校园网安全运维分析与研究

摘 要：隨着网络技术的不断发展，以及网络应用的普及，人们对网络的依赖性越来越高。网络在生活、学习、工作方面带给人们便捷的同时，也衍生出一系列网络安全问题。近年来，各行各业网络安全事件时有发生，如何通过安全运维的手段最大程度地避免安全事件，是每一个网络运维人员需要思考的问题。

关键词：网络技术；网络安全；安全运维

校园网是高校重要的信息平台［1］，目前高校基本都有专属校园网络，主要为全校师生提供网络服务和数据中心服务。高校校园网存在以下特点：用户体量大，用户网络安全意识低，网络运维人员少且技术力量薄弱，网络设备数量大，业务种类多等。针对这一现象，旨在最大限度降低校园网络安全风险，必须建立健全网络安全防护体系，从网络安全技术运维层面、网络安全政策意识层面出发，保障高校网络安全可靠稳定运行。

1 网络安全运维技术层面

现代校园网系统的正常运行和各项功能的顺利实现，离不开软件系统和硬件设备的日常管理维护和合理配置［2］。网络安全必须落实在网络运维环境中，网络环境本身必须最大程度降低安全风险。网络安全运行的前提是夯实网络安全基础架构，在该架构的基础上通过安全运维、策略优化、安全加固等技术手段才能保障整个运维技术层面的安全可靠性。

1.1 网络基础架构

网络架构是校园网运行的基石，网络架构的设计直接影响上层网络运行的质量，网络架构的原则是简约、灵活、安全、健壮等。一个完整的网络架构通常包含外联域、互联网出口域、云端安全服务、运维管理域、核心交换域、对外服务区域、二级系统业务域及终端接入域名等8个区域，如图1所示。为保障各区域间的网络安全访问，各个域之间有明显的物理界限（边界防火墙），通过边界防火墙的安全策略灵活控制数据流的走向。

（1）外联域：主要负责校内各个专网的对外互联业务，例如财政专网、银联专网等，服务内容专一，数据量小，但安全系数高。

（2）互联网出口域：主要负责向广大师生等校园网用户提供网络带宽接入服务，提供对外业务的发布服务，例如电信宽带出口、联通带宽出口、移动带宽出口以及教育科研网出口等。

（3）云端安全服务：严格意义上该区域不算是网络架构中的一个业务分区，但它又是网络安全体系中的一个重要组成部分，云端安全配合本地安全设备双重保障。

（4）运维管理域：主要负责全网范围内的网络安全运维设备，例如堡垒机、安全态势感知平台、日志审计系统、数据库审计系统、网管平台等。

（5）核心交换域：主要负责全校网络流量的控制和转发，是整张网络的数据处理中枢。

（6）对外服务域：主要负责全校对外服务的公共服务（DMZ区），例如官方网站、校级APP应用等公共服务。

（7）二级系统业务域：主要负责校内的数据中心业务，例如校内私有云平台、数据库系统、存储系统，业务部门的二级网站和业务等。

（8）终端接入域：主要负责终端用户的网络接入。例如有线网络、无线网络，一卡通等。

1.2 网络业务精细规划

传统网络中各种不同的网络应用混杂无序，运维难度大，网络安全风险系数较高。例如，网络打印机、门禁、摄像头等业务部署在同一个子网中，难以精准管理和优化调试。随着网络应用及网络终端设备种类的增多，传统的网络规划无论在健壮性、灵活性和扩展性上都难以满足未来信息化的快速发展要求。

终端接入域中，可分为办公网、网络打印机、门禁、摄像头等业务；二级系统业务域中，可分为中间件、数据库、存储区等；运维管理域中可分为安全设备区、带外管理区等。

1.3 终端接入域内部的安全

“堡垒往往都是从内部攻破的”，首先要做的一点就是避免网络终端的横向流量。局域网的病毒感染之所以传播速度快，最主要的原因就是利用局域网的广播特性。

根据高校运维经验，该区域内部网络终端之间除了共享打印机之外，无其他必要的横向流量传播需求。打印机的需求可以通过在各办公地点增设路由器或者交换机的方式解决，尽量将广播域缩减到最小，或者通过为网络打印机单独规划网络的方式解决。

