◆李学龙 郝文英

基于IT治理的高校校园安全网络框架设计研究与实现

◆李学龙1郝文英2

（1.北京第二外国语学院 北京 100024；2.北京物资学院 北京 101149）

“没有网络安全，就没有国家安全；没有信息化，就没有现代化。”高校是网络应用的前沿阵地，网络安全事关高校的和谐稳定。在日常工作中，高校应进一步加强网络安全管理，重视网络信息管理系统建设。本文将着重阐述通过基于高校“IT治理”思想下的校园安全网络框架设计与实施。

信息安全；IT治理；信息化

0 前言

2012年，党的十八大报告中指出要“建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用。”这49字概括了国家在网络信息技术领域下一步将要完成的工作，其中“健全信息安全保障体系”第一次明确提出了“信息安全”，可见信息安全对国家的重要程度。

高校作为国家最重要的人才聚集地，没有高校的网络信息安全，何谈高校教育信息化，又如何实现高校教育的现代化的目标。因此，做好信息安全相关工作是高校日常最重要的工作之一。信息安全本身是一项系统工程，需要进行一体化设计，自顶向下。完善各类设备设施，完备各类规章制度，加强组织领导，“技防”与“管理”并重，强化信息安全等级保护制度，才能更好的保障网络与信息安全。

1 高校IT一体化建设下的信息网络安全必要性

近年来，信息化已经覆盖到高校教学、科研和管理过程的方方面面，为高校的教学、科研、学生管理和社会服务等核心业务提供了有力支撑，提高了高校工作效率和管理水平。高校数字化校园向智慧校园的转变过程中，大都进行了详细而周密的顶层设计，但在设计过程中，往往忽视了网络与信息安全的规划设计和实施，从而导致了各种各样的信息安全问题。

随着国家对信息安全的要求逐步提高，很多高校在安全上都做了大量的工作，通过购置上线安全设备（网络出口防火墙、WAF、入侵检测/防护系统IDS/IPS、负载均衡设备、流控设备等），起到了一定安全保护作用。但要进一步做好高校的网络与信息安全工作，需要进行“一体化”设计，简单的购置安全设备只是在一定程度上解决了部分问题，并不能最大限度的降低或消除网络安全风险。很多网络安全事件产生的原因都不简简单单是“没防住，门没关好的问题”，而是“关门之前就有了问题”，亦或是“关门的同时就出现了问题”。

综上所述，高校的网络信息安全一体化设计是必要的，只有进行网络与信息安全的“IT一体化建设”，才能少走弯路，稳步推进，分布实施，最终实现高校的网络与信息安全。

2 高校IT治理建设下的信息网络安全设计构建

高校应从“管理”和“技术”两个方面共同推进全校网络与信息安全保障工作，千万不要重“技术”，轻“管理”，管理与技术并重，进行IT一体化设计，才能更好的保证网络与信息安全。完备的网络与信息安全保障体系应至少包括“信息安全管理构架”、“信息安全管理制度”、“安全设备设施”3个部分。

2.1 信息安全管理构架

应建立网络与信息安全专门机构，加强网络与信息安全的组织领导工作，提高网络与信息安全地位，突出并强化网络与信息安全的重要性。信息安全管理架构应自顶向下，严格落实领导责任制，一把手亲自过问，分管负责人直接抓，一级抓一级，层层抓落实，确保高校校园网与各应用信息系统安全稳定的运行。

2.2 信息安全管理制度

高校应根据国家有关网络安全的政策要求以及教育部制定发布的各类教育信息化管理制度和信息安全标准规范，结合自身实际，制定学校网络安全总体规划，完善学校网络与信息安全管理方面的各项规章制度。如《人员安全管理制度》、《信息系统安全管理制度》、《校园网安全管理制度》、《数据安全管理等制度》、《设备管理制度》等等。

2.3 网络与信息安全技术防护

（1）做好校园网边界控制，保证专网专用

高校校园网应做到校内专网专用，互不干涉。在进行校园网构建时，做好各类专网规划，如校园一卡通专网、学校财务专网、全校消防及安防专网、全校监控专网，在专网建设时在逻辑上和物理均进行分离，采用校内专有机制进行运行，不开放校外访问，校内进行访问控制限定，能有效避免各类网络攻击。

