韓紅光

摘要：隨著信息技術的發(fā)展和辦公管理的信息化， 校園網上各類系統(tǒng)平臺快速應用，更隨著校園網有線與無線的一體化，接入校園網的用戶和設備更加多樣，也更容易遭受各類攻擊和病毒的入侵，這對校園網防范信息的泄露和保障信息安全提出了更高要求。該項目主要針對校園網，網絡安全體系設計的原則和校園網絡安全建設的措施，以期有效保障校園網絡用戶的利益，促進校園網的健康發(fā)展。

關鍵詞：網絡；安全策略；校園網

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）08-0057-03

1 背景

1.1校園網安全現狀

雖然校園網網絡的發(fā)展給學校的發(fā)展和管理帶來了翻天覆地的變化，但互聯(lián)網是一個面向大眾的開放系統(tǒng)，各類軟硬件產品存在著各種安全隱患，網絡安全事件日益增多，黑客活動攻擊日趨頻繁，WEB應用攻擊、釣魚網站、移動端網絡惡意程序、DDOS攻擊事件呈大幅增長態(tài)勢，針對特定目標，特別是政府機關和高校的網絡日漸增多。雖然校園網的發(fā)展，校園網中各類應用系統(tǒng)和平臺越來越多，學校的日常運作和管理完全基于一個安全暢通的校園網，教職工在享受到了網絡帶來的優(yōu)越性。但校園網作為一個非常特殊的一個網絡體系，它影響著學校的正常運行和管理，它面對有創(chuàng)造力的年輕學生群體，一個可靠穩(wěn)定的校園網，對于一個學校的正常運行至關重要，所以制定一個科學、可行的校園網網絡安全策略，來保護校園網網絡安全，在技術上筑起一道安全防火墻，顯得非常有必要。

1.2信息系統(tǒng)等級保護的要求

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置的綜合性工作。

在2014年2月27日中央網絡安全和信息化領導小組成立后，加快推動了《國家信息安全等級保護制度》的建設，不斷增強各政府企事業(yè)單位的安全保障能力。一般高校需要滿足信息等級保護二級要求。

2 方案設計思路

根據國家信息安全等級保護相關要求，方案通過分析校園網的實際安全需求，結合教育行業(yè)業(yè)務信息的實際特性，并依據《網絡安全基本要求》、《信息系統(tǒng)安全等級保護定級指南》等相關標準，我們高職院校需要建立滿足信息安全等級保護二級要求，應能夠做到防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊和一般的自然災難，能夠發(fā)現重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內恢復部分功能。

2.1信息系統(tǒng)風險評估和等級保護差距

通過采用信息安全風險評估的方法，對學校信息系統(tǒng)進行全面綜合分析，并深化對已經定級、備案的信息系統(tǒng)進行資產、脆弱性、威脅和風險綜合分析，在整體網絡框架基礎上，通過差距分析的方法與等級保護基本要求進行差距分析，形成信息系統(tǒng)等級保護建設整改的整體安全需求。

2.2安全保障體系框架和總體安全策略

根據等級保護的整體保護框架，并結合學校信息安全保障體系建設的實際情況，建立符合醫(yī)療信息系統(tǒng)特性的安全保障體系，分別是安全管理體系、安全技術體系和安全運行體系，并制定各個體系必要的安全設計原則和安全策略。

2.3安全保障體系總體設計方案

結合學校信息系統(tǒng)的系統(tǒng)應用實際，設計各類技術安全體系控制辦法、安全管理體系控制辦法和安全運行體系控制辦法，其中：

1） 安全管理體系的實現依據《基本要求》，設計了學校的信息安全組織機構、人員安全管理制度、系統(tǒng)建設管理及系統(tǒng)運維管理等控制措施；

2） 安全技術體系的實現一方面重點落實《基本要求》，另一方面采用《安全設計技術要求》的思路和方法設計了安全計算環(huán)境、安全區(qū)域邊界和安全通信網絡的控制措施，在框架和控制方面把兩個要求進行了結合；

