河南中医药大学：以安全运营为抓手的网络安全体系构建

来源：本站 作者：申意彩 河南中医药大学信息化办公室 发表于：2022.09.30  491浏览

文/申意彩 河南中医药大学信息化办公室（网络中心）主任

摘要：随着网络在高校教学、科学、管理、服务中发挥越来越重要的作用，高校网络安全问题日益凸显。本文就高校网络安全面临的主要问题，构建以安全运营为抓手的网络安全体系，全面加强学校网络安全。学校遵循“同步规划、同步建设、同步运营”原则，以制度机制建设为牵引，以安全能力建设为核心，以安全运营体系建设为抓手，集中面向全校提供统一安全服务、实施统一安全防护。

关键词：高校网络安全；安全运营；网络安全体系

一、引言

网络安全已经成为高校信息化发展中不可缺少的部分。当前，网络安全形势日渐严峻，国家陆续出台了相关的法律法规。各大高校在发展信息化的同时，纷纷以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及《信息安全技术网络安全等级保护测评要求》等文件为统揽，建设符合学校的网络安全运营保障体系。

互联网技术为高校信息化提供了技术支持。在“互联网+”教育的背景下，为加强教育现代化和教育强国建设，教育部制定了《教育信息化2.0行动计划》。河南中医药大学积极推进信息化建设，结合实际需求建设智慧校园，提升了学校的教学、科研以及管理水平。在校园网络面临的安全挑战形势日益严峻的背景下，学校遵循“同步规划、同步建设、同步运营”原则，以制度机制建设为牵引，以安全能力建设为核心，以安全运营体系建设为抓手，集中面向全校提供统一安全服务、实施统一安全防护。

二、高校网络安全概述及现状分析

1.概述

网络安全（Cyber Security）是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。它包括硬件系统的安全、可靠运行，操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等。

高校校园网与一般网络相比，具有一定特殊性。校园网一般分为外网和内网。外网的威胁，主要有黑客发起的DDos攻击、网站挂马、信息窃取和篡改等；对内网而言，内网渗透、非授权访问、主被动“挖矿”等更容易对网络系统造成威胁。互联网已经成为学生接触信息的主战场，确保一个健康安全的网络环境显得尤为重要^[1]。

2.现状

高校校园网络需要保障成千上万台计算机、交换机和服务器等终端设备的安全运行，网络安全面临严峻挑战，主要问题集中在以下方面：

（1）硬件方面存在的安全隐患：网络系统中不同的硬件安全性能程度不相同，这使得部分安全性能差的硬件在遭受黑客攻击时，很容易被突破防线。

（2）软件方面存在的安全隐患：目前高校各类信息系统软件繁多，而各类软件的安全等级参差不齐，对网络内部数据有较大安全隐患，另外计算机病毒或蠕虫程序等也会对网络系统造成破坏。

（3）校园网络管理者存在的安全隐患：一是网络规模不断扩大，而相关的专业技术人才短缺；二是忽略安全管理，缺乏安全意识，网络安全相关制度不健全。

（4）校园网络用户存在的安全隐患：一是学生对网络信息充满好奇，勇于尝试，甚至对校园网络恶意攻击；二是网络安全意识不强，各类信息系统弱口令，数据随意存储、复制，造成信息泄露^[2]。

二、以安全运营为抓手的网络安全体系构建的措施分析

1.优化措施思路

网络安全已经是当前高校信息化一项重要的工作任务。网络安全永远是动态的，攻防两端永远是在博弈，网络安全永远在路上，每天都是从零开始。结合高校网络安全的现状，提出以下提升优化的措施思路：

（1）加强安全运营管理，完善网络安全运行机制

加强网络安全宣传力度，提升师生网络安全意识。加强人才队伍建设，建立完备的网络安全工作队伍。网络安全工作持续推进，构建自动化的网络安全运营机制。认真做好网络安全维护，定期对各业务系统进行扫描及渗透测试，及时发现业务系统存在的问题，构建从信息化办公室至二级部门的安全运维及闭环管理。对发现的潜在威胁，实现自动化的处理，实现自动化运营。

