錢文標 楊清琳

摘 要：隨著高校信息化程度不斷提高，校園網(wǎng)絡(luò)安全問題也日漸凸顯。本文根據(jù)網(wǎng)絡(luò)安全等級保護三級的要求，結(jié)合高校智慧校園建設(shè)，對構(gòu)建基于等級保護的網(wǎng)絡(luò)安全防護體系，論文分別從網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、管理安全等四個方面進行了論述。

關(guān)鍵詞：等級保護；智慧校園；安全防護

DOI：10.16640/j.cnki.37-1222/t.2018.12.203

1 引言

目前，許多高校都在建設(shè)智慧校園，就是利用信息技術(shù)、網(wǎng)絡(luò)技術(shù)、云計算技術(shù)等將學(xué)?？蒲?、教學(xué)、生活和管理有關(guān)的信息進行信息化管理。智慧校園建設(shè)首先應(yīng)確定信息化建設(shè)體系架構(gòu)、信息標準和各系統(tǒng)之間的接口標準，實現(xiàn)數(shù)據(jù)中心、統(tǒng)一身份驗證、統(tǒng)一信息門戶三大平臺，然后再建設(shè)各種信息系統(tǒng)。

隨著高校信息化程度的不斷提高，校園網(wǎng)絡(luò)信息流量逐漸增大，校園網(wǎng)絡(luò)安全問題也日漸凸顯。高校各信息系統(tǒng)匯集了全校教師、學(xué)生的個人資料、教務(wù)信息、教學(xué)資料等敏感和重要信息，一旦發(fā)生安全事件，將嚴重損害學(xué)校教師和學(xué)生的個人利益，同時給學(xué)校的聲譽帶來負面影響[1]。因此，如何做好智慧校園網(wǎng)絡(luò)安全防護，構(gòu)建校園安全防護體系具有非常重要的研究意義。

2 網(wǎng)絡(luò)安全等級保護制度

為了保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全，全國人大常委會發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》，并于2017年6月1日開始施行。網(wǎng)絡(luò)安全法第二十一條規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度。

智慧校園實行信息安全等級保護制度不僅是國家法律要求，更能指導(dǎo)如何保護網(wǎng)絡(luò)與信息系統(tǒng)。做好智慧校園信息系統(tǒng)的定級、備案、評估和測評工作，對發(fā)現(xiàn)的網(wǎng)絡(luò)安全隱患及時進行整改，建立智慧校園網(wǎng)絡(luò)安全防護體系。

3 基于等級保護的智慧校園網(wǎng)絡(luò)安全防護

智慧校園存在一系列安全威脅，因此實行網(wǎng)絡(luò)安全等級保護制度，按照安全等級保護三級的要求來進行安全防護設(shè)計[2]。下面分別從網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全和管理安全四個技術(shù)層面來設(shè)計網(wǎng)絡(luò)安全防護策略。

（1）網(wǎng)絡(luò)安全。智慧校園各重要信息系統(tǒng)是在校園網(wǎng)絡(luò)環(huán)境中運行的，因此校園網(wǎng)絡(luò)是否可靠安全是系統(tǒng)穩(wěn)定運行的關(guān)鍵。根據(jù)三級等級保護的要求，從物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、入侵防御、安全審計、設(shè)備防護等方面進行設(shè)計安全防護體系。

網(wǎng)絡(luò)物理環(huán)境安全是網(wǎng)絡(luò)安全的前提，物理環(huán)境安全包括機房安全、網(wǎng)絡(luò)設(shè)備安全、線路安全等。

根據(jù)智慧校園的特點，可以把校園網(wǎng)劃分為應(yīng)用網(wǎng)絡(luò)出口區(qū)、服務(wù)器區(qū)、網(wǎng)絡(luò)管理區(qū)、個人終端接入?yún)^(qū)。在網(wǎng)絡(luò)出口區(qū)和服務(wù)器區(qū)前面應(yīng)該部署防火墻、入侵檢測設(shè)備、上網(wǎng)行為管理設(shè)備、安全審計設(shè)備等安全設(shè)備進行防護。

在互聯(lián)網(wǎng)邊界部署入侵防御系統(tǒng)和防火墻，明確定義防御的網(wǎng)絡(luò)攻擊類型，對暴力破解、SQL注入、跨站腳本攻擊等網(wǎng)絡(luò)攻擊進行檢測和防御，定期更新防御特征庫，重點防護蠕蟲、病毒、木馬以及高危漏洞的攻擊事件。

完善網(wǎng)絡(luò)設(shè)備安全審計策略，部署安全審計系統(tǒng)，記錄各類相關(guān)的訪問設(shè)備行為，實現(xiàn)不同用戶的訪問控制和動作回放。

搭建日志服務(wù)器收集網(wǎng)絡(luò)設(shè)備日志，定期進行日志分析，備份網(wǎng)絡(luò)設(shè)備的配置，對網(wǎng)絡(luò)設(shè)備口令復(fù)雜度進行設(shè)置，定期更新網(wǎng)絡(luò)設(shè)備等。

