高校计算机实验室网络安全管理研究
2021-02-21赵旭华
赵旭华
摘 要:随着“互联网+”教育的推进,高校计算机实验室已成为高校教学科研实训的主阵地。高校计算机实验室在为教学科研实训提供快捷服务的同时,也暴露出网络安全重视不够、网络安全法律法规理解不深、网络安全防范技术掌握不够等问题。针对上述问题,文章设计了以制度规范、环境规范、网络规范、应用规范为基础的高校计算机实验室网络安全管理规范。借鉴PDRR网络安全体系,文章重点阐述了高校计算机实验室网络安全防护、网络安全检测、网络安全恢复、网络安全响应的实践应用体系,旨在提升高校计算机实验室网络安全管理水平,维护高校及师生网络安全,保障高校计算机实验室的安全运行。
关键词:高校;计算机实验室;网络安全;管理研究
中图分类号:G717;TP393 文献标志码:A 文章编号:1673-8454(2021)01-0060-06
一、引言
高校是人才培养的重要阵地,肩负着培养社会主义骨干建设者的重任。高校在向大学生传授专业知识的同时,也承担着培养专业实践应用能力的工作。大学生专业实践应用能力的培养主要是在学校实验室进行。在“互联网+”时代,各学科也逐步与计算机进行融合,计算机已成为各学科建设和人才培养方案中不可或缺的工具,计算机实验室也成为高校教学科研和实训工作的重要场所。
信息技术是一把“双刃剑”,在给教育事业带来便利的同时,也带来了安全隐患。据国家互联网应急中心统计,我国2019年上半年新增计算机恶意程序样本数量约3200万个,计算机恶意程序传播次数日均达约998万次[1]。另据深信服2019上半年网络安全态势报告,教育行业网站漏洞数量最多,其中木马远程控制占34%、勒索病毒攻击占21%[2],教育行业网络安全形势已十分严峻。
习近平总书记高度重视网络安全工作,亲自担任中共中央网络安全与信息化工作委员会主任,多次就网络安全发表重要论述。“网络安全对国家安全牵一发而动全身”“没有网络安全就没有国家安全”[3-4],习近平总书记上述重要指示为我国教育行业网络安全工作提供了重要指引。
二、高校计算机实验室网络安全隐患
高校计算机实验室是由多台计算机及相关配件通过网络互联组成的一个功能室,可为高校教学、科研、实训提供软硬件基础平台,是高校重要的教学场所。近年来,随着各学科与计算机的融合以及多媒体教学(CAI)、计算机仿真技术的发展,计算机实验室已成为高校各学科实操性课程教学的主要场地。由于我国网络安全规范化工作起步较晚,加之高校计算机实验室管理人员大都非计算机网络安全专业人士,他们对网络安全法律法规的理解有限,更因计算机实训室日常工作量大,使其难以分心。以上多种因素导致高校计算机实验室网络安全工作存在以下隱患:
1.网络安全工作重视不够
计算机实验室网络安全工作重视不够主要体现在重实验室业务运行轻实训室网络安全保障。由于各学科与计算机的联系日益紧密,学科教学也逐渐从传统的多媒体课室转到计算机实验室进行,计算机实验室的排课量激增。为了保障正常教学、实验和实训工作的进行,防止因实验室故障导致教学事故发生,计算机实验室管理员往往将大量精力放在维护计算机实验室的日常运行,对计算机实验室的网络安全工作则是高高挂起,认为不出事即可。网络安全已成为国家安全的重要组成部分。国家重点学科、重点项目、重点实验室的信息系统安全、数据安全、数据防泄密都关系到国家安全,其重要性不言而喻。计算机实验室网络安全已超出传统的计算机软硬件安全范畴,跟师生个人隐私信息安全、高校数据资产安全、社会网络舆情安全、国家安全紧密联系在一起,是高校意识形态、大学生网络思政、校园安全工作的重要组成部分。各高校应提高政治站位,将计算机实验室网络安全工作作为计算机实验室管理的重点工作和基础工作,强力推进计算机实验室网络安全工作部署,保障计算机实验室的网络安全。
