高校網(wǎng)絡(luò)安全等級保護實施方案

摘 要：該文對高校信息化建設(shè)中的信息安全提出了實施方案，根據(jù)高校應(yīng)用系統(tǒng)的重要程度，劃分了一級到四級的安全等級，高校應(yīng)用系統(tǒng)一般以三級保護作為其基本的網(wǎng)絡(luò)安全等級，該文以三級安全保護為基礎(chǔ)，做了闡述。

關(guān)鍵詞：高校校園網(wǎng) 安全等級 實施方案

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2017）06（b）-0013-02

計算機技術(shù)、網(wǎng)絡(luò)與信息化的不斷發(fā)展為高等教育提供了強有力的支持手段，為教育模式的創(chuàng)新、先進的教育理念的實現(xiàn)提供了可行的技術(shù)手段。高校信息化是以建設(shè)智慧校園為目標，內(nèi)容包括通過利用云計算、虛擬化和物聯(lián)網(wǎng)等新技術(shù)建設(shè)的校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)智慧校園建設(shè)總體解決方案首先應(yīng)確定智慧校園的體系架構(gòu)、智慧校園的信息標準以及實現(xiàn)各系統(tǒng)之間的接口標準，然后分步驟分階段實施。

在智慧校園的建設(shè)過程中，保障各教育信息系統(tǒng)的信息完整性、系統(tǒng)可用性和信息保密性是信息安全體系的重要支撐，各高校包括職業(yè)教育和教育主管機構(gòu)的正常工作起到了至關(guān)重要的保障作用。要落實國家有關(guān)信息系統(tǒng)安全等級保護制度建設(shè)的文件要求，要求增強高校主管部門領(lǐng)導(dǎo)的信息安全保護意識；做好高等教育信息系統(tǒng)的定級、備案、審查和測評工作，對發(fā)現(xiàn)的漏洞健全隱患及時進行整改和處理，建立起高等教育信息系統(tǒng)安全等級保護體系，提高高等教育信息系統(tǒng)安全水平，保證教育信息化的持續(xù)健康穩(wěn)定發(fā)展。校園網(wǎng)絡(luò)在支撐高校數(shù)據(jù)業(yè)務(wù)運行和發(fā)展的同時，系統(tǒng)所面臨的信息安全威脅也隨著應(yīng)用的增加在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點越來越突出、網(wǎng)絡(luò)安全、信息安全風險在不斷積累和增加，成為高校面臨的重要的、急需解決的安全問題之一。

1 限于篇幅現(xiàn)將實施等保三級及以上建設(shè)要求

區(qū)域邊界訪問控制：在應(yīng)用系統(tǒng)或校園網(wǎng)絡(luò)的安全區(qū)域出口邊界處設(shè)置自主和強制訪問控制策略，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行加密、控制、過濾等，阻止非授權(quán)訪問。需要的措施：防火墻、IPS、IDS、審計類產(chǎn)品。

區(qū)域邊界協(xié)議過濾：根據(jù)設(shè)置區(qū)域邊界安全控制策略，來檢查進出數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議以及發(fā)送請求的服務(wù)等，確定是否允許受檢查的數(shù)據(jù)包進出區(qū)域邊界。需要的安全措施：IPS、防火墻、IDS、審計類產(chǎn)品。

區(qū)域邊界安全審計：在安全區(qū)域邊界處設(shè)置必要的審計機制，由安全管理中心進行集中管理，并對確認違規(guī)的行為做到及時報警和后續(xù)的處理。安全區(qū)域邊界設(shè)置必要的審計機制所需要的措施：IDS、IPS、防火墻、審計類產(chǎn)品、安全管理中心。

區(qū)域邊界完整性保護：在區(qū)域邊界處設(shè)置探測軟件，不間斷地進行探測非法外聯(lián)及入侵行為，并能迅速及時地報告安全管理中心。探測非法外聯(lián)和入侵行為并及時報告安全管理中心所需要的措施：非法外聯(lián)設(shè)備、IPS、防火墻、IDS、審計類產(chǎn)品、安全管理中心。

通信網(wǎng)絡(luò)安全審計：在安全通信網(wǎng)絡(luò)通道口設(shè)置必要的審計機制，由安全管理中心集中管理，并對分析和確認的數(shù)據(jù)違規(guī)行為及時報警處理。需要的措施：在安全通信網(wǎng)絡(luò)設(shè)置審計機制、由安全管理中心集中管理、需要審計類產(chǎn)品、安全管理中心。

