黃煒

（漳州職業(yè)技術(shù)學(xué)院 現(xiàn)代教育技術(shù)中心，福建 漳州 363000）

高職院校校園網(wǎng)安全技術(shù)防護(hù)方案設(shè)計(jì)

黃煒

（漳州職業(yè)技術(shù)學(xué)院 現(xiàn)代教育技術(shù)中心，福建 漳州 363000）

在調(diào)研高職院校網(wǎng)絡(luò)信息安全管理現(xiàn)狀的基礎(chǔ)上，參考國家等級保護(hù)制度，設(shè)計(jì)了高職院校校園網(wǎng)絡(luò)安全整體防護(hù)等級和常見業(yè)務(wù)系統(tǒng)等級分類，并將高職院校網(wǎng)絡(luò)環(huán)境劃分為三個(gè)安全域，根據(jù)不同域的網(wǎng)絡(luò)設(shè)施和安全級別要求設(shè)計(jì)了安全設(shè)備配置方案。

等級保護(hù)；高職院校校園網(wǎng)；網(wǎng)絡(luò)安全；技術(shù)防護(hù)

1　引言

隨著教育信息化的深入和職業(yè)教育的轉(zhuǎn)型，近年來，高職院校校園網(wǎng)呈現(xiàn)三大特點(diǎn)，一是網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，網(wǎng)絡(luò)設(shè)施與資源越來越多,二是用戶數(shù)量迅速增多，網(wǎng)絡(luò)行為日益活躍，三是信息安全威脅越來越多，對安全防護(hù)工作提出了新挑戰(zhàn)，在國家大力推進(jìn)網(wǎng)絡(luò)安全管理工作和實(shí)施信息系統(tǒng)等級保護(hù)工作的背景下，高職院校如何設(shè)計(jì)適合自身的網(wǎng)絡(luò)安全防護(hù)方案，建設(shè)綠色安全的校園網(wǎng)絡(luò)環(huán)境，是一個(gè)亟需研究的問題。

2　高職院校網(wǎng)絡(luò)安全技術(shù)防護(hù)現(xiàn)狀

為了摸清高職院校網(wǎng)絡(luò)安全管理現(xiàn)狀，筆者面向我國教育信息化基礎(chǔ)較好的東南地區(qū)的高職院校，通過網(wǎng)絡(luò)調(diào)查和電話咨詢，共調(diào)查了19所高職院校，調(diào)查結(jié)果如下：

2.1網(wǎng)絡(luò)安全設(shè)備配備不足

在設(shè)備配備方面，目前大部分高職院校信息網(wǎng)絡(luò)基本能達(dá)到信息安全等級二級標(biāo)準(zhǔn)，雖然按照國家要求，配置了防火墻、防病毒網(wǎng)關(guān)、信息審計(jì)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)和入侵檢測系統(tǒng)等必備的網(wǎng)絡(luò)安全設(shè)備。但是，對網(wǎng)絡(luò)安全所需的基本軟件、硬件設(shè)施的經(jīng)費(fèi)投入不足，普遍缺乏相對完整的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)施。

2.2沒有進(jìn)行安全分域

在安全管控方面，沒有按照安全保護(hù)強(qiáng)度劃分不同的安全等級，沒有根據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要程度、信息內(nèi)容的重要程度、系統(tǒng)遭到攻擊破壞后造成的危害程度等安全需求以及安全成本等因素，對IT服務(wù)內(nèi)容進(jìn)行分級分域分業(yè)務(wù)分用戶管控。

2.3安全防護(hù)技術(shù)運(yùn)用不足

在安全技術(shù)方面，僅有17.9%的高職院校能應(yīng)用7種以上安全技術(shù)，調(diào)查學(xué)校在網(wǎng)絡(luò)安全方面采用較多的技術(shù)和手段是數(shù)據(jù)備份(占85.9%)、防火墻(占85.9%)、防病毒(占78.2%)、訪問控制(占71.8%)；采用較少的技術(shù)和手段是數(shù)字證書、定期進(jìn)行安全風(fēng)險(xiǎn)評估、入侵檢測、加密、系統(tǒng)安全加固、漏洞掃描。

2.4網(wǎng)絡(luò)安全事件頻發(fā)

