秦麗娜

摘要：聞名全球的勒索病毒W(wǎng)annaCry在短短時間內(nèi)就迅速波及超過150個國家，設計的行業(yè)包括醫(yī)療、企業(yè)、電力、能源、銀行、交通等，雖然微軟公司已經(jīng)針對“永恒之藍”系統(tǒng)漏洞發(fā)布了相應的補丁，但時至今日該勒索病毒仍然潛藏于世界各地并蓄勢待發(fā)。網(wǎng)絡安全不再是遠離人們的一個陌生話題，而是就發(fā)生在身邊，并給其正常工作生活帶來嚴重不利影響，提高網(wǎng)絡安全水平成為當務之急。本文從《網(wǎng)絡安全等級保護制度》概述、基于等級保護的高校校園網(wǎng)絡安全建設措施兩方面展開研究，旨在為提高高校網(wǎng)絡安全水平以及強化高校校園網(wǎng)絡安全建設提供幫助。

關鍵詞：等級保護;高校;校園網(wǎng)絡安全建設

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）13-0054-02

步入到21世紀，互聯(lián)網(wǎng)時代后網(wǎng)絡已經(jīng)成為人們?nèi)粘Ｉ钏豢扇鄙俚慕M成部分。高校作為向國家輸送高學歷、復合型人才的教育機構，近些年來不斷開展智慧校園的建設摸索，目前已經(jīng)初步形成了將計算機技術、云計算技術融合于一身的網(wǎng)絡體系，并為高校科研工作、教學工作、生活管理等提供了強大的便利[1]。但是，勒索病毒W(wǎng)annaCry的出現(xiàn)不僅給全球敲響了警鐘，也給高校網(wǎng)絡安全建設提出了更高的要求，尤其是目前我國高校接口標準一致，一旦被病毒侵入勢必會造成不可估量的經(jīng)濟損失。為此，全國人民代表大會常務委員會于2017年6月1日施行《中華人民共和國網(wǎng)絡安全法》并將“網(wǎng)絡安全等級保護制度”從法律層面正式提出，為高校網(wǎng)絡安全建設提供了有力的指導[2]?；诘燃壉Ｗo的高校校園網(wǎng)絡安全建設亦成為研究領域關注的熱門議題之一。

1 《網(wǎng)絡安全等級保護制度》概述

1.1 ?內(nèi)涵

《網(wǎng)絡安全等級保護制度》內(nèi)涵主要包括以下五方面內(nèi)容：1）定級。對全國范圍內(nèi)的所有信息系統(tǒng)根據(jù)其重要程度以及受損之后產(chǎn)生的危害性定為五個級別，其中第一級重要性及危害性均最低，而第五級則最高;2）備案。明確網(wǎng)絡安全等級之后所有第二級及以上的信息系統(tǒng)均需要到公安機關進行備案，審核合格之后頒發(fā)相應的備案證明;3）建設整改。已經(jīng)備案的單位根據(jù)網(wǎng)絡安全等級、國家相關標準開展網(wǎng)絡安全建設，落實安全舉措并明確安全責任、建立并落實各項安全管理制度內(nèi)容等;4）等級測評。前往公安機關備案的單位選擇符合國家規(guī)定的測評機構對自身安全等級進行測定;5）監(jiān)督檢查。由公安機關對評定等級為第二級的信息系統(tǒng)予以指導，第三級和第四級信息系統(tǒng)定期進行監(jiān)督檢查和指導工作。

1.2 ?定級

信息系統(tǒng)安全保護等級以重要性及受損后的危害性為主要評估內(nèi)容，將其分為以下五個保護等級：1）第一級。信息系統(tǒng)受損之后將會對公民個人、法人以及其他組織合法權益帶來損害但并不會對國家安全、社會秩序以及公共利益帶來損害;2）第二級。信息系統(tǒng)受損之后將會對公民個人、法人以及其他組織合法權益帶來嚴重損害，或者是對社會秩序、公共利益帶來損害，卻并不危及國家安全;3）第三級。信息系統(tǒng)受損之后會對整個社會秩序、公共利益帶來嚴重損害，或者是危及國家安全;4）第四級。信息系統(tǒng)受損之后會社會秩序、公共利益造成特別嚴重的損害，或者是嚴重危及國家安全;5）第五級。信息系統(tǒng)受損之后會對國家安全造成特別嚴重的損害。

2 基于等級保護的高校校園網(wǎng)絡安全建設措施

由于高校承擔著多項科研任務，某些科研項目可能涉及國家安全，所以高校校園網(wǎng)絡安全根據(jù)《網(wǎng)絡安全等級保護制度》定級標準應確定為第三極，在實際建設工作中也應該按照此級別進行設計，其具體措施包括以下幾部分：

