賴金志

（廣東輕工職業(yè)技術(shù)學(xué)院，廣東 廣州 510300）

高職院校校園網(wǎng)信息安全防護(hù)體系研究

賴金志

（廣東輕工職業(yè)技術(shù)學(xué)院，廣東 廣州 510300）

高職院校校園網(wǎng)是一個(gè)復(fù)雜的網(wǎng)絡(luò)，在支撐學(xué)校業(yè)務(wù)運(yùn)營、發(fā)展的同時(shí)，面臨的信息安全風(fēng)險(xiǎn)日益突出，成為學(xué)校管理急需解決的問題之一。本文分析了高職院校校園網(wǎng)的網(wǎng)絡(luò)特點(diǎn)和信息安全現(xiàn)狀，提出在校園網(wǎng)構(gòu)建“等級(jí)保護(hù)，區(qū)域隔離，突出核心，縱深防御”的信息安全防護(hù)體系，并結(jié)合實(shí)踐進(jìn)行了探討和分析，為校園網(wǎng)信息安全防護(hù)工作提供必要的參考。

高職院校；校園網(wǎng)；信息安全；防護(hù)體系

1 引言

隨著我國學(xué)校信息化建設(shè)的逐步深入，目前高職院校的教學(xué)、科研和校園生活對(duì)信息系統(tǒng)依賴的程度越來越高。校園網(wǎng)絡(luò)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺(tái)，在未來的教育信息化規(guī)劃中占有非常重要的地位。在享受信息化帶來的便利的同時(shí)，由于業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，校園網(wǎng)信息安全防護(hù)體系建設(shè)已經(jīng)成為不容忽視的重要問題。

2 高職院校校園網(wǎng)特點(diǎn)

2.1 承載的業(yè)務(wù)需求多樣

校園網(wǎng)不只是滿足教職工上網(wǎng)需求，還擔(dān)負(fù)著校內(nèi)信息化管理、教學(xué)輔助、校園生活、游戲等業(yè)務(wù)需求，運(yùn)行著包括網(wǎng)站、校園一卡通系統(tǒng)、教務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)和招生就業(yè)系統(tǒng)等多個(gè)信息系統(tǒng)。

2.2 使用的人員類型多樣

使用校園網(wǎng)的人員復(fù)雜多樣，包括學(xué)生、教師、管理者，用戶數(shù)量多、相對(duì)分散、流動(dòng)性強(qiáng)。

2.3 接入的計(jì)算機(jī)終端多樣

接入校園網(wǎng)的學(xué)生個(gè)人電腦是自己購買和維護(hù)的，大多使用盜版軟件或者是在互聯(lián)網(wǎng)上下載的一些破解軟件，難以實(shí)施統(tǒng)一的安全策略來進(jìn)行管理。

3 校園網(wǎng)信息安全現(xiàn)狀

3.1 缺少有效的安全防護(hù)措施

目前大部分高職院校對(duì)信息安全的認(rèn)識(shí)不足，校園網(wǎng)沒有統(tǒng)一規(guī)劃系統(tǒng)性的安全解決方案，缺少有效的安全防護(hù)措施，沒有對(duì)內(nèi)部網(wǎng)和外部網(wǎng)進(jìn)行有效的隔離，完全依賴主系統(tǒng)的安全性。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，而這些節(jié)點(diǎn)大部分沒有采取一定的防護(hù)措施，隨時(shí)有可能造成網(wǎng)內(nèi)病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

3.2 存在大量的安全漏洞

由于學(xué)校網(wǎng)站掌握著大量集中性人群的個(gè)人信息，已成為信息安全“黑市”交易的香餑餑。據(jù)補(bǔ)天漏洞響應(yīng)平臺(tái)查詢數(shù)據(jù)顯示，很多高職院校網(wǎng)站存在大量信息安全漏洞，其中絕大多數(shù)為高危漏洞，一旦不法分子利用這些漏洞，就可以輕而易舉地入侵郵件系統(tǒng)，獲取科研項(xiàng)目和機(jī)密文件，篡改網(wǎng)頁，植入任意內(nèi)容，控制大量電腦并侵入校園網(wǎng)絡(luò)，發(fā)動(dòng)APT(進(jìn)階持續(xù)性威脅)攻擊，竊取賬號(hào)密碼等個(gè)人信息等[1]。

3.3 人員信息安全意識(shí)和技能薄弱

總體上校園用戶信息安全意識(shí)淡薄，自我保護(hù)意識(shí)和能力不夠，網(wǎng)絡(luò)病毒層出不窮，傳播迅速；校園里的學(xué)生好奇心強(qiáng)，喜歡嘗試新鮮事物，發(fā)表敏感言論，傳播小道消息，嘗試使用黑客工具在校園網(wǎng)發(fā)動(dòng)攻擊。