從網(wǎng)絡(luò)安全設(shè)備近年統(tǒng)計(jì)的安全事件來看，高職院校網(wǎng)絡(luò)安全事件頻發(fā)，見表1，其中最常見的安全威脅是網(wǎng)絡(luò)木馬和網(wǎng)絡(luò)釣魚，主要原因是在技術(shù)防護(hù)方面，高職院校安全防護(hù)技術(shù)相對滯后，部分系統(tǒng)存在明顯的漏洞，管理人員的防護(hù)技能不高，不能應(yīng)對常見的信息安全事件。在管理方面，網(wǎng)絡(luò)用戶和管理人員有章不循，操作隨意，對于安全管理松懈，組織不力。

表1　高職院校2013年網(wǎng)絡(luò)安全事件統(tǒng)計(jì)（不完全統(tǒng)計(jì)）

3　高職院校網(wǎng)絡(luò)安全防護(hù)技術(shù)體系設(shè)計(jì)

3.1技術(shù)防護(hù)體系建設(shè)準(zhǔn)則

1999年國家發(fā)布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是我國第一部關(guān)于等級保護(hù)的劃分標(biāo)準(zhǔn)。2009年，教育部為進(jìn)一步加強(qiáng)教育系統(tǒng)信息安全工作，由辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函[2009]80號），決定在教育系統(tǒng)全面開展信息安全等級保護(hù)工作。[1]通過將等級保護(hù)方法和高職院校信息安全體系建設(shè)有效結(jié)合，設(shè)計(jì)一套符合高職院校需求的信息安全保障體系，是適合我國國情，也是系統(tǒng)化地解決高職院校信息安全問題的一個(gè)非常有效的方法。因此，筆者認(rèn)為在構(gòu)建安全防護(hù)體系的過程中，應(yīng)以等級保護(hù)為基本原則。

3.2技術(shù)防護(hù)體系建設(shè)思路

在構(gòu)建高職院校技術(shù)安全防護(hù)體系的過程中應(yīng)參照等級保護(hù)的標(biāo)準(zhǔn)和要求，使信息系統(tǒng)在物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面符合國家等級保護(hù)的標(biāo)準(zhǔn)，為高職院校信息系統(tǒng)的安全穩(wěn)定運(yùn)行提供有力保障。具體而言，應(yīng)從以下兩個(gè)角度設(shè)計(jì)、構(gòu)建技術(shù)防護(hù)體系：

（1）構(gòu)建分域的控制體系

在總體架構(gòu)上，除了考慮等保因素外，高職院校信息系統(tǒng)的技術(shù)安全防護(hù)體系還應(yīng)按照分域保護(hù)思路進(jìn)行。各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、應(yīng)用系統(tǒng)形成各自的運(yùn)行環(huán)境、各個(gè)安全區(qū)域之間的訪問關(guān)系形成邊界、各個(gè)安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。[2]因此技術(shù)體系應(yīng)從保護(hù)信息系統(tǒng)的運(yùn)行環(huán)境、邊界和網(wǎng)絡(luò)基礎(chǔ)設(shè)施三個(gè)方面進(jìn)行設(shè)計(jì)。

（2）構(gòu)建縱深的防御體系

在提出的技術(shù)防護(hù)體系中，綜合考慮采用諸如訪問控制、入侵防御、惡意代碼防范、安全審計(jì)、防病毒、傳輸加密、集中數(shù)據(jù)備份等多種技術(shù)和設(shè)備，對信息系統(tǒng)的運(yùn)行環(huán)境、區(qū)域邊界以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行防護(hù)，并在此基礎(chǔ)上實(shí)現(xiàn)綜合集中的安全管理，實(shí)現(xiàn)高職院校網(wǎng)絡(luò)安全防護(hù)的一體化。

3.3技術(shù)防護(hù)體系具體方案

（1）確定安全級別

根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級保護(hù)管理辦法》、教育部辦公廳《關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函[2009]80號），參照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》，對高職院校的整體安全等級設(shè)計(jì)了歸類表，見表2，主要設(shè)置了五級，分別是自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級和?？乇Ｗo(hù)級，其中高職院校一般屬于前兩個(gè)級別。同時(shí)將高職院校的常見網(wǎng)絡(luò)安全對象根據(jù)安全的重要性進(jìn)行歸類，設(shè)計(jì)了高職院校常見網(wǎng)絡(luò)設(shè)施與應(yīng)用系統(tǒng)等級分類，見表3。

