隨著信息化建設的不斷深入，高校在信息化發展過程中逐步形成了信息系統管理復雜、活躍用戶群體大、網絡環境具有極大開放性等特點，在日趨復雜和嚴峻的網絡安全形勢下，高校面臨極大的安全威脅，成為網絡安全事件頻發的重災區。Web應用作為校園網絡服務的主要模式，其安全防護顯得尤為重要。

　　廣東輕工職業技術學院目前已形成了相對完善的智慧校園應用環境，但學校的網絡安全還存在以下問題：

　　1.網絡安全技術人力儲備和經費投入保障不足，安全技術防護體系不夠完善；

　　2.對信息系統安全等級保護工作認知不足，安全管理水平和師生意識有待提高；

　　3.網站和信息系統數量越來越多，技術差異性大、系統漏洞多，網絡攻擊頻繁，面臨著安全、隱私方面的威脅和合規要求問題。

　　如何消除安全隱患、降低安全風險、規避安全責任，構建可信、可查、可控的Web應用環境成為學校網絡安全工作的關鍵。

廣東輕工職業技術學院

　　針對嚴峻的安全形勢，學校加強網絡安全頂層規劃和統籌管理，成立了網絡安全與信息化戰略領導小組，制訂了相關管理制度，按照“誰主管、誰負責，誰使用、誰負責”的原則層層落實網絡安全責任。

　　不斷深化落實信息系統等級保護工作，完善網絡安全防護、監測、通報、聯動機制，對所有運行的信息系統進行定級，并完成16個二級信息系統的備案、測評和整改。

校園網絡安全拓撲

　　每年定期對師生進行網絡安全教育，重點加強安全技術防護保障（安全拓撲如上圖所示），并購買了漏洞掃描、安全監測、應急演練與安全事件處理等相關的安全服務，初步形成了安全技術防護體系。其中，Web應用的安全技術保障主要從以下六個方面著手。

　　下一代防火墻

　　降低數據中心安全風險

　　在互聯網出口和數據中心部署高性能下一代防火墻，同時應對來自校外和校內的應用層威脅。防火墻通過深入洞察網絡流量中的用戶、應用和內容，基于行為分析技術，幫助發現未知網絡威脅，并能在攻擊的全過程提供防護和檢測，有效抵御APT、DDoS、變種惡意軟件攻擊，全面降低網絡風險。

　　在出口防火墻開啟病毒過濾、攻擊防護、入侵防護等安全模塊，同時根據最小開放原則，只開放必要的服務器及端口，以降低被攻擊、被入侵的風險，提高校園網絡的安全性。

　　隨機查看一天的運行日志，出口防火墻成功攔截攻擊高風險23個、中風險232個、低風險167個，其中高風險主要為Web攻擊、網絡釣魚和木馬；數據中心防火墻開啟類似的安全策略，攔截來自內部的404個高風險攻擊，主要為Web攻擊及密碼攻擊。

　　WAF+SSL證書

　　提升Web應用安全

　　在數據中心防火墻后串接WAF設備，對Web應用層的注入攻擊、cookies，以及網絡欺騙攻擊、XSS攻擊、目錄遍歷、DDoS等主流攻擊進行阻斷。

　　WAF按照最小開放原則，僅開放網上服務大廳、網站群、網絡學習平臺、OA和郵件等已經通過備案的二級系統，并在不同時期采用不用的開放策略，在特殊防護期僅在白天開放，有評審要求的相關網站限期開放。

　　通過WAF防護有效抵御網絡攻擊、防止系統被篡改、入侵、數據泄露等安全事件的發生，切實提高了數據中心Web應用信息安全防護水平與管控能力。

　　為了提升Web應用訪問安全性，學校引入了*.gdqy.edu.cn域名OV機構驗證型證書，并首先在二級信息系統或必須開放校外訪問的系統上進行部署。

　　OV SSL證書可證實用戶身份，通過瀏覽器內置安全機制，可防止釣魚欺詐仿冒，提高Web應用可信度。

　　安裝SSL證書后，使用HTTPS加密協議訪問網站，可激活客戶端瀏覽器到網站服務器之間的SSL加密通道，實現高強度雙向加密傳輸，防止傳輸數據被泄露或篡改。

　　VPN+堡壘機

　　提供內網資源安全訪問通道

　　對于未對外開放的Web應用，通過VPN系統為身處校外的用戶訪問內網資源提供安全訪問通道，降低直接將內部Web應用暴露在互聯網上的風險。

　　VPN系統遠程接入采用嚴謹的認證方式，高強度的加密模式，細致的權限分配和訪問記錄，為學校的內部業務系統提供PC端和移動端的安全接入，實現對業務系統訪問過程的全面護航，保證業務系統暢通無阻的同時規避網絡安全風險，提高遠程訪問內部業務系統的安全性。