4 校園網(wǎng)信息安全防護(hù)體系研究

由于高職院校校園網(wǎng)的網(wǎng)絡(luò)特點(diǎn)和嚴(yán)峻的信息安全現(xiàn)狀，使用單一的安全防護(hù)系統(tǒng)或簡(jiǎn)單堆砌各種安全產(chǎn)品并不能保證信息安全，必須從系統(tǒng)性、整體性的觀點(diǎn)出發(fā)，在校園網(wǎng)內(nèi)構(gòu)建“等級(jí)保護(hù)，區(qū)域隔離，突出核心，縱深防御”的信息

安全防護(hù)體系，如圖1所示。

圖1 高職院校校園網(wǎng)信息安全防護(hù)體系

4.1 等級(jí)保護(hù)

根據(jù)公安部、教育部對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的要求，建立健全等級(jí)保護(hù)工作機(jī)制，根據(jù)實(shí)際情況對(duì)已有信息系統(tǒng)進(jìn)行定級(jí)備案，對(duì)照相應(yīng)等級(jí)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范進(jìn)行差距分析并實(shí)施整改，由具有資質(zhì)的信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行定期測(cè)評(píng)，使得信息系統(tǒng)在技術(shù)和管理上達(dá)到等級(jí)保護(hù)的要求。以廣東某高職院校為例：該校學(xué)院綜合管理系統(tǒng)、門戶網(wǎng)站系統(tǒng)、校園一卡通系統(tǒng)、協(xié)同辦公系統(tǒng)、自主招生系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，承擔(dān)著學(xué)校信息宣傳、形象展示、校務(wù)管理、師生查詢校內(nèi)信息等重大業(yè)務(wù)需求，關(guān)系著廣大師生的切身利益，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》[2]，將這6個(gè)系統(tǒng)定為二級(jí)系統(tǒng)，在公安機(jī)關(guān)進(jìn)行了備案，委托第三方測(cè)評(píng)機(jī)構(gòu)現(xiàn)場(chǎng)通過訪談、檢測(cè)和測(cè)試等手段進(jìn)行差距分析，根據(jù)建議實(shí)施整改后達(dá)到二級(jí)系統(tǒng)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的要求，于2015年底通過了驗(yàn)收測(cè)評(píng)。

4.2 區(qū)域隔離

開展信息系統(tǒng)安全等級(jí)保護(hù)工作，不是對(duì)整個(gè)校園網(wǎng)進(jìn)行同一等級(jí)的保護(hù)，而是對(duì)網(wǎng)內(nèi)不同業(yè)務(wù)區(qū)域進(jìn)行不同等級(jí)的保護(hù)。因此，在校園網(wǎng)內(nèi)劃分安全域，區(qū)域隔離，是進(jìn)行等級(jí)保護(hù)的首要步驟。

安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略[3]。安全域的劃分不能單純從安全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價(jià)完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。以某高職院校為例，通過安全需求和業(yè)務(wù)需求進(jìn)行分析，將其校園網(wǎng)劃分為核心交換域、辦公管理域、科研教學(xué)域、應(yīng)用服務(wù)域、安全管理域和外聯(lián)接入域等6個(gè)安全域，如圖1所示。

核心交換域：所有安全域的承載子域，提供安全域之間網(wǎng)絡(luò)數(shù)據(jù)的交換和路由。

辦公管理域：學(xué)校教職工辦公終端、網(wǎng)管人員維護(hù)終端所在的網(wǎng)絡(luò)接入?yún)^(qū)域。

科研教學(xué)域：教室、實(shí)驗(yàn)室、圖書館和計(jì)算機(jī)房等網(wǎng)絡(luò)接入?yún)^(qū)域。

應(yīng)用服務(wù)域：服務(wù)器、數(shù)據(jù)庫和存儲(chǔ)等核心設(shè)備所在的區(qū)域。

用戶接入域：學(xué)生、外來人員個(gè)人終端的網(wǎng)絡(luò)接入?yún)^(qū)域，主要分布在宿舍樓。

外聯(lián)接入域：與互聯(lián)網(wǎng)、教育網(wǎng)等外部網(wǎng)絡(luò)連接的接入?yún)^(qū)域。

4.3 突出核心

根據(jù)安全域的功能情況配備不同規(guī)格的安全設(shè)備，實(shí)施不同的安全策略，對(duì)于核心交換域和應(yīng)用服務(wù)域的核心數(shù)據(jù)和重要應(yīng)用所在的安全域進(jìn)行重點(diǎn)保護(hù)。核心交換域的防護(hù)策略是重點(diǎn)保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和各個(gè)安全域域的邊界防護(hù)和安全隔離；應(yīng)用服務(wù)域的防護(hù)策略是重點(diǎn)保障操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運(yùn)行，以及對(duì)所存儲(chǔ)、傳輸和處理數(shù)據(jù)的安全保護(hù)；辦公管理域的防護(hù)重點(diǎn)是強(qiáng)化審計(jì)，做好權(quán)限的劃分和限制，統(tǒng)一終端管理和病毒防范；科研教學(xué)域側(cè)重于終端管理和病毒防范；用戶接入域側(cè)重于對(duì)病毒進(jìn)行防范；外聯(lián)接入域側(cè)重于邊界安全防護(hù)。