運維安全：考慮主要應(yīng)用系統(tǒng)的審計策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件；主要應(yīng)用系統(tǒng)當前審計區(qū)域是否覆蓋到所有用戶；主要應(yīng)用系統(tǒng)審計過程中所記錄的信息應(yīng)該包括事件發(fā)生的日期與時間、觸發(fā)安全事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的數(shù)據(jù)源頭及事件可能造成的結(jié)果等內(nèi)容；可通過非法終止審計功能或通過修改其審計配置等測試主要應(yīng)用系統(tǒng)，來驗證其審計的進程能否受到保護；在應(yīng)用系統(tǒng)上試圖產(chǎn)生一些重要的安全相關(guān)事件，測試應(yīng)用系統(tǒng)是否對其進行了審計，驗證應(yīng)用系統(tǒng)安全審計的覆蓋情況和記錄情況與要求和要達到的目標是否一致；可以通過非授權(quán)的方法刪除、修改或覆蓋審計記錄來測試應(yīng)用系統(tǒng)，驗證安全審計的保護情況與所要求的安全是否一致。安全審計應(yīng)記錄應(yīng)用程序運行過程中與安全相關(guān)的事件；安全審計還可以對一些特定事件提供指定方式、指定日期的實時報警；審計的整個進程應(yīng)受到保護，避免在受到其它因素干擾的情況下而發(fā)生的中斷；審計所記錄的數(shù)據(jù)應(yīng)受到保護避免受到人為的刪除、修改或覆蓋等；安全審計應(yīng)根據(jù)信息系統(tǒng)要求結(jié)合網(wǎng)絡(luò)環(huán)境及上級要求統(tǒng)一的設(shè)置安全策略，實現(xiàn)集中審計。需要的措施：堡壘機、審計類產(chǎn)品。

主機和應(yīng)用訪問控制：應(yīng)用系統(tǒng)是否采取身份標識和鑒別措施；操作規(guī)程和操作記錄是否有添加、刪除用戶和修改用戶權(quán)限的操作規(guī)程、操作記錄和審批記錄；應(yīng)用系統(tǒng)應(yīng)采用了兩種及兩種以上的身份鑒別技術(shù)來進行身份鑒別；是否提供身份標識功能給主要應(yīng)用系統(tǒng)；應(yīng)用系統(tǒng)用戶的身份標識應(yīng)具有唯一性；有對同一用戶采取兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)對用戶的身份鑒別；有對系統(tǒng)登錄的用戶進行身份標識和鑒別功能；系統(tǒng)用戶的身份信息鑒別至少有一種是能偽造的，可以通過公私鑰對、生物特征等技術(shù)手段作為身份鑒別的方法；對系統(tǒng)登錄次數(shù)是否具有限制功能；是否設(shè)置了用戶登錄連接超時，若超時將自動退出。需要的措施：堡壘機、審計類產(chǎn)品。

網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護：可以采用的方法是由密碼技術(shù)支持的完整性校驗機制或具有相當安全強度的其它安全機制，用來實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中的完整性保護，在發(fā)現(xiàn)完整性遭到破壞時能進行恢復(fù)。需要的措施：采用由密碼技術(shù)支持的完整性校驗機制或具有相當安全強度的其他安全機制、發(fā)現(xiàn)完整性破壞時進行恢復(fù)、完整性校驗工具。

管理制度：是否建立了由安全政策、安全策略、管理制度、操作規(guī)程等層面構(gòu)成的安全管理體系；信息安全工作的政策性文件中，機構(gòu)安全工作的總體目標、范圍、方針、原則、責任等是否明確，信息系統(tǒng)的安全策略是否明確；各項安全管理制度，是否覆蓋到物理設(shè)備、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；是否具有安全管理操作的操作規(guī)程，如用戶操作規(guī)程和系統(tǒng)維護手冊等。

制定和發(fā)布：負責安全管理制度制定的部門；安全管理制度的制定程序及發(fā)布方式，是否對制定的安全管理制度進行過論證和審定，論證和評審方式如何，是否按照統(tǒng)一的格式標準或要求制定；是否有安全規(guī)章制度更新記錄，版本變更記錄；制度是否注明適用和發(fā)布范圍，是否有版本的標識，是否有管理層面的簽字或單位蓋章；管理與運維體系，其文件覆蓋物理設(shè)備、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等各個層面。

2 解決方案的收益

（1）通過該解決方案符合了規(guī)范化要求，例如：通過等級保護方案的實施等強制要求，獲得上級監(jiān)管部門（公安局網(wǎng)監(jiān)、省市信息安全主管部門）的認可。上級安全主管部門明確要求各高校加強上網(wǎng)行為的管理和審計，通過該系統(tǒng)的建設(shè)和完善能夠滿足上級網(wǎng)絡(luò)安全檢查的要求。

（2）高校各業(yè)務(wù)系統(tǒng)確實得到安全保障，校園一卡通、數(shù)字圖書、試題庫、分數(shù)查詢系統(tǒng)、辦公系統(tǒng)、人事及檔案信息等重要的資源免受黑客入侵。

（3）學(xué)校官方網(wǎng)站及部門網(wǎng)站.安全性得到加強，基本上杜絕互聯(lián)網(wǎng)上對網(wǎng)頁及網(wǎng)站系統(tǒng)惡意的攻擊掛馬甚至內(nèi)容的篡改，使網(wǎng)站能夠在日常的運行中提供高質(zhì)量的安全服務(wù)。

（4）上網(wǎng)行為得到規(guī)范，通過上述辦法提高了用戶安全意識，網(wǎng)絡(luò)信息資源的利用率得到提高，規(guī)避和避免了惡意攻擊帶來的社

參考文獻

[1] 李洪民.高校校園網(wǎng)絡(luò)安全及保護建設(shè)方案[J].數(shù)字技術(shù)與應(yīng)用，2016（4）：196-198.

[2] 胡建龍.校園網(wǎng)絡(luò)安全問題及防護措施[J].科技信息，2010（25）：515-516.