)據(jù)存儲都是潛在的威脅。對此，學(xué)校對原有出口邊界準(zhǔn)出認證方式進行改造，將認證機制下移至核心層，通過IP+MAC+PORTAL等網(wǎng)絡(luò)元素的綁定，實現(xiàn)邊緣準(zhǔn)入準(zhǔn)出雙認證，凡所有終端接入，均需身份認證。從網(wǎng)絡(luò)邊緣阻止不真實、不合規(guī)的身份進入校園內(nèi)網(wǎng)。

同時，在接入層設(shè)備上，除Vlan隔離外，還開啟ACL過濾，對隱患端口如 135、136、445、9996 等進行隔離，確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板，有效防止了問題終端異常報文進入校園網(wǎng)絡(luò)，進而威脅學(xué)校數(shù)據(jù)中心。

（3）校園信息發(fā)布方面

對于校園信息發(fā)布方面，學(xué)校早在建網(wǎng)之初，就摒棄了傳統(tǒng)單獨建站模式，而是優(yōu)先采用了網(wǎng)站群平臺的管理機制，除應(yīng)用信息系統(tǒng)外，對所有二級Web站點進行歸口整合與集中管理，進而實現(xiàn)統(tǒng)一安全防護與部署。在信息發(fā)布流程中，全部站點啟用二級審批機制，重要站點啟用三級審批機制。以此在技術(shù)層面上，實現(xiàn)信息起草與審核發(fā)布相分離。同時在口令設(shè)置方面，通過技術(shù)手段，對口令復(fù)雜程度進行嚴格控制，避免123456、qwer、admin等弱口令問題的出現(xiàn)。

同時通過網(wǎng)站群所具備的信息相對獨立、相互共享的特點，有效實現(xiàn)了校園信息的權(quán)威性與唯一性，避免了重復(fù)冗余、紊亂不一致等問題。

2.安全防范制度手段方面

（1）加強領(lǐng)導(dǎo)，明確責(zé)任分工

學(xué)校成立了由黨委書記、校長共同擔(dān)任組長的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，由分管宣傳思想、教育管理、信息化建設(shè)、安全保衛(wèi)等相關(guān)工作的黨政領(lǐng)導(dǎo)分別擔(dān)任副組長，各部門負責(zé)人、各單位黨政負責(zé)人為小組成員，形成全校、全員參與的工作機制。同時歸口管理，明確責(zé)任與分工，學(xué)校整體層面明確網(wǎng)絡(luò)安全責(zé)任部門和安全責(zé)任人；并按照“誰使用、誰主管、誰負責(zé)”的原則，校內(nèi)各單位同樣落實與明確網(wǎng)絡(luò)信息安全責(zé)任人與信息管理員，并簽署了《二級單位網(wǎng)絡(luò)信息安全管理責(zé)任書》，對本單位所設(shè)立的二級網(wǎng)站及其他網(wǎng)絡(luò)渠道發(fā)布的信息安全負責(zé)，以此規(guī)范各單位網(wǎng)站信息發(fā)布審核流程。

（2）建章立制，規(guī)范用網(wǎng)行為

學(xué)校根據(jù)國家相關(guān)互聯(lián)網(wǎng)使用法律法規(guī)，結(jié)合學(xué)校實際，既要保障網(wǎng)絡(luò)安全，又要有利于工作開展的原則，建立了一系列配套的校園網(wǎng)絡(luò)安全規(guī)章制度與審批流程，以此保障數(shù)據(jù)中心網(wǎng)絡(luò)安全。

數(shù)據(jù)中心自身方面，制定數(shù)據(jù)中心托管審批流程、二級網(wǎng)站建站審批流程、《學(xué)校域名管理辦法》等，流程與制度中明確信息安全責(zé)任人、系統(tǒng)維護人員及系統(tǒng)研發(fā)人員信息，系統(tǒng)（網(wǎng)站）開放范圍、域名配置等，以此建立起運維部門、托管業(yè)務(wù)部門、售后服務(wù)單位共同維護信息安全的工作機制。

日常運維期間，數(shù)據(jù)中心各類服務(wù)器如出現(xiàn)信息安全隱患問題，第一時間對服務(wù)進行關(guān)停，并對問題單位下達《網(wǎng)絡(luò)安全事件整改通知書》，限期整改并向網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組上報整改報告。以此建立學(xué)校網(wǎng)絡(luò)安全工作的一系列安全事件臺賬。

內(nèi)部用戶方面，制定《學(xué)校網(wǎng)絡(luò)用戶賬號管理辦法》、《學(xué)校電子郵件管理辦法》、《網(wǎng)絡(luò)安全保密辦法》等，以此落實公安部82號令的用網(wǎng)實名制，并規(guī)范用戶用網(wǎng)行為，以此發(fā)揮校園數(shù)據(jù)中心效益，更好地為教職員工及學(xué)生提供信息化服務(wù)。

信息化部門方面，其既是學(xué)校網(wǎng)絡(luò)建設(shè)與技術(shù)支持部門，也承擔(dān)著日常數(shù)據(jù)中心的運維工作。所以同樣需要建立健全網(wǎng)絡(luò)安全工作細則，如《數(shù)據(jù)中心（核心機房）管理規(guī)定》、《部門人員離崗離職信息安全管理規(guī)定》、《部門存儲介質(zhì)維護、銷毀管理辦法》等，以此規(guī)范校內(nèi)信息化從業(yè)人員在數(shù)據(jù)中心相關(guān)的工作流程和安全對策。

學(xué)校近年來在校園數(shù)據(jù)中心網(wǎng)絡(luò)安全保障方面通過以上一些探索和舉措，做到制度與技術(shù)手段并行，不斷完善，與時俱進。2016年以來，圓滿完成了黨的十九大、G20峰會、上合峰會、國家網(wǎng)絡(luò)安全宣傳周、世界互聯(lián)網(wǎng)大會、省黨代會、大連夏季達沃斯等一系列關(guān)鍵時期的網(wǎng)絡(luò)安全保障工作，以及有效抵御了如勒索病毒、暗云木馬、震網(wǎng)三代等網(wǎng)絡(luò)安全威脅。習(xí)近平總書記指出，“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展同步推進”。網(wǎng)絡(luò)安全與信息化建設(shè)同等重要，保護好學(xué)校重要數(shù)據(jù)及信息，是學(xué)校每一位信息化工作者不懈的追求，這不僅需要學(xué)校管理者的頂層設(shè)計、技術(shù)人員的精心運維，更需要每名網(wǎng)絡(luò)用戶樹立安全意識，通過正規(guī)渠道和方式合法合理地使用校園網(wǎng)絡(luò)以及相關(guān)信息服務(wù)。維護校園數(shù)據(jù)中心安全，需要全校、全員共同參與和努力。