干俊

摘要：隨著國家信息化建設(shè)的大力推進(jìn)，在信息化內(nèi)容爆炸式增長(zhǎng)時(shí)期，針對(duì)校園網(wǎng)絡(luò)信息環(huán)境，提出了從安全的計(jì)算環(huán)境、安全的區(qū)域邊界、安全的通信網(wǎng)絡(luò)、安全的管理中心、安全的管理制度五個(gè)角度入手，有效阻隔不良信息，防止信息泄露，杜絕黑客入侵，營造一個(gè)良好的校園網(wǎng)絡(luò)信息環(huán)境。

關(guān)鍵詞：網(wǎng)絡(luò);信息;安全;審計(jì);管理

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? 文章編號(hào)：1009-3044（2019）01-0032-02

校園上網(wǎng)的主體是學(xué)生，思想活躍，對(duì)于新生事物充滿好奇。校園是思想政治和意識(shí)形態(tài)的主要陣地，境外的敵對(duì)勢(shì)力和其他有害青少年身心健康的內(nèi)容和意識(shí)形態(tài)也針對(duì)學(xué)院進(jìn)行了多種多樣的宣傳和蠱惑手段，而信息網(wǎng)絡(luò)這一高科技的產(chǎn)物，在給師生們的學(xué)習(xí)、生活帶來便利的同時(shí)也無一例外地成為一些有害思想和內(nèi)容的重要傳播載體。學(xué)生正處于知識(shí)、思想快速汲取的階段，人生觀，價(jià)值觀還未定型，網(wǎng)絡(luò)用戶安全意識(shí)薄弱，沒有防范網(wǎng)絡(luò)攻擊的經(jīng)驗(yàn);有些人崇拜黑客，一心想著如何進(jìn)行網(wǎng)絡(luò)攻擊，而校園網(wǎng)則成為首要攻擊對(duì)象，如果沒有正確的引導(dǎo)很容易走上違法犯罪的道路。一方面是內(nèi)部學(xué)生的嘗試性測(cè)試，利用黑客技術(shù)損害到校園網(wǎng)絡(luò);另一方面是外部非法團(tuán)體的惡意探測(cè)、攻擊，意圖盜取師生的個(gè)人信息，校園內(nèi)部的財(cái)務(wù)數(shù)據(jù)，文件資料，非法買賣盈利;再一方面，就是境外非法勢(shì)力的蓄意破壞，重大活動(dòng)期間宣告政治主張，篡改校園主頁惡意傳播不良信息等，給高校網(wǎng)絡(luò)帶來極大的安全隱患。

通過國家信息安全漏洞共享平臺(tái)（CNVD）漏洞庫提交的教育行業(yè)安全事件數(shù)據(jù)來看，安全風(fēng)險(xiǎn)主要來自三個(gè)方面，具體分析：

1）支撐平臺(tái)漏洞。以常見WEB發(fā)布平臺(tái)nginx，iis，apache，tomcat為例，某些版本存在缺陷，不能及時(shí)補(bǔ)漏，造成SQL注入、web文檔信息泄露。

2）web站點(diǎn)內(nèi)容泄露。Web站點(diǎn)對(duì)外發(fā)布信息，由于操作員對(duì)敏感數(shù)據(jù)缺乏保護(hù)意識(shí)，造成不應(yīng)發(fā)布的數(shù)據(jù)對(duì)外公開發(fā)布。學(xué)院主站，子站;教務(wù)系統(tǒng)、學(xué)工系統(tǒng)、招生就業(yè)平臺(tái)、圖書館等。

3）業(yè)務(wù)系統(tǒng)自身缺陷。以學(xué)院教務(wù)系統(tǒng)為例，由于采購時(shí)間較早，軟件版本較低，后期檢查時(shí)存在高危SQL注入漏洞、高危任意文件下載漏洞等。

在網(wǎng)絡(luò)信息安全事件頻發(fā)的大環(huán)境下，學(xué)院應(yīng)該對(duì)網(wǎng)絡(luò)信息安全提高重視。