3） 安全運行體系的實現根據《基本要求》，設計了符合系統(tǒng)全生命周期的安全需求、安全建設、安全設計與安全運維的運行體系要求，重點闡述了安全運維體系的框架和控制組成。

4） 安全管理中心的實現根據《基本要求》和《安全設計技術要求》，結合學校對保障平臺建設的需求，形成覆蓋安全工作管理、安全運維管理、統(tǒng)一安全技術管理于一體的“自動、平臺化”的安全管理中心。

3 方案技術路線

根據目前國內外安全理論和標準發(fā)展，在校園網安全設計和建設信息安全保障體系主要采用如下技術方法：

3.1風險評估方法

符合GB/T 20984-2007《信息安全技術信息安全風險評估規(guī)范》中的總體要求，針對核心重要信息資產、脆弱性、威脅和信息安全風險進行綜合分析。

3.2體系化設計方法

采用結構化設計方法，運用問題管理的方式，結合風險評估的結論，引用《信息系統(tǒng)安全等級保護基本要求》、《信息安全保障技術框架》（IATF）、《聯(lián)邦信息系統(tǒng)的安全控制》（NIST SP800-53）中的信息安全保障的深度防御戰(zhàn)略模型和控制框架，做好安全保障體系框架設計。

3.3等級化設計方法

根據國家等級保護策略，結合信息系統(tǒng)的安全保護等級，設計支撐體系框架的安全目標和安全要求，基本要求和技術方法符合國家等級保護相關標準，滿足等級保護的基本目標、控制項和控制點。

4 網絡安全策略規(guī)劃

農業(yè)商貿職業(yè)學院網絡規(guī)劃由高性能核心交換機作為網絡的核心，整個學院網絡由承載業(yè)務的內網以及日常行政辦公的外網兩部分構成。網絡通過訪問控制技術將不同的業(yè)務類型及安全需求劃分成多個安全區(qū)域，各安全區(qū)域。

4.1互聯(lián)網出口安全

下一代防火墻可以在如下幾個方面進行安全加強：

1） 對進出網絡的數據包進行合法性檢查，防止非授權服務和非授權主機操作系統(tǒng)的訪問。

2） 抵御攻擊。抵御來自互聯(lián)網的黑客攻擊、DDOS攻擊等，確保學院網絡穩(wěn)定、可靠的運行。

3） 防止病毒。通過防火墻對學院網絡服務器區(qū)域與其他安全域的邏輯隔離，有效防止了病毒的傳播。

4） 具備L2-7層的攻擊防護技術，使防護技術不存在短板。不僅僅需要防護外部攻擊，并能檢查服務器/終端外發(fā)流量是否有風險，彌補了傳統(tǒng)安全設備只防外不防內的漏洞。

4.2 上網行為安全

上網行為管理可以為我們解決如下問題：

1） 流量控制。在網絡出口處部署上網行為管理系統(tǒng)，對學校網絡的進出數據流量進行管理。

2） 過濾功能。對員工在日常辦公中與工作無關的網絡應用進行控制，例如禁止P2P下載、在線視頻、瀏覽購物網站、網絡游戲等。解決帶寬濫用問題，提高帶寬有效利用率。同時，禁止工作無關應用，提高員工工作效率。

3） 行為審計。提供對電子郵件、即時通訊、論壇發(fā)帖等途徑的外發(fā)信息進行監(jiān)控審計，避免學校機密信息泄露或發(fā)表反動言論等。

4.3 服務器群安全

在WEB應用服務器前端部署WAF（WEB應用防火墻）可以解決如下問題：

1） Web掃描器對客戶網站架構進行整體評估，評估客戶網站在開發(fā)過程中，開發(fā)人員忽視的安全問題。

2） 針對黑客的攻擊流量進行逐一特征匹配，匹配上的流量就是黑客攻擊流量。

3） 針對流量峰值和平均值進行限制，防止黑客使用DDOS，避免網站服務器出現拒絕死機情況。

4.4 數據庫安全

數據庫安全審計可以對業(yè)務網絡中的各種數據庫進行全方位的安全審計，集成了數據庫審計、主機審計、應用審計和網絡流量審計，可有效保障客戶業(yè)務網絡中數據安全和操作合規(guī)，具體包括：數據訪問審計、數據變更審計、用戶操作審、違規(guī)訪問行為審計。

