安天智甲打造安全可控内网环境

第1篇 一、引言 随着信息技术的飞速发展，网络安全问题日益突出，各种网络攻击手段层出不穷，对企业和个人的信息安全构成了严重威胁。为了应对这一挑战，安全态势系统应运而生。本文将针对安全态势系统的需求、架构、关键技术以及实施步骤进行详细阐述，以期为我国网络安全建设提供有力支持。

二、安全态势系统需求分析 1. 实时监控：安全态势系统应具备实时监控网络流量、主机状态、安全事件等的能力，以便及时发现异常情况。

2. 综合分析：系统应具备对海量数据进行分析和处理的能力，以便从复杂的安全事件中提取关键信息。

3. 快速响应：在发现安全事件后，系统应能迅速采取应对措施，降低损失。 4. 可视化展示：系统应具备直观、易懂的可视化界面，便于用户了解安全态势。 5. 自动化操作：系统应实现自动化操作，降低人工干预，提高工作效率。 6. 智能化决策：系统应具备一定的智能化水平，能够根据历史数据和实时情况，为安全决策提供支持。

三、安全态势系统架构 1. 数据采集层：负责收集网络流量、主机状态、安全事件等数据。 2. 数据处理层：对采集到的数据进行清洗、转换、存储等操作。 3. 分析引擎层：对处理后的数据进行深度分析，提取关键信息。 4. 安全态势展示层：将分析结果以可视化的形式展示给用户。 5. 安全响应层：根据分析结果，采取相应的安全措施。 6. 管理与维护层：负责系统的配置、监控、升级和维护。 四、安全态势系统关键技术 1. 数据采集技术：采用多种数据采集方式，如流量采集、日志采集、传感器采集等。 2. 数据处理技术：运用大数据技术，对海量数据进行清洗、转换、存储等操作。 3. 安全事件检测技术：采用多种检测方法，如异常检测、入侵检测、恶意代码检测等。

4. 分析引擎技术：运用机器学习、深度学习等技术，对数据进行深度分析。 5. 可视化技术：采用图表、地图等形式，将分析结果直观地展示给用户。 6. 自动化技术：实现安全事件的自动化检测、响应和修复。 7. 智能化技术：根据历史数据和实时情况，为安全决策提供支持。 五、安全态势系统实施步骤 1. 需求分析：根据企业实际情况，明确安全态势系统的需求。 2. 系统设计：根据需求分析，设计安全态势系统的架构和功能。 3. 硬件部署：选择合适的硬件设备，如服务器、存储设备等。 4. 软件安装：安装安全态势系统所需的软件，包括操作系统、数据库、应用程序等。

