劉 鍇
摘要:本文分析并總結(jié)了目前國(guó)內(nèi)高校普遍存在的網(wǎng)絡(luò)安全問(wèn)題,從校園網(wǎng)安全、信息安全以及全局安全三個(gè)方面提出了相應(yīng)的規(guī)劃任務(wù),通過(guò)加強(qiáng)網(wǎng)絡(luò)設(shè)施安全建設(shè)。終端安全防范措施、應(yīng)用服務(wù)器安全措施、信息與數(shù)據(jù)安全建設(shè)等一系列措施,逐步實(shí)現(xiàn)校園網(wǎng)安全的可信(credible)、可管(control),可恢復(fù)(comeback)的3c目標(biāo)。
關(guān)鍵詞:安全;信息化;規(guī)劃
中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A
1校園網(wǎng)安全運(yùn)行現(xiàn)狀與需求
1.1校園網(wǎng)安全建設(shè)現(xiàn)狀分析
網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。隨著高校的發(fā)展,用網(wǎng)人數(shù)的增加,校園網(wǎng)用戶(hù)對(duì)信息與網(wǎng)絡(luò)安全的要求也越來(lái)越高。大部分高校以往的網(wǎng)絡(luò)建設(shè),重點(diǎn)是“建設(shè)”,強(qiáng)調(diào)網(wǎng)絡(luò)的覆蓋范圍,出口帶寬,基礎(chǔ)應(yīng)用等,而對(duì)網(wǎng)絡(luò)安全的關(guān)注度不夠,往往是“想起一個(gè)建一個(gè),需要一個(gè)建~個(gè)”,沒(méi)有形成系統(tǒng)、全面、高效的網(wǎng)絡(luò)安全體系。隨著高校“信息化”建設(shè)的呼聲越來(lái)越高,網(wǎng)絡(luò)安全體系的建設(shè)也在逐步受到學(xué)校各級(jí)領(lǐng)導(dǎo)的重視。
1.2校園網(wǎng)安全體系建設(shè)需求
網(wǎng)絡(luò)安全建設(shè)一直是各高校網(wǎng)絡(luò)建設(shè)的難點(diǎn)和薄弱環(huán)節(jié),一方面,技術(shù)管理手段的不全面以及管理機(jī)制的不完善制約了安全防范的力度;另一方面,校園網(wǎng)用戶(hù)甚至是系統(tǒng)管理員的安全意識(shí)淡漠,以及學(xué)生用戶(hù)網(wǎng)絡(luò)行為的不確定性成為各高校網(wǎng)絡(luò)安全工作的瓶頸。因此,網(wǎng)絡(luò)中心需要通過(guò)采取一系列的網(wǎng)絡(luò)安全措施、制定一系列的網(wǎng)絡(luò)安全管理制度,在提高網(wǎng)絡(luò)管理技術(shù)手段的同時(shí),逐步增強(qiáng)用戶(hù)的網(wǎng)絡(luò)安全意識(shí),構(gòu)建穩(wěn)定、安全、綠色的校園網(wǎng)。
2網(wǎng)絡(luò)安全體系建設(shè)規(guī)劃
隨著學(xué)校網(wǎng)絡(luò)與信息化建設(shè)的逐步深入,網(wǎng)絡(luò)安全問(wèn)題、信息數(shù)據(jù)安全問(wèn)題日益突出。建立一套網(wǎng)絡(luò)安全體系,是各高校在信息化過(guò)程中的重要任務(wù)之一。
2.1校園網(wǎng)安全建設(shè)規(guī)劃
根據(jù)各高校網(wǎng)絡(luò)建設(shè)規(guī)劃,結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)手段,應(yīng)從以下幾個(gè)方面做好校園網(wǎng)安全建設(shè)工作。
2.1.1加強(qiáng)網(wǎng)絡(luò)設(shè)施安全建設(shè)
網(wǎng)絡(luò)設(shè)施安全主要指網(wǎng)絡(luò)設(shè)備、服務(wù)器等硬件設(shè)備的物理安全。某高校網(wǎng)絡(luò)中心曾經(jīng)發(fā)生過(guò)同批次多塊硬盤(pán)損壞,機(jī)柜門(mén)被撬開(kāi)。學(xué)生惡意偷用電源。光纜被挖斷等安全事件,因此。在信息化的建設(shè)中,保證設(shè)備的物理安全尤為重要。
建立機(jī)房、設(shè)備間的防火、防盜、監(jiān)控和報(bào)警方案:
