智慧校园网络与信息安全防护的实施—以浙江中医药大学为例

马 亮，王晓东，赖小波

浙江中医药大学：1 信息与教育技术中心；2 第三临床医学院；3 医学技术学院， 杭州 310053

高校信息化建设发展迅速。信息化程度越高，网络安全问题就越突出，网络安全防护工作遇到的挑战也会越严峻[1-3]。2017年6月1日，《中华人民共和国网络安全法》正式实施，提出“保障网络安全，维护网络空间主权和国家安全、社会公共利益”“采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性”[4]。针对目前高校网络和信息安全所受威胁，根据高校网络与信息安全风险类型，从管理和技术的角度规划设计网络与信息安全防护体系，确保高校网络安全稳定运行，是所有高校都必须重点抓的一项艰巨任务。

1 智慧校园网络与信息安全面临的威胁分析

智慧校园网络与信息安全[5-9]常见威胁包括以下几个方面：

①操作系统漏洞及网络协议本身的缺陷。网络安全离不开网络操作系统的安全，许多攻击就是由于操作系统本身源代码、不正确的配置等缺陷造成。因此，在智慧校园网络建设时，尽量选择安全性高的操作系统，及时打补丁，加强用户登录认证，控制用户权限，防止非法访问及重要信息的泄露，否则将会导致严重的后果。另外，黑客还会利用一系列如sniffer、wire- shark等抓包工具来窃取网络传输中的信息，进行数据窃听、IP欺骗、ARP欺骗、SYN Flood与Land攻击、Tear- drop攻击等。

②计算机病毒、网页挂马攻击。计算机病毒种类繁多、传播速度快、消耗资源，甚至会导致DOS，给用户带来很大烦恼。应增强用户的安全意识、安装杀毒软件、下载经过认证的安全软件，做好终端安全。

③不良信息及垃圾邮件的传播，给师生使用网络带来困扰。

④管理者对网络和信息安全问题重视不够，没有建立安全制度，或者所建制度形同虚设等。

2 智慧校园网络与信息安全防护体系设计

浙江中医药大学是以中医中药为特色学科的教学研究型大学，是浙江省人民政府、国家中医药管理局、教育部共建高校，师生分布于滨文校区和富春校区，两个校区分别建有网络机房，保障2万多用户正常使用网络。该校自2010年启动数字化校园建设，逐步完成了三大平台和20多个业务系统建设，以及各学院和部门的网站建设。随着数字化校园建设的不断深化，新增的网站和业务系统不断增多，需求变得更复杂，维护和管理难度增大，网络安全隐患也不断增加，业务数据共享远远不够。于是，该校自2015年启动智慧校园建设规划，综合考虑可实施性、可管理性、可扩展性、系统均衡性等原则，从网络与信息安全、数据共享和服务、信息化统一监控和运维等方面进行智慧校园建设顶层设计，设计后的智慧校园体系架构如图1所示。文章限于篇幅，重点分析网络与信息安全，网络和信息安全覆盖了从物理层到应用的所有安全相关问题。网络与信息安全保障体系包括：管理安全、网络安全、主机安全、应用安全、数据安全、等保测评等，如图2所示。

图1 智慧校园体系架构

图2 网络与信息安全保障体系架构

管理安全：需要做好安全管理体系建设，从安全领导小组到安全保障员都要重视网络和信息安全，建立规范的制度和安全操作手册，开展安全培训，以确保网络和信息安全。

网络安全：包括安全网关、入侵检测、防火墙，VPN接入等。

主机安全：包括漏洞修补、访问权限控制、安全加固、堡垒主机等。

应用安全：包括流量负载均衡、统一身份认证、Web漏洞扫描等。

数据安全：包括数据备份与恢复、数据库审计、数据加密、容灾备份等。

等保评测：根据《中华人民共和国计算机信息系统安全保护条例》中规定的信息系统安全等级测评标准进行评估、整改。

另外，还建立统一的运维监控管理平台，实时监控网络和信息安全，一旦发现安全问题，根据预警情况迅速处理。

3 智慧校园网络与信息安全防护实施经验

该校自2016年开始智慧校园建设，年底基本完成一期工程，先后经历了G20杭州峰会、乌镇国际互联网峰会和2017年全国学生运动会的网络安全保障考验，分别获得了2016年度和2018年度平安校园建设先进单位荣誉称号。这些都得益于以下四个方面：