大中型企业网络安全整体解决方案随着信息化时代的不断发展，大中型企业的网络环境也面临着越来越多的安全威胁和风险。

为了保障企业的数据安全，提高网络运行的可靠性和稳定性，大中型企业需要采取一系列的网络安全整体解决方案。

本文将针对大中型企业网络安全问题，提出相关解决方案。

一、网络设备安全网络设备是大中型企业网络安全的基础，因此，保证网络设备的安全性至关重要。

以下是一些网络设备安全的措施：1. 更新设备固件和软件：及时更新设备的固件和软件可以修复已知的漏洞和安全问题，提高设备的安全性。

2. 强化设备访问控制：禁用不必要的服务、关闭默认的账号和密码、限制设备的访问权限，以减少潜在的攻击面。

3. 加强设备的物理安全：保证设备的物理安全，如设置设备密码、限制设备访问的物理位置等。

二、网络流量监测与入侵检测系统（IDS）网络流量监测与入侵检测系统（IDS）是大中型企业网络安全的重要组成部分。

以下是关于IDS的解决方案：1. 实施流量监测：通过监控网络流量，及时发现异常流量和潜在的攻击行为，提前采取相应的措施应对。

2. 配备入侵检测系统：安装入侵检测系统，并及时更新其规则库，以识别并阻止潜在的入侵行为。

3. 日志分析和告警：及时分析IDS所收集到的日志信息，并设置相应的告警机制，以便快速响应和处理潜在的安全事件。

三、网络访问控制和身份认证网络访问控制和身份认证是保障大中型企业网络安全的关键环节。

以下是相关解决方案：1. 强化访问控制：通过合理配置网络设备的访问控制列表（ACL）、虚拟专用网（VPN）等技术手段，限制网络用户的访问权限。

2. 部署身份认证系统：采用多因素身份认证、单一登录等技术手段，确保合法用户的身份被正确识别，降低非法用户的入侵风险。

3. 加强密码管理：制定密码策略，要求网络用户定期更换密码，并要求密码的复杂性，以增加密码被破解的难度。

四、数据备份与恢复对于大中型企业来说，数据备份与恢复是保障业务连续性和防止数据丢失的重要手段。

天珣内网安全风险管理与审计系统 安装配置手册（V6.6.9.1）启明星辰 2009 年 5 月天珣内网安全风险管理与审计系统 V6.6.9.1-安装配置手册版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本手册及本声明的最终解释权和 修改权。

本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特 别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

未经北京 启明星辰信息安全技术有限公司书面同意， 任何人不得以任何方式或形式对本手册内的任何 部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权法保护。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得仿冒。

信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息， 并且随时可由北京启明星辰信息安全技术有限公司（下称“启明星辰”）更改或撤回。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司可能已经拥有或正在申请与本文档主题相关的各 项专利。

提供本文档并不表示授权您使用这些专利。

您可将许可权查询资料用书面方式寄往 北京启明星辰信息安全技术有限公司。

北京启明星辰信息安全技术有限公司在编写该手册的时候已尽最大努力保证其内容准 确可靠，但北京启明星辰信息安全技术有限公司不对本手册中的遗漏、不准确、或错误导致 的损失和损害承担责任。

出版时间2009 年 5 月 4 日启明星辰 i天珣内网安全风险管理与审计系统 V6.6.9.1-安装配置手册目 录1 2 3 综述.........................................................................................................................1 安装环境及要求 ....................................................................................................1 天珣内网安全风险管理与审计系统主要组件介绍 ............................................33.1 服务器组件...............................................................................................................3 3.1.1. 中心策略服务器...............................................................................................3 3.1.2. 本地策略服务器...............................................................................................3 3.1.3. 资产管理服务器...............................................................................................3 3.1.4. 攻击告警服务器...............................................................................................3 3.1.5. 软件分发服务器...............................................................................................4 3.1.6. HOD远程桌面服务器 ......................................................................................4 策略网关组件...........................................................................................................4 3.2.1. 策略网关代理...................................................................................................4 3.2.2. 中性策略网关...................................................................................................4 3.2.3. IIS策略网关......................................................................................................5 3.2.4. ISA策略网关 ....................................................................................................5 3.2.5. EXCHANGE策略网关.....................................................................................5 3.2.6. DNS策略网关...................................................................................................5 客户端.......................................................................................................................5 按需支援管理端和软件分发控制台.......................................................................6 客户端打包程序.......................................................................................................6 中心服务器的安装...................................................................................................6 中心服务器配置.....................................................................................................17 4.2.1. 登录服务器.....................................................................................................17 4.2.2. 基本配置.........................................................................................................19 4.2.3. 策略网关配置.................................................................................................22 4.2.4. 策略设置.........................................................................................................30 远程桌面的系统配置.............................................................................................32 4.3.1. 添加远程桌面服务器.....................................................................................32 4.3.2. 添加远程桌面管理员.....................................................................................33 4.3.3. 安装按需支援管理员端程序 .........................................................................34 4.3.4. 用户请求管理员远程帮助.............................................................................36 软件分发安装与配置.............................................................................................36 4.4.1. 安装软件分发服务器.....................................................................................36 4.4.2. 配置软件分发服务IP地址 .............................................................................38 4.4.3. 安装软件分发控制台.....................................................................................38 数据库服务器的安装与配置.................................................................................41 4.5.1. 安装SQL SERVER 2005 ................................................................................41 4.5.2. 配置SQL SERVER数据库 .............................................................................46 安装资产服务器.....................................................................................................49 安装告警服务器.....................................................................................................503.23.3 3.4 3.54天珣内网安全风险管理与审计系统各组件安装步骤 ........................................64.1 4.24.34.44.54.6 4.7启明星辰 ii天珣内网安全风险管理与审计系统 V6.6.9.1-安装配置手册1 综述天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身， 具有世界 领先水平的产品体系架构， 从根本上解决了客户端从蠕虫病毒的主动防御、 可靠的补丁管理、 非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助 用户创建高可靠、高可用和高安全级别的可信任网络环境。