在解决了共享打印机需求的条件下，针对所有的接入设备进行端口安全隔离，可采取端口隔离技术，如图2，也可采用QinQ技术，如图3。

1.4 共享端口的关闭

共享服务在提供便捷服务的同时也带来了很大的安全风险，共享端口是被很多黑客利用传播网络病毒一种途径。例如共享打印机是利用tcp445端口进行数据交换的，勒索病毒通过该端口利用微软系统漏洞造成了非常严重的网络安全事件。共享端口有135、139、138、137和445等；

用户可以通过防火墙的安全策略或者安全软件进行封堵，但对一些网络安全素养偏低或者网络安全意识薄弱的用户上述操作存在一定的困难，所以必须在网络设备接入控制层面进行一定的安全策略限制，在网络传输的过程中切断病毒传播，以达到保护用户终端安全的目的。

为简化运维工作量，该策略可在网络控制设备BRAS上统一进行策略配置。若没有BRAS设备，可在网关设备统一进行策略控制，或者接入交换机层面增加相应ACL策略控制。

1.5 网络设备的安全管理

上文已经提高，高校校园网络其中一个特点是网络设备数量大，种类多，如何安全管理网络设备，对广大运维人员是一个挑战。网络设备的运维过程中主要存在账号密码的定期维护量大，账号密码复用、混用，人为操作不当的策略回退以及访问控制权限等问题。

为解决上述问题，有条件的高校可以采用堡垒机设备进行管理运维。首先，堡垒机的作用是保障系统运维和安全审计管控，只有通过堡垒机设备授权的用户或网段才能访问网络设备；其次，堡垒机可以为不同用户分配不同操作权限，精细化运维；堡垒机还有一个重要作用就是审计作用，避免人为操作不当引起的网络安全事件，大大降低了网络设备的安全运维风险。若无堡垒机，建议通过网络设备侧设置远程登录访问控制策略来指定特定的网段或者账号登录。如图4，通过设置访问控制列表ACL的方式限定登录源。

1.6 业务发布精细化

业务开发部署完成之后，预上线期间，严格评估开放端口，在保证业务运行正常的基础上保持端口开放最小化、精细化的原则，坚决杜绝全端口开发，尤其避免远程管理端口直接暴露公网。业务系统的后台管理页面不允许暴露在公网，必须通过VPN等边界设备进行网络安全访问。远程端口包括telnet（22）、ssh（23）、微软远程（3389）、mysql数据库服务（3306）等。若因特殊需求必须开放一些风险端口，必须明细源目的地址的精细安全访问策略。

1.7 定期进行基线核查

基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。通过基线检查结果，达到系统安全加固，降低入侵风险的目的。

基线核查主要包括弱口令、未授权访问、最佳安全实践、容器安全、等保合规、CIS合规以及自定义基线等内容。

弱口令基线：使用非登录爆破方式检测是否存在弱口令。避免登录爆破方式锁定账户影响业务的正常运行。主要包括Zabbix登录弱口令检查、Samba登录弱口令检查、ElasticSearch服务登录弱口令检查、Activemq登录弱口令检查、RabbitMQ登录弱口令检查、Linux系统OpenVpan弱口令检查、Oracle数据库登录弱口令检查等。

未授权访问基线：检测服务是否存在未授权访问风险，避免被入侵或者数据泄露。主要包括InfluxDB未授权访问、Redis未授权访问、Jboss未授权访问、OpenLDAP未授权访问、Hadoop未授权访问、Docker容器未授权访问等。

