韓紅光

摘要：隨著信息技術(shù)的發(fā)展和辦公管理的信息化， 校園網(wǎng)上各類系統(tǒng)平臺快速應(yīng)用，更隨著校園網(wǎng)有線與無線的一體化，接入校園網(wǎng)的用戶和設(shè)備更加多樣，也更容易遭受各類攻擊和病毒的入侵，這對校園網(wǎng)防范信息的泄露和保障信息安全提出了更高要求。該項(xiàng)目主要針對校園網(wǎng)，網(wǎng)絡(luò)安全體系設(shè)計(jì)的原則和校園網(wǎng)絡(luò)安全建設(shè)的措施，以期有效保障校園網(wǎng)絡(luò)用戶的利益，促進(jìn)校園網(wǎng)的健康發(fā)展。

關(guān)鍵詞：網(wǎng)絡(luò)；安全策略；校園網(wǎng)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）08-0057-03

1 背景

1.1校園網(wǎng)安全現(xiàn)狀

雖然校園網(wǎng)網(wǎng)絡(luò)的發(fā)展給學(xué)校的發(fā)展和管理帶來了翻天覆地的變化，但互聯(lián)網(wǎng)是一個(gè)面向大眾的開放系統(tǒng)，各類軟硬件產(chǎn)品存在著各種安全隱患，網(wǎng)絡(luò)安全事件日益增多，黑客活動(dòng)攻擊日趨頻繁，WEB應(yīng)用攻擊、釣魚網(wǎng)站、移動(dòng)端網(wǎng)絡(luò)惡意程序、DDOS攻擊事件呈大幅增長態(tài)勢，針對特定目標(biāo)，特別是政府機(jī)關(guān)和高校的網(wǎng)絡(luò)日漸增多。雖然校園網(wǎng)的發(fā)展，校園網(wǎng)中各類應(yīng)用系統(tǒng)和平臺越來越多，學(xué)校的日常運(yùn)作和管理完全基于一個(gè)安全暢通的校園網(wǎng)，教職工在享受到了網(wǎng)絡(luò)帶來的優(yōu)越性。但校園網(wǎng)作為一個(gè)非常特殊的一個(gè)網(wǎng)絡(luò)體系，它影響著學(xué)校的正常運(yùn)行和管理，它面對有創(chuàng)造力的年輕學(xué)生群體，一個(gè)可靠穩(wěn)定的校園網(wǎng)，對于一個(gè)學(xué)校的正常運(yùn)行至關(guān)重要，所以制定一個(gè)科學(xué)、可行的校園網(wǎng)網(wǎng)絡(luò)安全策略，來保護(hù)校園網(wǎng)網(wǎng)絡(luò)安全，在技術(shù)上筑起一道安全防火墻，顯得非常有必要。

1.2信息系統(tǒng)等級保護(hù)的要求

信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的綜合性工作。

在2014年2月27日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立后，加快推動(dòng)了《國家信息安全等級保護(hù)制度》的建設(shè)，不斷增強(qiáng)各政府企事業(yè)單位的安全保障能力。一般高校需要滿足信息等級保護(hù)二級要求。

2 方案設(shè)計(jì)思路

根據(jù)國家信息安全等級保護(hù)相關(guān)要求，方案通過分析校園網(wǎng)的實(shí)際安全需求，結(jié)合教育行業(yè)業(yè)務(wù)信息的實(shí)際特性，并依據(jù)《網(wǎng)絡(luò)安全基本要求》、《信息系統(tǒng)安全等級保護(hù)定級指南》等相關(guān)標(biāo)準(zhǔn)，我們高職院校需要建立滿足信息安全等級保護(hù)二級要求，應(yīng)能夠做到防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊和一般的自然災(zāi)難，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。

2.1信息系統(tǒng)風(fēng)險(xiǎn)評估和等級保護(hù)差距

通過采用信息安全風(fēng)險(xiǎn)評估的方法，對學(xué)校信息系統(tǒng)進(jìn)行全面綜合分析，并深化對已經(jīng)定級、備案的信息系統(tǒng)進(jìn)行資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)綜合分析，在整體網(wǎng)絡(luò)框架基礎(chǔ)上，通過差距分析的方法與等級保護(hù)基本要求進(jìn)行差距分析，形成信息系統(tǒng)等級保護(hù)建設(shè)整改的整體安全需求。