APN网络和WIFI网络环境的安全系统搭建作者：郝伟来源：《中国科技纵横》2012年第08期摘要：在APN网络和WIFI网络环境下的安全系统的搭建,主要为新的一种网络架构和防护措施,通过这种安全网络环境,实现安全可靠的接入内网系统。

关键词：APN网络和WIFI网络安全网络系统搭建郝伟1、背景目前,国家电网公司主要业务系统(安全生产、营销、物资、应急指挥、移动办公等)在逐步采用移动作业终端通过GPRS/CDMA/3G等无线接入技术与信息内、外网进行数据交换系统。

但此类接入在终端侧、传输通道和业务访问等方面都存在安全风险。

随着智能电网和SG-ERP(国家电网资源计划)的建设,对国家电网公司信息安全的机密性、完整性和可用性提出了更高要求。

国家电网公司主要业务系统已逐步采用PC终端接入方式通过公用移动通信网络与信息内、外网进行数据交换,且接入数量将会持续快速增长。

在这种形势下,如何保证PC终端安全、可信地接入电力信息网络,同时保证机密数据不会遭到泄露,并实现对接入对象和操作的监控与审计,已成为国家电网公司智能电网和SG-ERP信息化建设过程中的迫切需要解决的问题。

同时,未来智能电网更加复杂的接入环境、多样灵活的接入方式、数量庞大的接入终端对信息的安全、可信、可控的接入都提出了新的要求。

2、安全风险WIFI,是一种无线互联技术,它可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接。

由于采用无线互联技术,所以使用WIFI技术主要存在如下几方面的安全风险:范围广,不可控;信号容易被捕捉,密码容易被破解;用户身份被冒用等高等安全风险。

采用无线公网的传输通道(APN)和虚拟私有拨号网络(VPDN),都是使用公共线路传输数据,线路没有完全与其它用户进行物理隔离。

使用APN和VPDN主要存在如下几方面的安全风险:传输数据机密性易被破坏;传输数据完整性易被破坏;传输数据真实性易被破坏;传输数据容易被篡改,用户身份容易被冒用。

