◆張 岳

高校網(wǎng)絡(luò)和信息系統(tǒng)安全規(guī)劃與實(shí)踐

◆張 岳

(河南警察學(xué)院 河南 450046)

本文從校園信息網(wǎng)絡(luò)面臨的安全威脅出發(fā)。詳細(xì)介紹了警察學(xué)院在校園網(wǎng)絡(luò)及信息安全方面的規(guī)劃與實(shí)踐方式方法，提出了一套在高校信息化安全建設(shè)方面行之有效的信息安全技術(shù)體系和信息安全管理體系。

信息安全；規(guī)劃；管理

0 前言

信息化和全球化的發(fā)展進(jìn)程正在給整個(gè)世界帶來了極大的深刻影響；每個(gè)人獲取信息的渠道和方式發(fā)生了根本的變化，例如學(xué)生通過手機(jī)或是使用筆記本獲取他們需要的信息，而不單單是通過老師的言傳身教，實(shí)際上越來越多的師生員工已經(jīng)離不開校園信息化建設(shè)提供的各種服務(wù)，教學(xué)、科研、管理活動(dòng)也同時(shí)離不開各類信息系統(tǒng)的支撐，另外校園網(wǎng)大數(shù)據(jù)為學(xué)校的決策過程提供重要的支撐作用；但同時(shí)，我們也應(yīng)該看到，高校信息化建設(shè)過程中普遍存在信息泄露、黑客攻擊、網(wǎng)頁(yè)掛馬等問題，信息資源安全受到了極大的威脅；因此網(wǎng)絡(luò)安全和信息化建設(shè)須統(tǒng)一規(guī)劃，網(wǎng)絡(luò)安全和信息化建設(shè)需同步進(jìn)行，缺一不可。

1 校園網(wǎng)絡(luò)及信息面臨安全威脅

1.1 學(xué)院門戶網(wǎng)站

學(xué)院網(wǎng)站的安全威脅，包括學(xué)校門戶網(wǎng)站、學(xué)校招生網(wǎng)站、二級(jí)各院系等網(wǎng)站，由于高考、招生、學(xué)生就業(yè)等敏感時(shí)期，聚集了大量的學(xué)生及家長(zhǎng)訪問流量，也引起黑客的關(guān)注，學(xué)校網(wǎng)站面臨的主要安全威脅有：

（1）網(wǎng)頁(yè)被掛馬、被篡改

黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到學(xué)校網(wǎng)站的管理權(quán)限，進(jìn)而篡改網(wǎng)頁(yè)代碼；部分攻擊者將學(xué)校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。

（2）黑客入侵校園內(nèi)網(wǎng)的跳板

入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，可以該服務(wù)器為跳板，對(duì)內(nèi)網(wǎng)進(jìn)行探測(cè)掃描，發(fā)起攻擊，對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。

1.2 校園網(wǎng)業(yè)務(wù)信息系統(tǒng)

隨著校園網(wǎng)信息化的逐步深入，業(yè)務(wù)系統(tǒng)眾多，“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫(kù)等信息化業(yè)務(wù)系統(tǒng)均已上線，而這些系統(tǒng)由于管理及防護(hù)不到位，目前面臨著較嚴(yán)重的安全威脅：

（1）業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護(hù)手段

學(xué)校網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速，網(wǎng)絡(luò)帶寬及處理能力都有很大的提升，但是管理和維護(hù)人員方面的投入明顯不足，無暇顧及、也沒有條件管理和維護(hù)數(shù)萬臺(tái)計(jì)算機(jī)的安全。一旦學(xué)生進(jìn)行黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源，邊界缺乏必要的隔離和審計(jì)措施，出現(xiàn)問題不方便定位，追查取證。 ?

（2）系統(tǒng)漏洞缺乏必要的控制措施

校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理及維護(hù)方式也不盡相同，無法做到所有的系統(tǒng)實(shí)施統(tǒng)一的漏洞管理政策，缺乏自動(dòng)化的高效檢查工具和控制手段。

（3）業(yè)務(wù)系統(tǒng)權(quán)限控制不合理，有安全隱患

由于學(xué)校內(nèi)應(yīng)用眾多，開發(fā)模式多樣，因此難免會(huì)造成權(quán)限設(shè)計(jì)時(shí)考慮不周，造成權(quán)限漏洞，或給攻擊者以機(jī)會(huì)；學(xué)生在內(nèi)網(wǎng)中即可訪問各種業(yè)務(wù)資源，缺乏必要的控制措施；校園“一卡通”系統(tǒng)數(shù)據(jù)有可能被篡改，賬號(hào)及資金缺乏安全保障；由于重要數(shù)據(jù)庫(kù)的訪問缺乏審計(jì)手段，一旦出現(xiàn)數(shù)據(jù)篡改現(xiàn)象，無法定位問題。

