張洪文　韋修圣

摘? 要 當前，信息化在教育領域的滲透不斷加深，建立一套完整嚴密的信息安全保障體系對職業(yè)院校信息化來說至關重要。為解決職業(yè)院校信息化進程中日益凸顯的信息安全問題，分析校園信息安全保障體系的構建原則，并從物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、數(shù)據(jù)庫安全等五個方面提出職業(yè)院校信息安全保障體系的構建策略，為職業(yè)院校信息化建設提供參考和借鑒。

關鍵詞 平安校園;職業(yè)院校;信息安全保障體系;信息系統(tǒng)

中圖分類號：TP309? ? 文獻標識碼：B

文章編號：1671-489X（2020）16-0142-03

1 前言

在平安校園環(huán)境下，信息化的學習生活、教學辦公和科研管理都離不開信息系統(tǒng)穩(wěn)定可靠的運行，信息安全是信息化校園提供穩(wěn)定服務和可持續(xù)發(fā)展的基礎和前提。目前的國內職業(yè)院校信息化建設，安全意識注入不夠，缺乏標準體系的規(guī)范指導，設計與構建頗顯隨意，信息系統(tǒng)防護薄弱，存在不同程度的隱患。在信息化高速發(fā)展的大背景下，為職業(yè)院校信息化系統(tǒng)設計和構建標準的信息安全保障體系，能有效增強信息系統(tǒng)的穩(wěn)定性、可靠性和安全性，為職業(yè)院校信息系統(tǒng)的運作保駕護航，大幅提升信息化建設的效率。

2 構建原則

風險、投入與安全效果相平衡的原則? 安全具有相對性，任何系統(tǒng)都不是絕對安全的，其設計應根據(jù)潛在的風險以及實際的安全需求，在成本投入和安全效果之間找到一個合適的平衡點，避免高成本低效益或低成本低效益，即不能為了追求高安全性而投入過大，或因過度控制成本而導致安全性不夠。

整體性原則? 信息安全體系的設計應采用系統(tǒng)工程的觀點和方法，綜合運用多種技術手段和保障措施，以保證整個防御系統(tǒng)的完整性。

木桶原則? 系統(tǒng)的整體安全程度取決于最弱項的安全性，所以系統(tǒng)的安全設計不能顧此失彼。首先應全盤分析可能遇到的風險與威脅，然后對系統(tǒng)進行全面、均衡的防護設計，以提高整個系統(tǒng)安全最低點的安全性能。

多重保護原則? 在層出不窮的攻擊環(huán)境下，任何單一的保護都可能被攻破。設計一個多重保護體系，各層優(yōu)勢互補，當其中一層被攻破時，其他保護層還能繼續(xù)保障系統(tǒng)的安全，系統(tǒng)安全性可成倍提高[1]。

動態(tài)靈活原則? 信息安全并非一勞永逸，隨著時間的推移和環(huán)境的改變，很多相對安全的體系會變得越來越不安全[2]。因此，安全體系的建設與維護是長期化的，體系的設計應具有很好的適應性、可變性或可擴充性。

主動防御原則? 系統(tǒng)安全一旦出現(xiàn)問題，所造成的損失往往是不可挽回的，所以不要等到遭破壞或受攻擊后才亡羊補牢，而應提前設計、提前部署、提前防備。

分區(qū)域按等級保護原則? 組成系統(tǒng)的各部分性質和重要性都不一樣，其安全性和安全需求也不一定相同，所以在設計安全體系時應劃分區(qū)域并分等級保護。

3 安全策略設計

物理安全

1）環(huán)境安全。要保障信息系統(tǒng)的安全，必須首先確保其實體運行環(huán)境的安全。根據(jù)GB/T 9361—2011《計算機場地安全要求》，結合實際安全需求，在防盜竊、防水及防潮、防火、防雷、防靜電、防電磁干擾、防噪聲、防鼠害、樓板承重、內部裝修等方面，按照B級標準設計中心機房，同時配備UPS供配電系統(tǒng)、門禁系統(tǒng)（含入侵報警功能）、火災自動報警系統(tǒng)、視頻監(jiān)控系統(tǒng)、空氣調節(jié)系統(tǒng)，全面確保系統(tǒng)實體的環(huán)境安全。

2）設備安全，主要包括服務器集群和網(wǎng)絡設備群的物理安全。要求：按區(qū)域規(guī)范化部署，同時打上標簽并登記成冊，方便維護管理;配備數(shù)據(jù)庫服務器和核心交換機，實現(xiàn)負載均衡，同時確保數(shù)據(jù)及網(wǎng)絡服務不間斷;設備與窗戶保持防雨淋的安全距離。

