淺談高校網(wǎng)絡(luò)安全體系建設(shè)

劉　鍇

摘要：本文分析并總結(jié)了目前國(guó)內(nèi)高校普遍存在的網(wǎng)絡(luò)安全問(wèn)題，從校園網(wǎng)安全、信息安全以及全局安全三個(gè)方面提出了相應(yīng)的規(guī)劃任務(wù)，通過(guò)加強(qiáng)網(wǎng)絡(luò)設(shè)施安全建設(shè)。終端安全防范措施、應(yīng)用服務(wù)器安全措施、信息與數(shù)據(jù)安全建設(shè)等一系列措施，逐步實(shí)現(xiàn)校園網(wǎng)安全的可信(credible)、可管(control)，可恢復(fù)(comeback)的3c目標(biāo)。

關(guān)鍵詞：安全；信息化；規(guī)劃

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A

1校園網(wǎng)安全運(yùn)行現(xiàn)狀與需求

1.1校園網(wǎng)安全建設(shè)現(xiàn)狀分析

網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。隨著高校的發(fā)展，用網(wǎng)人數(shù)的增加，校園網(wǎng)用戶對(duì)信息與網(wǎng)絡(luò)安全的要求也越來(lái)越高。大部分高校以往的網(wǎng)絡(luò)建設(shè)，重點(diǎn)是“建設(shè)”，強(qiáng)調(diào)網(wǎng)絡(luò)的覆蓋范圍，出口帶寬，基礎(chǔ)應(yīng)用等，而對(duì)網(wǎng)絡(luò)安全的關(guān)注度不夠，往往是“想起一個(gè)建一個(gè)，需要一個(gè)建～個(gè)”，沒(méi)有形成系統(tǒng)、全面、高效的網(wǎng)絡(luò)安全體系。隨著高校“信息化”建設(shè)的呼聲越來(lái)越高，網(wǎng)絡(luò)安全體系的建設(shè)也在逐步受到學(xué)校各級(jí)領(lǐng)導(dǎo)的重視。

1.2校園網(wǎng)安全體系建設(shè)需求

網(wǎng)絡(luò)安全建設(shè)一直是各高校網(wǎng)絡(luò)建設(shè)的難點(diǎn)和薄弱環(huán)節(jié)，一方面，技術(shù)管理手段的不全面以及管理機(jī)制的不完善制約了安全防范的力度；另一方面，校園網(wǎng)用戶甚至是系統(tǒng)管理員的安全意識(shí)淡漠，以及學(xué)生用戶網(wǎng)絡(luò)行為的不確定性成為各高校網(wǎng)絡(luò)安全工作的瓶頸。因此，網(wǎng)絡(luò)中心需要通過(guò)采取一系列的網(wǎng)絡(luò)安全措施、制定一系列的網(wǎng)絡(luò)安全管理制度，在提高網(wǎng)絡(luò)管理技術(shù)手段的同時(shí)，逐步增強(qiáng)用戶的網(wǎng)絡(luò)安全意識(shí)，構(gòu)建穩(wěn)定、安全、綠色的校園網(wǎng)。

2網(wǎng)絡(luò)安全體系建設(shè)規(guī)劃

隨著學(xué)校網(wǎng)絡(luò)與信息化建設(shè)的逐步深入，網(wǎng)絡(luò)安全問(wèn)題、信息數(shù)據(jù)安全問(wèn)題日益突出。建立一套網(wǎng)絡(luò)安全體系，是各高校在信息化過(guò)程中的重要任務(wù)之一。

2.1校園網(wǎng)安全建設(shè)規(guī)劃

根據(jù)各高校網(wǎng)絡(luò)建設(shè)規(guī)劃，結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)手段，應(yīng)從以下幾個(gè)方面做好校園網(wǎng)安全建設(shè)工作。

2.1.1加強(qiáng)網(wǎng)絡(luò)設(shè)施安全建設(shè)

網(wǎng)絡(luò)設(shè)施安全主要指網(wǎng)絡(luò)設(shè)備、服務(wù)器等硬件設(shè)備的物理安全。某高校網(wǎng)絡(luò)中心曾經(jīng)發(fā)生過(guò)同批次多塊硬盤(pán)損壞，機(jī)柜門(mén)被撬開(kāi)。學(xué)生惡意偷用電源。光纜被挖斷等安全事件，因此。在信息化的建設(shè)中，保證設(shè)備的物理安全尤為重要。