對(duì)一些關(guān)鍵設(shè)備。系統(tǒng)和鏈路,應(yīng)設(shè)置冗余備份系統(tǒng),避免網(wǎng)絡(luò)設(shè)備因天災(zāi)或人為因素對(duì)網(wǎng)絡(luò)造成的影響。
2.1.2終端安全防范措施
隨著各高校網(wǎng)絡(luò)覆蓋范圍的逐步增加,用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時(shí)在線用戶(hù)已經(jīng)達(dá)到4500人),用戶(hù)終端的安全問(wèn)題成為校園網(wǎng)內(nèi)網(wǎng)安全的主要問(wèn)題之一。由于用網(wǎng)人員的計(jì)算機(jī)水平參差不齊,以及學(xué)生用戶(hù)網(wǎng)絡(luò)行為的不可控性,給網(wǎng)絡(luò)安全帶來(lái)了很大的隱患,因此需要從以下幾個(gè)方面完善終端安全防范措施:
提供并推廣可供全校師生員工使用的網(wǎng)絡(luò)版殺毒軟件,以及校內(nèi)WSUS服務(wù),逐步建立“沒(méi)有殺毒軟件”、“不打系統(tǒng)補(bǔ)丁”不上網(wǎng)的安全意識(shí);
對(duì)校內(nèi)突發(fā)的終端安全事故進(jìn)行監(jiān)控,及時(shí)提供必要的專(zhuān)殺工具、漏洞補(bǔ)?。?/p>
提高技術(shù)人員的技術(shù)水平,采取相應(yīng)的檢測(cè)手段,利用先進(jìn)的儀器設(shè)備,減少用戶(hù)端安全事故的排查和定位時(shí)間。
2.1.3應(yīng)用服務(wù)器安全措施
應(yīng)用服務(wù)器是數(shù)字化校園的基礎(chǔ),是各個(gè)業(yè)務(wù)系統(tǒng)的載體,所以它的安全是至關(guān)重要的,因此,系統(tǒng)管理員的技術(shù)手段和安全意識(shí)在服務(wù)器的安全管理中起到至關(guān)重要的作用。
制定相關(guān)技術(shù)文檔,規(guī)范應(yīng)用服務(wù)器上線前的安全檢查,督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動(dòng)更新等,并且定期掃描系統(tǒng)漏洞,更改系統(tǒng)密碼。保證操作系統(tǒng)安全;
建立完善可靠的容災(zāi)恢復(fù)方案,對(duì)關(guān)鍵服務(wù)器采用雙機(jī)熱備方式,并且提供可靠的數(shù)據(jù)備份系統(tǒng),如采用RAID技術(shù)以及利用磁帶備份數(shù)據(jù),確保事故發(fā)生時(shí)業(yè)務(wù)數(shù)據(jù)不丟失,系統(tǒng)能夠快速恢復(fù);
建立授權(quán)控制體系,對(duì)不同管理員設(shè)定不同的系統(tǒng)、數(shù)據(jù)庫(kù)管理權(quán)限:
完善訪問(wèn)日志分析系統(tǒng),定期對(duì)日志進(jìn)行整理和分析,制定相應(yīng)的安全策略。
2.1.4網(wǎng)絡(luò)出口及邊界安全
目前高校網(wǎng)絡(luò)出口及邊界設(shè)備主要分為路由器。防火墻、VPN等三類(lèi)設(shè)備,網(wǎng)絡(luò)出口及邊界的安全主要包括配置合理、全面的安全策略,以及如何提高安全響應(yīng)速度和快速、準(zhǔn)確地定位攻擊來(lái)源。針對(duì)這些方面,需要在出口及邊界設(shè)備的管理中做到以下幾點(diǎn):
建立密碼維護(hù)制度。定期更換設(shè)備Telnet、SSH登錄密碼以及SNMP共同體名;
>制定詳細(xì)的ACL策略,限制登錄設(shè)備的IP地址;
采取NAT機(jī)制。在保證校內(nèi)用戶(hù)正常上網(wǎng)的同時(shí),繼續(xù)優(yōu)化8812路由器的安全功能;
啟用防火墻的防病毒功能,在源頭阻斷病毒入侵;
合理規(guī)劃SSL VPN的用戶(hù)權(quán)限;
建立IDS+IPS的聯(lián)動(dòng)機(jī)制。完善網(wǎng)絡(luò)監(jiān)控與入侵防范;
建立出入雙向的訪問(wèn)日志系統(tǒng)。
2.1.5應(yīng)用分析控制技術(shù)的應(yīng)用
在網(wǎng)絡(luò)安全管理中,網(wǎng)絡(luò)流量、網(wǎng)絡(luò)應(yīng)用的分析至關(guān)重要,網(wǎng)絡(luò)管理人員需要明確地知道網(wǎng)絡(luò)中有哪些網(wǎng)絡(luò)應(yīng)用,各種應(yīng)用在網(wǎng)絡(luò)中所占的帶寬以及是否存在不良應(yīng)用,如圖1。
