新冠疫情背景下高职学院网络安全体系的优化

廖锋 陈玉菲

DOI：10.19850/j.cnki.2096-4706.2021.08.048

摘  要：新冠肺炎疫情给网络安全提出了新的挑战，新冠疫情发生以来，在高职学院校园上网负载和访问流量大幅增加的情况下，网络安全风险和攻击事件数量趋于上升，在探索实践中，安全运维人员可以围绕高职院校校园网络安全体系的现状，从机构优化、制度落实、网络优化、私有云虚拟服务、云上移动运维、日常巡检、定期培训、应急演练和上报反馈等几方面对其进行优化。

关键词：网络安全;体系优化;私有云;数据中心

中图分类号：TP309      文献标识码：A 文章编号：2096-4706（2021）08-0168-05

Optimization of Network Security System in Higher Vocational Colleges under the Background of COVID-19 Epidemic Situation

LIAO Feng，CHEN Yufei

（Jiangxi Technical College Of Manufacturing，Nanchang  330095，China）

Abstract：The COVID-19 epidemic situation poses a new challenge to network security. Since the outbreak of the epidemic，in the situation that the campus internet load and access traffic in higher vocational colleges have increased significantly，the number of network security risk and attack events is increasing. In exploratory practice，the safety operation and maintenance personnel can optimize the campus network security system in higher vocational colleges based on its current situation from the aspects of organization optimization，system implementation，network optimization，private cloud virtual service，mobile operation and maintenance in cloud，daily inspection，regular training，emergency drill and reporting feedback.

Keywords：network security;system optimization;private cloud;data center

0  引  言

2019年12月被發现的新冠肺炎病毒已经在全世界流行传播，现在国内战疫形势已经进入疫情防控常态化管理阶段。在当前新冠肺炎疫情防控常态化管理的新形势下，线上移动教学、办公、生活消费的信息流或资金流负载快速增加，也造成返校复学后高职学院校园网络负载和访问流量大幅提高，但校园网络安全管理制度、网络安全风险评估、账号权限管理以及数据访问、存储和传输安全等方面存在大量薄弱环节，疫情防控期间的网络安全体系也面临着前所未有的风险和压力，针对以上风险和挑战，围绕高职学院校园网络安全的现状，我们在网络安全体系的优化中做了如下可行的探索与实践。

1  高职校园网络安全体系优化的实践

1.1  机构优化

为了做到领导到位、机构到位、人员到位、责任到位，高职学院需成立网络安全和信息化领导小组，组长由学校党委和行政一把手亲自担任，由分管领网络安全和信息化的领导作为副组长，组员由职能部门负责人担当，设办公室作为领导小组的办事机构。网络安全和信息化领导小组下设网络安全办公室和信息化办公室，分别设在宣传部和信息化中心，负责学院网络安全和信息化领导小组日常事务工作，宣传部负责网络安全部署和舆情管控工作，信息化部门负责信息化建设和技术运维工作。

1.2  制度落实和优化

参照国家网络安全法和网络安全等级保护2.0制度文件，各职能部门按照“谁主管，谁负责;谁使用，谁负责;谁运维，谁负责”的主体责任原则开展网上业务系统的安全运维工作。对校园网中的关键基础信息在等保2.0的基础上进行优化，重新进行系统定级、备案管理、建设整改、等级测评和监督反馈。根据《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》和《关于加强疫情防控期间网络安全保障和个人信息保护工作的通知》（赣教新冠防控字〔2020〕90号）文件要求及规范，在制度方面优化了相关制度条款，重新梳理优化印发的《***学院落实网络安全工作责任制的实施细则》《校园网络安全管理办法》《校园网络安全应急预案和处置流程》《校园实训机房管理制度》《数据中心管理暂行办法》《网络安全保密工作制度》等文件条款以适应疫情防控常态化管理的要求，并与职能部门或相关系统运维外包公司责任人续签《网络安全和保密承诺书》，做到线上业务网络安全主体责任人和线下业务安全主体责任人的一致性，从而提升业务部门安全上网，安全用网的责任感。

