摘要：聞名全球的勒索病毒WannaCry在短短時間內就迅速波及超過150個國家，設計的行業包括醫療、企業、電力、能源、銀行、交通等，雖然微軟公司已經針對“永恒之藍”系統漏洞發布了相應的補丁，但時至今日該勒索病毒仍然潛藏于世界各地并蓄勢待發。網絡安全不再是遠離人們的一個陌生話題，而是就發生在身邊，并給其正常工作生活帶來嚴重不利影響，提高網絡安全水平成為當務之急。本文從《網絡安全等級保護制度》概述、基于等級保護的高校校園網絡安全建設措施兩方面展開研究，旨在為提高高校網絡安全水平以及強化高校校園網絡安全建設提供幫助。

　　關鍵詞：等級保護;高校;校園網絡安全建設

　　1《網絡安全等級保護制度》概述

　　1.1 內涵《網絡安全等級保護制度》內涵主要包括以下五方面內容： 1)定級。對全國范圍內的所有信息系統根據其重要程度以及受損之后產生的危害性定為五個級別，其中第一級重要性及危害性均最低，而第五級則最高;2)備案。明確網絡安全等級之后所有第二級及以上的信息系統均需要到公安機關進行備案，審核合格之后頒發相應的備案證明;3)建設整改。已經備案的單位根據網絡安全等級、國家相關標準開展網絡安全建設，落實安全舉措并明確安全責任、建立并落實各項安全管理制度內容等;4)等級測評。前往公安機關備案的單位選擇符合國家規定的測評機構對自身安全等級進行測定;5)監督檢查。由公安機關對評定等級為第二級的信息系統予以指導，第三級和第四級信息系統定期進行監督檢查和指導工作。

　　1.2 定級信息系統安全保護等級以重要性及受損后的危害性為主要評估內容，將其分為以下五個保護等級：1)第一級。信息系統受損之后將會對公民個人、法人以及其他組織合法權益帶來損害但并不會對國家安全、社會秩序以及公共利益帶來損害; 2)第二級。信息系統受損之后將會對公民個人、法人以及其他組織合法權益帶來嚴重損害，或者是對社會秩序、公共利益帶來損害，卻并不危及國家安全;3)第三級。信息系統受損之后會對整個社會秩序、公共利益帶來嚴重損害，或者是危及國家安全;4)第四級。信息系統受損之后會社會秩序、公共利益造成特別嚴重的損害，或者是嚴重危及國家安全;5)第五級。信息系統受損之后會對國家安全造成特別嚴重的損害。

　　2 基于等級保護的高校校園網絡安全建設措施

　　由于高校承擔著多項科研任務，某些科研項目可能涉及國家安全，所以高校校園網絡安全根據《網絡安全等級保護制度》定級標準應確定為第三極，在實際建設工作中也應該按照此級別進行設計，其具體措施包括以下幾部分：

