廖鋒 陳玉菲

DOI：10.19850/j.cnki.2096-4706.2021.08.048

摘? 要：新冠肺炎疫情給網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)，新冠疫情發(fā)生以來(lái)，在高職學(xué)院校園上網(wǎng)負(fù)載和訪問(wèn)流量大幅增加的情況下，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和攻擊事件數(shù)量趨于上升，在探索實(shí)踐中，安全運(yùn)維人員可以圍繞高職院校校園網(wǎng)絡(luò)安全體系的現(xiàn)狀，從機(jī)構(gòu)優(yōu)化、制度落實(shí)、網(wǎng)絡(luò)優(yōu)化、私有云虛擬服務(wù)、云上移動(dòng)運(yùn)維、日常巡檢、定期培訓(xùn)、應(yīng)急演練和上報(bào)反饋等幾方面對(duì)其進(jìn)行優(yōu)化。

關(guān)鍵詞：網(wǎng)絡(luò)安全;體系優(yōu)化;私有云;數(shù)據(jù)中心

中圖分類號(hào)：TP309 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2021）08-0168-05

Optimization of Network Security System in Higher Vocational Colleges under the Background of COVID-19 Epidemic Situation

LIAO Feng，CHEN Yufei

（Jiangxi Technical College Of Manufacturing，Nanchang? 330095，China）

Abstract：The COVID-19 epidemic situation poses a new challenge to network security. Since the outbreak of the epidemic，in the situation that the campus internet load and access traffic in higher vocational colleges have increased significantly，the number of network security risk and attack events is increasing. In exploratory practice，the safety operation and maintenance personnel can optimize the campus network security system in higher vocational colleges based on its current situation from the aspects of organization optimization，system implementation，network optimization，private cloud virtual service，mobile operation and maintenance in cloud，daily inspection，regular training，emergency drill and reporting feedback.

Keywords：network security;system optimization;private cloud;data center

0? 引? 言

2019年12月被發(fā)現(xiàn)的新冠肺炎病毒已經(jīng)在全世界流行傳播，現(xiàn)在國(guó)內(nèi)戰(zhàn)疫形勢(shì)已經(jīng)進(jìn)入疫情防控常態(tài)化管理階段。在當(dāng)前新冠肺炎疫情防控常態(tài)化管理的新形勢(shì)下，線上移動(dòng)教學(xué)、辦公、生活消費(fèi)的信息流或資金流負(fù)載快速增加，也造成返校復(fù)學(xué)后高職學(xué)院校園網(wǎng)絡(luò)負(fù)載和訪問(wèn)流量大幅提高，但校園網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、賬號(hào)權(quán)限管理以及數(shù)據(jù)訪問(wèn)、存儲(chǔ)和傳輸安全等方面存在大量薄弱環(huán)節(jié)，疫情防控期間的網(wǎng)絡(luò)安全體系也面臨著前所未有的風(fēng)險(xiǎn)和壓力，針對(duì)以上風(fēng)險(xiǎn)和挑戰(zhàn)，圍繞高職學(xué)院校園網(wǎng)絡(luò)安全的現(xiàn)狀，我們?cè)诰W(wǎng)絡(luò)安全體系的優(yōu)化中做了如下可行的探索與實(shí)踐。

1? 高職校園網(wǎng)絡(luò)安全體系優(yōu)化的實(shí)踐

1.1? 機(jī)構(gòu)優(yōu)化

為了做到領(lǐng)導(dǎo)到位、機(jī)構(gòu)到位、人員到位、責(zé)任到位，高職學(xué)院需成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，組長(zhǎng)由學(xué)校黨委和行政一把手親自擔(dān)任，由分管領(lǐng)網(wǎng)絡(luò)安全和信息化的領(lǐng)導(dǎo)作為副組長(zhǎng)，組員由職能部門負(fù)責(zé)人擔(dān)當(dāng)，設(shè)辦公室作為領(lǐng)導(dǎo)小組的辦事機(jī)構(gòu)。網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組下設(shè)網(wǎng)絡(luò)安全辦公室和信息化辦公室，分別設(shè)在宣傳部和信息化中心，負(fù)責(zé)學(xué)院網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組日常事務(wù)工作，宣傳部負(fù)責(zé)網(wǎng)絡(luò)安全部署和輿情管控工作，信息化部門負(fù)責(zé)信息化建設(shè)和技術(shù)運(yùn)維工作。