2 警察學(xué)院在校園網(wǎng)絡(luò)及信息安全方面的規(guī)劃與實(shí)踐

引入知名且具有權(quán)威性的第三方安全服務(wù)機(jī)構(gòu)為我院信息中心提供專業(yè)的、先進(jìn)和完善的整體安全服務(wù)體系，并協(xié)助信息中心建立相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部培訓(xùn)及管理，建立完善的信息安全管理系統(tǒng)，加強(qiáng)身份認(rèn)證、門戶網(wǎng)站和數(shù)據(jù)中心的安全體系建設(shè)，提高信息中心整體的信息安全意識(shí)。

建議人事、教務(wù)、OA、校園網(wǎng)等信息系統(tǒng)按照信息系統(tǒng)等級(jí)保護(hù)II級(jí)標(biāo)準(zhǔn)的要求進(jìn)行安全規(guī)劃整改，以達(dá)到教育部的安全要求。

建議財(cái)務(wù)、一卡通信息系統(tǒng)按照信息系統(tǒng)等級(jí)保護(hù)III級(jí)標(biāo)準(zhǔn)的要求進(jìn)行安全規(guī)劃整改，以達(dá)到教育部的安全要求。

技術(shù)方面的網(wǎng)絡(luò)安全、主機(jī)安全、網(wǎng)站安全、數(shù)據(jù)庫(kù)安全主要通過安全產(chǎn)品的部署來解決。

管理方面安全主要通過安全服務(wù)來解決。

2.1 安全規(guī)劃

（1）信息安全體系建設(shè)方法論

①安全是相對(duì)的，不安全是絕對(duì)的。

②安全是根據(jù)需求規(guī)劃出來的，不是出了問題做應(yīng)急處理出來的。

③安全管理比安全技術(shù)更重要。

（2）建立信息安全體系三層架構(gòu)

圖1 信息安全體系三層架構(gòu)

信息安全系統(tǒng)是整體的、動(dòng)態(tài)的。信息安全系統(tǒng)符合MPDRR模型（M-management，P-protect，D-detection，R1-responce，R2-recovery），因此，要真正實(shí)現(xiàn)一個(gè)系統(tǒng)的安全，就需要建立一個(gè)從保護(hù)、檢測(cè)、響應(yīng)到恢復(fù)的一套全方位的安全保障體系：

圖2 安全保障體系

我們提供的信息安全方案正是基于MPDRR模型構(gòu)建的，符合信息安全系統(tǒng)整體性和動(dòng)態(tài)性的特點(diǎn)。它集防火墻、入侵檢測(cè)、安全掃描、安全審計(jì)等防御于一體，將多種信息安全技術(shù)和優(yōu)秀信息安全產(chǎn)品在技術(shù)上有機(jī)集成，實(shí)現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動(dòng)，是一個(gè)統(tǒng)一的、可擴(kuò)展的安全體系平臺(tái)。

（3）信息安全等級(jí)保護(hù)整改指南

《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》對(duì)等保整改的思路如下圖：

圖3 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

參考以上模型，針對(duì)等級(jí)保護(hù)的技術(shù)要求和管理要求，對(duì)我院信息系統(tǒng)進(jìn)行相應(yīng)的安全技術(shù)體系和安全管理體系的建立，從而使信息系統(tǒng)達(dá)到等級(jí)保護(hù)要求。

2.2 建設(shè)實(shí)踐

（1）信息安全技術(shù)體系

信息安全技術(shù)體系設(shè)計(jì)主要是針對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、網(wǎng)站安全、數(shù)據(jù)庫(kù)安全的安全風(fēng)險(xiǎn)分析結(jié)果，提出對(duì)應(yīng)的解決方案，通過部署相應(yīng)的安全產(chǎn)品及策略來降低或規(guī)避信息系統(tǒng)各個(gè)層面的安全風(fēng)險(xiǎn)。

1）信息安全區(qū)域劃分

校園網(wǎng)：按著重要程度和業(yè)務(wù)處理的不同，分為核心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ 區(qū)、校園網(wǎng)接入?yún)^(qū)、校園網(wǎng)安全管理區(qū)，針對(duì)不同區(qū)域進(jìn)行不同的安全策略和部署。