除对计算机实验室网络安全工作重视不够以外,各高校还存在一个普遍的认识误区,认为网络安全工作是高校网络信息中心的工作,应由网络信息中心统一部署、集中管控,各计算机实验室只负责所属实验室的正常运行即可。依照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的网络安全责任原则[5],计算机实验室应对其负责运营的信息系统、师生使用网络的安全负责,切实履行网络安全责任,扎实保障实验室网络安全。
2.网络安全法规理解不深
“没有规矩不成方圆”,党的十八大四中全会发布了《中共中央关于全面推进依法治国若干重大问题的决定》,昭告“全面依法治国”,彰显法治权威[6]。《中华人民共和国网络安全法》是我国网络安全工作的法律指引[7],高校计算机实验室网络安全工作必须依法合规开展。
高校计算机实验室管理员普遍对网络安全法规理解不深,认为计算机网络安全法律法规会限制实验室各项功能正常使用,增加管理人员的工作量。网络安全法律法规的出发点是保障国家安全,保护计算机实验室的正常安全运行,对高校计算机实验室的规范化管理具有很好的促进作用。高校计算机实验室管理者应加强对网络安全法律法规的学习,自觉依法办事,依法用网、管网,在保障好实验室网络安全的前提下,做好实验室管理和服务工作,给师生提供安全、可靠、优质的实验室服务。
3.网络安全技术掌握欠缺
计算机和网络技术的普及使得信息技术无处不在,早已融入人们的生活、学习、工作等各个方面。随着计算机应用面的扩大,网络安全技术在传统的防火墙、防病毒网关、杀毒软件基础上也有了更多扩展。高校计算机实验室管理者大都非网络安全专业人士,其对计算机实验室网络安全的认识普遍还停留在计算机还原卡和防病毒软件的层面,对上网实名认证、上网日志留存、数字加密备份、防勒索、防篡改等新技术、新方法、新要求的掌握尚有欠缺,网络安全技术视野不够全面,这为计算机实验室的网络安全留下了隐患。
为适应新时代要求,高校计算机实验室管理员应跳出狭隘的网络安全技术视野,按照《中华人民共和国网络安全法》要求,积极学习网络安全新技术和新方法,形成全面的网络安全观,将网络安全新技术、新手段应用到计算机实验室管理上,保障计算机实验室的网络安全。
三、高校计算机实验室网络安全管理规范设计
高校计算机实验室网络安全牵涉到计算机终端安全、数据安全、网络安全、信息系统安全等各方面,是整体性的工作。计算机实验室网络安全点众多,根据“木桶原理”,各安全点都有可能出问题,在制定其安全管理规范时,应注重各个方面的整体规划和统一设计,从整体上把控高校实验室网络安全。
从高校计算机实验室实际工作出发,其网络安全管理规范可划分为制度规范、环境规范、网络规范、应用规范四个子规范。四个子规范融合为一个整体,形成高校计算机实验室网络安全管理规范体系(如图1所示)。
1.制度规范
制度规范主要指为规范计算机实验室管理而设立的相关制度。根据计算机实验室工作业务,可相应制定计算机实验室机房管理制度、计算机实验室病毒防范管理制度、计算机实验室数据保密及数据备份管理制度、计算机实验室网络安全管理员制度、计算机实验室运行管理制度等相关制度。管理制度的制定只是制度规范的开始,制度规范的重点是要抓好各项管理制度的落实,做到制度管物、制度管人、规范运作。
2.环境规范
计算机实验室中网络设备、服务器、存储设备众多,为保障各设备的正常运行,需严格按照计算机实验室建设规范,对实验室空间、电力、空调、UPS(不间断电源)、防火、防雷、温度、湿度、视频监控等环境因素从严高标准建设,确保计算机实验室的安全稳定运行。
3.网络规范
计算机实验室各设备通过网络(有线网络或无线网络)进行连接,为保障网络的安全可控,需严格遵守《中华人民共和国网络安全法》,对网络设备接入、师生实名制上网、师生上网日志留存、网络安全防范等法律明确要求的内容要全部落实到位,确保师生依法用网、安全用网。
4.应用规范