（2）系統(tǒng)安全操作系統(tǒng)作為智慧校園信息系統(tǒng)業(yè)務(wù)與數(shù)據(jù)存儲和處理的載體，若被攻擊將使業(yè)務(wù)系統(tǒng)癱瘓。根據(jù)三級等保的需求，下面分別從身份鑒別、系統(tǒng)防護、訪問控制等方面進行系統(tǒng)安全防護設(shè)計。

針對不同的操作人員，設(shè)置不同的權(quán)限賬號，設(shè)置口令策略、禁用 Telnet 服務(wù)，使用SSH 方式與服務(wù)器連接，通過安全審計系統(tǒng)進行日志審計。

定期更新系統(tǒng)補丁，信息系統(tǒng)服務(wù)器僅開啟需要的端口服務(wù)，關(guān)閉不需要的組件和應(yīng)用服務(wù)。安裝殺毒軟件，定期更新病毒庫，并保持最新，設(shè)置定期查殺病毒。

在網(wǎng)絡(luò)邊界處和服務(wù)器區(qū)前面部署防火墻，并設(shè)置網(wǎng)絡(luò)訪問控制策略，可以基于源IP地址、目的IP地址、服務(wù)端口對訪問行為進行限制，從內(nèi)外兩方面確保服務(wù)器區(qū)系統(tǒng)安全。配置訪問IP地址黑名單，把監(jiān)控到的惡意IP地址加入到黑名單中。

（3）數(shù)據(jù)安全。為了保護學(xué)校的相關(guān)業(yè)務(wù)系統(tǒng)及業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全，需要加強網(wǎng)絡(luò)安全防護。根據(jù)網(wǎng)絡(luò)安全法三級等級保護的相關(guān)要求，需要做數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)訪問控制、數(shù)據(jù)備份還原等方面的安全防護[3]。

為保障用戶的數(shù)據(jù)安全和個人隱私，根據(jù)各類用戶對不同應(yīng)用的需求，可以采取一定的安全手段隔離不同用戶的數(shù)據(jù)。

為確保學(xué)校重要數(shù)據(jù)能安全的傳輸和存儲，可以用高性能的數(shù)據(jù)加密算法將業(yè)務(wù)系統(tǒng)的重要數(shù)據(jù)加密后進行傳輸。

建立統(tǒng)一管理的身份認證平臺，設(shè)置用戶的訪問控制權(quán)限，只允許合法的用戶才能登陸系統(tǒng)進行數(shù)據(jù)訪問。在數(shù)據(jù)中心的管理方面，也需要做到嚴格控制，只允許專用IP才能登陸管理數(shù)據(jù)。

在數(shù)據(jù)容災(zāi)備份方面，需要建立完善的機制，做好定時備份系統(tǒng)數(shù)據(jù)，如有數(shù)據(jù)丟失或業(yè)務(wù)系統(tǒng)停止工作，則能快速數(shù)據(jù)恢復(fù)。

（4）管理安全。智慧校園的網(wǎng)絡(luò)制度建設(shè)與安全管理是非常重要的[3]。學(xué)校應(yīng)該根據(jù)自身情況，制定網(wǎng)絡(luò)安全管理相關(guān)制定；建設(shè)符合自身的安全監(jiān)控平臺，已能實時監(jiān)控業(yè)務(wù)系統(tǒng)；建設(shè)符合實際情況的安全審計平臺，當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時，能自動發(fā)出安全提醒給安全管理員；同時要做好網(wǎng)絡(luò)安全日志，讓學(xué)校的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)安全得到保障。

4 結(jié)束語

在智慧校園建設(shè)中落實網(wǎng)絡(luò)安全等級保護制度已經(jīng)成為當(dāng)前高校信息化建設(shè)的一種趨勢。本文根據(jù)網(wǎng)絡(luò)安全等級保護三級的要求，結(jié)合智慧校園建設(shè)中遇到的現(xiàn)實情況，從網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、管理安全等相關(guān)方面詳細論述，對構(gòu)建智慧校園安全防護體系有一定的研究意義。

參考文獻：

[1]李賡曦，姚健，牛晨.基于等級保護制度的校園網(wǎng)絡(luò)安全建設(shè)實踐[J].信息安全與技術(shù)，2016（04）：72-74.

[2]朱守榮，裴軍鋒，葉欣，金瑩瑩.基于等級保護的郵件系統(tǒng)網(wǎng)絡(luò)安全防護措施與實踐[J].計算機應(yīng)用與軟件，2017，34（11）：330-333.

[3]錢文標，楊清琳，張亞偉.智慧校園下的云安全架構(gòu)研究[J].科技視界，2017（11）：101.

作者簡介：錢文標（1987-），男，云南大理人，碩士，研究方向：網(wǎng)絡(luò)與信息安全。