5 安全策略設計

5.1安全使命

保障業(yè)務和信息系統(tǒng)安全、穩(wěn)定、持續(xù)運行，促進信息化長期發(fā)展，為信息化建設提供可持續(xù)發(fā)展的信息網絡安全技術和管理支撐。

信息安全的意義是為業(yè)務和信息系統(tǒng)服務，保證各個業(yè)務系統(tǒng)能正常運行，進而使業(yè)務信息系統(tǒng)安全、穩(wěn)定且持續(xù)運行，這是信息安全保障體系建設的最重要使命。

5.2安全目標

保證業(yè)務信息和網絡的機密性、完整性和可用性，確保學校各業(yè)務系統(tǒng)達到等級保護二級要求。

1） 機密性是使信息和網絡資源不能泄露給未授權的個人、實體、或不被其利用。

2） 完整性是指保護信息和網絡資源的完全和完整。

3） 可用性是已授權實體如有需要訪問信息和網絡資源就可以使用和訪問。

5.3安全策略體系

安全管理制度應建立信息安全方針、安全策略、安全管理制度、安全技術規(guī)范以及流程的一套信息安全策略體系。

5.4安全方針和主策略

最高方針，綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個方面所應遵守的原則方法和指導性策略。

5.5安全策略的制定和發(fā)布管理

安全策略系列文檔制定后，必須有效發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過程中除了要得到學院的高層領導的大力支持和推動，同時需要有合適的、可行的發(fā)布和推動手段，在發(fā)布和執(zhí)行前對各類相關人員進行充分培訓，保證操作人員知道和了解相關部分的內容。

安全策略在制定和發(fā)布過程中，應當實施以下安全管理：

1） 安全管理制度應具有統(tǒng)一的格式，并進行版本控制，避免出現混亂；

2） 安全管理職能部門應組織相關人員對制定的安全管理制度進行論證和審定；

3） 安全管理制度應通過正式、有效的方式發(fā)布；

4） 安全管理制應注明發(fā)布范圍，并對收發(fā)文進行登記。

各類政策的實施是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到許多部門和教職工，也可能需要改變以前的工作方式和流程，所以推行起來會可能遇到相當大的阻力。

6結束語

計算機及校園網絡建設作為學校計算機輔助管理的“重中之重”， 許多學校在網絡安全工作中也做了不少的探索，未來的網絡安全也將呈現多種發(fā)展趨勢：

1） 安全需求將會“從單一安全防御過渡到綜合體系防御”，“從點的安全防御過渡到成體系的建設”；

2） 技術發(fā)展也出現了新的：專一和融合，諸如下一代防火墻、ISP、數據庫審計等產品開始深入校園；

3） 安全管理體系化，逐步建立并完善信息安全管理保障體系，進行網絡安全應急響應管理體系的建設，加快網絡與信息安全標準化的制定和實施工作。

隨著時代的發(fā)展，新的網絡安全問題也會層出不窮，新的解決方案也會不斷涌現，網絡安全的研究也任重而道遠。

參考文獻：

[1] 熊珍珠，張文婷. 校園網安全策略的研究[J]. 軟件導刊，2011（1）.

[2] 史姣麗.基于模擬攻擊的高校網絡安全風險評估研究[J].計算機工程與科學，2012（12）.

[3] 謝根亮. 入侵檢測系統(tǒng)綜述[J]. 網絡安全技術與應用，2008（5）.

[4] 吳金宇.網絡安全風險評估關鍵技術研究[D].北京郵電大學，2013.

[5] 覃肖云. 基于校園網分布式入侵檢測系統(tǒng)的研究與實現[J]. 大眾科技， 2009（4）.

[6] 曾憲達.校園網絡安全防護及對策[J].硅谷，2012（20）.