摘要

随着“互联网+教育”的快速推进，各高校建成了包括学校门户网站、网上服务大厅、招生信息网站的Web 应用中心。网站和业务系统数量增多，同时面临加剧的网络安全风险。高校信息安全建设需要从技术层面和管理层面两方面出发。采用先进的信息安全防护技术， 有效抵御安全风险，从而为信息安全保驾护航。

此外，制定相应的安全管理制度，对信息安全建设进行合理规划、统筹管理，保障和促进信息安全建设。结合高校的信息安全环境实际情况，探讨高校信息安全现状和防护措施，设计包括安全评估、纵深防御、访问控制、安全审计、应急响应与灾难恢复以及安全管理的高校信息安全整体防护方案。

随着教育信息化建设的不断推进，高校的网站和业务系统建设快速发展，应用数量不断增多，为师生提供了便捷的服务，为教学和科研提供了有效的支撑。这些网站和业务系统上存储的重要科研数据和师生个人敏感信息是高校宝贵的数据资产，也成为黑客攻击的主要目标。如何保障网站服务的安全、稳定运行，保护重要、敏感数据不被泄露，成为高校信息安全建设的首要目标。

威胁高校信息安全的主要原因是存在大量、可利用的安全漏洞，同时，缺乏先进的安全防护技术、人才和健全的安全管理制度。

《2017年教育行业网络安全报告》发现，93%的重点高校存在安全漏洞，其中最普遍的为 CVE安全漏洞。《2018年我国互联网网络安全态势综述》指出，重要行业关键信息基础设施逐渐成为勒索软件的重点攻击目标，其中教育业是受到勒索软件攻击较严重的行业。《2019 年上半年网络安全态势报告》中发现，2019年上半年网络攻击数量总体呈上升趋势，网站态势依然严峻，教育行业的网站漏洞数量发现最多。综上所述，近三年的网络安全报告均显示教育行业面临严重的安全威胁，其中高校网站漏洞数量最多，是不容忽视的安全重灾区。

高校的信息安全建设经费有限，导致安全防护设备的购买和更新不足，安全人才的引进和培养不足，在安全防护中处于弱势。高校安全管理制度大都在建设中，尚不健全，缺乏合理规划和统筹管理。

采用先进的安全防护技术，主动进行安全评估来查找风险点，将安全风险“扼杀在摇篮里”。同时，安全管理的建设不可或缺，权责分明的安全管理制度与安全运营机制对高校安全建设具有持续的监督与促进作用。安全防护技术与安全管理互相补充、呼应，构成高校信息安全整体防护方案，如图1所示。

2.1 安全防护技术

需采用先进的安全防护技术将安全防护方案落到实处。采用漏洞扫描系统和渗透测试服务，主动进行安全评估来查找风险点；采用网络地址转换、网络防火墙、Web应用防火墙等安全设备进行纵深防御，如在TCP/IP各层防护、纵深交叉、抵御攻击；对使用者实施限制访问、隔绝危险、安全审计、保留证据以便安全事件发生后积极开展应急响应和灾难恢复，将安全事件的影响降低到最小。

2.1.1 安全评估

安全漏洞一旦被黑客恶意利用，将严重威胁高校的信息安全。只有主动进行安全评估，发现安全漏洞，及时修补，才能事半功倍地降低安全风险。

运用漏洞扫描系统对校园网内的Web应用、服务器主机、云计算、大数据等网络资产进行自动化、批量扫描，定位可能存在的安全风险点。为了使安全评估更加精确，需要对不同的扫描对象分别进行扫描，即根据扫描对象的类型采用不同的扫描模板进行扫描。例如，对网站采用Web安全漏洞扫描，对服务器主机采用系统漏洞扫描。

该过程不具侵略性，一般情况下，不会对网站正常的服务产生影响，但为了万无一失，建议选择在错峰时间段进行扫描，即选择网站访问量不大的时间段进行扫描。一般每月扫描一次或者每周扫描一次。扫描完成后生成扫描报告，汇总分析扫描报告，整体掌握校园网的安全状态，及时发现风险较高的高危安全漏洞。由于漏洞扫描系统是机器扫描，存在误报的可能，需要对扫描结果进行人工漏洞验证和加固。扫描到的安全漏洞也可以上报到教育行业漏洞通报平台，增加高校的安全评分。