表2　高職院校整體安全等級歸類表

表3　高職院校常見服務(wù)對象與應(yīng)用系統(tǒng)等級分類

（2）劃分安全域

因目前高職院校的信息安全等級基本為二級，[3]依據(jù)高職院校網(wǎng)絡(luò)與信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用情況，可以采用邏輯隔離技術(shù)（VLAN或防火墻技術(shù)）和物理隔離技術(shù)將整個(gè)學(xué)校的網(wǎng)絡(luò)劃分為三個(gè)層次的安全域，分別是：第一層次安全域：對外服務(wù)器區(qū)，設(shè)立DMZ區(qū)域，主要運(yùn)行對外公開服務(wù)的信息，包含基礎(chǔ)網(wǎng)絡(luò)、郵件系統(tǒng)、門戶網(wǎng)站等；第二層次安全域：內(nèi)網(wǎng)用戶區(qū)，主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。在這個(gè)區(qū)域內(nèi)放置一些對內(nèi)服務(wù)的設(shè)施，如基礎(chǔ)數(shù)據(jù)庫、內(nèi)網(wǎng)服務(wù)器等。第三層次安全域：涉密系統(tǒng)服務(wù)器區(qū)，與互聯(lián)網(wǎng)物理隔離，將相同安全等級的應(yīng)用系統(tǒng)從邏輯上和物理上分別劃分，主要運(yùn)行具有較高安全需求的涉密辦公系統(tǒng)。

4　高職院校網(wǎng)絡(luò)安全設(shè)備配置方案

針對可能存在的安全漏洞和安全需求，在不同安全域上提出不同的安全級別要求和相應(yīng)的解決方案，制定相應(yīng)的安全策略，加強(qiáng)安全管理，保證整個(gè)系統(tǒng)的安全性。

4.1第一層次安全域

圖1　第一層次安全域安全設(shè)備配備示意圖

（1）部署防火墻互聯(lián)網(wǎng)邊界隔離整合

如圖1所示，結(jié)合高職院校網(wǎng)絡(luò)安全域劃分，互聯(lián)網(wǎng)邊界部署防火墻進(jìn)行邊界整合，防火墻上劃分對外服務(wù)器、師生生活與活動(dòng)區(qū)兩個(gè)安全子域。開辟安全服務(wù)區(qū)，部署入侵防御、病毒過濾以及流量審計(jì)系統(tǒng)，通過防火墻將互聯(lián)網(wǎng)接入域與接口平臺進(jìn)行隔離。[4]

（2）對外服務(wù)器安全防護(hù)

將對外提供服務(wù)的服務(wù)器放置在WEB應(yīng)用防火墻后，并通過入侵防御系統(tǒng)、以及網(wǎng)頁防篡改系統(tǒng)對服務(wù)器及頁面進(jìn)行進(jìn)一步的安全防護(hù)，通過應(yīng)用負(fù)載系統(tǒng)在服務(wù)器間實(shí)現(xiàn)訪問請求的均衡負(fù)載。通過入侵防御系統(tǒng)不僅能夠?qū)Ω鞣NDDos攻擊進(jìn)行有效的防護(hù)，實(shí)現(xiàn)系統(tǒng)正常運(yùn)行時(shí)間最大化，免除緊急補(bǔ)丁的安裝。通過負(fù)載均衡的部署提高了對外服務(wù)器的服務(wù)能力。通過網(wǎng)頁防篡改系統(tǒng)加強(qiáng)頁面數(shù)據(jù)有效、合法以及安全。

（3）師生生活與活動(dòng)區(qū)安全防護(hù)

師生生活與活動(dòng)區(qū)子域包含服務(wù)器以及大量的PC。本區(qū)域防護(hù)重點(diǎn)是PC終端的安全，部署桌面終端安全管理系統(tǒng)，構(gòu)建一個(gè)能集中管理的計(jì)算機(jī)終端桌面防護(hù)系統(tǒng)，達(dá)到對師生生活與活動(dòng)區(qū)內(nèi)部計(jì)算機(jī)終端接入安全、管理規(guī)范及行為管控。

4.2第二層次安全域

根據(jù)高職院校信息化業(yè)務(wù)的內(nèi)容，如圖2，將第二層次安全域劃分為業(yè)務(wù)支撐區(qū)、業(yè)務(wù)應(yīng)用區(qū)、內(nèi)部應(yīng)用區(qū)以及運(yùn)維管理區(qū)，設(shè)計(jì)全面縱深防御的安全防護(hù)體系。

