張瑞英 劉永鐸 武永嬌

摘要：隨著數字化網絡發(fā)展的不斷深入，日益成熟的網絡基礎建設和互聯網資源大大提高了高校各項工作的開展和完成效率。但是，網絡在帶來各種便利的同時，也帶來了很多的網絡安全風險。隨著教師教學、學生上課、辦公等工作對校園網平臺的日益依賴，國家對網絡安全日益重視，高校網絡安全的加強也迫在眉睫。文章通過對高校信息化網絡現狀和網絡信息安全面臨的問題進行研究分析，在建設、運維管理等方面提出了有效措施。

關鍵詞：信息化建設：運維管理：網絡安全

中圖分類號：TN915. 07

文獻標志碼：A

0 引言

在當前云計算、大數據、人工智能、移動應用等新一代數字化技術高速發(fā)展的形勢下，各高校廣泛應用新興技術進行學?；A建設、應用系統的建設和數據的存儲、處理、傳遞和分析等。例如通過云計算技術將計算、存儲、網絡等資源整合為統一的資源池，從而實現對硬件資源的二次分配，有效利用空閑資源[1]。通過運用大數據、人工智能等數字化技術，實現業(yè)務與技術的深度融合，打通部分內外業(yè)務流程、優(yōu)化業(yè)務管理及服務。高校作為人才培養(yǎng)、新興技術研究和廣泛應用的區(qū)域，涵蓋大量重要數據，其網絡和應用系統是黑客攻擊的重要目標之一，對于高校面臨的網絡攻擊、數據泄露等問題，必須采取有效的應對措施，對加強高校網絡安全具有非常重要且積極的意義[2]。本文主要從高校網絡現狀出發(fā)，進一步分析高校的信息化建設，并對網絡安全運行運維提出一些建議。

1 高校信息化網絡現狀分析

高校網絡分為有線網絡和無線網絡兩部分，其中有線網絡用于提供高速可靠的數據傳輸服務，而無線網絡主要用于移動終端的網絡接入。校園網絡建設必須具備高速、穩(wěn)定、安全、便捷、易管理等特點，根據校園網絡建設的特點和等級保護2.0的要求，經過近年來的不斷強化建設，校園網絡已經基本完善，但是也存在一些問題。

1.1 高校信息化網絡現狀

高校校園網絡采用標準的三層物理網絡拓撲結構，即核心層、匯聚層和接人層三層網絡邏輯架構。校園網絡核心層采用雙冗余模式，部署兩臺核心交換機，核心交換機之間通過雙萬兆鏈路互聯，采用熱備技術和虛擬化技術，大大提高了網絡的穩(wěn)定性和轉發(fā)性能，骨干鏈路根據學校規(guī)模及業(yè)務運行特點，選擇了合理帶寬，從而保障了校園網的穩(wěn)定運行。核心交換機下連兩臺交換機作為核心匯聚設備，主要進行核心層到接入層網絡的匯合，通過千兆及以上光纖鏈路連接到接入層。接入層根據終端的類型（臺式電腦或移動終端），配備接入交換機或PoE交換機（支持對外供電）．用于連接臺式電腦等網絡終端或無線接入點（ AP）．從而實現千百兆到桌面。高校基本實現校園無線網絡全覆蓋，根據當前應用需求和未來幾年的網絡需求，構建了千兆高速無線網，無線控制器（AC）負責管理無線接入點（ AP），采用N+1冗余模式，并使用雙鏈路與雙核心交換機相連．AC通過核心交換機、匯聚交換機、PoE接入交換機與無線接入AP連接，形成邏輯二層的無線網絡。

隨著云計算技術的不斷發(fā)展，云計算技術已經廣泛應用于教育行業(yè)，云計算通過使用虛擬化技術將數據中心的計算、存儲及網絡等資源進行邏輯層面的化整為零，整合為統一的資源池，可以同時創(chuàng)建多臺邏輯云主機，每臺邏輯云主機上可安裝運行不同的操作系統和不同的應用程序，不同云主機上的應用程序之間互不影響，提升了基礎設施的資源利用率。云計算主要有基礎設施即服務（ IaaS）、平臺即服務（PaaS）和軟件即服務（ SaaS）3種模型，按照不同的部署方式可以分為公有云、私有云和混合云，混合云融合了公有云的強擴展性和私有云的安全性等特點[3]。高校除了在本地數據中心物理服務器上部署一些應用，也結合當前實際情況在信息化基礎設施建設上構建了混合云平臺，將站群、OA等應用系統部署在本地中心機房的私有云平臺上運行管理，實現將內部重要數據保存在本地數據中心，從而有效保障了數據的安全性，將部分應用系統部署在公有云平臺上，解決了帶寬限制等問題。私有云與公有云之間采用雙鏈路數據專線互聯互通，同時在本地數據中心部署一臺備份設備集中備份、存儲公有云和私有云的重要業(yè)務及數據，以解決故障導致的數據丟失問題。