购买安全服务，进行人工渗透测试。具有经验的Web安全人员针对校内比较重要的信息系统或网站，利用各种主流的网络攻击技术模拟攻击测试，可以发现最新的、可被利用的安全漏洞和威胁。但是，该过程耗时费力，也可能导致系统服务宕机，需要选择在寒假或者暑假期间等网站访问量低的时间段或者在新系统上线前进行。一般每年进行一次或者两次人工渗透测试。人工渗透测试得到的报告结果准确度高，是安全加固参考的重要依据。

2.1.2 纵深防御

主动发现安全漏洞可在信息安全攻防中抢占先机。但是，不是所有的漏洞都能被主动发现， 还需采用纵深防御，即采用多种安全策略和多层安全防护设备构成多道安全防线来为信息安全保驾护航。

终端安全。校内的主机电脑上安装正版操作系统，特别是服务器上强制安装正版操作系统，保证系统运行的安全和稳定。服务器上需要配置安全策略，并开启本机防火墙，同时要求管理员定期更新操作系统版本，及时安装补丁包，避免出现系统漏洞。此外，需要安装小红伞、360等正版防病毒软件，特别是服务器上要强制安装服务器安全狗、卡巴斯基软件等防病毒软件，用于消除主机病毒和恶意软件，减少校园网病毒的数量，降低校园网病毒传播的风险。

网络安全。采用网络地址转换(NAT)，隐藏并保护校园网IP免受外部网络攻击。在交换机上划分虚拟局域网(VLAN)，把局域网设备划分成独立网段，不同网段间隔离访问，增强局域网的安全性。采用网络防火墙(FW)，在网络层和传输层规范校园网用户的访问行为，仅向用户开放被允许访问的网络资源。例如，为了保护学校重要科研数据和学生个人敏感信息不被泄露，限制用户对数据库系统的访问，在防火墙上禁止数据库3306端口和1521端口对外开放；为了减少对服务器的攻击，禁止远程桌面3389端口和SSH 22端口对外开放，防止用户直接远程连接校内服务器，减少恶意攻击。

采用入侵防御系统(NIPS)，实时监控网络层和应用层的流量，对入侵防护特征库、应用特征库、病毒特征库中已知的漏洞和攻击行为进行防护。应用安全。采用Web应用防火墙 (WAF)，专门对学校的信息系统和网站进行深层次检测和安全防护，阻断或允许某个Web应用流量，有效防御HTTP/HTTPS应用攻击。例如，对校园网信息系统和网站威胁较大的SQL注入攻击、跨站脚本攻击等，由于外网可以访问的信息系统和网站遭受网络攻击的可能性较大，需要强制所有对校外开放的信息系统和网站服务必须加入WAF防护，提高其安全性。

采用建立在统一技术架构平台之上的、可以相互共享信息的网站群系统，提高网站安全性。大部分高校的信息系统和网站分散建立，这些信息系统和网站的管理员多由校内单位的教师或行政人员兼任，系统运维能力和安全风险意识不高，往往没有能力进行安全整改和持续的安全加固。

由学校统一采购一套网站群内容管理系统，采用统一标准规范，经过统一规划，将所有的网站运行在同一个管理平台上，可实现网站的信息发布与数据共享。网站群配套完善的安全防护体系包括网页防篡改、网站群体检、文件和数据库防火墙等，能有效降低页面篡改、注入、挂马以及跨站攻击等安全风险的发生。

数据安全。采用数据库审计系统，记录并汇总分析用户访问和操作数据库的行为，判断用户操作是否合规，对不合规的操作进行告警， 提供危害数据库安全事件的事后追责依据，加强数据资产的安全。

2.1.3 访问控制

细分用户的访问权限，对校内网络、信息资产按照用户权限设置访问控制策略，极大地增加了信息系统和网站的安全性。

统一身份认证。为校内的师生分配与其身份信息绑定的唯一认证账号，标识其电子身份。为校内各业务系统和网站提供统一身份认证接口，各个业务系统通过该接口对用户的身份进行认证。例如，用户在高校内连接校园网需要输入统一身份认证账号，只有通过身份认证的用户才可以访问校园网资源，登录校内各个信息系统和网站。

白名单策略。制定防火墙的网络控制策略，仅允许特定端口访问，禁止非授权端口访问。对于Web应用，仅允许80或443端口对外提供服务，屏蔽其他端口。仅允许已经进行系统信息备案的网站和业务系统开放校外访问权限。对于主机系统，只允许管理员通过远程运维授权(VPN)连接校内服务器，避免了非授权用户对服务器主机的恶意登录。仅允许系统管理员使用固定IP或远程运维授权系统(VPN)登录业务系统的后台管理界面，避免后台管理界面的越权登录。