1.3  网络拓扑结构优化

高职学院在进行网络安全顶层设计时，首先要根据校园网络出入口的风险管理，根据网络安全等保2.0新增的云计算、物联网、移动互联网和大数据技术的要求，业务系统大部分按照网络等级保护二级的标准进行定级管理。高职学院需要对现有网络拓扑结构重新设计和优化，在现有边界防火墙、行为管控、审计管理、存储备份、环控管理的基础上，我们以学院私有云数据中心为边界，重新划定和增加学院私有云为网络安全核心区，通过架设核心区边界防火墙，在核心区以外的校园网络都可以称为不安全的外部互联网络，师生在校园内网如果要访问学校私有云中的服务器，必须经过边界防火墙审核过滤。下图1是某高职学院的网络拓扑结构，虽然有防火墙等安全设备，但学校内的服务器和数据中心分散在各不同的区域，也没有架设上网行为管理和VPN等远程访问设备，师生从外网访问校园内网资源较麻烦和不安全，网络安全层次也不够清晰，容易产生校内网络安全事故。

经过网络拓扑结构的改进和优化后，高职学院可以采用超融合私有云方案，把业务服务器通过虚拟化技术全部迁移到私有云数据中心，并增加远程VPN通道访问设备方便校园外网用户对校内核心免费资源的访问。同时在私有云的总出入口架设边界防火墙，同时数据中心的外部增加校内上网行为管控设备，图2是增加了超融合技术的私有云数据中心（单位自建的校内云化数据中心）、行为管控、安全智慧管理区和VPN通道的优化网络拓扑结构。

在以上优化后的校园网络互联拓扑结构中，网络拓扑划分了校园网边界安全区、流控与行为管理区、DMZ服务区、私有云数据中心区、安全运维管理区、核心网络区、网络接入区等主要功能区域。数据中心采用了全球领先的国产化数据中心超融合方案，以虚拟方式建设智慧校园的数据中心私有云和数字大脑，并部署了Rill智慧校园运维系统和VPN硬件远程访问通道，优化了无线有线认证的单点登陆方式。信息化运维人员在安全运维管理区通过智慧运维系统管理所有校区的网络设备和弱终端设备，在安全运维管理区的边界也加装了防火墙3，对进入的信息流进行过滤审核。

经过网络拓扑结构的优化，只有私有云数据中心才是核心内网，私有云以外都划归不安全的外部互联网，高职校园即使有多个校区，其他校区要接入主校区访问主校区的私有云服务（数据中心）或共享主校区的软硬件资源及带宽，如果是在外地出差办公的教工可以通过私有云数据中心内部架设的VPN服务，提供校内资源的免费访问。如果另一校区（比如上海路校区）的师生要访问共享主校区的数据资源，就必须先认证登录后，通过防火墙2过滤后，才能访问私有云中的信息资源。

在新冠肺炎病毒流行后的网络安全常态化管理新形势下，这些高职校园网络拓扑结构上的优化不但符合网络安全等保2.0二级标准的要求，也符合数据资源分类分区域管控的原则。

1.4  虚拟服务和私有云数据中心部署优化

在疫情常态化管理期间，通过采用全球领先的超融合技术部署的校内私有云服务，校园内原来各业务部门建立的数字校园认证服务、数据交换服务、教务管理、网絡云课堂服务、云上财务管理、云上资产管理、云上科研系统、单招专业云上确认等业务都可以从不稳定的老式服务器无缝迁移到私有云中集中管理，迁移方案可以实现在线迁移和关机迁两种模式。由于私有云数据中心不但采用了软硬件资源冗余管理的负载均衡功能，而且采用了CDP（数据可续持性保护）功能，所以通过迁移前后对比发现，业务迁移后在私有云数据中心运行的服务要比在单台服务器上在安全稳定和管理性能方面要提高很多。空出来的老式服务器又可以通过虚拟服务技术提供小流量高频的课程共享服务或物联网亚终端业务的定制服务。图3是采用了超融合技术（各种服务器和安全服务可以按需生成、统一部署、免费使用和有序组合的虚拟仿真技术）的某高职学院私有云数据中心管理平台，它可以对虚拟服务器、虚拟防火墙、SSL传输层保护、虚拟VPN安全通道、免费AD证书服务、CPU、内存、硬盘集群等软硬件资源实现统一调度、分配和空闲资源回收功能，这为高职学院网络安全软硬件资源集中式智能化便捷管理提供了技术支撑。