3）媒體安全，包括存儲媒體安全和傳輸媒體安全。存儲媒體注意防塵、防霉、防損毀;關閉所有不用的USB接口，對于鼠標、鍵盤和加密狗所需接口關閉其存儲設備的連接功能;建立存儲媒體管理系統(tǒng)，對所有存儲行為進行審計，防止內部存儲媒體的非授權使用。傳輸媒體采用屏蔽萬兆高速線纜、雙屏蔽萬兆雙絞線作為核心層的傳輸介質;采用光纖作為匯聚層和接入層的傳輸介質，以提高信號傳輸?shù)目垢蓴_性、抗截獲性和保密性。

網(wǎng)絡安全

1）網(wǎng)絡邊界防護。在內網(wǎng)連接外網(wǎng)的邊界點配置復合型防火墻，并根據(jù)需要對出入網(wǎng)絡的數(shù)據(jù)流設置相關安全策略，以保障內網(wǎng)與外網(wǎng)數(shù)據(jù)交換的安全性和正確導向。策略配置應遵循按需創(chuàng)建原則，先關閉所有策略或端口，然后按規(guī)程和需求有針對性地開通端口或創(chuàng)建策略;嚴格控制IP信任域，除用于遠程登錄的IP外，其余劃分為非信任域并予以關閉，以避免非授權訪問;定期更換健壯的登錄密碼，開啟防火墻的認證和審計功能，確保訪問的安全性和可溯源性;及時保存或備份配置文件，以備恢復時使用。

2）網(wǎng)絡訪問控制。通過NAT、VLAN、ACL技術，結合防火墻、入侵檢測系統(tǒng)、認證系統(tǒng)、掃描系統(tǒng)，實現(xiàn)外網(wǎng)對內網(wǎng)、內網(wǎng)對外網(wǎng)、內網(wǎng)端到端之間的訪問控制。在核心路由器上配置NAT端口映射，除映射必要的服務端口（有些服務的映射須更改默認端口名，以提高訪問的安全性）外，關閉所有服務器線路不用的端口，把網(wǎng)絡按功能劃分成三個服務域，分別為核心服務域（對應中心機房）、管理服務域（對應教學樓、實訓樓等）和用戶服務域（對應食堂、宿舍等），對核心服務域實行嚴格的訪問控制策略;采用VLAN技術按服務域劃分不同的邏輯虛擬子網(wǎng)，各子網(wǎng)之間通過三層交換機或路由器連接，各服務域間通過防火墻保護，分別運用ACL訪問控制列表技術實現(xiàn)不同的訪問控制;通過三層交換機或路由器實現(xiàn)不同的虛擬子網(wǎng)之間的訪問控制以及對外網(wǎng)的訪問控制，通過防火墻嚴格限制不同服務域之間的訪問控制。

3）網(wǎng)絡入侵與病毒防范。利用防火墻的入侵檢測與防御、病毒防護機制，實現(xiàn)整個網(wǎng)絡體系的入侵防范與病毒防范[3]。

4）組建SSL VPN虛擬專網(wǎng)。為實現(xiàn)遠程（或移動）Web辦公和Web服務，在服務域與用戶域之間建立虛擬專用網(wǎng)，并提供統(tǒng)一的認證門戶（平臺），要求具有失效訪問機制和審計功能，以保證校園內部數(shù)據(jù)在公網(wǎng)上的傳輸安全。

5）無線網(wǎng)絡的安全防護。通過核心服務域的無線AC控制器，實現(xiàn)整個校園無線網(wǎng)絡的Portal認證、防火墻、入侵防護、策略控制、智能射頻等安全功能。

系統(tǒng)安全? 主要包括核心域操作系統(tǒng)、管理域操作系統(tǒng)和用戶域操作系統(tǒng)[4]，其安全性要求如表1所示。

1）核心域系統(tǒng)安全。安裝安全性高的正版系統(tǒng);對不同服務器操作系統(tǒng)分別配置與需求相適應的、完整的安全策略;開啟并配置系統(tǒng)防火墻，先關閉所有服務端口，再按需開通服務，做到服務最小化，同時關閉所有默認的共享;定期更新和設置強登錄密碼，設置屏幕保護且在恢復時自動跳轉登錄界面，并利用服務器安全審計系統(tǒng)對登錄或退出登錄的行為進行及時的安全審計;關閉遠程桌面連接或遠程登錄功能，對于需開啟遠程連接的服務器，須通過網(wǎng)絡設備或硬件防火墻設置嚴格的IP信任域;安裝正版殺毒軟件，開啟系統(tǒng)及殺毒軟件自動同步更新機制，設置定期自動查殺及自動掃描修復漏洞功能;對重要文件或目錄，設置嚴格的讀寫權限或通過軟件上加密鎖;系統(tǒng)日志設置至少保留三個月;使用專門的服務器管理系統(tǒng)，對服務域進行集中的安全維護，對DMZ服務區(qū)設置自動掃描及防御功能。

2）管理域系統(tǒng)安全。安裝原版或純凈版操作系統(tǒng);根據(jù)工作需求，配置完整及個性化的安全策略;開啟系統(tǒng)防火墻，關閉所有不用的服務端口，共享資源需設置嚴格的信任域;設置強登錄密碼，打開屏幕保護且在恢復時自動跳轉到登錄界面，關閉匿名用戶訪問功能;安裝殺毒軟件并定期查殺，定期掃描和修復漏洞;含有重要數(shù)據(jù)的目錄，設置嚴格的讀寫權限。

