《高校信息化應用》：

國內高校信息化建設20余年來，高校網絡安全建設與管理都經歷哪些階段？

夏光峰：

從國內高校20多年校園信息化建設發(fā)展的歷程來看，高校網絡安全建設與管理工作歷經了三個階段。

1

基礎安全防護階段

該階段業(yè)務系統(tǒng)數(shù)量較少，以部署校園網絡邊界3-4層防火墻、個人電腦使用單機或網絡版防病毒為主要防護手段。

2

應用層安全防護提升階段

該階段開始重視應用層安全防護，普遍采購了waf、ips等安全設備對web應用、服務器區(qū)域進行應用層防護，網絡邊界防火墻也升級為應用層防火墻，網絡安全工作開始由點及面。

3

網絡安全體系建設與完善階段

在這一階段中，高校普遍認識到網絡安全體系建設的重要性，開始從系統(tǒng)角度規(guī)劃部署各類網絡安全設備，架構網絡安全整體防御體系，建設集中收集各類安全信息且具有一定智能化安全態(tài)勢分析感知能力的網絡安全管理平臺，全面、實時地展現(xiàn)網絡安全狀況，也為網絡安全管理者及時發(fā)現(xiàn)重大安全問題、追根溯源提供了高效的分析手段，這也是近三年來高校網絡安全體系建設的重點。

《高校信息化應用》：

目前學校網絡安全面臨哪些挑戰(zhàn)，貴校在強化學校安全保障方面采取了哪些可行措施，效果如何？

夏光峰：

當前，在教學、科研、校務管理各類系統(tǒng)迅速增長的同時，網絡攻擊技術手段更加多樣化，社會工程學也已成為高校信息系統(tǒng)入侵與反入侵的重要對抗領域。

從2020年、2021年安徽省教育系統(tǒng)攻防演練的統(tǒng)計數(shù)據(jù)來看，各高校在互聯(lián)網邊界通過安全漏洞被直接攻破的網站、業(yè)務系統(tǒng)數(shù)量很少，而利用社會工程學獲取vpn訪問權限，間接從內部發(fā)起網絡攻擊的成功率占到了總體淪陷數(shù)的80%以上，這也反映出忽視用戶賬戶安全管理所帶來的隱患之大，表明安徽省高校普遍存在重邊界安全、忽視內網安全的問題。比如，有些高校對業(yè)務系統(tǒng)的開發(fā)、選型把關不嚴，在互聯(lián)網開放前缺失漏洞檢測和系統(tǒng)加固環(huán)節(jié)，短板效應直接導致系統(tǒng)被攻陷進而以此作為跳板，大幅向內網擴散；安全漏洞層出不窮、缺乏有效的安全管理手段、無法應對社會工程學攻擊，等等。這些都是高校網絡安全工作中面臨的重要挑戰(zhàn)。

合肥學院高度重視網絡安全體系規(guī)劃，強調網絡安全建設要從頂層設計開始，明確網絡安全管理目標，細致分析安全威脅的主要來源，基于各系統(tǒng)之間的邏輯關聯(lián)性和物理位置、功能特性等，科學劃分安全層次和安全區(qū)域，形成水平和垂直兩個方向的多層次防護，從而提高校園網絡整體防御能力。

1.互聯(lián)網邊界安全

校園網邊界部署應用層防火墻和多功能流控設備，滿足應用層基本防護以及深層次應用識別的要求，在相關設備上實現(xiàn)了挖礦流量的阻斷，比如，為消除各類遠程維護工具帶來的安全隱患，在相關設備上阻斷幾乎所有遠程維護類軟件的通信。

