張瑞英 劉永鐸 武永嬌

摘要：隨著數(shù)字化網(wǎng)絡發(fā)展的不斷深入，日益成熟的網(wǎng)絡基礎建設和互聯(lián)網(wǎng)資源大大提高了高校各項工作的開展和完成效率。但是，網(wǎng)絡在帶來各種便利的同時，也帶來了很多的網(wǎng)絡安全風險。隨著教師教學、學生上課、辦公等工作對校園網(wǎng)平臺的日益依賴，國家對網(wǎng)絡安全日益重視，高校網(wǎng)絡安全的加強也迫在眉睫。文章通過對高校信息化網(wǎng)絡現(xiàn)狀和網(wǎng)絡信息安全面臨的問題進行研究分析，在建設、運維管理等方面提出了有效措施。

關鍵詞：信息化建設：運維管理：網(wǎng)絡安全

中圖分類號：TN915. 07

文獻標志碼：A

0 引言

在當前云計算、大數(shù)據(jù)、人工智能、移動應用等新一代數(shù)字化技術高速發(fā)展的形勢下，各高校廣泛應用新興技術進行學?；A建設、應用系統(tǒng)的建設和數(shù)據(jù)的存儲、處理、傳遞和分析等。例如通過云計算技術將計算、存儲、網(wǎng)絡等資源整合為統(tǒng)一的資源池，從而實現(xiàn)對硬件資源的二次分配，有效利用空閑資源[1]。通過運用大數(shù)據(jù)、人工智能等數(shù)字化技術，實現(xiàn)業(yè)務與技術的深度融合，打通部分內(nèi)外業(yè)務流程、優(yōu)化業(yè)務管理及服務。高校作為人才培養(yǎng)、新興技術研究和廣泛應用的區(qū)域，涵蓋大量重要數(shù)據(jù)，其網(wǎng)絡和應用系統(tǒng)是黑客攻擊的重要目標之一，對于高校面臨的網(wǎng)絡攻擊、數(shù)據(jù)泄露等問題，必須采取有效的應對措施，對加強高校網(wǎng)絡安全具有非常重要且積極的意義[2]。本文主要從高校網(wǎng)絡現(xiàn)狀出發(fā)，進一步分析高校的信息化建設，并對網(wǎng)絡安全運行運維提出一些建議。

1 高校信息化網(wǎng)絡現(xiàn)狀分析

高校網(wǎng)絡分為有線網(wǎng)絡和無線網(wǎng)絡兩部分，其中有線網(wǎng)絡用于提供高速可靠的數(shù)據(jù)傳輸服務，而無線網(wǎng)絡主要用于移動終端的網(wǎng)絡接入。校園網(wǎng)絡建設必須具備高速、穩(wěn)定、安全、便捷、易管理等特點，根據(jù)校園網(wǎng)絡建設的特點和等級保護2.0的要求，經(jīng)過近年來的不斷強化建設，校園網(wǎng)絡已經(jīng)基本完善，但是也存在一些問題。

1.1 高校信息化網(wǎng)絡現(xiàn)狀

高校校園網(wǎng)絡采用標準的三層物理網(wǎng)絡拓撲結(jié)構(gòu)，即核心層、匯聚層和接人層三層網(wǎng)絡邏輯架構(gòu)。校園網(wǎng)絡核心層采用雙冗余模式，部署兩臺核心交換機，核心交換機之間通過雙萬兆鏈路互聯(lián)，采用熱備技術和虛擬化技術，大大提高了網(wǎng)絡的穩(wěn)定性和轉(zhuǎn)發(fā)性能，骨干鏈路根據(jù)學校規(guī)模及業(yè)務運行特點，選擇了合理帶寬，從而保障了校園網(wǎng)的穩(wěn)定運行。核心交換機下連兩臺交換機作為核心匯聚設備，主要進行核心層到接入層網(wǎng)絡的匯合，通過千兆及以上光纖鏈路連接到接入層。接入層根據(jù)終端的類型（臺式電腦或移動終端），配備接入交換機或PoE交換機（支持對外供電）．用于連接臺式電腦等網(wǎng)絡終端或無線接入點（ AP）．從而實現(xiàn)千百兆到桌面。高?；緦崿F(xiàn)校園無線網(wǎng)絡全覆蓋，根據(jù)當前應用需求和未來幾年的網(wǎng)絡需求，構(gòu)建了千兆高速無線網(wǎng)，無線控制器（AC）負責管理無線接入點（ AP），采用N+1冗余模式，并使用雙鏈路與雙核心交換機相連．AC通過核心交換機、匯聚交換機、PoE接入交換機與無線接入AP連接，形成邏輯二層的無線網(wǎng)絡。