2.2安全保障體系框架和總體安全策略

根據(jù)等級保護(hù)的整體保護(hù)框架，并結(jié)合學(xué)校信息安全保障體系建設(shè)的實(shí)際情況，建立符合醫(yī)療信息系統(tǒng)特性的安全保障體系，分別是安全管理體系、安全技術(shù)體系和安全運(yùn)行體系，并制定各個(gè)體系必要的安全設(shè)計(jì)原則和安全策略。

2.3安全保障體系總體設(shè)計(jì)方案

結(jié)合學(xué)校信息系統(tǒng)的系統(tǒng)應(yīng)用實(shí)際，設(shè)計(jì)各類技術(shù)安全體系控制辦法、安全管理體系控制辦法和安全運(yùn)行體系控制辦法，其中：

1） 安全管理體系的實(shí)現(xiàn)依據(jù)《基本要求》，設(shè)計(jì)了學(xué)校的信息安全組織機(jī)構(gòu)、人員安全管理制度、系統(tǒng)建設(shè)管理及系統(tǒng)運(yùn)維管理等控制措施；

2） 安全技術(shù)體系的實(shí)現(xiàn)一方面重點(diǎn)落實(shí)《基本要求》，另一方面采用《安全設(shè)計(jì)技術(shù)要求》的思路和方法設(shè)計(jì)了安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的控制措施，在框架和控制方面把兩個(gè)要求進(jìn)行了結(jié)合；

3） 安全運(yùn)行體系的實(shí)現(xiàn)根據(jù)《基本要求》，設(shè)計(jì)了符合系統(tǒng)全生命周期的安全需求、安全建設(shè)、安全設(shè)計(jì)與安全運(yùn)維的運(yùn)行體系要求，重點(diǎn)闡述了安全運(yùn)維體系的框架和控制組成。

4） 安全管理中心的實(shí)現(xiàn)根據(jù)《基本要求》和《安全設(shè)計(jì)技術(shù)要求》，結(jié)合學(xué)校對保障平臺建設(shè)的需求，形成覆蓋安全工作管理、安全運(yùn)維管理、統(tǒng)一安全技術(shù)管理于一體的“自動(dòng)、平臺化”的安全管理中心。

3 方案技術(shù)路線

根據(jù)目前國內(nèi)外安全理論和標(biāo)準(zhǔn)發(fā)展，在校園網(wǎng)安全設(shè)計(jì)和建設(shè)信息安全保障體系主要采用如下技術(shù)方法：

3.1風(fēng)險(xiǎn)評估方法

符合GB/T 20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》中的總體要求，針對核心重要信息資產(chǎn)、脆弱性、威脅和信息安全風(fēng)險(xiǎn)進(jìn)行綜合分析。

3.2體系化設(shè)計(jì)方法

采用結(jié)構(gòu)化設(shè)計(jì)方法，運(yùn)用問題管理的方式，結(jié)合風(fēng)險(xiǎn)評估的結(jié)論，引用《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息安全保障技術(shù)框架》（IATF）、《聯(lián)邦信息系統(tǒng)的安全控制》（NIST SP800-53）中的信息安全保障的深度防御戰(zhàn)略模型和控制框架，做好安全保障體系框架設(shè)計(jì)。

3.3等級化設(shè)計(jì)方法

根據(jù)國家等級保護(hù)策略，結(jié)合信息系統(tǒng)的安全保護(hù)等級，設(shè)計(jì)支撐體系框架的安全目標(biāo)和安全要求，基本要求和技術(shù)方法符合國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)，滿足等級保護(hù)的基本目標(biāo)、控制項(xiàng)和控制點(diǎn)。

4 網(wǎng)絡(luò)安全策略規(guī)劃

農(nóng)業(yè)商貿(mào)職業(yè)學(xué)院網(wǎng)絡(luò)規(guī)劃由高性能核心交換機(jī)作為網(wǎng)絡(luò)的核心，整個(gè)學(xué)院網(wǎng)絡(luò)由承載業(yè)務(wù)的內(nèi)網(wǎng)以及日常行政辦公的外網(wǎng)兩部分構(gòu)成。網(wǎng)絡(luò)通過訪問控制技術(shù)將不同的業(yè)務(wù)類型及安全需求劃分成多個(gè)安全區(qū)域，各安全區(qū)域。