（2）加强技术防范建设，构建网络安全防范体系

在网络与信息安全的攻防对抗中，技术是关键因素，技术力量的强弱在很大程度上决定了胜负。从技术方面入手，全方位构建学校网络安全防范体系，这里主要包括建立全校网络防火墙、堡垒机、Web应用防火墙、数据库审计、远程管理审计、云防护、网站及信息系统监控平台、漏扫设备、网络防病毒软件等公共平台设施，确保有防护、有数据、有痕迹，为网络与信息安全工作提供必须的、完备的环境和条件保障。通过将设备、流程和技术进行有机的结合，实现网络安全集中监控、预警、运维、管理，以全局视角统筹协调网络安全工作。通过构建和完善网络边界防护体系、统一身份认证体系、安全保密体系、安全运行体系和安全管理体系，形成管理与技术集成联动机制，保障网络安全与信息化建设协调同步发展^[3]。

2.具体措施分析

随着信息化的发展，学校在大力发展智慧校园的同时，也着重考虑网络安全问题，具体从以下几个方面入手来构建高效的网络安全体系。

（1）制定网络安全制度，做到安全有规可依

学校发布了网络安全方面的相关的管理制度，包括《网络安全应急管理制度》、《校园网络使用和安全管理规定》、《域名管理办法》、《云服务器管理办法》等。加强网络安全宣传力度，紧扣网络安全宣传主题，在门户网站、微信公众平台上以文章、图片等形式发布关于网络安全相关知识，不断提高师生网络安全意识，让校园网用户能够正确地使用校园网络及业务。

（2）加强人才队伍建设，落实网络安全责任

网络安全主责或牵头单位设置网络安全专岗，各单位明确网络安全工作分管领导、网络安全工作管理员、各信息资产管理员；在学校二级部门及院系落实“谁使用谁负责，谁运维谁负责”的原则，保障使用校园网上网、使用网站及业务系统均能第一时间联系到相关的管理员，并保障及时处理潜在的威胁。

（3）部署网络防护设施，做到安全边清界明

学校网络安全建设主要包括Web应用防火墙、数据库安全审计系统、日志审计系统、深度流量威胁检测系统、终端安全管理系统、网站监测平台以及安全管理中心（态势感知）等系统的部署，完善了学校网络安全的基础设施，保证学校网络以及业务系统的安全、稳定运行。具体六大系统部署如下：

部署一：深度流量威胁检测系统和日志审计系统。搜集数据中心内各类服务器、安全设备告警日志以及丰富的流量信息，全量留存并发送至安全管理中心（态势感知）进行威胁分析研判；

部署二：网站监测平台。对校内站群、各业务系统站点进行全天候安全监测，监测范围包括Web漏洞、暗链、挂马、敏感字、后门、可用性、篡改等，发现问题及时通知管理员；

部署三：WAF。防御各类针对Web应用、服务器操作系统的攻击行为；

部署四：终端安全管理系统。在各重要服务器、终端部署终端安全管理软件。由中心端统一配置终端管控策略，防御基于终端层面的各种攻击、篡改等行为；

部署五：数据库审计系统。对重要业务系统数据库的所有访问请求进行全量留存，并可对数据库的违规操作、恶意攻击进行告警通知；

部署六：安全管理中心（态势感知）系统。梳理校内资产，通过对现有防火墙、入侵防御、WAF、终端安全管理、数据库审计等安全设备日志、服务器中间件日志，结合深度威胁流量检测系统采集的网络全流量数据进行多维的分析和挖掘，提供安全风险发现及威胁溯源能力，实时呈现校内网络安全态势。通过专业技术人员留守观察数据搜集和分析情况，做安全设备策略调优。通过专业安全服务团队，对校内重要业务系统进行安全评估，并结合态势感知呈现的安全风险及事件进行快速分析、溯源以及处置工作。

（4）研发拦截溯源系统，提升内部防御能力

针对新安全挑战和威胁，为提高校园内网终端安全管控，及时阻断恶意请求，发现并定位校园网风险终端，我校自主研发部署了校园网风险终端拦截溯源系统。系统分为出口识别拦截系统、用户请求拦截提示系统、后端数据分析管理系统。识别拦截系统主要结合校园网出口边界防火墙功能实现，用户请求拦截提示及后台分析管理系统基于PHP、Shell程序和MYSQL数据库开发。