隨著云計算技術的不斷發(fā)展，云計算技術已經(jīng)廣泛應用于教育行業(yè)，云計算通過使用虛擬化技術將數(shù)據(jù)中心的計算、存儲及網(wǎng)絡等資源進行邏輯層面的化整為零，整合為統(tǒng)一的資源池，可以同時創(chuàng)建多臺邏輯云主機，每臺邏輯云主機上可安裝運行不同的操作系統(tǒng)和不同的應用程序，不同云主機上的應用程序之間互不影響，提升了基礎設施的資源利用率。云計算主要有基礎設施即服務（ IaaS）、平臺即服務（PaaS）和軟件即服務（ SaaS）3種模型，按照不同的部署方式可以分為公有云、私有云和混合云，混合云融合了公有云的強擴展性和私有云的安全性等特點[3]。高校除了在本地數(shù)據(jù)中心物理服務器上部署一些應用，也結(jié)合當前實際情況在信息化基礎設施建設上構(gòu)建了混合云平臺，將站群、OA等應用系統(tǒng)部署在本地中心機房的私有云平臺上運行管理，實現(xiàn)將內(nèi)部重要數(shù)據(jù)保存在本地數(shù)據(jù)中心，從而有效保障了數(shù)據(jù)的安全性，將部分應用系統(tǒng)部署在公有云平臺上，解決了帶寬限制等問題。私有云與公有云之間采用雙鏈路數(shù)據(jù)專線互聯(lián)互通，同時在本地數(shù)據(jù)中心部署一臺備份設備集中備份、存儲公有云和私有云的重要業(yè)務及數(shù)據(jù)，以解決故障導致的數(shù)據(jù)丟失問題。

在安全性方面，高校基本對數(shù)據(jù)中心整體網(wǎng)絡進行了區(qū)域劃分，將校園網(wǎng)絡區(qū)域劃分為互聯(lián)網(wǎng)出口區(qū)、核心交換區(qū)、服務器區(qū)、辦公區(qū)、安全運維管理區(qū)等區(qū)域，各區(qū)域間進行了安全隔離。在網(wǎng)絡邊界部署了防火墻及入侵防御系統(tǒng)，對非法訪問、入侵行為和DDos等攻擊進行檢測和防護，在核心交換機和防火墻上設置了不同網(wǎng)段、不同用戶對服務器的訪問控制權限。高?；緲?gòu)建了基于B/S架構(gòu)的有線無線一體化上網(wǎng)認證系統(tǒng)，校園網(wǎng)用戶無論通過有線還是無線接入校園網(wǎng)絡，都必須經(jīng)過認證后才可以訪問。在安全管理區(qū)部署了漏洞掃描設備，定期對內(nèi)部的服務器、網(wǎng)絡設備及應用系統(tǒng)進行漏洞掃描，及時發(fā)現(xiàn)漏洞并及時修復；部署了WAF設備防止soL注入、流量攻擊等：部署了數(shù)據(jù)庫審計設備對所有數(shù)據(jù)庫操作進行審計及分析，防止管理員人員或惡意攻擊者對數(shù)據(jù)庫的誤操作、惡意操作及破壞等行為無法追溯：服務器和終端都安裝企業(yè)版殺毒軟件進行安全防護，降低安全風險：部署了上網(wǎng)行為管理系統(tǒng)對終端的上網(wǎng)行為和訪問的內(nèi)容進行審計阻斷：部署了安全感知平臺獲取探針數(shù)據(jù)及其他安全設備的日志來實現(xiàn)智能分析、危險點防護及清查、統(tǒng)一呈現(xiàn)全網(wǎng)安全風險并聯(lián)動其他安全設備及時處置安全威脅，同時為后續(xù)的跟蹤審計提供依據(jù)：部署了堡壘機可以進行統(tǒng)一的安全運維和審計，保證運維人員的所有操作可溯源。