(1)部署雙層防火墻加強(qiáng)各區(qū)域間訪問控制

防火墻上劃分業(yè)務(wù)支撐區(qū)、業(yè)務(wù)生產(chǎn)區(qū)、內(nèi)部應(yīng)用區(qū)以及運(yùn)維管理區(qū)四個(gè)安全子域，互聯(lián)網(wǎng)接入域作為第一道防火墻DMZ區(qū)域存在，各安全子域邊界部署第二道防火墻，僅開放需要與該域進(jìn)行交互的端口及來源。業(yè)務(wù)接入域匯聚交換區(qū)旁路抗DDoS攻擊系統(tǒng)，達(dá)到最高的安全要求。通過防火墻將業(yè)務(wù)接入域與互聯(lián)網(wǎng)進(jìn)行隔離。

(2)業(yè)務(wù)支撐區(qū)安全防護(hù)

本區(qū)域?yàn)锽OSS系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)平臺。[5]如圖3，區(qū)域邊界部署第二道防火墻，通過訪問控制策略嚴(yán)格定義與其他區(qū)域的交互細(xì)則，旁路部署病毒過濾及入侵檢測系統(tǒng)實(shí)現(xiàn)攻擊和惡意代碼檢測及阻斷，通過應(yīng)用負(fù)載可有效提高業(yè)務(wù)服務(wù)器響應(yīng)能力，實(shí)現(xiàn)業(yè)務(wù)請求在多臺服務(wù)器間進(jìn)行負(fù)載分擔(dān)。

圖2　第二層次安全域安全設(shè)備部署圖

圖3　業(yè)務(wù)支撐區(qū)安全防護(hù)設(shè)備部署圖

(3)業(yè)務(wù)生產(chǎn)區(qū)安全防護(hù)

本區(qū)域?yàn)楦呗氃盒＝虒W(xué)交流互動(dòng)平臺提供基礎(chǔ)網(wǎng)絡(luò)平臺。如圖4，區(qū)域邊界部署第二道防火墻，通過訪問控制策略嚴(yán)格定義與其他區(qū)域的交互細(xì)則，旁路部署病毒過濾及入侵檢測系統(tǒng)實(shí)現(xiàn)攻擊和惡意代碼檢測及阻斷，通過應(yīng)用負(fù)載可有效提高業(yè)務(wù)服務(wù)器響應(yīng)能力，實(shí)現(xiàn)業(yè)務(wù)請求在多臺服務(wù)器間進(jìn)行負(fù)載分擔(dān)。

(4)應(yīng)用區(qū)安全防護(hù)

本區(qū)域?yàn)楦呗氃盒?nèi)部相關(guān)辦公系統(tǒng)，如圖5，在區(qū)域邊界部署第二道防火墻，通過訪問控制策略嚴(yán)格定義與其他區(qū)域的交互細(xì)則。

圖4　業(yè)務(wù)生產(chǎn)區(qū)安全防護(hù)圖　

圖5　內(nèi)部應(yīng)用區(qū)安全防護(hù)設(shè)備部署圖

(5)運(yùn)維管理區(qū)安全防護(hù)

運(yùn)維管理區(qū)主要是用于第三方人員、系統(tǒng)管理員，開發(fā)、測試、維護(hù)的區(qū)域，任何對網(wǎng)絡(luò)或服務(wù)器業(yè)務(wù)系統(tǒng)的更改測試，都需要在此處完成；同時(shí)該區(qū)域還包含各類運(yùn)維支撐系統(tǒng)，實(shí)現(xiàn)全面IT運(yùn)維管理，為高職院校IT運(yùn)維團(tuán)隊(duì)提供決策支持。如圖6，每個(gè)區(qū)域均需要利用防火墻，進(jìn)行網(wǎng)絡(luò)層隔離，也可通過不同VLAN定制不同訪問控制策略來實(shí)現(xiàn)網(wǎng)絡(luò)隔離。由于該區(qū)域?qū)φ麄€(gè)高職院校數(shù)據(jù)中心具備最高訪問權(quán)限，因此區(qū)域邊界部署第二道防火墻，通過訪問控制策略嚴(yán)格定義與其他區(qū)域的交互細(xì)則。