在安全性方面，高?；緦祿行恼w網絡進行了區(qū)域劃分，將校園網絡區(qū)域劃分為互聯網出口區(qū)、核心交換區(qū)、服務器區(qū)、辦公區(qū)、安全運維管理區(qū)等區(qū)域，各區(qū)域間進行了安全隔離。在網絡邊界部署了防火墻及入侵防御系統，對非法訪問、入侵行為和DDos等攻擊進行檢測和防護，在核心交換機和防火墻上設置了不同網段、不同用戶對服務器的訪問控制權限。高校基本構建了基于B/S架構的有線無線一體化上網認證系統，校園網用戶無論通過有線還是無線接入校園網絡，都必須經過認證后才可以訪問。在安全管理區(qū)部署了漏洞掃描設備，定期對內部的服務器、網絡設備及應用系統進行漏洞掃描，及時發(fā)現漏洞并及時修復；部署了WAF設備防止soL注入、流量攻擊等：部署了數據庫審計設備對所有數據庫操作進行審計及分析，防止管理員人員或惡意攻擊者對數據庫的誤操作、惡意操作及破壞等行為無法追溯：服務器和終端都安裝企業(yè)版殺毒軟件進行安全防護，降低安全風險：部署了上網行為管理系統對終端的上網行為和訪問的內容進行審計阻斷：部署了安全感知平臺獲取探針數據及其他安全設備的日志來實現智能分析、危險點防護及清查、統一呈現全網安全風險并聯動其他安全設備及時處置安全威脅，同時為后續(xù)的跟蹤審計提供依據：部署了堡壘機可以進行統一的安全運維和審計，保證運維人員的所有操作可溯源。

1.2 高校信息化網絡安全存在的問題

校園網絡安全是整個校園網絡的基本保障，除了為用戶提供高速便利的網絡服務，還必須采用有效的安全管理措施。通過分析發(fā)現，高校網絡安全存在問題如下：

（1）在資產管理方面，由于高校信息化建設早期管理不規(guī)范，沒有統一的管理標準，存在信息資產管理混亂、資產檔案不完善，更新不及時，交接檔案不完整等現象，使得網絡安全管理工作不能得到很好的落實。

（2）校園有線網絡的進一步擴展存在高成本和擴展時間周期長等問題。無線網絡存在信號不穩(wěn)定、安全性能低和管理機制不完善等問題。安全體系通過部署防火墻、IPS、應用防護系統WAF、漏掃系統、防病毒網關、上網行為管理、數據庫審計系統、態(tài)勢感知系統等網絡安全設施設備，應對網絡和數據安全等問題，但是各類安全設備分屬不同廠商，產品之間存在孤立分散、無法有效對接，數據無法形成有效關聯等問題[4]。

（3）云計算應用帶來很多優(yōu)勢，如多可用區(qū)架構可以提供更好的容災能力，中間件服務可以提供更好的安全運維能力，容器化部署可以提高系統彈性擴容能力，微服務系統解耦應用模塊，避免單點故障。但是云計算應用也存在一些問題：如系統穩(wěn)定性有待提高，服務鏈路更長更復雜，數據流轉更加復雜，一個異常或故障可能引起整個系統的故障，且故障呈現多樣化，云管理工具功能單一，需要大量定制開發(fā)服務，標準化程度有待提高。

（4）網絡安全相關管理制度需進一步完善，大部分網絡管理員為非網絡安全專業(yè)的人員，網絡安全知識儲備和安全防范意識有待進一步提高，在遇到復雜網絡安全問題或事件時，無法及時對其進行分析判斷并采取正確應對措施處理，導致網絡安全問題擴大造成安全威脅[5]。

2 信息化建設及管理

信息化建設是一個長期投入的過程，網絡設備有生命周期，不是一旦有，就可以一直用，需要根據發(fā)展要求及使用需求等因素做好迭代更新工作，且隨著信息化的變化發(fā)展，高校校園網絡及應用系統也會存在新的安全隱患威脅，因此需要在現有網絡環(huán)境中不斷更新、完善設備及應用系統。

2.1 建立“一網通辦”平臺

隨著校園信息化業(yè)務逐步增多，校內各部門購置使用的多業(yè)務應用系統不僅會浪費存儲空間，還存在反復報送同樣的信息數據、各系統數據信息不同步不共享等現象。近幾年，政府建立“一網通辦”服務型政務大廳，加速了信息化的應用，實現了向服務型政府的轉型升級，由此也帶動了高校建設“一網通辦”智能型服務大廳的熱潮?！耙痪W通辦”以網上辦事大廳為延展，擴充教學辦公等工作，通過內外網融合、角色融合、資訊與辦事融合、多終端融合，一站式集成業(yè)務處理、實現業(yè)務可視、智能協助、在線協同等功能，突破了各系統之間信息孤島現象，其技術架構如圖1所示。