1.2 高校信息化網(wǎng)絡安全存在的問題

校園網(wǎng)絡安全是整個校園網(wǎng)絡的基本保障，除了為用戶提供高速便利的網(wǎng)絡服務，還必須采用有效的安全管理措施。通過分析發(fā)現(xiàn)，高校網(wǎng)絡安全存在問題如下：

（1）在資產(chǎn)管理方面，由于高校信息化建設早期管理不規(guī)范，沒有統(tǒng)一的管理標準，存在信息資產(chǎn)管理混亂、資產(chǎn)檔案不完善，更新不及時，交接檔案不完整等現(xiàn)象，使得網(wǎng)絡安全管理工作不能得到很好的落實。

（2）校園有線網(wǎng)絡的進一步擴展存在高成本和擴展時間周期長等問題。無線網(wǎng)絡存在信號不穩(wěn)定、安全性能低和管理機制不完善等問題。安全體系通過部署防火墻、IPS、應用防護系統(tǒng)WAF、漏掃系統(tǒng)、防病毒網(wǎng)關、上網(wǎng)行為管理、數(shù)據(jù)庫審計系統(tǒng)、態(tài)勢感知系統(tǒng)等網(wǎng)絡安全設施設備，應對網(wǎng)絡和數(shù)據(jù)安全等問題，但是各類安全設備分屬不同廠商，產(chǎn)品之間存在孤立分散、無法有效對接，數(shù)據(jù)無法形成有效關聯(lián)等問題[4]。

（3）云計算應用帶來很多優(yōu)勢，如多可用區(qū)架構(gòu)可以提供更好的容災能力，中間件服務可以提供更好的安全運維能力，容器化部署可以提高系統(tǒng)彈性擴容能力，微服務系統(tǒng)解耦應用模塊，避免單點故障。但是云計算應用也存在一些問題：如系統(tǒng)穩(wěn)定性有待提高，服務鏈路更長更復雜，數(shù)據(jù)流轉(zhuǎn)更加復雜，一個異?；蚬收峡赡芤鹫麄€系統(tǒng)的故障，且故障呈現(xiàn)多樣化，云管理工具功能單一，需要大量定制開發(fā)服務，標準化程度有待提高。

（4）網(wǎng)絡安全相關管理制度需進一步完善，大部分網(wǎng)絡管理員為非網(wǎng)絡安全專業(yè)的人員，網(wǎng)絡安全知識儲備和安全防范意識有待進一步提高，在遇到復雜網(wǎng)絡安全問題或事件時，無法及時對其進行分析判斷并采取正確應對措施處理，導致網(wǎng)絡安全問題擴大造成安全威脅[5]。

2 信息化建設及管理

信息化建設是一個長期投入的過程，網(wǎng)絡設備有生命周期，不是一旦有，就可以一直用，需要根據(jù)發(fā)展要求及使用需求等因素做好迭代更新工作，且隨著信息化的變化發(fā)展，高校校園網(wǎng)絡及應用系統(tǒng)也會存在新的安全隱患威脅，因此需要在現(xiàn)有網(wǎng)絡環(huán)境中不斷更新、完善設備及應用系統(tǒng)。