1.5  云上移动运维

由于采用了虚拟服务和云计算技术，通过智能移动终端设备，管理人员随时随地24小时全天候运维管理成为新冠肺炎疫情背景下的常态化工作模式，这让每年高职学院例行的网络安全重保工作变得更安全和高效，如果在校园内部署的虚拟服务器在网络重保期间出现安全漏洞和病毒，运维人员接到上级相关部门指示后，在3分钟内，可以通过手机移动端APP登录校内私有云和外部公有云中心，快速关闭或停止出现安全问题的虚拟服务器，切断涉事业务系统网络访问，再进行相关的安全处理和上报工作，云上移动运维方式为重保期间的应急管理和信息化运维工作提高了效率，节省了工作环节，并缩短了应急处置时间。图4显示的是某高职学院在电信天翼云上实现的弹性云主机（服务器虚拟化托管）远程开关机服务。

1.6  日常巡检和培训演练

网络安全检查分为定期安全巡检和国家重大活动节日期间的抽检两类：

（1）定期安全巡检。在工作日期间，由信息部门每日安排专人对指定区域的关键设备进行巡检，并做好有无故障的记录，再由负责人进行审核签字，确让网络安全风险程序，进行相应的处置，针对网络连接硬件拓扑发生改变时，及时进行拓扑优化和边界检查，对新建的信息化系统进行数据流、业务流和操作规程的优化检查和调整，疫情期间每日巡检网络安全和信息化设备表如下表1所示。

（2）在国家重大活动和节日期间及突发新冠疫情事件的大背景下，高职学院就要按照上级主管部门的要求对学院的网络系统和管理进行抽检及调整，实行7×24小时值班管理制度，以保证校园网络空间风清气朗。

在智慧校园时代，师生的网络安全和信息化素养是校园网络安全应用推广的关键。对于师生用户，高职学院可以通过每年的国家网络安全周，围绕网络购物、网络冲浪、要防危害、防欺诈、防违法等主题，进行信息化素养的宣讲教育和针对性培训，提升安全上网，安全用网的法律意识;高职学院管理者也可以让思政课与学生网络安全和信息化素养教育紧密结合，提高师生网络安全应用水平;信息化部门也要安排厂家或集成商对管理运维人员进行专业化的业务安全培训和应急演练，掌握运维规范，不设弱口令，把系统的操作管理和审计管理分开。运维人员对网上资源分区域、分类别、分层次进行信息化治理，才能在网络安全风险出现时，及时阻隔网络攻击破坏跨界传递，让损失降到最低。

1.7  上报反馈

按照《江西省网络与信息安全信息通报任务分工及报送规范（试行）》和《江西省网络与信息安全信息通报机制成员单位联络员管理办法（试行）》文件，高职校园网络安全上报工作已经形成了常态化管理方式。网络安全重保期间，如果校园内未发生网络安全事件，也应该按照江西省教育信息化部门的文件要求，执行网络安全零报告制度。如果发生了相关的网络安全高危事件，成功处置完成后，需要向上级主管部门上报处置方法和处理结果。

2  结  论

实践证明，为满足新冠肺炎疫情时期的网络用户应用场景需求和安全规范，高职学院校园网络安全体系的优化是一个不断演进迭代的动态过程，高职学院的网络安全和信息化从业人员只有通过分析网络安全体系难点、理清网络安全体系重点、疏通网络安全堵点，解决不同阶段网络安全的业务痛点，才能为高职院校信息化教学诊断和改进工作提供安全、稳定和可控的校园网络空间。

参考文献：

[1] 全国人民代表大会常务委员会.中华人民共和国网络安全法 [R/OL].（2017-06-01）.https：//www.fjcpc.edu.cn/jgdzz/20 20/0424/c2231a65107/page.htm.

[2] 刘春生.高职院校网络安全防范体系的构建 [J].职业技术教育，2008，29（20）：78+89.

[3] 王家红.校园网络的安全问题及对策 [J].现代信息科技，2018，2（8）：158-159.

[4] 李颖存.高校学生网络安全教育对策探讨 [J].劳动保障世界，2020（12）：66-67.

[5] 姬翔宇.网络安全素养现状研究——以鹤壁职业技术学院为例 [J].黑龙江科学，2019，10（17）：154-155.

作者简介：廖锋（1976.08—），男，汉族，江西赣州人，系统分析师，高级工程师，硕士，研究方向：网络安全和信息化建设及管理、计算机网络、电子商务。

收稿日期：2021-04-18