1.2? 制度落實(shí)和優(yōu)化

參照國(guó)家網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度文件，各職能部門按照“誰(shuí)主管，誰(shuí)負(fù)責(zé);誰(shuí)使用，誰(shuí)負(fù)責(zé);誰(shuí)運(yùn)維，誰(shuí)負(fù)責(zé)”的主體責(zé)任原則開展網(wǎng)上業(yè)務(wù)系統(tǒng)的安全運(yùn)維工作。對(duì)校園網(wǎng)中的關(guān)鍵基礎(chǔ)信息在等保2.0的基礎(chǔ)上進(jìn)行優(yōu)化，重新進(jìn)行系統(tǒng)定級(jí)、備案管理、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督反饋。根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)保守國(guó)家秘密法》和《關(guān)于加強(qiáng)疫情防控期間網(wǎng)絡(luò)安全保障和個(gè)人信息保護(hù)工作的通知》（贛教新冠防控字〔2020〕90號(hào)）文件要求及規(guī)范，在制度方面優(yōu)化了相關(guān)制度條款，重新梳理優(yōu)化印發(fā)的《***學(xué)院落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制的實(shí)施細(xì)則》《校園網(wǎng)絡(luò)安全管理辦法》《校園網(wǎng)絡(luò)安全應(yīng)急預(yù)案和處置流程》《校園實(shí)訓(xùn)機(jī)房管理制度》《數(shù)據(jù)中心管理暫行辦法》《網(wǎng)絡(luò)安全保密工作制度》等文件條款以適應(yīng)疫情防控常態(tài)化管理的要求，并與職能部門或相關(guān)系統(tǒng)運(yùn)維外包公司責(zé)任人續(xù)簽《網(wǎng)絡(luò)安全和保密承諾書》，做到線上業(yè)務(wù)網(wǎng)絡(luò)安全主體責(zé)任人和線下業(yè)務(wù)安全主體責(zé)任人的一致性，從而提升業(yè)務(wù)部門安全上網(wǎng)，安全用網(wǎng)的責(zé)任感。

1.3? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)優(yōu)化

高職學(xué)院在進(jìn)行網(wǎng)絡(luò)安全頂層設(shè)計(jì)時(shí)，首先要根據(jù)校園網(wǎng)絡(luò)出入口的風(fēng)險(xiǎn)管理，根據(jù)網(wǎng)絡(luò)安全等保2.0新增的云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的要求，業(yè)務(wù)系統(tǒng)大部分按照網(wǎng)絡(luò)等級(jí)保護(hù)二級(jí)的標(biāo)準(zhǔn)進(jìn)行定級(jí)管理。高職學(xué)院需要對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)重新設(shè)計(jì)和優(yōu)化，在現(xiàn)有邊界防火墻、行為管控、審計(jì)管理、存儲(chǔ)備份、環(huán)控管理的基礎(chǔ)上，我們以學(xué)院私有云數(shù)據(jù)中心為邊界，重新劃定和增加學(xué)院私有云為網(wǎng)絡(luò)安全核心區(qū)，通過(guò)架設(shè)核心區(qū)邊界防火墻，在核心區(qū)以外的校園網(wǎng)絡(luò)都可以稱為不安全的外部互聯(lián)網(wǎng)絡(luò)，師生在校園內(nèi)網(wǎng)如果要訪問(wèn)學(xué)校私有云中的服務(wù)器，必須經(jīng)過(guò)邊界防火墻審核過(guò)濾。下圖1是某高職學(xué)院的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，雖然有防火墻等安全設(shè)備，但學(xué)校內(nèi)的服務(wù)器和數(shù)據(jù)中心分散在各不同的區(qū)域，也沒(méi)有架設(shè)上網(wǎng)行為管理和VPN等遠(yuǎn)程訪問(wèn)設(shè)備，師生從外網(wǎng)訪問(wèn)校園內(nèi)網(wǎng)資源較麻煩和不安全，網(wǎng)絡(luò)安全層次也不夠清晰，容易產(chǎn)生校內(nèi)網(wǎng)絡(luò)安全事故。

經(jīng)過(guò)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改進(jìn)和優(yōu)化后，高職學(xué)院可以采用超融合私有云方案，把業(yè)務(wù)服務(wù)器通過(guò)虛擬化技術(shù)全部遷移到私有云數(shù)據(jù)中心，并增加遠(yuǎn)程VPN通道訪問(wèn)設(shè)備方便校園外網(wǎng)用戶對(duì)校內(nèi)核心免費(fèi)資源的訪問(wèn)。同時(shí)在私有云的總出入口架設(shè)邊界防火墻，同時(shí)數(shù)據(jù)中心的外部增加校內(nèi)上網(wǎng)行為管控設(shè)備，圖2是增加了超融合技術(shù)的私有云數(shù)據(jù)中心（單位自建的校內(nèi)云化數(shù)據(jù)中心）、行為管控、安全智慧管理區(qū)和VPN通道的優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