2.1 建立“一網(wǎng)通辦”平臺

隨著校園信息化業(yè)務逐步增多，校內(nèi)各部門購置使用的多業(yè)務應用系統(tǒng)不僅會浪費存儲空間，還存在反復報送同樣的信息數(shù)據(jù)、各系統(tǒng)數(shù)據(jù)信息不同步不共享等現(xiàn)象。近幾年，政府建立“一網(wǎng)通辦”服務型政務大廳，加速了信息化的應用，實現(xiàn)了向服務型政府的轉(zhuǎn)型升級，由此也帶動了高校建設“一網(wǎng)通辦”智能型服務大廳的熱潮?！耙痪W(wǎng)通辦”以網(wǎng)上辦事大廳為延展，擴充教學辦公等工作，通過內(nèi)外網(wǎng)融合、角色融合、資訊與辦事融合、多終端融合，一站式集成業(yè)務處理、實現(xiàn)業(yè)務可視、智能協(xié)助、在線協(xié)同等功能，突破了各系統(tǒng)之間信息孤島現(xiàn)象，其技術架構(gòu)如圖1所示。

搭建“一網(wǎng)通辦”服務平臺，可實現(xiàn)對外辦事服務的統(tǒng)一注冊、登錄、授權、服務、審計、展示等功能，提升前端辦事服務能力，為用戶提供統(tǒng)一、標準、全面、便捷的“前端、中端、后端”一體化服務平臺，方便完成各類流程等事項辦理，實現(xiàn)數(shù)據(jù)共享，實現(xiàn)對PC端、移動端和各類白助終端的支撐?！耙痪W(wǎng)通辦”平臺，通過統(tǒng)一標準規(guī)范，用戶、應用、服務管理等核心組件，對接入系統(tǒng)進行有效管理、實現(xiàn)統(tǒng)一身份認證、單點登錄、統(tǒng)一消息服務等。同時可縮短應用建設周期，能夠迅速利用已有的基礎設施快速搭建需要的流程或應用系統(tǒng)，避免各個項目在建設、運行運維等環(huán)節(jié)的重復投資，降低了總體成本。

2.2 零信任安全訪問

零信任技術的原理是基于網(wǎng)絡內(nèi)外部充滿威脅，基于網(wǎng)絡位置（IP地址）信任關系的判斷是不可靠的，所有設備、用戶和流量必須經(jīng)過認證和授權，沒有權限的堅決不能放通，訪問控制策略應該是動態(tài)的假設下，得出結(jié)論，即零信任必須驗證用戶，驗證用戶所使用的設備，給予最小權限，還需要自適應動態(tài)控制以適應零信任的理念。零信任架構(gòu)是一種新的安全架構(gòu)理念和思想，它使得安全建設視角從“基于風險”向“基于業(yè)務訪問過程”轉(zhuǎn)變。并且從理論上構(gòu)建了一個端（人／終端／程序／設備…）到端（系統(tǒng)／應用／數(shù)據(jù)…）的最小訪問模型，建立了一個動態(tài)的、基于身份和安全的邏輯訪問邊界，其安全訪問架構(gòu)如圖2所示。

基于零信任架構(gòu)，可實現(xiàn)讓正確的人使用正確的終端，在任意位置，使用正確的權限，訪問正確的業(yè)務，獲得正確的數(shù)據(jù)，將人（身份）、終端、網(wǎng)絡位置、訪問權限、業(yè)務、數(shù)據(jù)等分散的安全單元有效串聯(lián)起來，可實現(xiàn)用戶、權限、策略的統(tǒng)一管理和運維，大大降低安全管理復雜度和難度：最大化落地“最小權限原則”，收縮業(yè)務暴露面，大大提升安全性，同時也降低了ACL訪問管理的投入：與“一網(wǎng)通辦”平臺打通，可實現(xiàn)全場景的、一致性的訪問體驗，獲得與內(nèi)網(wǎng)接近一致的訪問體驗：確保能夠方便地接入業(yè)務，還能有效阻斷來自終端的風險，避免遠程辦公／上課成為風險入口，通過嚴格的、有效的數(shù)據(jù)防泄露手段，避免業(yè)務重要的數(shù)據(jù)對外泄露。