深信服桌面云双网隔离方案传统的企业网络通常使用单一的互联网连接来实现内外网隔离，但这种方式存在一些安全隐患。

例如，一旦内网遭受攻击，攻击者可以通过内网直接访问企业的核心数据和应用，威胁到企业的业务连续性和数据安全。

而深信服桌面云双网隔离方案则通过在企业内部网络和公共互联网之间建立隔离的网络通道，有效地解决了这些安全问题。

深信服桌面云双网隔离方案的核心是深信服的云桌面产品和网络设备。

云桌面是一种基于云计算技术的虚拟桌面解决方案，可以将企业的应用和数据集中部署在数据中心，实现安全高效的远程访问。

而深信服的网络设备则具备多种安全功能，包括防火墙、入侵检测和防御、网页过滤、VPN 等，能够提供多层次的网络安全保护。

1.建立内网和外网之间的物理隔离：企业内部网络和公共互联网之间建立物理隔离，可以使用深信服的网络设备将内网和外网隔离开来，确保企业内部网络的安全与稳定。

2.配置安全访问策略：在网络设备上配置安全访问策略，包括访问控制列表（ACL）、虚拟专用网络（VPN）、身份认证等，限制外部用户对企业内部网络的访问权限。

3.部署云桌面解决方案：将企业的应用和数据部署在深信服的云桌面平台上，实现远程访问和集中管理。

云桌面采用虚拟化技术，可以将用户的桌面环境和应用部署在数据中心，用户通过终端设备访问桌面系统，不需要在本地安装应用程序，大大提高了数据安全性和管理效率。

4.配置网络安全策略：在云桌面平台上配置网络安全策略，包括虚拟专用网络、流量监控和安全审计等，保证企业数据在云端的安全。

5.强化安全监控和防护：深信服的网络设备和云桌面平台提供全面的安全监控和防护功能，包括入侵检测、恶意程序拦截、网络行为分析等，及时发现和阻止潜在的网络威胁。

通过深信服桌面云双网隔离方案，企业可以实现内外网的双重隔离，保护企业数据和网络安全。

同时，云桌面的部署可以降低企业的IT成本，提高员工的工作效率和灵活性。

总的来说，深信服桌面云双网隔离方案是一种创新的解决方案，可以帮助企业实现安全高效的远程办公。

一、目的为保障公司内部网络安全，防止网络攻击、病毒传播等安全事件的发生，确保公司业务正常开展，特制定本制度。

二、适用范围本制度适用于公司所有内网用户、网络设备、系统及应用。

三、安全管理制度1. 网络设备安全（1）网络设备应采用品牌设备，确保设备质量及安全性能。

（2）网络设备应定期进行安全检查，发现安全隐患及时整改。

（3）网络设备应设置合理的IP地址段，避免IP地址冲突。

（4）网络设备应配置防火墙，设置合理的访问控制策略，禁止非法访问。

2. 系统安全（1）操作系统和应用程序应定期更新，修补安全漏洞。

（2）服务器应设置管理员账号，并设置强密码策略。

（3）服务器应开启安全日志，便于安全事件的追踪。

（4）服务器应配置入侵检测系统，及时发现并处理异常行为。

3. 应用安全（1）应用程序应遵循安全编码规范，避免安全漏洞。

（2）应用程序应定期进行安全审计，发现安全隐患及时整改。

（3）应用程序应设置合理的权限控制，防止非法访问。

（4）应用程序应开启安全审计，便于安全事件的追踪。

4. 用户安全（1）用户应遵循安全操作规范，不随意泄露个人信息。

（2）用户应定期更改密码，并设置强密码策略。

（3）用户应谨慎使用外部设备，如U盘、移动硬盘等，防止病毒传播。

（4）用户应遵守网络安全法律法规，不参与非法活动。

四、安全事件处理1. 安全事件报告（1）发现安全事件，应及时向网络安全管理部门报告。

（2）网络安全管理部门接到报告后，应立即进行调查处理。

2. 安全事件调查（1）调查安全事件的性质、原因及影响。

（2）分析安全事件的原因，制定整改措施。

（3）对相关责任人进行追责。

3. 安全事件整改（1）根据调查结果，制定整改方案。

（2）落实整改措施，消除安全隐患。

（3）对整改效果进行评估，确保安全事件得到有效解决。

五、监督检查1. 网络安全管理部门负责对公司内网安全管理制度执行情况进行监督检查。

2. 检查内容包括：网络设备安全、系统安全、应用安全、用户安全等方面。