　　1)網絡安全。由于高校校園信息系統均是在網絡環境中運行，一旦被病毒進入網絡系統將會給整個校園信息系統帶來嚴重威脅，所以網絡安全就成為一個需要引起足夠重視的問題。具體措施如下：①物理環境。校園信息網絡系統的物理環境由機房、網絡設備、線路所組成。當前我國高校校園網總體上可以分為網絡出口、服務器、網絡管理、個人終端接入等功能區[3] 。所以在構建安全防護體系時就需要根據各個功能區的不同針對性的設定。在網絡出口以及服務器前設置網絡安全防火墻、防入侵檢測及預警系統、上網行為管理系統、安全審計系統 等 加 以 防 護 。 近 些 年 來 木 馬 病 毒(Trojan)、蠕 蟲 病 毒(Worm)、黑客程序(Hack)、捆綁器病毒(Binder)、網頁病毒陸續涌現且隨著智能化設備的廣泛應用，各類病毒的“智慧”隨之提高，此點內容就需要進一步提高防火墻的防護能力[4] 。所以在校園信息系統的邊界設置防火墻并積極運用防入侵系統無疑能夠大幅降低各種病毒的入侵風險。在設置防火墻以及防入侵系統時應將目前已知的各種網絡攻擊類型納入其中，特別是對于暴力破解、結構化查詢語言(Structured Query Language， SQL)注入、腳本攻擊等更是應該進一步細化和明確，以便于此類網絡攻擊發生伊始就會被防入侵系統以及防火墻檢測并為網絡安全管理人員提出警示[5] 。防御特征庫應該以月為單位進行動態更新，在病毒猖獗時間段更是需要縮短更新頻率，以最大程度上降低針對信息系統高危漏洞開展的攻擊行為的發生。安全審計系統主要是針對訪問行為進行備份以及動作回放，通過對各種訪問行為進行記錄并利用自動軟件定期統計，能夠輔助網絡安全管理人員動態回放并針對不同的訪問用戶設置相應的訪問權限。此外，日志服務器收集的信息內容同樣重要，日志信息對于犯罪分子以及網絡攻擊而言具有重要意義，其內容涵蓋了服務器、工作站、防火墻、應用軟件等活動記錄，定期對日志展開分析工作有助于公安機關審計校園信息系統的用戶行為、確定網絡入侵的具體范圍并幫助恢復校園信息系統，為最終確定網絡攻擊提供完整的證據鏈。

　　2)系統安全。信息系統是網絡運行所依賴的必須設備，一旦被網絡攻擊就會導致整個系統癱瘓，各種數據信息面臨著篡改以及泄露的風險。按照第三級保護內容系統安全可從以下幾方面著手：①由于整個校園信息系統中存在著諸多用戶，不同用戶的網絡訪問需求存在著明顯的差異性，基于此點網絡安全管理人員可根據用戶的身份設定其相應的訪問權限以及口令策略、禁用遠程終端協議，采用安全殼協議(Secure Shell， SSH)與系統服務器保持連接，并被審計系統對其產生的日志內容進行自動審計[6] 。②系統防護則要求網絡安全管理人員定期對系統進行更新，特別是腳本、補丁的更新必須與發布商保持同步。根據高校校園信息系統運行參數決定需要開啟的服務端口，對于不需要或者是不必要的組件或者是應用服務予以關閉，最大程度上消除網絡攻擊的漏洞。③在訪問控制上既要對外部的惡意訪問行為進行監控，又需要對內部的惡意訪問行為進行記錄，通過源和目的互聯網協議地址(Internet Protocol Address，IP)、服務器端口加以限制，將惡意訪問的IP地址拉入系統黑名單之中[7] 。

　　3 小結

　　綜上所述，隨著信息技術的快速發展，網絡攻擊行為越發猖獗，更為嚴重的是多種具有一定“智慧”的病毒正在或者是已經潛藏于世界各地。由于高校普遍承擔著科研重任，某些項目的重要性與國家安全、社會秩序、公眾利益密切相關，使得高校校園網絡成了網絡攻擊的重災區，所以提高其網絡安全水平、強化網絡安全建設成為當務之急。本文基于等級保護視角出發，從網絡安全、系統安全、數據安全、管理安全四方面內容探討了高校校園網絡安全建設的具體措施，對此方面的工作具有一定的借鑒價值。

　　參考文獻：

　　[1] 左明慧.基于GPON的高校智慧校園網安全策略設計研究[J]. 赤峰學院學報(自然科學版)，2018，34(11):52-54.

　　[2] 楊巍,孫道賀,周建鋒,等.高校網絡安全提升路徑探索——以天津理工大學中環信息學院為例[J].產業與科技論壇,2018, 17(17):49-50.

　　[3] 張亮.高校網絡安全管理的問題及對策研究[J].科技風,2018, 25(23):107.

　　《基于等級保護的高校校園網絡安全建設研究》來源：《電腦知識與技術》，作者：秦麗娜。