1）網(wǎng)絡安全。由于高校校園信息系統(tǒng)均是在網(wǎng)絡環(huán)境中運行，一旦被病毒進入網(wǎng)絡系統(tǒng)將會給整個校園信息系統(tǒng)帶來嚴重威脅，所以網(wǎng)絡安全就成為一個需要引起足夠重視的問題。具體措施如下：①物理環(huán)境。校園信息網(wǎng)絡系統(tǒng)的物理環(huán)境由機房、網(wǎng)絡設備、線路所組成。當前我國高校校園網(wǎng)總體上可以分為網(wǎng)絡出口、服務器、網(wǎng)絡管理、個人終端接入等功能區(qū)[3]。所以在構建安全防護體系時就需要根據(jù)各個功能區(qū)的不同針對性的設定。在網(wǎng)絡出口以及服務器前設置網(wǎng)絡安全防火墻、防入侵檢測及預警系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、安全審計系統(tǒng)等加以防護。近些年來木馬病毒（Trojan）、蠕蟲病毒（Worm）、黑客程序（Hack）、捆綁器病毒（Binder）、網(wǎng)頁病毒陸續(xù)涌現(xiàn)且隨著智能化設備的廣泛應用，各類病毒的“智慧”隨之提高，此點內(nèi)容就需要進一步提高防火墻的防護能力[4]。所以在校園信息系統(tǒng)的邊界設置防火墻并積極運用防入侵系統(tǒng)無疑能夠大幅降低各種病毒的入侵風險。在設置防火墻以及防入侵系統(tǒng)時應將目前已知的各種網(wǎng)絡攻擊類型納入其中，特別是對于暴力破解、結構化查詢語言（Structured Query Language，SQL）注入、腳本攻擊等更是應該進一步細化和明確，以便于此類網(wǎng)絡攻擊發(fā)生伊始就會被防入侵系統(tǒng)以及防火墻檢測并為網(wǎng)絡安全管理人員提出警示[5]。防御特征庫應該以月為單位進行動態(tài)更新，在病毒猖獗時間段更是需要縮短更新頻率，以最大程度上降低針對信息系統(tǒng)高危漏洞開展的攻擊行為的發(fā)生。安全審計系統(tǒng)主要是針對訪問行為進行備份以及動作回放，通過對各種訪問行為進行記錄并利用自動軟件定期統(tǒng)計，能夠輔助網(wǎng)絡安全管理人員動態(tài)回放并針對不同的訪問用戶設置相應的訪問權限。此外，日志服務器收集的信息內(nèi)容同樣重要，日志信息對于犯罪分子以及網(wǎng)絡攻擊而言具有重要意義，其內(nèi)容涵蓋了服務器、工作站、防火墻、應用軟件等活動記錄，定期對日志展開分析工作有助于公安機關審計校園信息系統(tǒng)的用戶行為、確定網(wǎng)絡入侵的具體范圍并幫助恢復校園信息系統(tǒng)，為最終確定網(wǎng)絡攻擊提供完整的證據(jù)鏈。

2）系統(tǒng)安全。信息系統(tǒng)是網(wǎng)絡運行所依賴的必須設備，一旦被網(wǎng)絡攻擊就會導致整個系統(tǒng)癱瘓，各種數(shù)據(jù)信息面臨著篡改以及泄露的風險。按照第三級保護內(nèi)容系統(tǒng)安全可從以下幾方面著手：①由于整個校園信息系統(tǒng)中存在著諸多用戶，不同用戶的網(wǎng)絡訪問需求存在著明顯的差異性，基于此點網(wǎng)絡安全管理人員可根據(jù)用戶的身份設定其相應的訪問權限以及口令策略、禁用遠程終端協(xié)議，采用安全殼協(xié)議（Secure Shell，SSH）與系統(tǒng)服務器保持連接，并被審計系統(tǒng)對其產(chǎn)生的日志內(nèi)容進行自動審計[6]。②系統(tǒng)防護則要求網(wǎng)絡安全管理人員定期對系統(tǒng)進行更新，特別是腳本、補丁的更新必須與發(fā)布商保持同步。根據(jù)高校校園信息系統(tǒng)運行參數(shù)決定需要開啟的服務端口，對于不需要或者是不必要的組件或者是應用服務予以關閉，最大程度上消除網(wǎng)絡攻擊的漏洞。③在訪問控制上既要對外部的惡意訪問行為進行監(jiān)控，又需要對內(nèi)部的惡意訪問行為進行記錄，通過源和目的互聯(lián)網(wǎng)協(xié)議地址（Internet Protocol Address，IP）、服務器端口加以限制，將惡意訪問的IP地址拉入系統(tǒng)黑名單之中[7]。