必要时在网络核心机房建立DMZ军事区，重要的信息系统服务器均放置其内，在DMZ区之外部署一系列的网络安全设备设施，同时加强管理与监控，保障重要业务信息系统的网络与信息安全。

（2）上线“网络防火墙”设备，实现“关门”防护

网络防护墙设备可以对“网络层”进行“开”与“关”的操作，它类似于一道门，要么关闭，要么开放，理论上来讲是最安全的。高效应对全校各类应用服务器的端口开放情况进行全面的梳理，关停不必要端口的校外访问，降低安全隐患。建立“高效服务器安全管理规定”制度，通过上线网络防火墙，除非必要仅在防火墙上开放80、8080端口应用层的校外网访问。但仅仅是端口的开关操作会降低很多的应用系统的访问体验，很多信息系统是需要开放访问的，但开放后又失去了“网络防火墙”的保护性。因此“网络防火墙”应与“WEB应用防火墙”配合使用，各展所长，共同保障网络与信息安全。

（3）上线“WEB应用防火墙”设备，实现“应用层”监控防护

WEB应用防火墙（Web Application Firewall，简称WAF），是通过执行一系列针对HTTP/HTTPS的网络安全策略来专门为Web应用提供保护的网络安全设备、设施，对WEB应用系统具有专门的防护作用。WAF工作在应用层，对Web应用防护具有先天的技术优势。基于对网站及各类应用的业务逻辑的深刻理解，他对来自各类应用程序客户端的每个请求进行内容检测和验证，确保其安全合法，对于非法的请求予以实时（按策略）阻断，从而对各类网站、信息系统能进行有效的防护。

有报道显示，WAF对SQL注入、网页篡改、网页挂马、XSS跨站脚本等网络攻击具有较好的防护效果。

通过上线WEB应用防护设备，增强学校对外的WEB级应用防护能力，降低人力监控工作压力，提高全校的安全防护能力，如图1所示。

图1 WAF策略防护

（4）上线网页“防篡改”系统，进行统一网站群建设

高校内部部门众多，每级子部门都有自己的主页或信息系统建设，由于信息技术的参差不齐[1]，容易造成各单位的主页“五花八门”、“良莠不济”，也需更多的考虑网络安全问题。因此高校信息化归口部门应进行全校的统一网站群建设,增强网站的安全。

目前市面上主流的黑客攻击技术为对网页进行篡改，加入“暗链”、“标语”、“图片”等信息。防止网站网页被篡改是网站群安全防护的最主要内容，所以上线“网页防篡改系统”是必要的。

在校园网出口（或DMZ区之外）部署网络防火墙、WAF，目的是防止校园网的网站及应用系统遭受攻击（事前拦截），但一旦黑客渗透过这些安全设备之后，假如对网页进行了更改，还有最后一道防线可守 — 网页防篡改，可在最短的时间内进行网页恢复（事后恢复），无需人工干涉，并发送相关告警信息，形成了事前拦截+事后防御的双重网络安全防御体系。

但要注意，防篡改系统自身程序必须能防篡改，如果自身程序做的不够完善，就更不需弹保护网站了。

3 结束语

高校网络与信息安全工作任重而道远，目前国内高校网络与信息安全形式非常严峻,应更加重视网络与信息安全工作[2] ,对硬软件配套设施按要求进行及时升级,与时俱进，为网络安全系统建设提供软硬件支撑。同时提高内部防护能力，建立网络安全管理制度和应急防护长效机制，对网络问题进行全方位监控。要对重要的设备设施集中管理，切实落实网络安全管理责任制。加强网络与信息安全等级保护制度的推进实施，保障高校的网络安全。

[1]郝文英等.基于新媒体技术的高校教务教学信息推送系统构建分析.中小企业管理与科技，2015.

[2]李学龙等.高校网络与信息安全防护技术研究.电脑迷，2016.