圖6　運(yùn)維管理區(qū)安全防護(hù)設(shè)備圖

4.3第三層次安全域

第三層次安全域主要是針對需要聯(lián)接廣域網(wǎng)的高職院校涉密網(wǎng)絡(luò)的安全防護(hù)，如圖7。

(1)邊界配備防火墻和防病毒系統(tǒng)，設(shè)置總體的安全策略

在防火墻外配備密碼機(jī)，負(fù)責(zé)涉密辦公系統(tǒng)按照不同密級，將數(shù)據(jù)進(jìn)行加密傳輸；其中機(jī)密以下級信息應(yīng)用服務(wù)必須配備應(yīng)用服務(wù)加密設(shè)備。機(jī)密以上信息應(yīng)用服務(wù)必須配備終端加密設(shè)備。

(2)區(qū)域內(nèi)部部署

在區(qū)域核心交換機(jī)旁路上必須部署入侵檢測系統(tǒng)并及時(shí)進(jìn)行策略更新，監(jiān)控異常網(wǎng)絡(luò)行為和檢測實(shí)時(shí)攻擊，在該區(qū)域核心交換機(jī)旁路上部署漏洞掃描設(shè)備和補(bǔ)丁更新系統(tǒng)，發(fā)現(xiàn)應(yīng)用系統(tǒng)與服務(wù)器的漏洞并及時(shí)更新補(bǔ)丁，在密級應(yīng)用系統(tǒng)前端部署訪問控制設(shè)備和CA系統(tǒng)，實(shí)現(xiàn)用戶按照權(quán)限訪問密級應(yīng)用系統(tǒng)，在用戶終端部署可以檢測非法外聯(lián)與非法接入的終端安全監(jiān)控系統(tǒng)，用戶終端部署水印系統(tǒng)，對文件進(jìn)行加密。

5　小結(jié)

高職院校網(wǎng)絡(luò)安全防護(hù)工作是一項(xiàng)系統(tǒng)工程，在完善的學(xué)校安全防護(hù)體系的基礎(chǔ)上，更需要充分培養(yǎng)學(xué)校IT服務(wù)人員和用戶的信息安全防護(hù)意識，[6]才能滿足越來越高的安全管理要求。然而，隨著信息安全等級防護(hù)制度的推行，學(xué)校網(wǎng)絡(luò)信息安全分級將會(huì)越來越明細(xì)，新的安全威脅又不斷涌現(xiàn)，因此高職院校網(wǎng)絡(luò)安全防護(hù)方案將在本文提出的安全設(shè)備設(shè)備配置方案的基礎(chǔ)上，需要根據(jù)根據(jù)信息安全形勢的變化進(jìn)一步完善和優(yōu)化，才能充分適應(yīng)新的安全管理需求。

圖7　第三層次安全域安全設(shè)備配置示意圖

[1]于世梁.國家安全視角下的網(wǎng)絡(luò)安全新舉措[J].江西行政學(xué)院學(xué)報(bào)，2014，16(3)：77-80.

[2]李寶玲，曹寶香.基于 ITIL的安全管理平臺流程響應(yīng)機(jī)制設(shè)計(jì)[J].計(jì)算機(jī)安全，2013(3)：36-40.

[3]王文文，孫新召.信息安全等級保護(hù)淺議[J].計(jì)算機(jī)安全，2013(1)：68-77.

[4]鄭雯.基于ITIL理論的信息安全與信息化資源智能管控體系的研究與建設(shè)[D].山東：中國海洋大學(xué)碩士論文，2012.

[5]余勇，林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2012(5)：74-77.

[6]張明德，鄭雪峰，蔡翌.應(yīng)用安全模型研究[J].信息網(wǎng)絡(luò)安全，2012(8)：121-125.

（責(zé)任編輯：季 平）

Design of Security Technology and Protection Scheme of Campus network in Higher Vocational Colleges

HUANG Wei
(Zhangzhou Institute of Technology,Zhangzhou,Fujian 363000,China)

Based on present situation of the research of vocational college network information security management,reference to national level protection system,the manuscript designed the overall protection of higher vocational college campus network security level and common business system classification of higher vocational colleges,and divides the three security domains for the network environment,according to the network facilities and different level of security domain requirements,designed safety equipment configuration scheme.

Level of protection;Campus Network of higher vocational colleges;Network security; Technology protection

TP393.08

A

1673-1417（2015）01-0023-07

10.13908/j.cnki.issn1673-1417.2015.01.0005

2015-01-05

黃煒 (1982-)，女，福建漳州人，助教，學(xué)士，研究方向：教育技術(shù)。