在以上優(yōu)化后的校園網(wǎng)絡(luò)互聯(lián)拓?fù)浣Y(jié)構(gòu)中，網(wǎng)絡(luò)拓?fù)鋭澐至诵@網(wǎng)邊界安全區(qū)、流控與行為管理區(qū)、DMZ服務(wù)區(qū)、私有云數(shù)據(jù)中心區(qū)、安全運(yùn)維管理區(qū)、核心網(wǎng)絡(luò)區(qū)、網(wǎng)絡(luò)接入?yún)^(qū)等主要功能區(qū)域。數(shù)據(jù)中心采用了全球領(lǐng)先的國(guó)產(chǎn)化數(shù)據(jù)中心超融合方案，以虛擬方式建設(shè)智慧校園的數(shù)據(jù)中心私有云和數(shù)字大腦，并部署了Rill智慧校園運(yùn)維系統(tǒng)和VPN硬件遠(yuǎn)程訪問(wèn)通道，優(yōu)化了無(wú)線有線認(rèn)證的單點(diǎn)登陸方式。信息化運(yùn)維人員在安全運(yùn)維管理區(qū)通過(guò)智慧運(yùn)維系統(tǒng)管理所有校區(qū)的網(wǎng)絡(luò)設(shè)備和弱終端設(shè)備，在安全運(yùn)維管理區(qū)的邊界也加裝了防火墻3，對(duì)進(jìn)入的信息流進(jìn)行過(guò)濾審核。

經(jīng)過(guò)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的優(yōu)化，只有私有云數(shù)據(jù)中心才是核心內(nèi)網(wǎng)，私有云以外都劃歸不安全的外部互聯(lián)網(wǎng)，高職校園即使有多個(gè)校區(qū)，其他校區(qū)要接入主校區(qū)訪問(wèn)主校區(qū)的私有云服務(wù)（數(shù)據(jù)中心）或共享主校區(qū)的軟硬件資源及帶寬，如果是在外地出差辦公的教工可以通過(guò)私有云數(shù)據(jù)中心內(nèi)部架設(shè)的VPN服務(wù)，提供校內(nèi)資源的免費(fèi)訪問(wèn)。如果另一校區(qū)（比如上海路校區(qū)）的師生要訪問(wèn)共享主校區(qū)的數(shù)據(jù)資源，就必須先認(rèn)證登錄后，通過(guò)防火墻2過(guò)濾后，才能訪問(wèn)私有云中的信息資源。

在新冠肺炎病毒流行后的網(wǎng)絡(luò)安全常態(tài)化管理新形勢(shì)下，這些高職校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的優(yōu)化不但符合網(wǎng)絡(luò)安全等保2.0二級(jí)標(biāo)準(zhǔn)的要求，也符合數(shù)據(jù)資源分類分區(qū)域管控的原則。

1.4? 虛擬服務(wù)和私有云數(shù)據(jù)中心部署優(yōu)化

在疫情常態(tài)化管理期間，通過(guò)采用全球領(lǐng)先的超融合技術(shù)部署的校內(nèi)私有云服務(wù)，校園內(nèi)原來(lái)各業(yè)務(wù)部門建立的數(shù)字校園認(rèn)證服務(wù)、數(shù)據(jù)交換服務(wù)、教務(wù)管理、網(wǎng)絡(luò)云課堂服務(wù)、云上財(cái)務(wù)管理、云上資產(chǎn)管理、云上科研系統(tǒng)、單招專業(yè)云上確認(rèn)等業(yè)務(wù)都可以從不穩(wěn)定的老式服務(wù)器無(wú)縫遷移到私有云中集中管理，遷移方案可以實(shí)現(xiàn)在線遷移和關(guān)機(jī)遷兩種模式。由于私有云數(shù)據(jù)中心不但采用了軟硬件資源冗余管理的負(fù)載均衡功能，而且采用了CDP（數(shù)據(jù)可續(xù)持性保護(hù)）功能，所以通過(guò)遷移前后對(duì)比發(fā)現(xiàn)，業(yè)務(wù)遷移后在私有云數(shù)據(jù)中心運(yùn)行的服務(wù)要比在單臺(tái)服務(wù)器上在安全穩(wěn)定和管理性能方面要提高很多?？粘鰜?lái)的老式服務(wù)器又可以通過(guò)虛擬服務(wù)技術(shù)提供小流量高頻的課程共享服務(wù)或物聯(lián)網(wǎng)亞終端業(yè)務(wù)的定制服務(wù)。圖3是采用了超融合技術(shù)（各種服務(wù)器和安全服務(wù)可以按需生成、統(tǒng)一部署、免費(fèi)使用和有序組合的虛擬仿真技術(shù)）的某高職學(xué)院私有云數(shù)據(jù)中心管理平臺(tái)，它可以對(duì)虛擬服務(wù)器、虛擬防火墻、SSL傳輸層保護(hù)、虛擬VPN安全通道、免費(fèi)AD證書服務(wù)、CPU、內(nèi)存、硬盤集群等軟硬件資源實(shí)現(xiàn)統(tǒng)一調(diào)度、分配和空閑資源回收功能，這為高職學(xué)院網(wǎng)絡(luò)安全軟硬件資源集中式智能化便捷管理提供了技術(shù)支撐。

