劉 鵬，孫 謙，賀寶華，王光武①

（1.大連海洋大學 信息化工作辦公室，遼寧 大連 116023；2.大連海洋大學 學科與研究生管理處，遼寧 大連116023；3.大連海洋大學 組織人事部，遼寧 大連 116023）

隨著計算機及互聯(lián)網(wǎng)的不斷發(fā)展與廣泛應用，我國各高校先后建設了自己的校園網(wǎng)絡，校園網(wǎng)絡已經(jīng)成為高校教育信息化的重要組成部分，在高校人才培養(yǎng)、科學研究、文化傳承以及社會服務方面帶來了深遠影響。但是互聯(lián)網(wǎng)的數(shù)據(jù)爆炸、去中心化、信息鴻溝等特性也加劇了網(wǎng)絡風險產(chǎn)生的可能性。校園網(wǎng)絡安全包括整網(wǎng)可用性、用戶主機安全以及校園信息安全等多個方面，其中校園數(shù)據(jù)中心內(nèi)各個應用系統(tǒng)的數(shù)據(jù)與信息，作為學校多年來在教學、科研、管理等方面積累的無形資產(chǎn)，直接關系到學校師生個人利益、校園穩(wěn)定以及學校辦學實力，其安全維穩(wěn)工作更是至關重要。

一、高校數(shù)據(jù)中心網(wǎng)絡安全保障的時代背景

近年來，網(wǎng)絡安全問題日益復雜，敲詐勒索病毒盛行，分布式拒絕服務攻擊事件峰值流量突破新高，聯(lián)網(wǎng)智能設備面臨安全威脅加劇，隨著國家?guī)状箅娦胚\營商多網(wǎng)融合、全網(wǎng)覆蓋工作的深入推進，隨著云計算中心的泛化，隨著智能硬件設備的普及，隨著手機終端網(wǎng)民數(shù)量占據(jù)中國網(wǎng)民的絕大多數(shù)（97.5%），互聯(lián)網(wǎng)安全問題越來越復雜化，手機APP惡意程序、智能硬件惡意程序、服務器僵尸網(wǎng)絡和流量劫持木馬成為互聯(lián)網(wǎng)威脅的主流。

黨的十八大以來，以習近平同志為核心的黨中央根據(jù)國內(nèi)外網(wǎng)絡安全形勢的新變化，提出了一系列重要的網(wǎng)絡安全思想。2014年2月，中央網(wǎng)絡安全和信息化領導小組成立，中共中央總書記習近平親任組長，提出了“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”和“建設網(wǎng)絡強國”的宏偉目標，以此將網(wǎng)絡安全納入總體國家安全觀。2017年10月，黨的十九大順利召開并提出，要“加強互聯(lián)網(wǎng)內(nèi)容建設，建立網(wǎng)絡綜合治理體系，營造清朗的網(wǎng)絡空間”，是新時代網(wǎng)絡安全的總要求。2018年3月，中共中央印發(fā)《深化黨和國家機構改革方案》，成立中國共產(chǎn)黨中央網(wǎng)絡安全和信息化委員會，負責領域內(nèi)重大工作的頂層設計、總體布局、統(tǒng)籌協(xié)調、整體推進、督促落實。由此可見，網(wǎng)絡安全早已上升為國家戰(zhàn)略，愈來愈被重視，與信息化建設同等重要，需要共同發(fā)展。

二、高校數(shù)據(jù)中心網(wǎng)絡安全所面臨的問題

1.病毒非法入侵與傳播

目前校園數(shù)據(jù)中心的最大威脅通常來自于惡意病毒代碼。校園網(wǎng)絡內(nèi)的各類應用服務較多，操作系統(tǒng)、應用程序紛繁復雜，版本多樣，病毒代碼很容易通過系統(tǒng)、軟件的漏洞對服務進行攻擊和破壞。同時隨著校園網(wǎng)絡帶寬不斷增加，萬兆核心、千兆桌面的環(huán)境早已普及，用戶眾多且集中，校園網(wǎng)絡通常對內(nèi)網(wǎng)用戶限制較少，致使病毒傳播迅速，給服務應用造成的影響較為嚴重。

2.遠程控制木馬和流量劫持木馬

目前隨著比特幣等區(qū)塊鏈貨幣的火熱，大量黑客團體甚至大型網(wǎng)絡公司實體劫持用戶流量然后加載挖礦代碼進行挖礦，導致高校服務器和用戶電腦CPU資源消耗，校園網(wǎng)網(wǎng)絡速度嚴重下降，嚴重者造成整個網(wǎng)絡體系的擁堵甚至假死。

