当前，信息技术发展突飞猛进，网络与信息安全问题也日益突出，可以说网络信息安全是信息化建设与发展的重要保障，需要我们与信息化建设同规划、同部署、同检查。为此，结合南京理工大学实际情况，学校从管理入手，构建全校网络与信息安全工作体系，制订相关安全管理规章制度；优化校园网安全技术防护体系，完善数据安全策略，制订安全应急预案，建立安全应急机制，切实加大安全相关工作力度，保障学校信息化工作的健康发展。

南京理工大学高度重视网络信息安全工作，为此建立和完善了三级安全责任体系，如图1所示：以书记、校长为双组长的网络安全与信息化工作领导小组为领导与决策层，下设分管信息化工作校领导任组长的网络安全与信息化协调组；信息化建设与管理处负责统筹全校的网络信息安全管理与建设工作；学校各二级部门严格落实网络与信息安全责任制，主要责任人为安全第一责任人，并明确网络信息安全分管领导，设立网络信息管理员，统筹管理本单位的网络信息安全工作，责任到人、突出重点、自主防护、保障安全。

图1 南京理工大学网络信息安全管理体系

与此同时，我们制订了一系列的安全相关管理规定作为配套措施。根据《中华人民共和国网络安全法》，遵循“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，我们制订了《南京理工大学网络信息安全管理办法（暂行）》并颁发执行。该办法包含组织架构、系统安全、数据安全、内容安全、队伍建设、经费保障及应急响应等方面内容，全面规范了学校网络信息安全工作，确保了安全工作的有序开展。

同时，为加强数据资产的统一管理和质量管控，建立有效的数据共享、管理与保障体系，有效发挥数据在教学、科研和管理中的重要作用，我们制订了《南京理工大学数据资产管理办法（暂行）》。通过对信息系统数据的采集、录入、运维、存储、归档、应用等过程，以及数据标准、接口标准、数据安全策略和实施数据审核的管理，达到统一数据语言、保障数据准确、防止非法篡改和伪造、建立数据备份和恢复机制、预防信息泄漏、提供优质高效数据服务的目的。　　

学校建有信息系统安全监控系统，实现主动关注、实时监控、提前告警、预先管控。该监控系统采用主动预警架构，关注操作系统及其以上部分，侧重应用视角。主动预警层面，可实现7×24小时的可用性监测，精准定位故障原因；同时，基于采集配置信息（如应用的开发框架、运行环境等）的安全监测，可快速、精确定位受影响应用，如图2所示。

图2 系统安全主动预警架构

系统安全防护是基于应用可用性视角来设计的，如图3所示。其特点有：1.应用视角建立应用运行所需要操作系统、数据库、API等必要IT资产或服务之间的关联；2.基于已建立的关联+预警模型将监测所采集的数据进行关联分析，实现故障的提前预警与精准定位；3.通过对日志进行实时监测，可以真正做到事件提前预警，事件原因的精准定位。

图3 基于应用可用性视角监控

目前，系统层面的监测涉及到的数据包括：1.配置信息：操作系统版本、操作系统开放的端口、操作系统运行的组件、应用的开发框架等；2.资源消耗：CPU利用率、内存利用率、归档大小、磁盘利用率、连接数、线程数据等：3.运行日志：oraclealert日志、weblogic/websphere/tomcat运行日志、操作系统运行日志等。

同时，我们整合相关资源和力量，结合实际情况，建立了学校的安全监测与预警机制，如图4所示。科学的安全监测与预警机制有以下三个要求：具有安全监控工具；第一时间获取外部的安全信息；清晰的校内应用的配置信息，如使用的jdk版本、用的什么框架、应用的操作系统版本等。

图4 安全监测与预警机制架构

经过多年的建设，南京理工大学的网络安全防护也在不断进行优化，目前已形成一套系统的网络安全防护技术体系，其中数据中心区域的安全防护是重中之重。数据中心区域包含主数据平台、信息门户、虚拟化平台、一卡通、图书馆、教务处、财务处等多个不同类别的应用系统，原来都在一个安全域内，容易互相干扰，安全隐患较大。为此，我们将数据中心安全域进行了优化，按功能将不同类别的应用系统细分为若干子安全域，如图5所示。

图5 数据中心安全域细分表

各安全域之间在功能上相对独立，在IP地址规划上分开，这个方便设置安全控制策略，可最大限度减少互相之间的干扰，有效减少了安全隐患。同时，也规划了一些虚地址段提供数据中心使用，主要用于数据中心内部数据交互（例如数据库服务器等），能够有效避免受到外部攻击，保障系统安全和数据安全。

在安全域优化细分的基础上，我们对数据中心原有的安全技术架构进行了优化，建立了全新的数据中心安全防护技术体系，如图6所示。

图6 数据中心安全技术防护体系架构

新的数据中心安全架构将各子安全域都保护起来，做到了安全防护的全面优化：

1.在智慧理工应用、虚拟化平台等重要子安全域，配以防火墙、IDP、WAF等全套安全防护设备，以确保这些重要应用系统的安全；

2.对于一些安全级别要求不高的子安全域，考虑到性价比等因素，目前仅部署防火墙进行安全防护；

3.设置一个流量清洗区，对于应用系统中某些需要额外进行安全防护的，可以通过策略路由或代理等方式，将相关流量引流到流量清洗区，由其安全设备进行安全防护；

4.另设有一个安全管理区，用于放置安全漏洞扫描、VPN、堡垒机、应用交付等安全设备，支撑对全局的安全管理或应用；

5.各安全域根据应用需求分别设置多种安全策略，如端口策略、ACL策略、漏扫策略、认证策略等。　　

在网络安全管理上，经过长期积累，我们在实践中逐步总结出了一套安全管理工作模式。我们利用漏扫设备，定期对全校的网站及业务系统进行安全漏洞扫描，生成安全态势分析报告，发现问题的，则下发相关单位并要求限期整改（进行补丁升级及安全加固等），达不到整改要求的，则要求限期关停；一旦发生网络安全事件，则立即启动网络安全事件应急响应流程，确保第一时间处理问题，把损失或影响降到最低。

网络安全事件的应急响应流程，如图7所示。

图7 网络安全事件应急响应流程

1.信息化处接到安全事件的通报后，通过沟通协调，结合技术手段，获取事件截图等相关证据；

2.信息化处核实事件类别，发起处理流程；

3.若事件为紧急事件，信息化处第一时间向分管信息化工作的校领导汇报，同时通报责任单位相关情况及事件证据，并关闭相关网站或信息系统的访问权限，以降低不良影响。若事件为普通事件，则此环节略过；

4.信息化处指导分析事件原因，并提供整改建议；

5.责任单位对网站或信息系统进行安全修复，并提交整改报告；

6.信息化处对修复后的网站或信息系统进行安全复查，复查通过后恢复其访问权限。

网络信息安全只有起点，没有终点。在安全问题上我们一是要高度重视，二是加强管理和宣传，增强安全意识，完善安全规范，贯彻安全操作规程；三是加强技术防护；四是加强安全人才队伍建设，发挥学校网络安全相关的教师和学生力量；五是加强与外部安全公司合作，增强学校的防护力量和水平，最终构建完整的学校安全防护体系。