2.服務器區(qū)域安全

服務器區(qū)域部署防火墻、ips和waf等安全設備，配置防火墻acl限制內外網用戶直接通過ip地址訪問web應用，僅允許訪問waf設備的對應端口，與dns域名解析相結合，所有內外網80和443端口的web應用指向waf設備，通過反向代理進行安全訪問，ips設備連接在服務器區(qū)出口鏡像端口，重點進行服務器區(qū)域流量安全告警，在虛擬化平臺上部署了nsx組件通過acl規(guī)則限制虛擬機之間東西向訪問，服務器遠程管理端口限制僅允許jumpserver堡壘機和少量ip地址訪問。這樣一來，個別服務器被攻陷后的安全發(fā)散風險可被控制在盡可能小的范圍內。

3.遠程訪問安全管理

校外師生通過vpn設備結合統(tǒng)一身份認證訪問校內資源，配置足夠復雜的密碼策略，無可告知的初始密碼，首次登錄密碼強制通過手機短信初始化。所有系統(tǒng)校內外遠程維護均通過jumpserver堡壘機完成，實現(xiàn)一對一的遠程維護管控。

4.桌面端安全

實施軟件正版化，部署具有反病毒、主動防御和智能攔截功能的edr軟件，結合用戶安全意識培訓、群消息通知，降低用戶端安全問題的發(fā)生。

5.常態(tài)化漏洞檢查

使用相關企業(yè)rsas安全評估系統(tǒng)對新上線和原有業(yè)務系統(tǒng)進行常態(tài)化漏洞掃描，確保有問題系統(tǒng)不“帶病上線”，新系統(tǒng)不達標不上線。

近三年來，網絡安全措施的不斷落地，有力支撐了學校教育信息化各項工作的開展。下一步，計劃建設專有系統(tǒng)對校內it資產進行管理，實現(xiàn)系統(tǒng)部署前數(shù)據(jù)收集、資產數(shù)據(jù)現(xiàn)狀統(tǒng)計以及安全漏洞匹配等功能。

《高校信息化應用》：

隨著高校信息化建設向縱深發(fā)展，在線教學、資源共享、校園安防、校務管理、科學研究等高度依賴于網絡和數(shù)字技術的支撐，構建完善的高校網絡安全體系至關重要。學校在網絡安全體系建設方面有什么好的經驗分享？

夏光峰：

學校在進行安全態(tài)勢感知系統(tǒng)建設規(guī)劃時，希望融合現(xiàn)有多種網絡安全設備，建設一個集中、高效且具有一定安全態(tài)勢智能分析能力的綜合平臺。為此，學校對國內主流的五個廠商的相關產品做了測試，從測試結果來看，每家產品都在安全問題集中展現(xiàn)、事件關聯(lián)分析等方面做了大量工作，但也幾乎存在同樣的問題。

一是誤報問題。比如，學校dns服務器由于為客戶端解析了挖礦網址，被安全設備標注為失陷主機。因此，建議安全廠商關注挖礦通信細節(jié)，而不是通過簡單的規(guī)則進行判斷。

二是反代引入后的攻擊溯源問題?；诟咝＞W站ipv6、https的支持要求，許多學校都部署了web資源發(fā)布系統(tǒng)（商業(yè)或開源），由于增加了反代，位于反代前端和后端的安全設備各自通報web攻擊來源和目的地址，沒有考慮邏輯拓撲的變化，這就給安全問題溯源帶來困惑。因此，建議安全廠商考慮高校應用實際，在此類攻擊溯源處理中進行數(shù)據(jù)的合并優(yōu)化。

網絡安全是一個系統(tǒng)工程，既要做好規(guī)劃，也要注重實施細節(jié)，一是要做好網絡安全設備選型工作。以合肥學院為例，關鍵網絡安全設備（比如防火墻、waf、ips和漏洞掃描系統(tǒng)）分別作了三個以上主流品牌長時間測試，最終選擇總體最優(yōu)且符合學校需求的設備進行部署。二是需要與安全設備廠商工程師進行深入溝通，協(xié)作完成安全設備配置，而不是簡單以默認規(guī)則配置了事。以waf系統(tǒng)為例，應用訪問和安全管理往往存在矛盾，這就需要在實施中有針對性地細化規(guī)則，不斷調優(yōu)。