第20期2023年10月无线互联科技Wireless Internet Science and TechnologyNo.20October,2023基金项目:内蒙古电子信息职业技术学院自然科学重点课题;项目名称:基于智慧校园的网络安全体系建设与研究;项目编号:KZZ202202㊂作者简介:付天举(1981 ),男,内蒙古呼和浩特人,副教授,硕士;研究方向:计算机㊂智慧校园环境下网络安全防护体系构建研究付天举,许昱苹(内蒙古电子信息职业技术学院,内蒙古呼和浩特010070)摘要:文章以 网络安全等级保护2.0 (简称 等保2.0 )的建设标准为依据,分析高校智慧校园建设现状和面临的安全威胁及需求,找到当前网络安全建设工作中存在的问题与不足,着重从管理角度与技术防护角度提出高校网络安全防护的整体解决方案,避免网络攻击造成的信息破坏和损失,使师生在信息化建设与应用过程中的安全感和获得感得到明显提升㊂关键词:智慧校园;网络安全;防护体系中图分类号:TP39;G647㊀㊀文献标志码:A0㊀引言㊀㊀近年来,高等职业院校通过信息技术将学生㊁教师㊁教育资源㊁管理㊁服务等多个方面进行全面协调和优化,实现教育信息化㊁数字化㊁智能化,为师生创造更好的工作学习条件,形成了智慧校园环境㊂在此环境下,伴随物联网㊁大数据㊁人工智能等新技术㊁新应用的不断运用和学校业务系统的不断增多,大量信息系统新建或升级改造,使网络应用的规模变得更加庞大,系统结构更加复杂,在推进智慧校园建设中面临着网络安全诸多风险与挑战㊂建立健全网络安全管理体系㊁加大对各类信息系统的安全防护㊁保障智慧校园业务系统安全稳定可靠运行㊁防止黑客与病毒入侵㊁肃清网络环境㊁增强师生信息化的安全感和获得感已经成为智慧校园建设过程中迫切需要重点解决的问题㊂1㊀网络安全存在的问题㊀㊀自2017年6月1日‘中华人民共和国网络安全法“正式施行以来,高职院校在网络安全建设方面得到重视并取得较大进步,但大多仅停留在满足基本的网络安全需要阶段,网络安全防护体系尚未形成㊂一些与教育教学㊁管理服务相关的应用部署在云平台上或教学单位自建数据中心机房,缺乏统一管理,以移动互联网㊁云计算㊁物联网㊁大数据㊁人工智能为代表的新一代信息技术广泛应用于智慧校园的不同场景,使得网络安全防护问题变得更加复杂,原有的网络安全体系已经不能完全满足安全的需要,面临着网络管理制度缺失㊁安全策略更新不及时㊁安全产品盲目堆砌㊁系统漏洞脆弱性聚积以及师生的信息化素养不高带来的安全隐患等问题,为一些黑客组织和个人提供了可乘之机㊂个别青年学生法律意识淡薄,信息素养较低,受到新技术和好奇心的驱使,尝试在内网进行非法或越权访问㊂与此同时,安全事件预防难度大㊁处置水平低㊁应急响应不及时等问题越发突出,网络安全的事前㊁事中㊁事后缺少整体综合防护,在网络基本安全㊁系统安全㊁应用安全㊁管理与运维安全等方面存在诸多问题[1](见表1)㊂2㊀校园网络安全需求㊀㊀高职院校应当依据网络安全等级保护测评的有关要求和相关法律法规,结合其面临的安全威胁及需求,参考等保安全保障框架,即应用 安全域 的思想对网络进行安全域规划,分域部署相应的安全域保护措施和相关标准的安全产品[2],定期对校园内网进行自查㊁风险评估,对面临的安全威胁和安全需求进行深入分析,识别网络㊁主机及应用层面㊁管理层面可能存在的风险,通过风险监测㊁安全审计㊁实时监控㊁统一身份认证㊁边界安全接入等手段及时发现威胁㊂在学校内网形成纵深防御的 安全技术保障 体系,制定完善网络安全管理制度,配备专业安全管理人员,建立安全基线,将信息系统的安全管理水准维持在较高的水平,最终使学校门户网站㊁业务系统和数据资源得到安全保障,阻断互联网上的恶意攻击,免受安全威胁㊂3㊀网络安全体系的建设路径㊀㊀智慧校园总体框架主要包括基础设施建设㊁数据㊀㊀表1㊀校园网络安全存在的问题描述网络安全类型存在的问题网络安全物理/逻辑区域划分不合规;安全策略部署管控粗放;安全监测审计不够精准,事后无法溯源㊁定位等情况系统安全业务系统逐渐增多,缺乏必要的入侵防护手段;不能及时发现操作系统漏洞和进行补丁更新;全网的数据备份与恢复机制不够完善应用安全不能有效抵御口令猜测/破解㊁缓冲溢出等应用层协议攻击;黑名单应用无法管控,违规事件难以追责;业务系统加固机制不完善,权限控制不合理,危险访问行为难以识别;网络病毒层出不穷,传播迅速,不能防止网站篡改运维安全安全管理制度不完善,安全管理技术手段缺乏,无法进行整体安全态势的观察,应用系统的相关操作缺乏有效监控和审计主机与用户终端安全联网终端缺少上网行为和移动介质使用的监管;主机与用户终端入网合规性审查不严,终端设备缺少安全防护,在互联网入口未进行防病毒过滤,未能有效地对访问流量及用户访问行为进行审计和分析,提供审计和研判依据数据安全在数据安全方面,缺少必要的数据传输安全与保密措施,对于可能出现的数据安全缺陷㊁漏洞等风险不能及时发现,数据资产不清晰,在涉及组织㊁个人的数据采集与使用等方面还存在很多薄弱环节,缺乏数据备份容灾的工作机制治理㊁智慧校园应用㊁安全保障4个部分,其安全保障体系构建是一项关乎管理㊁技术㊁人员㊁法规制度的系统工程,需要从管理等方面强化统筹,完善工作机制,把制度建设贯穿网络安全体系建设全过程㊂在技术防护方面,要以 