3）數(shù)據(jù)安全。目前我國部分高校承擔著重要的科研任務，進行的科研項目對于整個國家安全或者是社會秩序、公眾利益具有重要意義，所以數(shù)據(jù)安全尤為需要引起重視。在校園信息系統(tǒng)中對涉及以上內(nèi)容的數(shù)據(jù)信息進行加密，只有訪問權限或者是擁有訪問口令的特定用戶才能夠登錄和查看。對于不具有訪問權限的用戶采取隔離措施，避免數(shù)據(jù)的外泄。各個系統(tǒng)數(shù)據(jù)信息傳輸過程中同樣存在著被攻擊和泄露的風險，所以適用的加密算法必須具有較高的安全系數(shù)，所有涉及敏感信息的數(shù)據(jù)需要經(jīng)過加密處理方可傳輸。由于科研信息具有重要的經(jīng)濟及社會價值，所以能夠查詢此類信息的管理員必須配置獨立而專用的IP。此外，高校校園信息系統(tǒng)不可避免的面臨著停止工作的情形，如自然災害、設備因素等，所以數(shù)據(jù)容災備份方面應建立完整的備份機制，一旦發(fā)生突發(fā)意外情形時備份系統(tǒng)能夠迅速啟動并完整備份數(shù)據(jù)信息，在最短的時間內(nèi)完整數(shù)據(jù)恢復工作[8]。

4）管理安全。高校不僅是校園信息系統(tǒng)的提供者，也是使用者，在實際工作中擔負著雙重角色。在向公安機關備案之后高校亦需要開展網(wǎng)絡安全建設，落實安全舉措并明確安全責任、建立并落實各項安全管理制度內(nèi)容。實際工作中高校主要從以下幾方面著手：①結合本校信息系統(tǒng)運行實際情況構建安全監(jiān)控平臺，指定專業(yè)技術人員對系統(tǒng)運行狀態(tài)進行管控，隨時掌握系統(tǒng)是否存在被網(wǎng)絡攻擊的風險以及存在病毒感染，并據(jù)此采取積極的預防及處理措施，消除由此帶來的不良影響。②建立健全網(wǎng)絡安全管理制度。對從事科員項目的科研人員展開針對性的教育工作，將網(wǎng)絡安全管理制度內(nèi)容一一告知，重點強調(diào)各項數(shù)據(jù)信息所蘊藏的價值、網(wǎng)絡安全面臨的嚴峻形勢、保護數(shù)據(jù)信息的重要性及泄露信息需要承擔的法律責任等，從思想上端正科研人員的工作態(tài)度，避免人為因素給信息安全帶來的威脅。對于正常上網(wǎng)的學生則開展網(wǎng)絡安全宣教工作，對存在危險或者是木馬病毒的網(wǎng)頁一一告知，重點強調(diào)一旦因個人瀏覽行為對整個信息系統(tǒng)正常運行帶來不利影響，甚至導致系統(tǒng)癱瘓時所需要承擔的責任，震懾學生的違規(guī)行為。③建立定期測定制度。高校校園網(wǎng)絡系統(tǒng)在完成與之相對應的等級保護之后需要委托具有專業(yè)資質(zhì)的測評機構對評估對象實施定期或者是不定期的測評工作，特別是在整個信息系統(tǒng)完成重大改造或者是升級之后更是應該主動通知測評機構，避免系統(tǒng)運行風險以及敏感信息的泄露。

3 小結

綜上所述，隨著信息技術的快速發(fā)展，網(wǎng)絡攻擊行為越發(fā)猖獗，更為嚴重的是多種具有一定“智慧”的病毒正在或者是已經(jīng)潛藏于世界各地。由于高校普遍承擔著科研重任，某些項目的重要性與國家安全、社會秩序、公眾利益密切相關，使得高校校園網(wǎng)絡成了網(wǎng)絡攻擊的重災區(qū)，所以提高其網(wǎng)絡安全水平、強化網(wǎng)絡安全建設成為當務之急。本文基于等級保護視角出發(fā)，從網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)安全、管理安全四方面內(nèi)容探討了高校校園網(wǎng)絡安全建設的具體措施，對此方面的工作具有一定的借鑒價值。

參考文獻：

[1] 左明慧.基于GPON的高校智慧校園網(wǎng)安全策略設計研究[J].赤峰學院學報（自然科學版），2018，34（11）：52-54.

[2] 楊巍，孫道賀，周建鋒，等.高校網(wǎng)絡安全提升路徑探索——以天津理工大學中環(huán)信息學院為例[J].產(chǎn)業(yè)與科技論壇，2018，17（17）：49-50.

[3] 張亮.高校網(wǎng)絡安全管理的問題及對策研究[J].科技風，2018，25（23）：107.

[4] 錢文標，楊清琳.基于等級保護的智慧校園網(wǎng)絡安全防護研究[J].山東工業(yè)技術，2018，11（12）：229.

[5] 馬也，吳文燦，麥永浩.從WannaCry勒索病毒事件談高校網(wǎng)絡安全[J].網(wǎng)絡安全技術與應用，2018，5（4）：66-68.

[6] 蔡燕，杜翔.勒索病毒背景下的贛州高校校園網(wǎng)安全策略研究[J].信息與電腦（理論版），2017，21（22）：173-174，177.

[7] 丘洪偉，楊凡.高校校園網(wǎng)網(wǎng)絡安全系統(tǒng)中存在的安全隱患與應對措施[J].科技展望，2016，26（11）：326.

[8] 呂紹鑫.高校數(shù)字校園網(wǎng)絡安全體系的設計與策略分析[J].無線互聯(lián)科技，2016，10（7）：31-32.

【通聯(lián)編輯：唐一東】