2.3 安全管理與運維

信息化安全管理是一個不斷完善各種規(guī)章制度和加強管理的過程，網(wǎng)絡安全是“三分技術、七分管理”，在加強安全防護技術的前提下，建立信息安全管理機制，保障網(wǎng)絡安全運行。

（1）需要做到資產(chǎn)清晰，做好完整資產(chǎn)檔案，及時做好資產(chǎn)更新工作，及時和相關部門做好不用設備的后期處置移交工作，并做好記錄。對于安全設備要做好特征庫、病毒庫、版本的及時更新工作，使安全設備發(fā)揮最有效的作用，同時不斷完善管理制度。

（2）系統(tǒng)管理工作要求系統(tǒng)管理員有高度責任心，管理涵蓋服務器管理和系統(tǒng)管理兩方面，服務器管理員需要打開系統(tǒng)防火墻，打開日志，根據(jù)業(yè)務需求只開放必須使用的端口，關閉盤符共享：設置策略密碼定期更換登錄口令，且密碼復雜性需在6位或8位以上，含大寫字母、小寫字母、數(shù)字、特殊字符；服務器上除安裝系統(tǒng)運行必需的軟件及安全應用外，不應安裝其他軟件，從而防范因在服務器上安裝不必要軟件出現(xiàn)安全問題。系統(tǒng)管理方面根據(jù)需求做好系統(tǒng)管理工作，及時修復整改系統(tǒng)漏洞，做好備份工作，開啟日志，日志留存至少6個月。

（3）需要通過培訓或進修方式，加強對網(wǎng)絡安全管理技術人員的培養(yǎng)，加強日常維護管理，提高網(wǎng)絡安全技術人員的安全敏感性，從而對出現(xiàn)的安全問題能夠做出快速判斷及合理應對。加強與其他高校和廠商的技術交流，通過網(wǎng)絡、移動App等方式加強對網(wǎng)絡安全知識的宣傳，不定期發(fā)布網(wǎng)絡使用注意事項，提高人們的網(wǎng)絡安全意識。

3 結(jié)語

高校信息化建設是一個不斷迭代更新及完善的過程，信息化網(wǎng)絡安全是學校信息化網(wǎng)絡建設中的重要考慮因素，需要加強網(wǎng)絡安全軟硬件投入、健全網(wǎng)絡安全相關制度、嚴格網(wǎng)絡維護管理、提高網(wǎng)絡使用人員及管理人員的網(wǎng)絡安全意識和技術水平等，是未來重要的研究方向和發(fā)展前景，只有更好地實現(xiàn)了網(wǎng)絡安全，才能更好地保證高校網(wǎng)絡信息化的安全和穩(wěn)定發(fā)展。

參考文獻

[1]曾昊川．高校信息化建設中網(wǎng)絡安全管理與對策研究[J]．網(wǎng)絡安全技術與應用，2022（3）：83-84．

[2]王龍飛．高校信息化建設中的網(wǎng)絡安全問題分析[J]．無線互聯(lián)科技．2019（5）：21-22．

[3]鄧梓芃．云計算在高校信息化建設中的應用[J]．電子元器件與信息技術．2021（ 12）：137-138.

[4]陳超．高校信息化建設中網(wǎng)絡安全管理與對策研究[J]．網(wǎng)絡安全技術與應用．2021（4）：79-80．

[5]林正地．網(wǎng)絡信息安全技術在高校信息化建設中的應用[J]．電子元器件與信息技術，2021（3）：26-27.

（編輯王雪芬）