4.4 縱深防御

綜合部署防火墻、IDS、漏洞掃描、防病毒、客戶端管理、審計(jì)系統(tǒng)和Web應(yīng)用安全網(wǎng)關(guān)等多種安全產(chǎn)品，充分發(fā)揮其效能，從邊界、網(wǎng)絡(luò)、主機(jī)和應(yīng)用四個(gè)層面實(shí)現(xiàn)縱深防御，如圖1所示。

邊界層面：在校園網(wǎng)與外部網(wǎng)絡(luò)的邊界部署防火墻、網(wǎng)閘和VPN等安全產(chǎn)品進(jìn)行防護(hù)；在安全域邊界部署防火墻進(jìn)行隔離，并在核心交換機(jī)執(zhí)行嚴(yán)格的ACL訪問控制，防止非法訪問。

網(wǎng)絡(luò)層面：部署入侵檢測(cè)系統(tǒng)，量化、定位來自網(wǎng)絡(luò)的威脅情況，并準(zhǔn)確分析、報(bào)告網(wǎng)絡(luò)中正在發(fā)生的各種異常事件和攻擊行為；部署防病毒網(wǎng)關(guān)，具有病毒殺除、關(guān)鍵字過濾和垃圾郵件組織功能，用以保護(hù)網(wǎng)絡(luò)內(nèi)進(jìn)出數(shù)據(jù)的安全。

主機(jī)層面：部署漏洞掃描設(shè)備，定期對(duì)核心交換域、應(yīng)用服務(wù)域、辦公管理域和科研教學(xué)域進(jìn)行掃描，及時(shí)發(fā)現(xiàn)安全漏洞；部署防病毒系統(tǒng)，加強(qiáng)服務(wù)器和終端的病毒防范；部署終端管理系統(tǒng)，對(duì)辦公管理域和科研教學(xué)域的接入終端進(jìn)行統(tǒng)一管理；部署審計(jì)系統(tǒng)，進(jìn)行權(quán)限控制和管理維護(hù)操作行為的審計(jì)。

應(yīng)用層面：部署Web應(yīng)用網(wǎng)關(guān)，對(duì)Web應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對(duì)SQL注入、跨站腳本等通過應(yīng)用層的入

侵動(dòng)作實(shí)時(shí)阻斷，并結(jié)合網(wǎng)頁防篡改子系統(tǒng)，真正達(dá)到雙重層面的“網(wǎng)頁防篡改”效果。

5 結(jié)語

高職院校校園網(wǎng)是一個(gè)復(fù)雜的網(wǎng)絡(luò)，在支撐學(xué)校業(yè)務(wù)運(yùn)營、發(fā)展的同時(shí)，信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點(diǎn)越來越多、信息安全風(fēng)險(xiǎn)日益突出，成為學(xué)校管理面臨的重要的、急需解決的問題之一。本文分析了高職院校校園網(wǎng)的網(wǎng)絡(luò)特點(diǎn)和信息安全現(xiàn)狀，通過研究提出在校園網(wǎng)構(gòu)建“等級(jí)保護(hù)，區(qū)域隔離，突出核心，縱深防御”的信息安全防護(hù)體系，結(jié)合實(shí)踐進(jìn)行了探討和分析，為其他高職院校校園網(wǎng)信息安全防護(hù)工作提供參考。

[1]胡立朋．高職院校的信息安全保障體系構(gòu)建與應(yīng)用[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014(01)：98-99．

[2]GB/T22240-2008．信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[S]．

[3]吳吉朋，王湧，李昊，等．應(yīng)用安全域解決方案實(shí)踐“信息安全等級(jí)保護(hù)”[J]．電子政務(wù)，2010(01)：96-103．

Research on Information Security Protection System of Campus Network in Higher Vocational Colleges

Lai Jinzhi
(Guangdong Industry Polytechnic,Guangzhou 510300,Guangdong)

Vocational college campus network is a complex network.It faces with the increasingly prominent risk of information security while supporting the campus business operation and development.It becomes one of the urgent problems of school management.This paper analyzes the characteristics and information security situation of campus network in higher vocational colleges,proposes to build the information security protection system with"hierarchical protection,regional isolation,highlighted core, defense in depth.It combines with the practice to discuss and analyze,providing necessary reference for campus network information security and protection.

higher vocational colleges;campus network;information security;protection system

TP393.18

A

1008-6609(2016)07-0065-03

賴金志，男，廣東清遠(yuǎn)人，碩士研究生，工程師，研究方向：集成電路設(shè)計(jì)，網(wǎng)絡(luò)芯片設(shè)計(jì)。