隨著上網(wǎng)人數(shù)的增多,網(wǎng)絡(luò)出口不可避免地出現(xiàn)擁堵現(xiàn)象,因此,需要進(jìn)一步對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行分析,并制定有效的控制策略。
實(shí)時(shí)記錄出口帶寬使用情況,對(duì)惡意占用帶寬的應(yīng)用進(jìn)行限制,確?;緫?yīng)用的高效運(yùn)行;
對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,利用相關(guān)協(xié)議分析工具對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行深層坎的分析。
2.2信息安全建設(shè)規(guī)劃
信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復(fù)制和使用等。
2.2.1信息安全保障措施
通過(guò)一系列的措施,保證信息在傳輸和存儲(chǔ)時(shí)的安全。
建立完善的實(shí)名上網(wǎng)制度,并且與各系統(tǒng)的日志配合,建立“上網(wǎng)ID+上網(wǎng)時(shí)間+上網(wǎng)IP+上網(wǎng)入”的一一對(duì)應(yīng)關(guān)系;
建立合理的文件上傳、審查制度,對(duì)關(guān)鍵數(shù)據(jù)采取數(shù)字簽名技術(shù),做到誰(shuí)上傳誰(shuí)負(fù)責(zé),安全事故責(zé)任到人;
對(duì)論壇、留言板等提供用戶(hù)交流的版塊加強(qiáng)監(jiān)管力度。對(duì)有害和敏感信息進(jìn)行監(jiān)控;
數(shù)字校園關(guān)鍵服務(wù)器問(wèn)數(shù)據(jù)傳輸采取加密方式,防止網(wǎng)絡(luò)竊聽(tīng)、數(shù)據(jù)泄露等安全事故的發(fā)生;
對(duì)病毒郵件、垃圾郵件以及含有敏感信息的郵件進(jìn)行過(guò)濾。
2.2.2數(shù)據(jù)安全建設(shè)
隨著高校信息化建設(shè)的推進(jìn),各部門(mén)工作信息化的程度也將越來(lái)越高,如何保證數(shù)據(jù)安全,提高管理信息系統(tǒng)(MIS)的安全性是信息化過(guò)程中必須考慮的問(wèn)題。
各部門(mén)需要制定MIS的相關(guān)管理制度:
制定MIS系統(tǒng)數(shù)據(jù)備份、災(zāi)難恢復(fù)方案;
定期對(duì)MIS漏洞進(jìn)行修補(bǔ)。防止數(shù)據(jù)泄露。
2.3全局安全體系建設(shè)
根據(jù)對(duì)網(wǎng)絡(luò)體系分層的概念,針對(duì)不同的層次制定不同的網(wǎng)絡(luò)安全措施。做到有的放矢,從技術(shù)上實(shí)現(xiàn)檢測(cè)、上報(bào)和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(luò)(GSN),如圖2。
整合已建立的安全措施,增加針對(duì)上網(wǎng)用戶(hù)的準(zhǔn)入策略。在用戶(hù)連入網(wǎng)絡(luò)之前先進(jìn)行客戶(hù)端病毒及漏洞掃描,保證連入網(wǎng)絡(luò)的客戶(hù)端的安全性,從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn):
建立統(tǒng)一的安全管理平臺(tái)(SMP),通過(guò)下發(fā)警告消息,下發(fā)修復(fù)程序,下發(fā)阻斷或者隔離策略等手段智能處理安全事件。
3校園網(wǎng)安全建設(shè)目標(biāo)
隨著網(wǎng)絡(luò)建設(shè)的穩(wěn)步推進(jìn),各高校也將進(jìn)一步完善網(wǎng)絡(luò)安全體系建設(shè),將校園網(wǎng)建設(shè)成可信(Credible)、可管(Control)、可恢復(fù)(comeback)的3C網(wǎng)絡(luò),建立一個(gè)全方位、多層次、系統(tǒng)的網(wǎng)絡(luò)安全體系。為校園網(wǎng)信息化建設(shè)提供安全保障。