校園網絡安全方案

自“數字校園”的建設目標提出以來，全國各高校的信息化水平便以極大步調高速發展。在這樣的發展形勢下，各類網絡信息系統如雨后春筍一般在高校出現和發展。

每一項工作，甚至每個項目，均能衍生出多個信息系統。時至今日，“數字校園”已升格為“智慧校園”，而高校教學的教學、科研、管理等均高度依賴于信息化手段的支撐。

各類網絡信息系統的出現最初是為了解決高校的管理問題，而這些系統的盲目建設又引發了新一輪的管理問題。國家政策法規對于我們解決這些問題提供了依據和指導意見。

早在2008年，我國公安部即頒布《信息安全技術信息系統安全等級保護基本要求(GB/T22239-2008)》（以下簡稱等保1.0）。根據標準，高校作為信息系統的建設者和運營者，應對其進行定級并實施分級保護。

2019年12月1日，《信息安全技術網絡安全等級保護基本要求（GB/T22239-2019）》（以下簡稱等保2.0）的正式實施標志著我國的信息安全等級保護工作已從1.0時代跨入2.0時代^[1]。

等保2.0在等保1.0的基礎上進行了優化和調整，擴大了等級保護對象的范圍，變被動防御為主動防御，明確了“一個中心，三重防護”的防護體系^[2]。

等保2.0明確指出，網絡運營者應根據保護對象的安全保護等級及其他級別保護對象的關系進行安全整體規劃和安全方案設計^[3]。因此高校亟需對學校整體網絡安全進行規劃，形成安全方案。

安全方案應該實現涵蓋全校網絡信息系統的目標，并綜合考慮學校信息化和網絡安全的現狀和發展趨勢，以便對學校網絡安全工作起到規范和指導作用。

高校網絡安全方案設計應遵循如下原則：

1.符合等保2.0標準。在進行高校網絡安全方案設計時，應以等保2.0標準為基本依據，方案內容與標準中的控制點應形成對應關系，確保安全方案實施后學校的網絡安全工作切實符合等級保護相關要求。

2.立足校級層面，力求通用性。應以高校整體管理的角度把握網絡安全方案的設計原則，避免將某個系統或某個部門作為設計的切入點。

3.實現網絡安全等級保護全生命周期管理，實現可持續發展。每個網絡信息系統作為一個單獨的等級保護對象，有著建設、運維、優化、更新迭代和注銷的生命周期。方案的設計應覆蓋保護對象的全部生命周期，充分考慮高校網絡安全工作各個環節，并在當前工作現狀的基礎上，預留發展的空間。

高校網絡安全方案總體框架如圖1所示，分為相關依據、安全管理體系和安全技術體系三部分。

高校網絡安全人員管理分為內部人員管理和外部人員管理兩方面，如圖3所示。

內部人員管理涵蓋人員錄用、安全意識教育培訓、人員離崗三個環節。

人員錄用一般由人事處和用人單位配合完成，人事處完成對入職人員相關資格的審查，用人單位對人員技能進行考核，并與錄用人員簽署崗位職責協議和保密協議。

網絡安全和信息化辦公室負責制定培訓計劃以及對員工進行定期的技能考核。人員離崗時，用人單位應終止其全部訪問權限并辦理調離手續，手續中包含承諾保密義務的環節。

外部人員管理的主要內容是外部人員訪問管理，包括訪問受控區域或介入受控網絡前需進行書面申請、全程陪同、登記備案、離場后清理權限以及保密協議的簽署等。

高校網絡安全管理的各個層面，上至機構的規劃和人員的管理，下至各項工作的開展，均需由相應制度提供支撐。同時制度也是使安全管理體系和安全技術體系相互配合的重要聯系方式。

安全制度體系可劃分為總體規劃、機構人員、建設管理、運維管理和數據管理五個層面。

安全技術體系分為機房安全、基礎網絡、安全防護設備、主機及軟件安全防護、安全管理中心五個部分。安全管理中心由于其組成和地位的特殊性獨立作為一個章節來闡述，以下介紹其余四個部分：