等保2.0 为核心指导,建立完备的技术支撑 平台,以强化信息资产管理为基础,不断优化网络安全防护策略与设备,能够形成事前㊁事中㊁事后的网络安全突发事件应急处置的闭环,实现网络安全预警和快速应急处置的工作目标㊂3.1㊀畅通网络安全管理工作机制㊀㊀高职院校在智慧校园建设过程中的水平参差不齐,网络安全管理工作机制还有待完善㊂一是学校缺乏总体的网络安全观,表现在思想上重视,行动上保障不足;二是工作机制不畅,网络安全工作的联动机制尚未形成,责任边界不清晰,缺乏统筹协调;三是安全防护体系难以建立,在人防㊁物防㊁技防等方面缺乏一体推进,综合运用㊂归结起来,高职院校还是要通过管理手段保障和促进网络安全工作机制的形成㊂3.1.1㊀领导重视,层层压实责任㊀㊀以网络安全法和网络安全等级保护测评为工作基本方向,统筹全校的网络安全建设㊂充分发挥网络安全与信息化领导小组的重要推动作用,不断完善网络安全制度,签订网络安全责任状,层层落实网络安全责任,形成人人讲安全的工作氛围㊂3.1.2㊀完善安全管理制度,规范操作规程㊀㊀不断完善网络安全管理制度,从技术管理㊁运维管理㊁信息安全管理㊁信息化服务管理㊁信息化项目管理㊁信息化支撑管理等方面建立安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程[3]㊂制定学校信息安全标准规范,指导信息系统在物理部署㊁网络设置㊁系统安全防治㊁应用平台安全等方面制定落实安全措施,明确信息系统可以获取的安全支撑环境以及应用支撑平台对信息系统的安全要求㊂通过制度建设,实现网络安全与信息化建设工作全面统筹㊁相互约束的建设工作机制,形成网络安全 全校一盘棋 的工作格局㊂3.1.3㊀加强日常管理㊀㊀加强数据中心的日常管理,定期对机房㊁供配电㊁温湿度控制等设备进行维护管理,完善操作规程,加强对办公区㊁运维区等保密性管理,日常办公与驻厂运维要分配在不同的区域,要做好信息资产台账的管理,并对信息的使用㊁传输和存储进行规范化管理㊂通过规范完善网络安全事前㊁事中㊁事后各环节的操作规程,提升网络安全管理工作水平㊂3.1.4㊀开展网络安全突发事件应急处置演练㊀㊀根据网络安全形势发展的需要,结合实际定期开展相应科目的网络安全突发事件应急处置演练,不断优化处置流程,规范操作规程,提升网络管理人员处置突发事件的应急能力㊂3.1.5㊀提升师生的信息素养㊀㊀营造数字化的学习环境,对师生进行有计划㊁有针对性地培训,形成全方位㊁一体化的信息素养培训体系㊂开设信息素养选修课,培养和增强学生具有信息意识㊁信息技能㊁信息伦理与网络安全意识㊂充分利用国家网络安全宣传周等契机,面向师生举办专题讲座㊁知识竞赛等活动,进行网络安全方面的宣传教育㊂建立教师信息管理员队伍和学生信息员队伍,充分发挥两支队伍在网络安全与信息化建设工作中的重要作用,通过 以点带面,少数带动多数 等方式,使广大师生的网络安全意识和信息化应用能力得到提升[4]㊂3.1.6㊀做好信息系统等级保护测评㊀㊀信息系统建设之初,应当阐明信息系统的边界和安全保护级别,形成系统定级文档,并组织有关部门和安全技术专家对信息系统定级进行论证和审定,所有的信息系统要严格按照等保测评的要求进行整改,实现网络安全等级保护测评的工作目标㊂3.1.7㊀建立安全基线㊀㊀基线一般指配置和管理系统的详细描述或者是信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求[5]㊂信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线,不满足系统最基本的安全需求,也就无法承受由此带来的安全风险㊂建立安全基线能够帮助学校发现各类服务器㊁网络设备㊁安全设备㊁操作系统㊁中间件㊁数据库等存在的安全漏洞与薄弱环节,认清自身风险现状㊂3.2㊀构建 三防融合 