通过该系统，网络安全管理人员通过后台分析管理系统可以在线查看风险终端信息，实现快速定位，可以主动对恶意终端进行实时拦截，并能够在风险终端打开任意网页时跳转到安全提示页面，以便终端用户快速知悉安全风险，进行终端安全检测、病毒查杀。当某台终端被定义为风险终端时，出口安全设备会拦截此终端所有的对外请求，并对HTTP请求进行重定向操作，重定向页面主要包含提示信息，告知终端用户疑似感染计算病毒，请及时进行查杀，并展示终端恶意请求的风险内容，及解除封禁时间。当风险终端用户打开网页并跳转到提示页面时，会查看到提醒信息，同时会向后台管理系统发送已读信息，后台将标记用户已经收到通知信息，可以方便安全管理人员在后台筛选出无人管理的风险终端，及时进行处理。最终可以实现增强校园网纵向安全防御能力，有效阻止病毒木马在校园网横向的传播，筑牢网络边界防护墙、打造内部终端安全栏，全方位提升校园网内部防御能力。

图1校园网安全风险终端拦截溯源系统结构图

三、取得的主要成效

通过网络安全建设，学校形成了以网络运营为抓手的网络安全防护体系，为学校网络安全提供了有力的支撑。全校网络安全拓扑结构如图2所示。

图2网络安全拓扑结构

1.摸清信息化资产

通过人工以及基于本地流量的网络资产发现，提供细化资产管理、单位管理等功能，实现二级单位或学校资产的全面发现，建立我校资产管理数据库，摸清底数；完成学校内部的资产库建设，网络安全管理实现统筹协调、部门协同、上下联动；将信息化资产与校内各院系、二级单位安全管理员进行匹配，可对发现的安全问题及时通报至相关责任人，提供相关举证信息便于快速整改解决，并对整改情况进行反馈、跟踪，形成安全事件处置闭环。推动安全防护能力再提高，通过资产识别、脆弱性识别、风险分析、威胁识别等规范化流程实现对业务系统安全风险评估；对学校指定业务系统进行风险评估与渗透测试，全面检测并整改系统的漏洞，并形成完整的评估报告，根据事件类别，通过远程和现场支持的形式对遇到的突发性安全事件进行紧急分析和处理。

2.构建态势感知平台

基于日志审计平台、数据库审计平台以及流量预警平台等平台，构建态势感知平台。打通网络安全风险评估、运维保障、监测预警、应急响应的运营流程，实现网络安全从被动向主动、从静态到动态、从事后到事前、从分散到集约的转变，实现在攻击发生之前进行态势预判，提前将安全风险转换成安全防护策略，下发至校内网络防护类设备，进行适应性、针对性防护准备。通过全网持续监控，有效应对持续攻击，从应急响应到动态响应转变，利用威胁情报持续升级安全策略。通过一系列策略集、产品、服务等实现攻击防御，通过减少被攻击面提升攻击门槛。通过安全防护、审计类设备与态势感知的结合联动，构建了全天候、全方位的安全纵深防护体系，通过全网“安全运营、安全合规、安全态势（监测）、数据安全、安全审计”五大关键能力的集中化建设，通过内化“安全策略统一、安全合规集中、安全威胁处置、安全审计标准化”的运营能力，推进建设了全网统一的安全管控架构。

3.自研安全防御系统

根据校园网络实际情况，研发建设校园网安全风险终端拦截溯源系统，系统上线至2022年5月，共计识别拦截风险终端31000余次，每日拦截上百次，有效降低了内部终端被恶意软件控制，向内部终端横向传播病毒木马的风险。该系统的上线不仅增强了校园内网终端安全管理能力，增强校园网纵向安全防御能力，阻止病毒木马在校园网横向的传播，实现对风险主机地识别定位，同时通过拦截提醒也相应提高终端使用人员的安全意识，实现筑牢网络边界防护墙、打造内部终端安全栏，全方位提升了校园网终端安全技防能力。

图3校园网安全风险终端拦截溯源系统界面

四、结语

面对日益复杂的网络安全形势，本文梳理了高校网络安全存在的问题，针对这些问题构建了以安全运营为抓手的网络安全体系，有效应对各类网络安全威胁。但网络安全工作永远在路上，网络安全体系也应不断改进和完善，防范“口号主义”、“形式主义”，通过实际行动，切实将保障网络安全寓于工作实际中，使学校师生的网络安全意识有更进一步的提升，从而使学校的网络安全水平更上一个台阶。

参考文献：

[1]王洪伟.智慧校园网络安全体系构建[J].软件,2022,43(04):139-141.

[2]丁丹平.高校网络安全管理现状及防御措施探析[J].数字通信世界,2021(09):141-142.

[3]石洁.网络安全监管运营体系建设与思考[J].自动化博览,2022,39(01):67-72.