3.1 领导高度重视网络安全，建立健全相关制度，确保管理安全

该校在积极推进智慧校园建设的过程中，高度重视信息安全保障建设工作，把信息安全的建设与管理放在学校各项工作的重要位置。2016年，建立了校长挂帅的智慧校园建设领导小组和工作小组，成为学校网络安全和智慧校园建设的主要组织保证。2018年，成立了网络与信息安全工作领导小组，制定发展规划、政策，统筹协调、研究解决涉及网络安全和信息化工作的重大问题。该校发布了一系列网络和信息安全相关的规章制度，包括《计算机及计算机网络信息系统保密管理规定》《关于加强网络信息安全管理工作的通知》《校园计算机网络建设与管理暂行办法》《实名上网认证帐号申请》《机房安全管理制度》《机房操作管理制度》《机房消防安全管理制度》《数据维护及备份管理制度》《校园网应急操作规程》《网络与信息安全应急处理办法》等，相关制度越来越健全。

通过各种方式定期或不定期开展网络与信息安全知识讲座和论坛，宣传网络安全知识、强化网络安全意识。根据网络安全教育和培训计划，组织各部门的网络管理员进行网络安全法规学习和网络安全技术培训。

3.2 从技术和设备上确保网络安全、主机安全、应用安全和数据安全

该校每年安排网络与信息安全专项经费，用于网络与信息安全建设。校园网络出口配置了具有网络入侵检测和防护的防火墙，配置了VPN系统，对需要校外访问的重要应用予以保护；校内统一进行VLAN规划，对财务专网等重要系统采用物理隔离；所有的开发和维护工作需要登录服务器时，通过堡垒主机进入操作，操作记录可以回放，日志可以查询。

建立统一的站群系统，并装备网站漏洞扫描系统，对校内各类网站定期进行漏洞扫描，对于存在安全漏洞的网站，通知负责人及时整改后再上线(如图3、图4所示)。新建平台和网站必须要填写《浙江中医药大学网络平台审批(备案)表》进行审批。每年3月份对全校范围内网络平台(含网站和业务系统)进行集中网络漏洞扫描，及时向相应管理员反馈扫描结果。

图3 网站漏洞扫描结果为危险的网站

图4 整改后变得安全的网站

对访问量大的教务系统做了流量负载均衡，以确保应用系统的正常使用；对重要应用建立了存储数据容灾备份机制；对数据中心进行双机热备，购买了数据库审计系统，确保数据安全。

“堡垒最易从内部攻破”，校内网师生用户的电脑也可能成为攻击源，为了防止校内地址的试探性和恶意攻击，校内网的用户上网必须实名认证，访问日志保留6个月可查。在校园网络规划设计时采用了具有入侵检测功能的双防火墙设计：校园网的进出口放置一台防火墙抵御校外IP地址的攻击，在校内所有服务器之前再放置一台功能更强大的防火墙，既可以检测校外IP地址，又可以检测校内IP地址。入侵检测规则一旦触犯，自动针对该IP地址封堵端口和服务，并短信通知网络管理员，对于连续发起攻击的可疑IP，加入封堵名单。系统管理员可以查询黑白名单列表，查出被封堵的IP地址用户后及时通知该用户，该用户必须再次申请，系统管理员确认后才能解除封堵。

3.3 积极进行等级保护评测

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现，除了安全控制评测，还包括系统整体评测，并根据评测结果进行整改。目前，该校已经完成11个系统的等级保护二级备案工作，后续的系统还在陆续进行等级保护评测中，如图5所示。

图5 信息系统安全等级保护备案证书

3.4 加强网络与信息安全监控，实时掌握网络安全状态

该校建立了网络与信息安全统一监测平台、24小时网络舆情监控平台、第三方网络安全监察服务机制和网络突发事件应急措施，实时掌握学校网络与信息安全保护状况。每逢重大活动和会议期间，均安排专职员工进行24小时值班，实时监控网络安全。

4 总结

智慧校园建设过程中，网络和应用的规模更加庞大，网络结构更加复杂，用户数不断增多，网络与信息安全问题不容忽视。该文以浙江中医药大学为例，介绍了智慧校园网络与信息安全防护体系及其实施经验，今后将进一步加强技术防护方案的改进，优化安全预警平台，以确保校园网络与信息安全。