3）用戶域系統(tǒng)安全。不安裝來歷不明的操作系統(tǒng)、Ghost版操作系統(tǒng)，系統(tǒng)安裝完成后應立即安裝殺毒軟件并全面掃描;開啟系統(tǒng)防火墻;設置登錄密碼，打開屏幕保護且在恢復時自動跳轉到登錄界面;安裝殺毒軟件并定期查殺，定期掃描和修復漏洞。

應用安全

1）核心域應用安全。通過防火墻、防病毒服務器、系統(tǒng)自身殺毒軟件實現(xiàn)多層病毒防范，重點是E-Mail服務器和網(wǎng)絡存儲服務器，因為這兩處是病毒的集散地。通過防火墻、VLAN、統(tǒng)一的身份認證平臺、SSL VPN和ACL技術，嚴格控制外網(wǎng)域、管理域和用戶域（通過信息系統(tǒng)）對核心域應用服務或資源的訪問，嚴格控制不同身份用戶的訪問權限，并通過服務器安全審計系統(tǒng)進行定期及時的安全審計[5];定期更新或升級應用服務軟件，定期掃描并修復安全漏洞。

2）管理域、用戶域應用安全。通過防火墻、防病毒服務器、系統(tǒng)自身殺毒軟件實現(xiàn)應用層的多重病毒防范;通過防火墻、VLAN、ACL技術，嚴格控制外網(wǎng)域及用戶域對管理域、外網(wǎng)域對用戶域的訪問;通過服務器安全審計系統(tǒng)，對管理域和用戶域的用戶行為進行定期及時的安全審計;定期更新或升級客戶端軟件，并掃描和修復漏洞。

數(shù)據(jù)庫安全? 數(shù)據(jù)庫安全包含數(shù)據(jù)的保密性（防泄露）、完整性（防篡改）、可用性（防攻擊或損毀）等三個方面。數(shù)據(jù)庫安全策略的設計應能實現(xiàn)“敏感數(shù)據(jù)看不見、核心數(shù)據(jù)拿不走、運維操作能審計”的安全目標。

1）在應用服務器和數(shù)據(jù)庫服務器之間配置數(shù)據(jù)庫防火墻，任何對數(shù)據(jù)庫的訪問和管理都必須經(jīng)過數(shù)據(jù)庫防火墻，以實現(xiàn)對數(shù)據(jù)庫的認證授權、攻擊保護（如防范SQL注入、緩沖區(qū)溢出）、訪問控制、安全審計等功能。

2）在數(shù)據(jù)庫服務器上安裝數(shù)據(jù)庫管理系統(tǒng)，與數(shù)據(jù)庫防火墻一起，實現(xiàn)對數(shù)據(jù)庫的二次認證，同時實現(xiàn)對數(shù)據(jù)庫的安全存儲、增量備份等綜合管理與維護[6]。

3）建立數(shù)據(jù)庫的容災備份機制。在校園內配備異地存儲介質，開通主數(shù)據(jù)庫與備份數(shù)據(jù)庫的實時同步功能;或向知名的服務提供商租用教育云備份空間，設置安全可靠的數(shù)據(jù)備份專用通道，實現(xiàn)遠程容災。

4 結語

實踐證明，信息安全保障體系的設計與構建是一個系統(tǒng)工程，涉及信息技術的諸多方面，需要遵循總的原則，與信息化建設同步，圍繞物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、數(shù)據(jù)庫安全等五個方面構筑和細化并不斷完善。

參考文獻

[1]王聰，薛靜，王革明.智慧治理高校信息安全的多重線性規(guī)劃策略[J].現(xiàn)代教育技術，2019（6）：19-25.

[2]黃立冬.校園計算機網(wǎng)絡信息的安全管理探討[J].教育理論與實踐，2019（11）：25-26.

[3]王延明，許寧.高校信息安全風險分析與保障策略研究[J].情報科學，2014（10）：134-138.

[4]胡立朋.高職院校的信息安全保障體系構建與應用[J].網(wǎng)絡安全技術與應用，2014（2）：98-99.

[5]吳志軍，楊義先.信息安全保障評價指標體系的研究[J].計算機科學，2010（7）：7-10.

[6]吳海燕，戚麗，沈立強.數(shù)字校園信息安全保障體系的設計與實現(xiàn)[J].實驗技術與管理，2008（8）：1-6.

*項目來源：安順市教育科學規(guī)劃課題“中職學校智慧校園建設研究”（課題編號：安順職教2018004）。

作者：張洪文，安順城市服務職業(yè)學校，高級講師，研究方向為計算機應用技術、教育信息化;韋修圣、安順城市服務職業(yè)學校，高級講師，研究方向為信息技術（561000）。