4.1互聯(lián)網(wǎng)出口安全

下一代防火墻可以在如下幾個(gè)方面進(jìn)行安全加強(qiáng)：

1） 對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行合法性檢查，防止非授權(quán)服務(wù)和非授權(quán)主機(jī)操作系統(tǒng)的訪問。

2） 抵御攻擊。抵御來自互聯(lián)網(wǎng)的黑客攻擊、DDOS攻擊等，確保學(xué)院網(wǎng)絡(luò)穩(wěn)定、可靠的運(yùn)行。

3） 防止病毒。通過防火墻對學(xué)院網(wǎng)絡(luò)服務(wù)器區(qū)域與其他安全域的邏輯隔離，有效防止了病毒的傳播。

4） 具備L2-7層的攻擊防護(hù)技術(shù)，使防護(hù)技術(shù)不存在短板。不僅僅需要防護(hù)外部攻擊，并能檢查服務(wù)器/終端外發(fā)流量是否有風(fēng)險(xiǎn)，彌補(bǔ)了傳統(tǒng)安全設(shè)備只防外不防內(nèi)的漏洞。

4.2 上網(wǎng)行為安全

上網(wǎng)行為管理可以為我們解決如下問題：

1） 流量控制。在網(wǎng)絡(luò)出口處部署上網(wǎng)行為管理系統(tǒng)，對學(xué)校網(wǎng)絡(luò)的進(jìn)出數(shù)據(jù)流量進(jìn)行管理。

2） 過濾功能。對員工在日常辦公中與工作無關(guān)的網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，例如禁止P2P下載、在線視頻、瀏覽購物網(wǎng)站、網(wǎng)絡(luò)游戲等。解決帶寬濫用問題，提高帶寬有效利用率。同時(shí)，禁止工作無關(guān)應(yīng)用，提高員工工作效率。

3） 行為審計(jì)。提供對電子郵件、即時(shí)通訊、論壇發(fā)帖等途徑的外發(fā)信息進(jìn)行監(jiān)控審計(jì)，避免學(xué)校機(jī)密信息泄露或發(fā)表反動(dòng)言論等。

4.3 服務(wù)器群安全

在WEB應(yīng)用服務(wù)器前端部署WAF（WEB應(yīng)用防火墻）可以解決如下問題：

1） Web掃描器對客戶網(wǎng)站架構(gòu)進(jìn)行整體評估，評估客戶網(wǎng)站在開發(fā)過程中，開發(fā)人員忽視的安全問題。

2） 針對黑客的攻擊流量進(jìn)行逐一特征匹配，匹配上的流量就是黑客攻擊流量。

3） 針對流量峰值和平均值進(jìn)行限制，防止黑客使用DDOS，避免網(wǎng)站服務(wù)器出現(xiàn)拒絕死機(jī)情況。

4.4 數(shù)據(jù)庫安全

數(shù)據(jù)庫安全審計(jì)可以對業(yè)務(wù)網(wǎng)絡(luò)中的各種數(shù)據(jù)庫進(jìn)行全方位的安全審計(jì)，集成了數(shù)據(jù)庫審計(jì)、主機(jī)審計(jì)、應(yīng)用審計(jì)和網(wǎng)絡(luò)流量審計(jì)，可有效保障客戶業(yè)務(wù)網(wǎng)絡(luò)中數(shù)據(jù)安全和操作合規(guī)，具體包括：數(shù)據(jù)訪問審計(jì)、數(shù)據(jù)變更審計(jì)、用戶操作審、違規(guī)訪問行為審計(jì)。

5 安全策略設(shè)計(jì)

5.1安全使命

保障業(yè)務(wù)和信息系統(tǒng)安全、穩(wěn)定、持續(xù)運(yùn)行，促進(jìn)信息化長期發(fā)展，為信息化建設(shè)提供可持續(xù)發(fā)展的信息網(wǎng)絡(luò)安全技術(shù)和管理支撐。