建立機(jī)房、設(shè)備間的防火、防盜、監(jiān)控和報(bào)警方案：

對(duì)一些關(guān)鍵設(shè)備。系統(tǒng)和鏈路，應(yīng)設(shè)置冗余備份系統(tǒng)，避免網(wǎng)絡(luò)設(shè)備因天災(zāi)或人為因素對(duì)網(wǎng)絡(luò)造成的影響。

2.1.2終端安全防范措施

隨著各高校網(wǎng)絡(luò)覆蓋范圍的逐步增加，用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時(shí)在線用戶已經(jīng)達(dá)到4500人)，用戶終端的安全問(wèn)題成為校園網(wǎng)內(nèi)網(wǎng)安全的主要問(wèn)題之一。由于用網(wǎng)人員的計(jì)算機(jī)水平參差不齊，以及學(xué)生用戶網(wǎng)絡(luò)行為的不可控性，給網(wǎng)絡(luò)安全帶來(lái)了很大的隱患，因此需要從以下幾個(gè)方面完善終端安全防范措施：

提供并推廣可供全校師生員工使用的網(wǎng)絡(luò)版殺毒軟件，以及校內(nèi)WSUS服務(wù)，逐步建立“沒(méi)有殺毒軟件”、“不打系統(tǒng)補(bǔ)丁”不上網(wǎng)的安全意識(shí)；

對(duì)校內(nèi)突發(fā)的終端安全事故進(jìn)行監(jiān)控，及時(shí)提供必要的專(zhuān)殺工具、漏洞補(bǔ)丁：

提高技術(shù)人員的技術(shù)水平，采取相應(yīng)的檢測(cè)手段，利用先進(jìn)的儀器設(shè)備，減少用戶端安全事故的排查和定位時(shí)間。

2.1.3應(yīng)用服務(wù)器安全措施

應(yīng)用服務(wù)器是數(shù)字化校園的基礎(chǔ)，是各個(gè)業(yè)務(wù)系統(tǒng)的載體，所以它的安全是至關(guān)重要的，因此，系統(tǒng)管理員的技術(shù)手段和安全意識(shí)在服務(wù)器的安全管理中起到至關(guān)重要的作用。

制定相關(guān)技術(shù)文檔，規(guī)范應(yīng)用服務(wù)器上線前的安全檢查，督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動(dòng)更新等，并且定期掃描系統(tǒng)漏洞，更改系統(tǒng)密碼。保證操作系統(tǒng)安全；

建立完善可靠的容災(zāi)恢復(fù)方案，對(duì)關(guān)鍵服務(wù)器采用雙機(jī)熱備方式，并且提供可靠的數(shù)據(jù)備份系統(tǒng)，如采用RAID技術(shù)以及利用磁帶備份數(shù)據(jù)，確保事故發(fā)生時(shí)業(yè)務(wù)數(shù)據(jù)不丟失，系統(tǒng)能夠快速恢復(fù)；

建立授權(quán)控制體系，對(duì)不同管理員設(shè)定不同的系統(tǒng)、數(shù)據(jù)庫(kù)管理權(quán)限：

完善訪問(wèn)日志分析系統(tǒng)，定期對(duì)日志進(jìn)行整理和分析，制定相應(yīng)的安全策略。

2.1.4網(wǎng)絡(luò)出口及邊界安全

目前高校網(wǎng)絡(luò)出口及邊界設(shè)備主要分為路由器。防火墻、VPN等三類(lèi)設(shè)備，網(wǎng)絡(luò)出口及邊界的安全主要包括配置合理、全面的安全策略，以及如何提高安全響應(yīng)速度和快速、準(zhǔn)確地定位攻擊來(lái)源。針對(duì)這些方面，需要在出口及邊界設(shè)備的管理中做到以下幾點(diǎn)：

建立密碼維護(hù)制度。定期更換設(shè)備Telnet、SSH登錄密碼以及SNMP共同體名；

>制定詳細(xì)的ACL策略，限制登錄設(shè)備的IP地址；

采取NAT機(jī)制。在保證校內(nèi)用戶正常上網(wǎng)的同時(shí)，繼續(xù)優(yōu)化8812路由器的安全功能；

啟用防火墻的防病毒功能，在源頭阻斷病毒入侵；

合理規(guī)劃SSL VPN的用戶權(quán)限；

建立IDS+IPS的聯(lián)動(dòng)機(jī)制。完善網(wǎng)絡(luò)監(jiān)控與入侵防范；

建立出入雙向的訪問(wèn)日志系統(tǒng)。

2.1.5應(yīng)用分析控制技術(shù)的應(yīng)用

在網(wǎng)絡(luò)安全管理中，網(wǎng)絡(luò)流量、網(wǎng)絡(luò)應(yīng)用的分析至關(guān)重要，網(wǎng)絡(luò)管理人員需要明確地知道網(wǎng)絡(luò)中有哪些網(wǎng)絡(luò)應(yīng)用，各種應(yīng)用在網(wǎng)絡(luò)中所占的帶寬以及是否存在不良應(yīng)用，如圖1。