3.僵尸主機的威脅

目前校園網(wǎng)絡的主要用戶多為學生，學生缺乏網(wǎng)絡與信息安全意識，稍不注意就會感染木馬等程序，導致其使用的計算機被外來黑客非法利用，當作僵尸主機，對學校內(nèi)部服務器等進行攻擊和破環(huán)。同時在學生對網(wǎng)絡使用過程中，對互聯(lián)網(wǎng)上的各類應用及技術好奇心強，喜歡嘗試，往往意識不到后果，在一定程度上也會給網(wǎng)絡服務帶來一定的影響和破壞。

4.主機自身安全隱患

由于校園數(shù)據(jù)中心設備數(shù)量較多，所有接入網(wǎng)絡的服務設備所安裝的操作系統(tǒng)都不盡相同，而各類操作系統(tǒng)由于自身設計漏洞而帶來的潛在威脅更是不勝枚舉。用戶在日常使用與系統(tǒng)管理層面，往往忽視了定期的系統(tǒng)更新及漏洞補丁，從而埋下了安全隱患，直到問題暴露才被動修復，2017年5月全球爆發(fā)的勒索病毒事件就是很好的反思案例。

5.安全意識薄弱，安全管理復雜

雖然高校信息化的建設不斷拓展，但本應和信息化建設配套的相關安全管理手段卻相對滯后，這就導致很多網(wǎng)絡建設與運維者都沒有正確意識到網(wǎng)絡與信息安全的重要性；同時，在高校信息化建設隊伍里，缺乏專業(yè)安全管理人員，而現(xiàn)有人員在此方面的能力和經(jīng)驗相對欠缺，對網(wǎng)絡與信息安全培訓缺少積極性，這些現(xiàn)狀都導致高校信息化運維能力難以應對當下信息安全的需要，使高校數(shù)據(jù)中心的網(wǎng)絡安全面臨威脅的可能性嚴重加大。

三、高校數(shù)據(jù)中心網(wǎng)絡安全保障的主要手段

現(xiàn)階段我國高校數(shù)據(jù)中心的網(wǎng)絡安全保障主要依靠以下兩方面：

1.技術手段

高校數(shù)據(jù)中心網(wǎng)絡安全保障技術手段主要包括以下四種：

第一是防火墻技術。防火墻是網(wǎng)絡防護中應用最為廣泛的一種保護方式，防火墻通常作為內(nèi)、外部網(wǎng)絡之間通信的唯一通道，對內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)出入的數(shù)據(jù)實施有效的監(jiān)控和管理，在一定程度上可以抵御互聯(lián)網(wǎng)上的惡意攻擊。同時，防火墻還要與入侵檢測、入侵防御系統(tǒng)形成有效聯(lián)動和統(tǒng)一，保證內(nèi)部網(wǎng)絡在受到威脅和攻擊時，網(wǎng)絡管理人員能夠及時發(fā)現(xiàn)并做出應對措施。

第二是病毒防御技術。防火墻雖然作為內(nèi)外網(wǎng)絡的隔離防護工具，但內(nèi)部網(wǎng)絡環(huán)境也很復雜。校園網(wǎng)絡內(nèi)部主機、服務器較多，網(wǎng)絡帶寬高，造成病毒傳播迅速，危害性大，那么為了保證主機、服務器的安全使用，就必須要提高計算機病毒防御能力，根據(jù)不同類型的病毒，采用對應的防護措施，同時也要在網(wǎng)關和主機上均部署病毒防御措施。并且對網(wǎng)絡管理人員來說，還要提高病毒防御的重視程度和應對能力。

第三是入侵檢測技術。入侵檢測技術是為保證網(wǎng)絡或計算機系統(tǒng)的安全而設計與配置的，能夠對網(wǎng)絡流量進行采集與分析，及時發(fā)現(xiàn)網(wǎng)絡流量中未授權或異常行為現(xiàn)象，進而與防火墻、入侵防護設備聯(lián)動，采用相應的手段，以此達到網(wǎng)絡防護的目的。

第四是信息加密技術。信息加密技術通常采用數(shù)據(jù)重構方式，保障內(nèi)部網(wǎng)絡的數(shù)據(jù)及信息安全，可以防止數(shù)據(jù)和信息在傳輸?shù)倪^程中被第三方捕獲。所以，信息加密技術在高校網(wǎng)絡運維中應用也較為廣泛。

2.管理手段

互聯(lián)網(wǎng)設計的初衷之一是資源共享，但是共享的前提是要求用戶遵循一定的協(xié)議和規(guī)則。由此，高校網(wǎng)絡安全防護要本著技術安全與管理規(guī)范并重的思想，以管理和技術雙輪驅動作為網(wǎng)絡安全保障手段，即技術手段解決存在困難的問題用管理手段輔助解決，管理手段解決存在困難的問題用技術手段輔助解決。