根據(jù)學(xué)院網(wǎng)絡(luò)信息安全自評(píng)結(jié)果，應(yīng)從以下幾點(diǎn)加強(qiáng)管理：

1 安全的計(jì)算環(huán)境

計(jì)算環(huán)境的安全主要空間、主機(jī)、業(yè)務(wù)三個(gè)方面的安全風(fēng)險(xiǎn)組成，具體包括：物理機(jī)房安全、主機(jī)身份鑒別、業(yè)務(wù)訪問控制、軟件系統(tǒng)審計(jì)、惡意入侵防范、病毒代碼防范、系統(tǒng)軟硬件容錯(cuò)、業(yè)務(wù)數(shù)據(jù)完整性與保密性、數(shù)據(jù)庫備份與恢復(fù)、資源環(huán)境合理控制、非活躍信息保護(hù)、行為管控等方面。

數(shù)據(jù)庫審計(jì)：缺少針對(duì)數(shù)據(jù)的審計(jì)設(shè)備，不能很好地滿足主機(jī)安全審計(jì)的要求，需要部署專業(yè)的數(shù)據(jù)庫審計(jì)設(shè)備。

運(yùn)維堡壘機(jī)：未實(shí)現(xiàn)管理員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器管理時(shí)的雙因素認(rèn)證，計(jì)劃通過部署堡壘機(jī)來實(shí)現(xiàn)。

主機(jī)審計(jì)：主機(jī)自身安全策略配置不能符合要求，計(jì)劃通過專業(yè)安全服務(wù)實(shí)現(xiàn)服務(wù)器整改加固。

備份與恢復(fù)：沒有完善的數(shù)據(jù)備份與恢復(fù)方案，需要采購數(shù)據(jù)備份系統(tǒng)并制定相關(guān)策略。

系統(tǒng)管理員：針對(duì)操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫的用戶名/口令，制定安全策略復(fù)，訪問控制策略，限制登陸條件、超時(shí)鎖定、用戶權(quán)限，使得資源的訪問和操作處在可控范圍內(nèi)。

2 安全的區(qū)域邊界

區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)等方面。

邊界訪問控制：需要優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)業(yè)務(wù)情況合理劃分安全域，合理劃分網(wǎng)段和VLAN;對(duì)于重要的信息系統(tǒng)的網(wǎng)絡(luò)設(shè)施采取冗余措施;訪問控制需要在構(gòu)建安全計(jì)算環(huán)境的基礎(chǔ)上，依托防火墻等安全設(shè)備進(jìn)行訪問控制?，F(xiàn)網(wǎng)需要在邊界部署下一代防火墻實(shí)現(xiàn)邊界訪問控制，在各個(gè)重點(diǎn)安全域部署下一代防火墻來實(shí)現(xiàn)各安全域的重點(diǎn)隔離防護(hù)。

邊界入侵防范：現(xiàn)網(wǎng)沒有實(shí)現(xiàn)邊界攻擊防護(hù)，需要新增入侵防御系統(tǒng)/或新增下一代防火墻IPS功能模塊。

惡意代碼防范：主機(jī)惡意代碼防護(hù)通過部署終端病毒查殺軟件實(shí)現(xiàn)，網(wǎng)絡(luò)邊界惡意代碼防護(hù)需要部署下一代防火墻，開啟AV防病毒功能，并且要求網(wǎng)絡(luò)層與主機(jī)的惡意代碼庫不同。

防web應(yīng)用層攻擊：現(xiàn)網(wǎng)目前未做應(yīng)用層攻擊防護(hù)，計(jì)劃新增WEB應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)。

互聯(lián)網(wǎng)出口安全審計(jì)：現(xiàn)網(wǎng)未實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為進(jìn)行精細(xì)化識(shí)別和控制，需要部署上網(wǎng)行為管理產(chǎn)品來保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬，對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的審計(jì)。

邊界完整性保護(hù)：邊界沒有實(shí)現(xiàn)非法外聯(lián)，需要部署終端安全管理設(shè)備。

3 安全的通信網(wǎng)絡(luò)