远程运维授权系统(VPN)。进行加密安全通信，使全校师生在校外也能访问校内资源，如校内图书馆资源、财务系统资源等。校外的技术支持人员在外地也可以进行远程运维操作。

2.1.4 安全审计

按照《网络安全法》的要求，监控和记录使用者对信息系统的访问和使用行为，为安全事件的追责留下可靠证据。

日志审计。将校内网站、业务系统、服务器主机、防火墙以及交换机等网络资产的日志信息进行收集汇总，实现日志资产的统一管理、累积和关联分析，及时发现安全威胁、异常行为事件等，协助管理员全面审计信息系统整体安全状况，提供安全事件的追责依据。例如，对校内网络资产的日志进行关联分析，发现非授权时间的系统登录、非工作时间连接VPN、Linux 服务器非常规行为修改密码文件等非法访问事件，以及用户密码暴力破解尝试、可能的扫描爆破尝试等可疑入侵事件。

运维审计。提供堡垒机，实现服务器主机、Web应用、数据库和网络设备等网络资源的远程授权运维监控，记录运维人员的操作过程，便于事后回放审计。系统管理员通过堡垒机跳板进行系统维护和应用维护，运维人员的操作过程被记录下来，便于事后回顾和审计。堡垒机上记录了校内网络资产的IP地址、用户名和密码等重要数据，需要采用由用户名、密码认证和手机认证组成的双因子认证，保证安全性。

性能监测。利用开源的Nagios网络监视工具，监控校园网中Windows、Linux服务器主机的资源状态（如CPU负荷，磁盘利用率等）以及信息系统和网站的服务状态（如网站的服务端口是否开启）。在系统和网站状态异常时，通过发送邮件、短信或微信通知运维人员进行及时处理，在状态恢复正常后通知运维人员，使运维人员时刻掌握服务的运行状态。

2.1.5 应急响应与灾难恢复

应急响应。首先应建立安全应急响应小组，该小组可以在安全事件发生后第一时间找到问题产生的原因，并协调相关资源进行处置。安全应急响应小组应该包括安全管理人员、安全系统运维人员以及信息系统管理员等。一旦发生安全事件，安全管理员进行情况通报，安全系统运维人员阻断服务，信息系统管理员进行安全加固和处置，从而实现对安全事件的及时响应，将影响降到最低。

灾难恢复。网络防火墙、Web 应用防火墙、虚拟化设备以及存储系统等重要信息化设备， 需采用双链路双机异地备份。一旦一台设备宕机，不会导致服务中断。重要数据采用数据备份系统定期备份，以备数据丢失进行恢复。

2.2 安全管理

信息安全领域有句俗语：“三分技术，七分管理。”即信息安全中，30%依靠安全设备和安全技术来防御，70%依靠安全管理来实现防御。安全建设是一个持续的过程，再好的安全防御体系也需要通过好的管理体制来监督执行。

2.2.1 建立高校网络安全与信息化建设领导小组

按照国家和教育部对高校网络安全与信息化工作的总体要求和部署，建立高校网络安全与信息化建设领导小组，领导学校网络安全管理和信息化建设工作，统筹制定网络安全和信息化发展战略、规划和重大决策，研究解决网络安全和信息化重要问题。

2.2.2 制定高校网络与信息安全管理制度

根据《中华人民共和国刑法》《中华人民共和国网络安全法》等国家有关法律法规，制定高校网络与信息安全管理制度，加强高校网络信息安全管理，规范利用校园网提供信息服务的行为，有效制止和防范有害信息的传播。

2.2.3 实行校内网络与信息安全责任一把手负责制

实行校内网络与信息安全责任一把手负责制，即校内网络与信息安全责任由各单位的一把手负责。对信息系统和网站的安全防护策略调整需要单位一把手审核批准。

2.2.4 定期组织网络与信息安全培训

定期组织全校信息系统和网站运维人员进行网络与信息安全培训，提高信息系统和网站管理员的系统运维水平、信息安全素养和安全防护技能，实现网络信息安全推进协调发展。

高校信息安全问题不容忽视，需要安全评估发现危险、纵深防御抵抗危险、访问控制降低危险、安全审计抓住危险、应急响应切断危险和安全管理持续监督，共同构建高校信息安全防御体系。高校信息安全建设是持续的过程，无法做到一劳永逸。面对新的安全风险，要不断调整，改进防御措施，创新安全管理模式。