數(shù)據(jù)中心網(wǎng)：分為數(shù)據(jù)存儲(chǔ)區(qū)、應(yīng)用中心區(qū)、安全管理區(qū)、門戶網(wǎng)站區(qū)，針對(duì)不同區(qū)域進(jìn)行不同的安全策略和部署。

2）信息安全產(chǎn)品的部署說明

圖4 信息安全產(chǎn)品部署

數(shù)據(jù)中心區(qū)：

通過部署2臺(tái)高性能防火墻進(jìn)行4個(gè)安全域的劃分；

在安全管理區(qū)部署身份認(rèn)證系統(tǒng)，建立統(tǒng)一的身份認(rèn)證平臺(tái)。實(shí)現(xiàn)對(duì)各信息系統(tǒng)的一次性認(rèn)證多系統(tǒng)操作，大大增加用戶和系統(tǒng)的安全性和簡(jiǎn)便性。系統(tǒng)建設(shè)統(tǒng)一的用戶數(shù)據(jù)庫(kù)，對(duì)用戶權(quán)限和訪問模式等實(shí)現(xiàn)集中式的管理，簡(jiǎn)化系統(tǒng)管理流程，提升用戶工作效率；

在安全管理區(qū)部署數(shù)據(jù)庫(kù)及業(yè)務(wù)審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行時(shí)實(shí)的監(jiān)控，增強(qiáng)數(shù)據(jù)的保密性、完整性以及可用性；

在安全管理區(qū)部署一套門戶網(wǎng)站W(wǎng)EB防火墻，采用WEB入侵異常檢測(cè)技術(shù)，對(duì)WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識(shí)別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護(hù)；

在安全管理區(qū)部署兩臺(tái)IPS系統(tǒng)，以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，結(jié)合協(xié)議異常檢測(cè)、協(xié)議異常檢測(cè)、狀態(tài)檢測(cè)、關(guān)聯(lián)分析形成的檢測(cè)引擎，實(shí)時(shí)攔截?cái)?shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在單位網(wǎng)絡(luò)之外，保護(hù)單位的信息資產(chǎn)；

在安全管理區(qū)部署1套網(wǎng)頁(yè)防篡改系統(tǒng)，分別安裝在網(wǎng)站服務(wù)器上，進(jìn)行頁(yè)面內(nèi)容的保護(hù)，防止非授權(quán)人員隨意篡改內(nèi)容，增強(qiáng)網(wǎng)站的安全性；

在安全管理區(qū)部署1套賬號(hào)集中管理與審計(jì)系統(tǒng)（堡壘機(jī)），集中統(tǒng)一的安全管理技術(shù)和平臺(tái)，使得系統(tǒng)和安全管理人員可以對(duì)支撐系統(tǒng)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，從技術(shù)上保證支撐系統(tǒng)安全策略的實(shí)施。

校園網(wǎng)安全管理區(qū)：

在互聯(lián)網(wǎng)出口位置部署兩臺(tái)高性能防火墻，提供對(duì)網(wǎng)絡(luò)的訪問控制，同時(shí)通過DMZ 區(qū)的設(shè)置，保護(hù)校方對(duì)外提供服務(wù)器的安全；

在校園網(wǎng)安全管理區(qū)部署流量控制和計(jì)費(fèi)系統(tǒng)來提供對(duì)于校內(nèi)用戶訪問外網(wǎng)的流量控制和計(jì)費(fèi)統(tǒng)計(jì)的需求；

在校園網(wǎng)安全管理區(qū)部署安全漏洞掃描系統(tǒng)，對(duì)內(nèi)部信息處理設(shè)施安全漏洞及其脆弱性的評(píng)估，可以使用戶了解信息系統(tǒng)內(nèi)的服務(wù)器和網(wǎng)絡(luò)通訊設(shè)備的系統(tǒng)漏洞和安裝設(shè)置漏洞，了解漏洞的分布狀況和危險(xiǎn)等級(jí)，并針對(duì)每一個(gè)漏洞提出一個(gè)可行的安全解決方案或補(bǔ)救措施，完整地為網(wǎng)絡(luò)系統(tǒng)提供安全評(píng)估，為調(diào)整本身的安全策略提供原始數(shù)據(jù)和資料。

在校園網(wǎng)安全管理區(qū)部署一臺(tái)信息安全審計(jì)系統(tǒng)，檢測(cè)用戶的非法操作，杜絕內(nèi)部人員濫用互聯(lián)網(wǎng)資源的違規(guī)行為；