互联网上的资源丰富多彩,但也存在良莠不齐的现象。为保障师生合理的上网需求,在满足师生教学科研实训的前提下,应对师生上网应用进行规范,杜绝师生利用计算机实验室从事与教学科研实训不相关的网络活动。在实际应用中,可严格制定师生访问网络资源的限制策略,使师生根据自身权限访问相应资源,避免越权访问。
对向师生提供服务的信息系统,应按规定落实信息系统等级保护测评和整改要求,确保信息系统安全可信,为师生提供可靠和安全的服务。实验室服务器和存储设备应做好数据冗余设置和数据备份工作,保障服务器和存储器数据安全。实验室计算机应按要求部署防病毒系统并将病毒库更新至最新版本,启用操作系统更新程序,及时更新计算机操作系统补丁,禁用U盘、移动硬盘等外接存储设备,确保计算机安全。
四、高校计算机实验室网络安全管理实践
计算机实验室网络安全管理是高校网络安全管理整体工作的一部分。在保持高校网络安全统一规范的前提下,为减少重复建设带来的资源浪费,高校计算机实验室可参照高校网络安全规章制度,制定计算机实验室网络安全制度。高校计算机实验室环境规范在保障电力、温度、湿度、防雷、防火、防静电的基础上,可将实验室服务器和存储设备托管到学校数据中心机房统一管理。高校计算机实验室网络规范和应用规范因实验室环境和师生教学需求不同,不宜通过学校统一政策进行管控,可在学校统一提供的网络规范和应用规范基础上,再在计算机实验室内部部署相应软硬件,以满足师生正常的教学环境要求和个性化需求。
计算机实验室制度规范和环境规范两者主要侧重于管理和基础设施层面,按学校规定予以建设即可,在此不再贅述。高校计算机实验室网络规范和应用规范是计算机实验室网络安全的难点和重点,同时也是计算机实验室的薄弱点,本研究将重点对这两项的实际应用工作进行阐述。
PDRR(Protection Detection Recovery Response)网络安全体系最早由美国国防部(DoD)于2017年提出,此体系由防护、检测、恢复、响应四个部分组成,形成网络安全闭环[8](如图2所示)。PDRR网络安全体系改进了传统网络安全体系只注重防护的单一安全防御思想,强调网络安全保障由四个重要环节组成。四者缺一不可,形成网络安全整体合力,切实保障网络安全。借鉴PDRR网络安全体系,高校计算机实验室网络安全管理的网络规范和应用规范可从安全防护、安全检测、安全响应、安全恢复四个方面来开展。为减少支出,降低网络安全的软硬件成本,本文在实际应用的基础上给出了部分开源软件和免费软件的网络安全防护方案。
1.网络安全防护
网络安全防护既包含来自互联网的外网攻击也包括来自计算机实验室内网的扫描攻击。网络攻击是实验室网络安全的最主要威胁,为保障安全,必须做好内外网全面防护工作。计算机实验室内网防护主要以用户上网认证、上网行为记录、上网行为管控、系统漏洞修复、防病毒软件、防火墙等软硬件和安全策略构成。
(1)内外网分离网络安全策略
内外网分离是指将计算机实验室网络分成实验室内部网络和实验室外部网络两部分。实验室内部网络和实验室外部网络的安全风险不一样,实施内外网分离后可对实验室内外网采取不同的网络安全防范策略,保障实验室网络安全。内外网分离网络安全策略具体可划分为两部分:①实验室内网网络安全策略。实验室内网计算机等设备可设置为可信区域,根据教学科研需要,可开放相应网络端口和相应教学资源,允许内部机器互联和相互通讯,便于内部系统访问和资源共享。②实验室外网网络安全策略。实验室外网计算机设置为不可信区域,对于来自不可信区域的计算机和网络设备数据包,需通过防火墙安全检测后方可转发进入实验室内部网络,保障数据安全。不可信区域的计算机和网络设备不可直接访问实验室内网设备和资源,保障设备和资源的安全。
(2)实名认证、上网行为记录、上网行为管控、网络防火墙
为保障安全,一般情况下,实验室内计算机应设置为不可访问互联网资源,师生有互联网使用需求的,根据《中华人民共和国网络安全法》要求,需通过实名认证后方可访问互联网资源。