搭建“一網通辦”服務平臺，可實現對外辦事服務的統一注冊、登錄、授權、服務、審計、展示等功能，提升前端辦事服務能力，為用戶提供統一、標準、全面、便捷的“前端、中端、后端”一體化服務平臺，方便完成各類流程等事項辦理，實現數據共享，實現對PC端、移動端和各類白助終端的支撐?！耙痪W通辦”平臺，通過統一標準規(guī)范，用戶、應用、服務管理等核心組件，對接入系統進行有效管理、實現統一身份認證、單點登錄、統一消息服務等。同時可縮短應用建設周期，能夠迅速利用已有的基礎設施快速搭建需要的流程或應用系統，避免各個項目在建設、運行運維等環(huán)節(jié)的重復投資，降低了總體成本。

2.2 零信任安全訪問

零信任技術的原理是基于網絡內外部充滿威脅，基于網絡位置（IP地址）信任關系的判斷是不可靠的，所有設備、用戶和流量必須經過認證和授權，沒有權限的堅決不能放通，訪問控制策略應該是動態(tài)的假設下，得出結論，即零信任必須驗證用戶，驗證用戶所使用的設備，給予最小權限，還需要自適應動態(tài)控制以適應零信任的理念。零信任架構是一種新的安全架構理念和思想，它使得安全建設視角從“基于風險”向“基于業(yè)務訪問過程”轉變。并且從理論上構建了一個端（人／終端／程序／設備…）到端（系統／應用／數據…）的最小訪問模型，建立了一個動態(tài)的、基于身份和安全的邏輯訪問邊界，其安全訪問架構如圖2所示。

基于零信任架構，可實現讓正確的人使用正確的終端，在任意位置，使用正確的權限，訪問正確的業(yè)務，獲得正確的數據，將人（身份）、終端、網絡位置、訪問權限、業(yè)務、數據等分散的安全單元有效串聯起來，可實現用戶、權限、策略的統一管理和運維，大大降低安全管理復雜度和難度：最大化落地“最小權限原則”，收縮業(yè)務暴露面，大大提升安全性，同時也降低了ACL訪問管理的投入：與“一網通辦”平臺打通，可實現全場景的、一致性的訪問體驗，獲得與內網接近一致的訪問體驗：確保能夠方便地接入業(yè)務，還能有效阻斷來自終端的風險，避免遠程辦公／上課成為風險入口，通過嚴格的、有效的數據防泄露手段，避免業(yè)務重要的數據對外泄露。

2.3 安全管理與運維

信息化安全管理是一個不斷完善各種規(guī)章制度和加強管理的過程，網絡安全是“三分技術、七分管理”，在加強安全防護技術的前提下，建立信息安全管理機制，保障網絡安全運行。

（1）需要做到資產清晰，做好完整資產檔案，及時做好資產更新工作，及時和相關部門做好不用設備的后期處置移交工作，并做好記錄。對于安全設備要做好特征庫、病毒庫、版本的及時更新工作，使安全設備發(fā)揮最有效的作用，同時不斷完善管理制度。

（2）系統管理工作要求系統管理員有高度責任心，管理涵蓋服務器管理和系統管理兩方面，服務器管理員需要打開系統防火墻，打開日志，根據業(yè)務需求只開放必須使用的端口，關閉盤符共享：設置策略密碼定期更換登錄口令，且密碼復雜性需在6位或8位以上，含大寫字母、小寫字母、數字、特殊字符；服務器上除安裝系統運行必需的軟件及安全應用外，不應安裝其他軟件，從而防范因在服務器上安裝不必要軟件出現安全問題。系統管理方面根據需求做好系統管理工作，及時修復整改系統漏洞，做好備份工作，開啟日志，日志留存至少6個月。

（3）需要通過培訓或進修方式，加強對網絡安全管理技術人員的培養(yǎng)，加強日常維護管理，提高網絡安全技術人員的安全敏感性，從而對出現的安全問題能夠做出快速判斷及合理應對。加強與其他高校和廠商的技術交流，通過網絡、移動App等方式加強對網絡安全知識的宣傳，不定期發(fā)布網絡使用注意事項，提高人們的網絡安全意識。

3 結語

高校信息化建設是一個不斷迭代更新及完善的過程，信息化網絡安全是學校信息化網絡建設中的重要考慮因素，需要加強網絡安全軟硬件投入、健全網絡安全相關制度、嚴格網絡維護管理、提高網絡使用人員及管理人員的網絡安全意識和技術水平等，是未來重要的研究方向和發(fā)展前景，只有更好地實現了網絡安全，才能更好地保證高校網絡信息化的安全和穩(wěn)定發(fā)展。

參考文獻

[1]曾昊川．高校信息化建設中網絡安全管理與對策研究[J]．網絡安全技術與應用，2022（3）：83-84．

[2]王龍飛．高校信息化建設中的網絡安全問題分析[J]．無線互聯科技．2019（5）：21-22．

[3]鄧梓芃．云計算在高校信息化建設中的應用[J]．電子元器件與信息技術．2021（ 12）：137-138.

[4]陳超．高校信息化建設中網絡安全管理與對策研究[J]．網絡安全技術與應用．2021（4）：79-80．

[5]林正地．網絡信息安全技術在高校信息化建設中的應用[J]．電子元器件與信息技術，2021（3）：26-27.

（編輯王雪芬）