通信網(wǎng)絡(luò)的安全性主要包括：網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)安全，安全審計(jì)，網(wǎng)絡(luò)通信設(shè)備保護(hù)，完整性和保密性。

網(wǎng)絡(luò)架構(gòu)：網(wǎng)絡(luò)架構(gòu)的合理性對(duì)網(wǎng)絡(luò)能否有效的承載業(yè)務(wù)起著關(guān)鍵性的作用。因此網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)初期就要考慮到設(shè)備的冗余性，提供網(wǎng)絡(luò)通信高可用性;足夠的數(shù)據(jù)帶寬處理能力，以滿足高峰期數(shù)據(jù)交換需求;并合理的劃分物理邊界和虛擬網(wǎng)段。

網(wǎng)絡(luò)安全：網(wǎng)管型網(wǎng)絡(luò)設(shè)備均要支持SSH加密訪問，并確保啟用，同時(shí)停用TELNET訪問。

安全審計(jì)：通過采集、存儲(chǔ)網(wǎng)絡(luò)通信數(shù)據(jù)，并通過相關(guān)智能技術(shù)對(duì)數(shù)據(jù)進(jìn)行分析、識(shí)別，實(shí)現(xiàn)檢測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為，發(fā)現(xiàn)和捕獲各類敏感信息和違規(guī)行為。

網(wǎng)絡(luò)通信設(shè)備保護(hù)：加強(qiáng)設(shè)備所在空間的安全管理，加強(qiáng)設(shè)備間人員進(jìn)出管理。

通信完整性和保密性：為確保專有網(wǎng)絡(luò)信息的安全，在進(jìn)行數(shù)據(jù)訪問、操作時(shí)應(yīng)通過專用的安全設(shè)備確保數(shù)據(jù)收發(fā)的一致性，完整性。并在傳輸過程中采取加密措施，能抵御非法的攻擊和篡改，確保數(shù)據(jù)安全性。

網(wǎng)絡(luò)審計(jì)：針對(duì)用戶訪問的網(wǎng)頁內(nèi)、郵件、數(shù)據(jù)庫、即時(shí)通信等內(nèi)容提供細(xì)粒度的審計(jì)。并有針對(duì)性的制定合規(guī)策略，實(shí)現(xiàn)非法行為的實(shí)時(shí)告警，規(guī)范用戶網(wǎng)絡(luò)應(yīng)用行為。

4 安全的管理平臺(tái)

在網(wǎng)絡(luò)世界有句術(shù)語“三分技術(shù)、七分管理”，更是突顯了管理在網(wǎng)絡(luò)安全體系中的重要地位。除了安全產(chǎn)品、防范技術(shù)實(shí)施到位外，有效的安全管理更是保障安全技術(shù)落實(shí)到位的手段，安全管理平臺(tái)是實(shí)現(xiàn)安全管理的支撐平臺(tái)。

安全綜合管理平臺(tái)，可以將網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)等相關(guān)報(bào)警日志統(tǒng)一記錄，并對(duì)日志進(jìn)行識(shí)別、分析。進(jìn)行單一日志縱向分析，關(guān)聯(lián)日志橫向?qū)Ρ取０l(fā)現(xiàn)潛在的攻擊征兆和安全趨勢(shì)，確保任何安全事件、事故得到及時(shí)的響應(yīng)和處理。

5 安全的管理制度

從等保思想出發(fā)，技術(shù)雖然重要，但人才是安全等級(jí)保護(hù)的重點(diǎn)，因此除了技術(shù)措施，工藝美院還需要運(yùn)用現(xiàn)代安全管理原理、方法和手段，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。需要優(yōu)化安全管理組織，完善安全管理制度，制定信息系統(tǒng)建設(shè)和安全運(yùn)維管理的相關(guān)管理要求，規(guī)范人員安全管理。

從以上五方面入手，可以有效阻隔不良信息，防止信息泄露，杜絕黑客入侵，提高高校網(wǎng)絡(luò)信息安全管理水平，降低信息安全事件發(fā)生概率。營造安全、規(guī)范的網(wǎng)絡(luò)信息使用環(huán)境，為學(xué)院的信息化建設(shè)奠定安全基石。