专栏介绍

2021年，《高校信息化应用》推出 “对标对表、先行先试--高校数字校园建设规范引领下的信息化建设”专栏，从《高等学校数字校园建设规范（试行）》出发，结合各高校信息化“十四五”规划，分享不同类型高校在数字校园建设中追求智慧应用、提升用户体验的实践经验。

(相关资料图)

2022年，《高校信息化应用》携手新华三集团，共同推出“智见-同行｜教育信息化踔厉奋发人”专栏，重点聚焦安徽省信息化建设。专栏的系列文章，将全景展现安徽省以国家教育信息化试点省建设为契机，坚持改革驱动、创新引领，有序推进智慧学校建设、持续提升师生信息技术应用能力、积极推动优质教育资源普惠共享的成功实践经验。

合肥学院是一所在“改革中诞生，开放中成长，创新中发展”的省市共建、以市为主的全日制公办本科院校。学校被誉为中国高等教育改革的“小岗村”、中国应用型本科高校第一方阵的“排头兵”。近日，《高校信息化应用》采访了合肥学院信息中心主任夏光峰，请他分享该校的网络安全工作体系建设、强化保障措施等方面的实践和经验。

《高校信息化应用》：

国内高校信息化建设20余年来，高校网络安全建设与管理都经历哪些阶段？

夏光峰：

从国内高校20多年校园信息化建设发展的历程来看，高校网络安全建设与管理工作历经了三个阶段。

1

基础安全防护阶段

该阶段业务系统数量较少，以部署校园网络边界3-4层防火墙、个人电脑使用单机或网络版防病毒为主要防护手段。

2

应用层安全防护提升阶段

该阶段开始重视应用层安全防护，普遍采购了WAF、IPS等安全设备对Web应用、服务器区域进行应用层防护，网络边界防火墙也升级为应用层防火墙，网络安全工作开始由点及面。

3

网络安全体系建设与完善阶段

在这一阶段中，高校普遍认识到网络安全体系建设的重要性，开始从系统角度规划部署各类网络安全设备，架构网络安全整体防御体系，建设集中收集各类安全信息且具有一定智能化安全态势分析感知能力的网络安全管理平台，全面、实时地展现网络安全状况，也为网络安全管理者及时发现重大安全问题、追根溯源提供了高效的分析手段，这也是近三年来高校网络安全体系建设的重点。

《高校信息化应用》：

目前学校网络安全面临哪些挑战，贵校在强化学校安全保障方面采取了哪些可行措施，效果如何？

夏光峰：

当前，在教学、科研、校务管理各类系统迅速增长的同时，网络攻击技术手段更加多样化，社会工程学也已成为高校信息系统入侵与反入侵的重要对抗领域。

从2020年、2021年安徽省教育系统攻防演练的统计数据来看，各高校在互联网边界通过安全漏洞被直接攻破的网站、业务系统数量很少，而利用社会工程学获取VPN访问权限，间接从内部发起网络攻击的成功率占到了总体沦陷数的80%以上，这也反映出忽视用户账户安全管理所带来的隐患之大，表明安徽省高校普遍存在重边界安全、忽视内网安全的问题。比如，有些高校对业务系统的开发、选型把关不严，在互联网开放前缺失漏洞检测和系统加固环节，短板效应直接导致系统被攻陷进而以此作为跳板，大幅向内网扩散；安全漏洞层出不穷、缺乏有效的安全管理手段、无法应对社会工程学攻击，等等。这些都是高校网络安全工作中面临的重要挑战。

合肥学院高度重视网络安全体系规划，强调网络安全建设要从顶层设计开始，明确网络安全管理目标，细致分析安全威胁的主要来源，基于各系统之间的逻辑关联性和物理位置、功能特性等，科学划分安全层次和安全区域，形成水平和垂直两个方向的多层次防护，从而提高校园网络整体防御能力。

1.互联网边界安全

校园网边界部署应用层防火墙和多功能流控设备，满足应用层基本防护以及深层次应用识别的要求，在相关设备上实现了挖矿流量的阻断，比如，为消除各类远程维护工具带来的安全隐患，在相关设备上阻断几乎所有远程维护类软件的通信。

2.服务器区域安全

服务器区域部署防火墙、IPS和WAF等安全设备，配置防火墙ACL限制内外网用户直接通过IP地址访问Web应用，仅允许访问WAF设备的对应端口，与DNS域名解析相结合，所有内外网80和443端口的Web应用指向WAF设备，通过反向代理进行安全访问，IPS设备连接在服务器区出口镜像端口，重点进行服务器区域流量安全告警，在虚拟化平台上部署了NSX组件通过ACL规则限制虚拟机之间东西向访问，服务器远程管理端口限制仅允许JumpServer堡垒机和少量IP地址访问。这样一来，个别服务器被攻陷后的安全发散风险可被控制在尽可能小的范围内。

3.远程访问安全管理

校外师生通过VPN设备结合统一身份认证访问校内资源，配置足够复杂的密码策略，无可告知的初始密码，首次登录密码强制通过手机短信初始化。所有系统校内外远程维护均通过JumpServer堡垒机完成，实现一对一的远程维护管控。

4.桌面端安全

实施软件正版化，部署具有反病毒、主动防御和智能拦截功能的EDR软件，结合用户安全意识培训、群消息通知，降低用户端安全问题的发生。

5.常态化漏洞检查

使用相关企业RSAS安全评估系统对新上线和原有业务系统进行常态化漏洞扫描，确保有问题系统不“带病上线”，新系统不达标不上线。

近三年来，网络安全措施的不断落地，有力支撑了学校教育信息化各项工作的开展。下一步，计划建设专有系统对校内IT资产进行管理，实现系统部署前数据收集、资产数据现状统计以及安全漏洞匹配等功能。

《高校信息化应用》：

随着高校信息化建设向纵深发展，在线教学、资源共享、校园安防、校务管理、科学研究等高度依赖于网络和数字技术的支撑，构建完善的高校网络安全体系至关重要。学校在网络安全体系建设方面有什么好的经验分享？

夏光峰：

学校在进行安全态势感知系统建设规划时，希望融合现有多种网络安全设备，建设一个集中、高效且具有一定安全态势智能分析能力的综合平台。为此，学校对国内主流的五个厂商的相关产品做了测试，从测试结果来看，每家产品都在安全问题集中展现、事件关联分析等方面做了大量工作，但也几乎存在同样的问题。

一是误报问题。比如，学校DNS服务器由于为客户端解析了挖矿网址，被安全设备标注为失陷主机。因此，建议安全厂商关注挖矿通信细节，而不是通过简单的规则进行判断。

二是反代引入后的攻击溯源问题。基于高校网站IPv6、https的支持要求，许多学校都部署了Web资源发布系统（商业或开源），由于增加了反代，位于反代前端和后端的安全设备各自通报Web攻击来源和目的地址，没有考虑逻辑拓扑的变化，这就给安全问题溯源带来困惑。因此，建议安全厂商考虑高校应用实际，在此类攻击溯源处理中进行数据的合并优化。

网络安全是一个系统工程，既要做好规划，也要注重实施细节，一是要做好网络安全设备选型工作。以合肥学院为例，关键网络安全设备（比如防火墙、WAF、IPS和漏洞扫描系统）分别作了三个以上主流品牌长时间测试，最终选择总体最优且符合学校需求的设备进行部署。二是需要与安全设备厂商工程师进行深入沟通，协作完成安全设备配置，而不是简单以默认规则配置了事。以WAF系统为例，应用访问和安全管理往往存在矛盾，这就需要在实施中有针对性地细化规则，不断调优。