除特殊應用場景要求外，高校內各信息系統均應集中部署于數據中心機房，實現物理環境標準的統一。按照等保2.0要求，機房應滿足以下要求或具備以下設施：

1.機房位置選擇。機房設置在抗震、防風、防雨、防雷擊，且建筑材料耐火等級在B2級以上的建筑物一層。

2.機房設施。機房配備電子門禁、視頻監控設備、防雷保安器、自動消防系統、新風換氣、動力環境監測系統、專用空調、接地系統和UPS；機房放置防靜電手環供運維人員使用；機房劃分網絡設備、安全設備、業務服務器等區域，并設置隔離防火措施。

3.電力供應。機房配置雙路供電，實現電源冗余。

安全方案中應包括網絡拓撲圖，如圖4所示。

拓撲圖應符合學校網絡實際部署情況，標明網絡設備、安全設備、服務器等的具體位置。由于學校的網絡拓撲結構會經常調整，網絡拓撲圖應當至少每年更新一次。

方案中應明確列出校園網及數據中心機房內已部署的安全防護設備清單和其防護作用范圍。建有三級信息系統的高校至少需配備以下安全防護設備，參見表1。

表1 安全防護設備參考

業務系統服務器除按照要求集中部署在數據中心機房外，還應滿足以下安全要求。

1.身份鑒別與訪問控制。各設備均應按照實際應用需要采取最小化原則分配賬戶和權限，采用高強度口令和密碼技術組合的形式實現用戶身份鑒別，鑒別信息在遠程管理時應采取加密傳輸方式。用戶登錄模塊應對登錄失敗次數進行限制，并在連接超時后自動斷開。

2.安全審計。安全審計功能應覆蓋全部用戶的全部行為，定期備份，并對審計進程進行保護。審計記錄發送至安全管理中心。

3.惡意代碼防護。設備應安裝防惡意代碼軟件。

4.數據安全。重要數據應加密存儲、加密傳輸；除在本地保證實時備份和恢復外，還應實時備份到異地安全場所。當存儲空間移為他用時，應對其進行完全格式化。涉及到采集個人信息的業務環節時，應當對用戶進行聲明，并在用戶勾選同意后方可進入采集階段，采集的個人信息嚴格按照聲明進行使用。

安全管理中心是安全技術體系的一部分，由于其特殊的功能和地位，所以本文將安全管理中心作為一個獨立的章節來闡述。

等保2.0中要求網絡運營者劃分出獨立的網絡區域，建立安全傳輸信道，用于安全管理中心對網絡設備、安全設備等進行集中管控。

安全管理中心并非單一的設備或獨立的物理區域，而是一個進行安全管理的虛擬區域，通常為多個安全管理系統的合集。安全管理中心的主要功能是實現系統管理、審計管理、安全管理和集中管控。一般來講，典型的高校安全管理中心包含堡壘機、網絡安全大數據平臺、惡意代碼防護軟件管理中心和操作系統補丁服務器。

堡壘機一般部署在數據中心機房中，用于實現集中可控的系統管理、審計管理、安全管理功能。校園網內安全設備、匯聚層以上的網絡設備、業務系統服務器等均應全部通過堡壘機配置相應賬號權限進行維護。

網絡安全大數據平臺基于高校網絡安全管理工作的實際需要進行設計，用于實現審計日志集中存儲和管理、上網行為管理、網絡流量監測、設備運行狀態監控和安全策略集中管理等功能。

1.審計日志存儲與分析。平臺采集網絡設備、安全設備和服務器軟硬件運行的審計日志，集中存儲，結合在校園網不同位置部署的流量探針所采集到的數據進行分析，對網絡安全態勢進行研判。

2.設備運行狀態監控。在服務器中安裝代理程序，監控設備運行狀況并發送至平臺。運行數據超過閾值時，平臺向管理員發送告警消息。

3.安全策略收集與綜合管理。通過接口與防火墻、WAF等安全設備對接，集中管理各安全設備策略。

企業版惡意代碼防護軟件一般都向管理員提供安全管理系統。通過惡意代碼防護管理系統，校級管理員可實時掌握惡意代碼軟件安裝、更新和惡意代碼查殺情況。