1.5? 云上移動(dòng)運(yùn)維

由于采用了虛擬服務(wù)和云計(jì)算技術(shù)，通過(guò)智能移動(dòng)終端設(shè)備，管理人員隨時(shí)隨地24小時(shí)全天候運(yùn)維管理成為新冠肺炎疫情背景下的常態(tài)化工作模式，這讓每年高職學(xué)院例行的網(wǎng)絡(luò)安全重保工作變得更安全和高效，如果在校園內(nèi)部署的虛擬服務(wù)器在網(wǎng)絡(luò)重保期間出現(xiàn)安全漏洞和病毒，運(yùn)維人員接到上級(jí)相關(guān)部門指示后，在3分鐘內(nèi)，可以通過(guò)手機(jī)移動(dòng)端APP登錄校內(nèi)私有云和外部公有云中心，快速關(guān)閉或停止出現(xiàn)安全問(wèn)題的虛擬服務(wù)器，切斷涉事業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)訪問(wèn)，再進(jìn)行相關(guān)的安全處理和上報(bào)工作，云上移動(dòng)運(yùn)維方式為重保期間的應(yīng)急管理和信息化運(yùn)維工作提高了效率，節(jié)省了工作環(huán)節(jié)，并縮短了應(yīng)急處置時(shí)間。圖4顯示的是某高職學(xué)院在電信天翼云上實(shí)現(xiàn)的彈性云主機(jī)（服務(wù)器虛擬化托管）遠(yuǎn)程開關(guān)機(jī)服務(wù)。

1.6? 日常巡檢和培訓(xùn)演練

網(wǎng)絡(luò)安全檢查分為定期安全巡檢和國(guó)家重大活動(dòng)節(jié)日期間的抽檢兩類：

（1）定期安全巡檢。在工作日期間，由信息部門每日安排專人對(duì)指定區(qū)域的關(guān)鍵設(shè)備進(jìn)行巡檢，并做好有無(wú)故障的記錄，再由負(fù)責(zé)人進(jìn)行審核簽字，確讓網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程序，進(jìn)行相應(yīng)的處置，針對(duì)網(wǎng)絡(luò)連接硬件拓?fù)浒l(fā)生改變時(shí)，及時(shí)進(jìn)行拓?fù)鋬?yōu)化和邊界檢查，對(duì)新建的信息化系統(tǒng)進(jìn)行數(shù)據(jù)流、業(yè)務(wù)流和操作規(guī)程的優(yōu)化檢查和調(diào)整，疫情期間每日巡檢網(wǎng)絡(luò)安全和信息化設(shè)備表如下表1所示。

（2）在國(guó)家重大活動(dòng)和節(jié)日期間及突發(fā)新冠疫情事件的大背景下，高職學(xué)院就要按照上級(jí)主管部門的要求對(duì)學(xué)院的網(wǎng)絡(luò)系統(tǒng)和管理進(jìn)行抽檢及調(diào)整，實(shí)行7×24小時(shí)值班管理制度，以保證校園網(wǎng)絡(luò)空間風(fēng)清氣朗。