　　目前已將教務管理、科研管理、財務管理、人力資源、項目化平臺、智慧黨建等校內大部分系統加入VPN系統資源，并分多種角色授權提供校外訪問。

　　同時，為了方便運維人員訪問主機系統，數據中心搭建了堡壘機，校外技術人員可以訪問授權的主機，進行相應信息系統安裝、調試和系統升級等操作，并全程記錄操作過程，降低了遠程運維的安全風險。

　　云安全防護系統

　　加強Web服務器安全管理

　　學校數據中心服務器通過虛擬化技術搭建私有云環境，按需為Web應用提供彈性資源調度，通過云安全防護對這些虛擬化主機、云桌面、服務器虛擬機進行統一安裝防護和管理，如下圖所示。

數據中心云安全架構

　　主要實現虛擬機的病毒和安全策略的管控，提供無代理的病毒查殺，IDS/IPS、網絡應用程序保護、應用程序控管、完整性監控及防火墻保護，透明化地加強安全策略。

　　對數據中心虛擬化平臺提供無代理的安全防護措施，只需要部署一個輕量級組件在服務器及被保護的虛擬機器上，就能有效協助執行數據中心內部的安全策略，包括Windows及Linux系統防病毒、網絡應用程序保護、應用程序管控等。

　　其中防病毒效果最為顯著，虛擬機無需安裝任何殺毒軟件就能對病毒、間諜軟件、木馬等威脅進行查殺，虛擬機上并發的全盤掃描、病毒庫更新，也不會對虛擬服務器產生大量的資源消耗。

　　網站群系統

　　實現網站的統一建設與管理

　　搭建網站群系統，將二級學院和職能部門網站進行逐步遷移，各類專題網站也強制要求建立在網站群上。

　　同時，對早期開發的全部獨立精品課程網站進行統一的安全整改，遷移到學校網絡學習平臺上，各類評審網站也要求建立在網站群或網絡學習平臺上。

　　學校每年定期對各類網站進行清查和備案，重新簽訂網絡安全責任書，對長期不更新、不維護的網站關閉訪問，對網站的開辦和下線全生命周期流程通過OA進行規范管理。

　　經過5年的持續整改，基本清除了孤立小網站和雙非、僵尸網站，極大提高了網站的安全性。

　　數據備份與恢復系統

　　保護Web應用數據

　　數據是高校的核心資產，數據備份與恢復系統的建設和完善，有利于保障數據的安全使用、運行和維護，是確保信息系統高效、可靠、連續穩定運行的重要保證，是信息系統安全等級保護的要求，也是保障網絡信息安全的最后一道防線。

　　學校建立了統一的數據備份與恢復系統，對運行在兩校區數據中心的重要信息系統進行分級備份，通過備份策略，在規定的時間點自動進行備份，不僅對各類數據庫進行備份，也對文件和系統進行備份，備份系統同時掛載了兩校區的存儲，從而實現數據的異地災備。

　　數據庫采用每日增量備份、每周全量備份、備份數據保存2個月的備份策略，文件和系統則根據具體恢復要求定義個性化的備份策略。網絡信息安全員每天通過備份控制中心實時監控備份策略執行情況、備份進度、備份空間情況等，系統同時設置主動提醒功能將異常備份日志發送給相關人員。

　　網絡安全不僅是技術問題，更是管理問題，等級保護不僅是合規問題，更是合法問題。絕對的安全并不存在，網絡安全工作永遠在路上。通過網絡信息安全的規劃和持續建設，學校Web應用安全技術保障能力大大提高，并形成了網絡安全事件應急聯動機制。

　　下一步學校將繼續以信息系統等級保護工作為抓手，不斷提升信息資產管理水平和網絡安全防護能力，構建具有防護措施、實時監測、態勢感知、響應和恢復能力的立體動態安全防護體系。

　　作者：袁先珍、劉澤華、董兆殷（廣東輕工職業技術學院信息化建設中心）
　　來源：《中國教育網絡》雜志（11月刊）
　　責編：樸藝娜

　　投稿、轉載或合作，請聯系：media@cutech.edu.cn