（1）建立網(wǎng)絡安全工作機制

加強組織領導、健全機制、明確責任，是高校數(shù)據(jù)中心網(wǎng)絡安全工作的根本保證。所以，高校要按照“誰使用、誰主管、誰負責”的原則，切實加強校園數(shù)據(jù)中心網(wǎng)絡安全工作的領導。應當成立相關的網(wǎng)絡安全與信息化領導小組，由校長和書記擔任組長，小組成員由相關職能部門的負責人組成。領導小組作為全面推進學校網(wǎng)絡安全與信息化建設的最高管理與決策機構，做好頂層設計，合理規(guī)劃學校網(wǎng)絡安全工作與信息化資源。

（2）完善網(wǎng)絡管理規(guī)章制度

校園網(wǎng)絡管理制度是高校數(shù)據(jù)中心網(wǎng)絡安全的保障，學?？梢愿鶕?jù)國家法律法規(guī)及上級有關部門的文件精神，結合學校實際，出臺一系列保障校園數(shù)據(jù)中心的規(guī)章制度，例如《數(shù)據(jù)中心建設管理辦法》、《信息化數(shù)據(jù)管理辦法》、《學校二級網(wǎng)站管理辦法》等等。不僅應針對校園網(wǎng)用戶、校園郵件用戶、信息化管理人員制定相應的管理辦法，還應針對各類服務器、應用系統(tǒng)做出安全規(guī)范操作的說明等等，以此提高數(shù)據(jù)中心內(nèi)部防御的能力。以上這些制度的建立，對加強數(shù)據(jù)中心監(jiān)管、保護信息安全能夠起到重要的規(guī)范和保障作用。

四、我校數(shù)據(jù)中心網(wǎng)絡安全工作探索

1.安全防范技術手段方面

（1）校園邊界及核心方面

學校在校園網(wǎng)絡出口邊界以及數(shù)據(jù)中心前端，均部署具備入侵檢測、僵尸主機掃描、實時漏洞監(jiān)測、Web應用防護等防御功能的下一代防火墻。同時，在訪問控制方面，用戶層面，對于通過實地址進行外網(wǎng)訪問的區(qū)域，關閉外到內(nèi)方向的全部端口，禁止公網(wǎng)到用戶內(nèi)網(wǎng)訪問請求；對于數(shù)據(jù)中心區(qū)域，僅開放HTTP及HTTPS等相關Web端口，其余端口全部關閉，尤其是遠程管理如22、23、3389，以及隱患端口 135、136、445 等均進行了屏蔽。同時對于遠程管理的默認端口均要求更改，以防止對默認端口的非法掃描和利用。對非Web端口開放，實行審批與備案制度。

學校對關鍵信息系統(tǒng)的后臺管理端進行外網(wǎng)訪問控制或IP地址管理控制，所有遠程管理均通過VPN系統(tǒng)進行加密接入。同時VPN認證與校園網(wǎng)絡認證實現(xiàn)RADIUS聯(lián)動，即方便系統(tǒng)管理員遠程接入使用，同時也增強了身份辨識度。

（2）網(wǎng)絡終端接入方面

數(shù)據(jù)中心網(wǎng)絡安全威脅不僅僅來自于外部互聯(lián)網(wǎng)，內(nèi)部網(wǎng)絡威脅也不容忽視。伴隨著學校有線網(wǎng)絡的全覆蓋以及無線網(wǎng)絡的逐步覆蓋，一方面使網(wǎng)絡終端接入變得更為便捷與靈活；另一方面也帶來了網(wǎng)絡安全問題。終端的隨意接入、直接進入校園內(nèi)網(wǎng)，對內(nèi)網(wǎng)應用服務、數(shù)據(jù)存儲都是潛在的威脅。對此，學校對原有出口邊界準出認證方式進行改造，將認證機制下移至核心層，通過IP+MAC+PORTAL等網(wǎng)絡元素的綁定，實現(xiàn)邊緣準入準出雙認證，凡所有終端接入，均需身份認證。從網(wǎng)絡邊緣阻止不真實、不合規(guī)的身份進入校園內(nèi)網(wǎng)。

同時，在接入層設備上，除Vlan隔離外，還開啟ACL過濾，對隱患端口如 135、136、445、9996 等進行隔離，確保網(wǎng)絡設備不被非法訪問或被用作攻擊跳板，有效防止了問題終端異常報文進入校園網(wǎng)絡，進而威脅學校數(shù)據(jù)中心。

（3）校園信息發(fā)布方面

對于校園信息發(fā)布方面，學校早在建網(wǎng)之初，就摒棄了傳統(tǒng)單獨建站模式，而是優(yōu)先采用了網(wǎng)站群平臺的管理機制，除應用信息系統(tǒng)外，對所有二級Web站點進行歸口整合與集中管理，進而實現(xiàn)統(tǒng)一安全防護與部署。在信息發(fā)布流程中，全部站點啟用二級審批機制，重要站點啟用三級審批機制。以此在技術層面上，實現(xiàn)信息起草與審核發(fā)布相分離。同時在口令設置方面，通過技術手段，對口令復雜程度進行嚴格控制，避免123456、qwer、admin等弱口令問題的出現(xiàn)。