在校園網(wǎng)安全管理區(qū)部署一套SOC平臺(tái)，實(shí)現(xiàn)了安全設(shè)備進(jìn)行集中管理、安全策略統(tǒng)一配置、安全事件集中管理、安全風(fēng)險(xiǎn)評(píng)估等功能，使網(wǎng)絡(luò)信息安全可控與結(jié)果可視化；

在互聯(lián)網(wǎng)出口和核心交換機(jī)之間部署一套DDOS防御網(wǎng)關(guān)，用于攔截各種DDoS攻擊及變種DDoS的攻擊；

在校園網(wǎng)安全管理區(qū)部署一臺(tái)IDS系統(tǒng)，方便對(duì)網(wǎng)絡(luò)情況進(jìn)行記錄、取證工作，對(duì)網(wǎng)絡(luò)上的可疑行為做出策略反應(yīng)，及時(shí)切斷入侵源,記錄攻擊行為、及時(shí)報(bào)警并通過各種途徑通知網(wǎng)絡(luò)管理員，最大幅度地保障內(nèi)部系統(tǒng)安全；

在DMZ區(qū)部署一套WEB防火墻，采用WEB入侵異常檢測(cè)技術(shù)，對(duì)WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識(shí)別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護(hù)。

（2）信息安全管理體系

信息安全管理體系建設(shè)主要是針對(duì)安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理的安全風(fēng)險(xiǎn)分析結(jié)果，提出對(duì)應(yīng)的解決方案，通過制度的設(shè)置及安全服務(wù)的采購(gòu)來降低或規(guī)避信息系統(tǒng)各個(gè)層面的安全風(fēng)險(xiǎn)。

我院建立了完善的安全管理策略，主要針對(duì)人員管理，機(jī)房管理，終端機(jī)管理，文檔管理設(shè)備和運(yùn)行等安全管理機(jī)制。

① 安全管理制度

人員管理：

包括配套的培訓(xùn)和考核機(jī)制。建立內(nèi)部人員管理制度和外部人員管理制度，包括：

內(nèi)部工作人員管理、外部相關(guān)人員管理。

物理環(huán)境與設(shè)施管理：

建立物理環(huán)境與設(shè)備管理制度，包括：周邊環(huán)境、涉密場(chǎng)所、保障設(shè)施等。

設(shè)備與介質(zhì)管理：

建立設(shè)備與介質(zhì)管理制度，包括：設(shè)備與介質(zhì)的采購(gòu)與選型、設(shè)備與介質(zhì)的操作與使用、設(shè)備與介質(zhì)的保存與保管、設(shè)備與介質(zhì)的維修與報(bào)廢。

信息保密管理：

建立信息保密管理制度，包括：信息分類與控制、用戶管理與授權(quán)、信息系統(tǒng)安全互聯(lián)控制。

②安全管理機(jī)構(gòu)

安全管理機(jī)構(gòu)建設(shè)主要有：設(shè)定安全管理員一職, 并明確崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制。

③人員安全管理

人員安全管理建設(shè)主要有以下幾個(gè)方面：聘請(qǐng)專業(yè)咨詢公司，制定安全培訓(xùn)管理方案，制度化、常態(tài)化進(jìn)行安全培訓(xùn)。進(jìn)一步規(guī)范人員錄用、人員離崗、人員考核、外部人員訪問的管理制度。對(duì)信息中心工作人員進(jìn)行安全意識(shí)培訓(xùn)，加強(qiáng)人員安全意識(shí)、避免安全管理漏洞。

④系統(tǒng)建設(shè)管理

系統(tǒng)建設(shè)管理主要有以下幾個(gè)方面：制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施。

⑤系統(tǒng)運(yùn)維管理

系統(tǒng)運(yùn)維管理主要有以下幾個(gè)方面：聘請(qǐng)專業(yè)安全維護(hù)公司，對(duì)系統(tǒng)的環(huán)境和資產(chǎn)安全、設(shè)備和介質(zhì)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、備份與恢復(fù)等進(jìn)行管理和定期維護(hù)。

3 總結(jié)

隨著高校信息化建設(shè)的發(fā)展,校園網(wǎng)絡(luò)安全將會(huì)面臨更加嚴(yán)峻的挑戰(zhàn)。本文系高校信息化安全建設(shè)規(guī)劃實(shí)踐，希望能對(duì)不同的用戶提供參考。

本文受河南省科技攻關(guān)項(xiàng)目資助（項(xiàng)目編號(hào)：142102210365）。