实名认证可通过RouterOS、OpenWrt、爱快(iKuai)、WFilter NGF等软路由来实现,此类软件路由,均可实现师生上网实名认证、上网行为记录、上网行为管控、网络防火墙等功能。RouterOS、OpenWrt两款软路由为国外版软件,软件界面和配置方法与国人习惯大不相同,非专业人员难以适应其使用。iKuai和WFilter NGF均为国产版软件,界面设置和功能配置均符合国人使用习惯,目前已经广泛应用在各行业中,计算机实验室使用它可零成本搭建网络安全防线。WFilter NGF是一款基于Linux的软路由,功能强大,使用简便,可供50台计算机规模的实验室免费使用,更大规模实验室可选用其正式版本以扩大计算机授权量。
以笔者所在计算机实验室的网络安全管理为例,WFilter NGF的实名认证可与高校现有用户管理系统进行对接,也可通过微信认证、手机短信认证、企业微信、钉钉等常用工具进行整合,为师生提供快捷方便的上网实名认证服务。目前,众多高校使用企业微信作为内部通讯工具,师生均在企业微信的组织架构中。此情况下,可配置企业微信与WFilter NGF的第三方认证(如图3所示)。配置成功后,师生在计算机实验室访问互联网可通过企业微信扫码验证,极为快捷和方便。
师生使用个人实名账号认证后,其上网行为皆可被审计。为保障师生上网安全,可對师生可访问的互联网资源进行限制,如限制网络游戏、网络理财、网络影视等各类资源的访问(如图4所示),使师生能更专心地进行教与学。
为防止实验室外网对计算机实验室的攻击,可启用防火墙功能,将外网扫描和攻击拒之门外,保障实验室内网安全。
计算机系统漏洞修复可在计算机实验室内配置Windows更新服务器,各计算机启用自动更新服务,向实验室内部更新服务器获取系统补丁更新包,即可保障操作系统层的安全。
实验室防病毒软件可使用奇安信网管版软件,安装服务器端和配置客户端后对实验室内计算机可统一进行杀病毒、清木马、修漏洞等操作。统一管理保障了实验室的网络安全。
2.网络安全检测
计算机实验室网络安全面临的既有已知病毒,也有未知威胁。为防患于未然,需对计算机实验室网络安全进行全面检测,其检测对象主要是实验室对外提供的服务和实验室内部设备。
(1)奇安信Webscan
为保障计算机实验室对外服务的安全,可使用奇安信免费提供的Webscan服务。Webscan服务提供了网站漏洞检测和网站运行监测功能。网站漏洞检测功能可对计算机实验室提供的服务进行全方位检测,便于快速发现实验室对外服务存在的各类脆弱性风险并提供漏洞修补和整改建议。网站运行监测功能可对计算机实验室对外服务的可用性、黑链、挂马、钓鱼、敏感词和敏感信息泄漏等方面进行监测(如图5所示)。检测结果实时通过电子邮件和手机短信发送给管理者,让管理者能及时掌握计算机实验室对外提供的服务运行状态,方便及时进行相应处理。
(2)漏洞扫描
计算机实验室内部设备由于安装多种教学科研和实训软件,也会存在网络安全隐患,给实验室网络安全带来风险。Nessus 是系统漏洞扫描与分析软件,针对个人用户和教育机构提供了免费版本。利用Nessus软件,可对实验室计算机系统软件和应用软件进行漏洞扫描,根据扫描结果和修补建议,针对性地对各计算机终端和设备进行安全修补,保障计算机实验室各设备的无风险运行。
3.网络安全响应
计算机实验室网络安全响应主要是指出现安全事故时的处理机制和应急处理措施。计算机实验室网络安全处理机制可纳入到实验室制度建设中统一制定,应急处理措施包括固化网络安全日志和消除网络安全影响两方面内容。
固化网络安全日志可启用计算机和服务器的日志记录服务,以及师生上网验证和上网行为日志服务。定时将上述日志进行备份即可留存网络安全日志,供网络安全机构查证使用。