最佳安全实践基线：主要检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。

等保合规基线：等保二级、三级合规基于服务器安全等保基线检查。对标权威测评机构安全计算环境测评标准和要求。主要包括等保三级SUSE15合规基线检查、等保三级Bind合规基線检查、等保三级CentOS Linux 6合规基线核查、等保三级Oracle合规基线检查等。

CIS合规基线：基于CIS标准的操作系统安全基线检查。包括CIS标准CentOS Linux 6安全基线检查、CIS标准CentOS Linux 7安全基线检查、CIS标准Windows Server 2008 R2安全基线检查、CIS标准Windows Server 2012 R2安全基线检查等。

1.8 云端值守

上文已经提到过高校的网络安全运维管理目前存在人员紧张、技术薄弱等现象，且短时间无法从根本上解决问题。云端值守相对是一个过渡或者辅助的解决方案。通过云端值守实现全流程数据防护、风险预警与攻防响应为一体，多重保障线上安全，全天候（7×24小时）的网络安全监控工作。

2 网络安全政策层面

无规矩不成方圆，技术手段只能解决设备层面、软件层面或者代码层面的问题，网络安全体系不能仅仅依靠技术，更要配套的政策、规章制度与之配合。

近年来网络安全的重要性已经上升到了国家安全层面。国家每年以“网络安全宣传周”的活动提高全民的网络安全意识，教育系统更是每年以“网络攻防演练”的形式提高各高校的网络安全意识和安全运维技能。各高校更要结合本校实际制定相应政策，形成有效的网络安全工作机制。

2.1 成立网络安全领导小组

网络安全工作不是学校某个部门、某个人的工作，而是学校层面及全员共同参与的全民工作。网络安全领导小组由校党委、行政一把手任组长，分管校领导任副组长，成员由各业务部门负责人组成，适时根据学校实际情况调整成员单位。

网络安全领导小组主要职责为：贯彻落实上级有关部门关于网络安全工作的决策部署；统筹协调我校网络安全工作的重大问题；研究制定我校网络安全发展规划、政策制定和安全标准；督促各单位、各部门落实网络安全的政策规定，不断提高学校网络安全水平。

2.2 信息系统网络安全等级保护

信息系统网络安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。包含存储安全、数据库安全、主机安全、网络设备安全、物理环境安全等。信息系统必须确定等保测评等级，完成等保测评后方可正式上线，坚决杜绝“带病”上线。

2.3 信息化日常管理规章制度

目前各高校的信息化工作一般都有各高校信息中心或者信息处负责。该部门不仅承担为高校信息化的建设工作，还要负责日常的运维保障工作。在建设和运维工作中，要把网络安全落到实处。各项日常管理工作必须出台相应的规章制度，在工作中严格执行。例如《信息化项目建设管理细则》《机房管理规章制度》《楼宇弱电间管理办法》《数据对接使用安全规范》等。

2.4 网络宣传

“网络安全靠人民，网络安全为人民”。只有人人都参与到网络安全的工作中，才能形成健康、有效、可持续的网络安全防护体系。通过各种渠道、形式加强网络安全宣传工作，努力提高全校师生的信息安全素养。

结语

信息技术的快速发展给网络安全带来了前所未有的挑战。网络安全问题已经从一个单纯的技术问题上升到关乎人们的工作和生活的重要问题，上升到关乎社会经济乃至国家安全的战略问题。各高校应加强网络安全建设工作，为师生营造安全绿色的网络环境，推动学校信息化快速、安全、稳定运行［3］。

参考文献：

［1］刁晓婧.高校校园网络安全问题分析及对策［J］.网络安全技术与应用，2020（08）：9091.

［2］龙曼丽.高校语言室的网络安全问题和对策研究［J］.网络安全技术与应用，2020（03）：8283.

［3］贾洁.校园网络建设及网络安全［J］.网络安全及应用，2020（07）：8889.

作者简介：岳超（1989— ），男，汉族，山东菏泽人，硕士研究生，网络工程师，研究方向：网络技术。