信息安全的意義是為業(yè)務(wù)和信息系統(tǒng)服務(wù)，保證各個(gè)業(yè)務(wù)系統(tǒng)能正常運(yùn)行，進(jìn)而使業(yè)務(wù)信息系統(tǒng)安全、穩(wěn)定且持續(xù)運(yùn)行，這是信息安全保障體系建設(shè)的最重要使命。

5.2安全目標(biāo)

保證業(yè)務(wù)信息和網(wǎng)絡(luò)的機(jī)密性、完整性和可用性，確保學(xué)校各業(yè)務(wù)系統(tǒng)達(dá)到等級保護(hù)二級要求。

1） 機(jī)密性是使信息和網(wǎng)絡(luò)資源不能泄露給未授權(quán)的個(gè)人、實(shí)體、或不被其利用。

2） 完整性是指保護(hù)信息和網(wǎng)絡(luò)資源的完全和完整。

3） 可用性是已授權(quán)實(shí)體如有需要訪問信息和網(wǎng)絡(luò)資源就可以使用和訪問。

5.3安全策略體系

安全管理制度應(yīng)建立信息安全方針、安全策略、安全管理制度、安全技術(shù)規(guī)范以及流程的一套信息安全策略體系。

5.4安全方針和主策略

最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

5.5安全策略的制定和發(fā)布管理

安全策略系列文檔制定后，必須有效發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過程中除了要得到學(xué)院的高層領(lǐng)導(dǎo)的大力支持和推動(dòng)，同時(shí)需要有合適的、可行的發(fā)布和推動(dòng)手段，在發(fā)布和執(zhí)行前對各類相關(guān)人員進(jìn)行充分培訓(xùn)，保證操作人員知道和了解相關(guān)部分的內(nèi)容。

安全策略在制定和發(fā)布過程中，應(yīng)當(dāng)實(shí)施以下安全管理：

1） 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制，避免出現(xiàn)混亂；

2） 安全管理職能部門應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；

3） 安全管理制度應(yīng)通過正式、有效的方式發(fā)布；

4） 安全管理制應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。

各類政策的實(shí)施是一個(gè)長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到許多部門和教職工，也可能需要改變以前的工作方式和流程，所以推行起來會可能遇到相當(dāng)大的阻力。

6結(jié)束語

計(jì)算機(jī)及校園網(wǎng)絡(luò)建設(shè)作為學(xué)校計(jì)算機(jī)輔助管理的“重中之重”， 許多學(xué)校在網(wǎng)絡(luò)安全工作中也做了不少的探索，未來的網(wǎng)絡(luò)安全也將呈現(xiàn)多種發(fā)展趨勢：

1） 安全需求將會“從單一安全防御過渡到綜合體系防御”，“從點(diǎn)的安全防御過渡到成體系的建設(shè)”；

2） 技術(shù)發(fā)展也出現(xiàn)了新的：專一和融合，諸如下一代防火墻、ISP、數(shù)據(jù)庫審計(jì)等產(chǎn)品開始深入校園；

3） 安全管理體系化，逐步建立并完善信息安全管理保障體系，進(jìn)行網(wǎng)絡(luò)安全應(yīng)急響應(yīng)管理體系的建設(shè)，加快網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化的制定和實(shí)施工作。

隨著時(shí)代的發(fā)展，新的網(wǎng)絡(luò)安全問題也會層出不窮，新的解決方案也會不斷涌現(xiàn)，網(wǎng)絡(luò)安全的研究也任重而道遠(yuǎn)。

參考文獻(xiàn)：

[1] 熊珍珠，張文婷. 校園網(wǎng)安全策略的研究[J]. 軟件導(dǎo)刊，2011（1）.

[2] 史姣麗.基于模擬攻擊的高校網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估研究[J].計(jì)算機(jī)工程與科學(xué)，2012（12）.

[3] 謝根亮. 入侵檢測系統(tǒng)綜述[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（5）.

[4] 吳金宇.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)，2013.

[5] 覃肖云. 基于校園網(wǎng)分布式入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)[J]. 大眾科技， 2009（4）.

[6] 曾憲達(dá).校園網(wǎng)絡(luò)安全防護(hù)及對策[J].硅谷，2012（20）.