计算机实验室网络安全应急处理措施主要是一键断网络出口和特定计算机内部网络。计算机实验室网络结构较为单一,可利用远程桌面和WiFi智能插座等常见软硬件方式来实现断网络出口和计算机内部网络。远程桌面可使用向日葵远程控制软件连接服务器端,在服务器端运行相应管理程序即可断开相应计算机或整个实验室网络。WiFi智能插座的使用则更为简单,只需将实验室网络交换机接入到WiFi智能插座,插座连接上实验室WiFi网络就可通过插座配套的APP来进行管理。当发现有网络安全异常时,通过APP关闭实验室网络交换机对应的插座电源即可断开所有网络连接,防止进一步网络攻击。
4.网络安全恢复
现阶段,数据资产已超越计算机硬件设备成为高校计算机实验室价值最高的资产。为保障计算机实验室数据资产的网络安全,使系统数据和应用数据的完整性不被破坏,以及硬件系统损坏后计算机实验室功能可快速恢复,需从系统层面和数据层面对计算机实验室进行周密部署。
系统层面的网络安全恢复可采取虚拟化快照技术或通过安装软硬件还原卡来实现。新立项建立的计算机实验室可通过虚拟化云桌面技术快速部署适合各学科的操作系统和应用软件,当系统出现问题可进行模板还原,快速恢复数据和还原系统。
数据层面的网络安全恢复可使用数据同步备份和恢复软件来实现。数据库备份和恢复软件有DBSync和SQL备份恢复助手等。文件同步备份和恢复软件有FreeFileSync和GoodSync等。
DBSync是免费数据库同步备份及恢复软件,可在SQL Server、Oralce、Mysql、Access、Excel等数据库和数据文件间进行数据库同步备份和恢复操作,具有支持异构数据库、增加备份、秒级同步等特性(如图6所示),是数据库备份和恢复的实用工具。
FreeFileSync是免费开源的文件同步备份软件,支持本地磁盘文件和远程磁盘文件的同步备份和恢复。利用此软件,可将计算机实验室的重要数据文件设置多个备份存储,开启定时同步功能后可自動将本端文件同步至多个备份存储。计算机实验室出现数据安全问题时能快速启用备份数据进行恢复,保障计算机实验室数据的安全性和高可用性。
五、结语
各学科与计算机的快速融合使得高校计算机实验室在教学科研工作中的应用越来越广泛,作用也越来越重要。计算机实验室的网络安全管理需符合国家安全要求,遵守网络安全法律法规,制定网络安全制度规范,部署网络安全软硬件防护手段,切实保障计算机实验室的网络安全。
参考文献:
[1]中共中央网络安全和信息化工作委员会办公室.CNCERT发布《2019年上半年我国互联网网络安全态势》[EB/OL]. http://www.cac.gov.cn/2019-08/13/c_ 1124871596.htm.
[2]FreeBuf互联网安全新媒体平台.2019年上半年网络安全态势报告[EB/OL]. https://www.freebuf.com/articles/paper/210122.html.
[3]中共中央网络安全和信息化工作委员会办公室.网络安全牵一发而动全身[EB/OL]. http://www.cac.gov.cn/2016-06/01/c_1118966168.htm.
[4]中共中央网络安全和信息化工作委员会办公室.习近平:没有网络安全就没有国家安全[EB/OL]. http://www.cac.gov.cn/2018-12/27/c_1123907720.htm.
[5]吕诚昭,郝文江,武捷.网络安全的非传统安全特征决定其管理模式[J].信息安全与通信保密,2012(8):23-32.
[6]中共中央关于全面推进依法治国若干重大问题的决定[EB/OL].http://www.ccps.gov.cn/xytt/201812/t20181212_123256.shtml.
[7]中共中央网络安全和信息化工作委员会办公室.中华人民共和国网络安全法[EB/OL]. http://www.cac.gov.cn/2016-11/07/c_1119867116_3.htm
[8]王妍,孙德刚,卢丹.美国网络安全体系架构[J].信息安全研究,2019,5(7):582-585.
(编辑:王晓明)