同時通過網(wǎng)站群所具備的信息相對獨立、相互共享的特點，有效實現(xiàn)了校園信息的權威性與唯一性，避免了重復冗余、紊亂不一致等問題。

2.安全防范制度手段方面

（1）加強領導，明確責任分工

學校成立了由黨委書記、校長共同擔任組長的網(wǎng)絡安全與信息化領導小組，由分管宣傳思想、教育管理、信息化建設、安全保衛(wèi)等相關工作的黨政領導分別擔任副組長，各部門負責人、各單位黨政負責人為小組成員，形成全校、全員參與的工作機制。同時歸口管理，明確責任與分工，學校整體層面明確網(wǎng)絡安全責任部門和安全責任人；并按照“誰使用、誰主管、誰負責”的原則，校內(nèi)各單位同樣落實與明確網(wǎng)絡信息安全責任人與信息管理員，并簽署了《二級單位網(wǎng)絡信息安全管理責任書》，對本單位所設立的二級網(wǎng)站及其他網(wǎng)絡渠道發(fā)布的信息安全負責，以此規(guī)范各單位網(wǎng)站信息發(fā)布審核流程。

（2）建章立制，規(guī)范用網(wǎng)行為

學校根據(jù)國家相關互聯(lián)網(wǎng)使用法律法規(guī)，結合學校實際，既要保障網(wǎng)絡安全，又要有利于工作開展的原則，建立了一系列配套的校園網(wǎng)絡安全規(guī)章制度與審批流程，以此保障數(shù)據(jù)中心網(wǎng)絡安全。

數(shù)據(jù)中心自身方面，制定數(shù)據(jù)中心托管審批流程、二級網(wǎng)站建站審批流程、《學校域名管理辦法》等，流程與制度中明確信息安全責任人、系統(tǒng)維護人員及系統(tǒng)研發(fā)人員信息，系統(tǒng)（網(wǎng)站）開放范圍、域名配置等，以此建立起運維部門、托管業(yè)務部門、售后服務單位共同維護信息安全的工作機制。

日常運維期間，數(shù)據(jù)中心各類服務器如出現(xiàn)信息安全隱患問題，第一時間對服務進行關停，并對問題單位下達《網(wǎng)絡安全事件整改通知書》，限期整改并向網(wǎng)絡安全與信息化領導小組上報整改報告。以此建立學校網(wǎng)絡安全工作的一系列安全事件臺賬。

內(nèi)部用戶方面，制定《學校網(wǎng)絡用戶賬號管理辦法》、《學校電子郵件管理辦法》、《網(wǎng)絡安全保密辦法》等，以此落實公安部82號令的用網(wǎng)實名制，并規(guī)范用戶用網(wǎng)行為，以此發(fā)揮校園數(shù)據(jù)中心效益，更好地為教職員工及學生提供信息化服務。

信息化部門方面，其既是學校網(wǎng)絡建設與技術支持部門，也承擔著日常數(shù)據(jù)中心的運維工作。所以同樣需要建立健全網(wǎng)絡安全工作細則，如《數(shù)據(jù)中心（核心機房）管理規(guī)定》、《部門人員離崗離職信息安全管理規(guī)定》、《部門存儲介質維護、銷毀管理辦法》等，以此規(guī)范校內(nèi)信息化從業(yè)人員在數(shù)據(jù)中心相關的工作流程和安全對策。

學校近年來在校園數(shù)據(jù)中心網(wǎng)絡安全保障方面通過以上一些探索和舉措，做到制度與技術手段并行，不斷完善，與時俱進。2016年以來，圓滿完成了黨的十九大、G20峰會、上合峰會、國家網(wǎng)絡安全宣傳周、世界互聯(lián)網(wǎng)大會、省黨代會、大連夏季達沃斯等一系列關鍵時期的網(wǎng)絡安全保障工作，以及有效抵御了如勒索病毒、暗云木馬、震網(wǎng)三代等網(wǎng)絡安全威脅。習近平總書記指出，“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展同步推進”。網(wǎng)絡安全與信息化建設同等重要，保護好學校重要數(shù)據(jù)及信息，是學校每一位信息化工作者不懈的追求，這不僅需要學校管理者的頂層設計、技術人員的精心運維，更需要每名網(wǎng)絡用戶樹立安全意識，通過正規(guī)渠道和方式合法合理地使用校園網(wǎng)絡以及相關信息服務。維護校園數(shù)據(jù)中心安全，需要全校、全員共同參與和努力。