隨著上網(wǎng)人數(shù)的增多，網(wǎng)絡(luò)出口不可避免地出現(xiàn)擁堵現(xiàn)象，因此，需要進(jìn)一步對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行分析，并制定有效的控制策略。

實(shí)時(shí)記錄出口帶寬使用情況，對(duì)惡意占用帶寬的應(yīng)用進(jìn)行限制，確保基本應(yīng)用的高效運(yùn)行；

對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，利用相關(guān)協(xié)議分析工具對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行深層坎的分析。

2.2信息安全建設(shè)規(guī)劃

信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復(fù)制和使用等。

2.2.1信息安全保障措施

通過(guò)一系列的措施，保證信息在傳輸和存儲(chǔ)時(shí)的安全。

建立完善的實(shí)名上網(wǎng)制度，并且與各系統(tǒng)的日志配合，建立“上網(wǎng)ID+上網(wǎng)時(shí)間+上網(wǎng)IP+上網(wǎng)入”的一一對(duì)應(yīng)關(guān)系；

建立合理的文件上傳、審查制度，對(duì)關(guān)鍵數(shù)據(jù)采取數(shù)字簽名技術(shù)，做到誰(shuí)上傳誰(shuí)負(fù)責(zé)，安全事故責(zé)任到人；

對(duì)論壇、留言板等提供用戶交流的版塊加強(qiáng)監(jiān)管力度。對(duì)有害和敏感信息進(jìn)行監(jiān)控；

數(shù)字校園關(guān)鍵服務(wù)器問(wèn)數(shù)據(jù)傳輸采取加密方式，防止網(wǎng)絡(luò)竊聽(tīng)、數(shù)據(jù)泄露等安全事故的發(fā)生；

對(duì)病毒郵件、垃圾郵件以及含有敏感信息的郵件進(jìn)行過(guò)濾。

2.2.2數(shù)據(jù)安全建設(shè)

隨著高校信息化建設(shè)的推進(jìn)，各部門(mén)工作信息化的程度也將越來(lái)越高，如何保證數(shù)據(jù)安全，提高管理信息系統(tǒng)(MIS)的安全性是信息化過(guò)程中必須考慮的問(wèn)題。

各部門(mén)需要制定MIS的相關(guān)管理制度：

制定MIS系統(tǒng)數(shù)據(jù)備份、災(zāi)難恢復(fù)方案；

定期對(duì)MIS漏洞進(jìn)行修補(bǔ)。防止數(shù)據(jù)泄露。

2.3全局安全體系建設(shè)

根據(jù)對(duì)網(wǎng)絡(luò)體系分層的概念，針對(duì)不同的層次制定不同的網(wǎng)絡(luò)安全措施。做到有的放矢，從技術(shù)上實(shí)現(xiàn)檢測(cè)、上報(bào)和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(luò)(GSN)，如圖2。

整合已建立的安全措施，增加針對(duì)上網(wǎng)用戶的準(zhǔn)入策略。在用戶連入網(wǎng)絡(luò)之前先進(jìn)行客戶端病毒及漏洞掃描，保證連入網(wǎng)絡(luò)的客戶端的安全性，從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

建立統(tǒng)一的安全管理平臺(tái)(SMP)，通過(guò)下發(fā)警告消息，下發(fā)修復(fù)程序，下發(fā)阻斷或者隔離策略等手段智能處理安全事件。

3校園網(wǎng)安全建設(shè)目標(biāo)

隨著網(wǎng)絡(luò)建設(shè)的穩(wěn)步推進(jìn)，各高校也將進(jìn)一步完善網(wǎng)絡(luò)安全體系建設(shè)，將校園網(wǎng)建設(shè)成可信(Credible)、可管(Control)、可恢復(fù)(comeback)的3C網(wǎng)絡(luò)，建立一個(gè)全方位、多層次、系統(tǒng)的網(wǎng)絡(luò)安全體系。為校園網(wǎng)信息化建設(shè)提供安全保障。