技术支撑体系㊀㊀必须构建人防㊁物防㊁技防并重的网络安全综合防护支撑体系[6]㊂人防是指依靠人的网络安全意识㊁觉悟和能力建立起来的安全防护,是 三防 体系建设的核心,加强人防,关键是要健全完善和落实网络安全工作责任制㊂物防是指加大资源设备投入,为网络安全工作的开展提供强有力的物质保障㊂技防是指采用现代技术手段对信息资产进行保护,防止网络安全事件的发生㊂实际工作中,要将人防㊁物防㊁技防有机结合起来,促进 三防融合 技术支撑体系的形成㊂3.2.1㊀人防㊀㊀网络安全工作基本上是三分技术七分管理,对于安全保障体系而言,光靠安全设备是远远不够的,更重要的是要有一支技术精湛的专业队伍㊁一套合理的工作流程和较高的人员安全意识才能真正让安全落到实处[7]㊂人防是网络安全防护体系建设的核心,无论技术手段多么高深,设备多么先进,都离不开网络安全的核心要素,即人本身㊂高职院校在加强自身专业队伍建设的同时,要积极开展与安全公司以及第三方安全服务机构的联系与合作,通过服务合作模式,加强网络安全能力建设,提升本校安全团队攻防技能,要转变传统网络安全防护工作的角色,倡导主动防御理念㊂要做好日常巡检与应急巡检㊂建立以资产㊁业务系统为核心全生命周期的资产管理体系,严格执行入网审批制度,入网前进行安全检查㊁基线检查,避免带病上线,入网后,进行日常安全合规巡检和应急巡检并行机制,日常巡检要加强系统安全性㊁基线合规性㊁服务健康度的巡检,确保业务系统安全稳定的运行,应急巡检目的在于加强对新漏洞㊁高危漏洞的响应能力,及时发现㊁及时处理,防患未然㊂倡导健康退网机制,在资产或业务系统生命周期终止后,业务单位及时发起退网申请,避免形成 僵尸 系统,同时提高技术手段,加强对 僵尸 系统的检测,做到及时发现,及时处置㊂应对运维管理人员进行详细严格的权限划分,并通过技术手段限制运维边界,对运维行为进行全程审计,对违规运维操作进行实时告警㊂3.2.2㊀物防㊀㊀进行安全设备加固㊂按照事前监测㊁事中防护㊁事后回溯的网络安全工作机制部署网络安全设备㊂在高职院校现有基础网络设施条件下,分别从网络基础安全㊁系统安全㊁应用安全㊁数据安全㊁管理运维安全5个维度进行网络安全加固㊂在出口互联网接入区域部署有防火墙和流控设备,旁挂上网行为管理设备,加强安全风险识别,进行访问控制㊂在数据中心业务区部署网络入侵防御系统,对业务系统应用和威胁进行监测㊂在安全管理中心部署数据库审计系统㊁日志审计系统㊁堡垒机,对业务访问行为和运维管控行为进行审计㊂在服务器及用户终端安装系统防护软件和防病毒软件㊂对所有的信息系统实行全生命周期的管理,在系统上线之前,即要明确信息系统的边界和安全保护等级,选择基本安全措施,明确对系统的安全保护要求㊁策略和措施等内容㊂3.2.3㊀技防㊀㊀ 等保2.0 是我国最新㊁最权威的网络安全保护标准体系,在具体的技防工作中,要参照标准体系开展技术防护工作,包含优化网络安全策略㊁即时修补漏洞㊁日常实时监测㊁事件应急处置㊁数据保密与备份恢复等方面的内容[8]㊂(1)优化网络安全策略㊂校园网络出口应对可能发生的拒绝服务攻击进行有效识别㊁过滤㊁清洗,保证网络出口的畅通,保证骨干链路的负载处于正常范围之内㊂网络出口链路应有边界安全防护措施,对来源于公网或内网的黑客入侵㊁病毒传播等安全威胁进行实时识别与阻断㊂DMZ区及内网服务器区出口链路上,针对WEB应用的7层攻击,如SQL注入㊁XSS㊁HTTP GET FLOOD等威胁进行全面深入的防护㊂所有流经核心交换区域的流量要进行深入的检测,以识别内部各网络区域之间发生的入侵事件和可疑行为㊂面向内网用户要进行网络行为全面的记录和审计,以满足违规事件发生后的追查取证㊂要在不同区域之间进行访问控制㊁病毒检测㊁入侵防护等安全控制措施㊂应对全网的网络节点进行配置合规管理,实现违规配置及时识别㊁配置整改全面深入㊁配置风险全程可控㊂(2)即时修补漏洞㊂对全校网络节点进行漏洞脆弱性管理,实现漏洞预警㊁漏洞加固和漏洞审计的全程风险控制,建立以漏洞为核心,全生命周期的漏洞管理体系㊂(3)加强日常实时监测㊂通过本地网络安全与云端威胁情报结合,建立以威胁为核心,结合威胁情报感知㊁应急响应和恢复过程,构建主动感知和预警的威胁运营体系,做到实时监控㊁实时预警,提升日常监控和应急响应能力㊂(4)做好事件的应急处置,建立联动的工作机制㊂按照事前㊁事中㊁事后的网络安全防护体系不断优化应急处置流程,安全事件发生时,人员能够第一时间到位,并即时启