在智慧校園時(shí)代，師生的網(wǎng)絡(luò)安全和信息化素養(yǎng)是校園網(wǎng)絡(luò)安全應(yīng)用推廣的關(guān)鍵。對(duì)于師生用戶，高職學(xué)院可以通過(guò)每年的國(guó)家網(wǎng)絡(luò)安全周，圍繞網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)沖浪、要防危害、防欺詐、防違法等主題，進(jìn)行信息化素養(yǎng)的宣講教育和針對(duì)性培訓(xùn)，提升安全上網(wǎng)，安全用網(wǎng)的法律意識(shí);高職學(xué)院管理者也可以讓思政課與學(xué)生網(wǎng)絡(luò)安全和信息化素養(yǎng)教育緊密結(jié)合，提高師生網(wǎng)絡(luò)安全應(yīng)用水平;信息化部門也要安排廠家或集成商對(duì)管理運(yùn)維人員進(jìn)行專業(yè)化的業(yè)務(wù)安全培訓(xùn)和應(yīng)急演練，掌握運(yùn)維規(guī)范，不設(shè)弱口令，把系統(tǒng)的操作管理和審計(jì)管理分開。運(yùn)維人員對(duì)網(wǎng)上資源分區(qū)域、分類別、分層次進(jìn)行信息化治理，才能在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)出現(xiàn)時(shí)，及時(shí)阻隔網(wǎng)絡(luò)攻擊破壞跨界傳遞，讓損失降到最低。

1.7? 上報(bào)反饋

按照《江西省網(wǎng)絡(luò)與信息安全信息通報(bào)任務(wù)分工及報(bào)送規(guī)范（試行）》和《江西省網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制成員單位聯(lián)絡(luò)員管理辦法（試行）》文件，高職校園網(wǎng)絡(luò)安全上報(bào)工作已經(jīng)形成了常態(tài)化管理方式。網(wǎng)絡(luò)安全重保期間，如果校園內(nèi)未發(fā)生網(wǎng)絡(luò)安全事件，也應(yīng)該按照江西省教育信息化部門的文件要求，執(zhí)行網(wǎng)絡(luò)安全零報(bào)告制度。如果發(fā)生了相關(guān)的網(wǎng)絡(luò)安全高危事件，成功處置完成后，需要向上級(jí)主管部門上報(bào)處置方法和處理結(jié)果。

2? 結(jié)? 論

實(shí)踐證明，為滿足新冠肺炎疫情時(shí)期的網(wǎng)絡(luò)用戶應(yīng)用場(chǎng)景需求和安全規(guī)范，高職學(xué)院校園網(wǎng)絡(luò)安全體系的優(yōu)化是一個(gè)不斷演進(jìn)迭代的動(dòng)態(tài)過(guò)程，高職學(xué)院的網(wǎng)絡(luò)安全和信息化從業(yè)人員只有通過(guò)分析網(wǎng)絡(luò)安全體系難點(diǎn)、理清網(wǎng)絡(luò)安全體系重點(diǎn)、疏通網(wǎng)絡(luò)安全堵點(diǎn)，解決不同階段網(wǎng)絡(luò)安全的業(yè)務(wù)痛點(diǎn)，才能為高職院校信息化教學(xué)診斷和改進(jìn)工作提供安全、穩(wěn)定和可控的校園網(wǎng)絡(luò)空間。

參考文獻(xiàn)：

[1] 全國(guó)人民代表大會(huì)常務(wù)委員會(huì).中華人民共和國(guó)網(wǎng)絡(luò)安全法 [R/OL].（2017-06-01）.https：//www.fjcpc.edu.cn/jgdzz/20 20/0424/c2231a65107/page.htm.

[2] 劉春生.高職院校網(wǎng)絡(luò)安全防范體系的構(gòu)建 [J].職業(yè)技術(shù)教育，2008，29（20）：78+89.

[3] 王家紅.校園網(wǎng)絡(luò)的安全問(wèn)題及對(duì)策 [J].現(xiàn)代信息科技，2018，2（8）：158-159.

[4] 李穎存.高校學(xué)生網(wǎng)絡(luò)安全教育對(duì)策探討 [J].勞動(dòng)保障世界，2020（12）：66-67.

[5] 姬翔宇.網(wǎng)絡(luò)安全素養(yǎng)現(xiàn)狀研究——以鶴壁職業(yè)技術(shù)學(xué)院為例 [J].黑龍江科學(xué)，2019，10（17）：154-155.

作者簡(jiǎn)介：廖鋒（1976.08—），男，漢族，江西贛州人，系統(tǒng)分析師，高級(jí)工程師，碩士，研究方向：網(wǎng)絡(luò)安全和信息化建設(shè)及管理、計(jì)算機(jī)網(wǎng)絡(luò)、電子商務(wù)。

收稿日期：2021-04-18