动网络安全突发应急事件处置预案,通过运用相关安全设备和技术手段快速定位事件源[4]㊂(5)做好数据保密与备份恢复㊂强化数据资源全生命周期安全保护,完善适用于大数据环境下的数据分类分级保护制度,保障数据安全㊂对于终端敏感信息或重要数据在存储和流转过程中需要使用密码技术保障数据传输过程中的完整性与保密性㊂例如使用WEBVPN或HTTPS的协议进行访问,不具有证书加密的场景可采用其他第三方软件加密㊂要做好重要数据备份与恢复,制定数据备份策略,做到全量备份与增量备份相结合,并提供异地数据备份功能,要对重要系统和数据库进行容灾备份,使灾备系统随时处在就绪状态或运营状态㊂4　结语㊀㊀习近平总书记始终高度重视网络安全与信息化建设工作,强调没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼㊁驱动之双轮㊂作为承担人才培养任务的高校,要将观念和认识统一到习近平总书记关于网信事业的重要讲话精神上来,树立正确的网络安全观,在具体的工作中要将管理机制与技术手段进行全面有效的融合,充分发挥人员㊁技术㊁产品的优势,形成网络安全工作合力,建设安全㊁稳定㊁可靠的网络环境,抵御网络安全威胁,从而筑牢智慧校园发展根基,推动教育数字化赋能学校高质量发展㊂参考文献[1]徐喆.高校网络安全存在的问题与对策研究[D].秦皇岛:燕山大学,2014.[2]杨瑛霞,王静.智慧校园网络安全体系构建研究[J].网络安全技术与应用,2019(6):45-47. [3]尹珧人,唐玲.智慧校园 建设中信息安全体系建设研究[J].信息记录材料,2021(4):222-223. [4]陆晔,俞伟.江南大学网络安全管理体系建设[J].中国教育网络,2022(9):50-51.[5]陈永忠.安全基线与校园网络安全管理[J].网络安全和信息化,2018(9):108-111.[6]潘卿,顾江伟,窦立君. 技防+人防 的高校网络安全管理体系探究[J].江苏教育,2022(20):47-50,75.[7]史蕊,李鹏.智慧校园环境下网络安全防范预警与应急体系探讨[J].网络安全技术与应用,2020 (1):85-87.[8]郭启全.网络安全等级保护基本要求(通用要求部分)应用指南[M].北京:电子工业出版社,2022.(编辑㊀王雪芬)Research on the construction of network security protection system in thesmart campus environmentFu Tianju Xu YupingInner Mongolia Electronic Information Vocational Technical College Hohhot010070 ChinaAbstract Based on the construction standard of Network Security Level Protection2.0 the article analyzes the current situation security threats and needs faced by the construction of smart campuses in universities in order to identify the problems and deficiencies in current network security construction work and put forward an overall solution for network security protection from the perspectives of management and technical protection.The overall solution can avoid information damage and loss caused by network attacks so as to significantly enhance the sense of security and achievement of teachers and students in the process of information construction and application.Key words。