高校網絡信息安全建設淺談

干俊

摘要：隨著國家信息化建設的大力推進，在信息化內容爆炸式增長時期，針對校園網絡信息環境，提出了從安全的計算環境、安全的區域邊界、安全的通信網絡、安全的管理中心、安全的管理制度五個角度入手，有效阻隔不良信息，防止信息泄露，杜絕黑客入侵，營造一個良好的校園網絡信息環境。

關鍵詞：網絡;信息;安全;審計;管理

中圖分類號：TP393? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1009-3044（2019）01-0032-02

校園上網的主體是學生，思想活躍，對于新生事物充滿好奇。校園是思想政治和意識形態的主要陣地，境外的敵對勢力和其他有害青少年身心健康的內容和意識形態也針對學院進行了多種多樣的宣傳和蠱惑手段，而信息網絡這一高科技的產物，在給師生們的學習、生活帶來便利的同時也無一例外地成為一些有害思想和內容的重要傳播載體。學生正處于知識、思想快速汲取的階段，人生觀，價值觀還未定型，網絡用戶安全意識薄弱，沒有防范網絡攻擊的經驗;有些人崇拜黑客，一心想著如何進行網絡攻擊，而校園網則成為首要攻擊對象，如果沒有正確的引導很容易走上違法犯罪的道路。一方面是內部學生的嘗試性測試，利用黑客技術損害到校園網絡;另一方面是外部非法團體的惡意探測、攻擊，意圖盜取師生的個人信息，校園內部的財務數據，文件資料，非法買賣盈利;再一方面，就是境外非法勢力的蓄意破壞，重大活動期間宣告政治主張，篡改校園主頁惡意傳播不良信息等，給高校網絡帶來極大的安全隱患。

通過國家信息安全漏洞共享平臺（CNVD）漏洞庫提交的教育行業安全事件數據來看，安全風險主要來自三個方面，具體分析：

1）支撐平臺漏洞。以常見WEB發布平臺nginx，iis，apache，tomcat為例，某些版本存在缺陷，不能及時補漏，造成SQL注入、web文檔信息泄露。

2）web站點內容泄露。Web站點對外發布信息，由于操作員對敏感數據缺乏保護意識，造成不應發布的數據對外公開發布。學院主站，子站;教務系統、學工系統、招生就業平臺、圖書館等。

3）業務系統自身缺陷。以學院教務系統為例，由于采購時間較早，軟件版本較低，后期檢查時存在高危SQL注入漏洞、高危任意文件下載漏洞等。

在網絡信息安全事件頻發的大環境下，學院應該對網絡信息安全提高重視。

根據學院網絡信息安全自評結果，應從以下幾點加強管理：

1 安全的計算環境

計算環境的安全主要空間、主機、業務三個方面的安全風險組成，具體包括：物理機房安全、主機身份鑒別、業務訪問控制、軟件系統審計、惡意入侵防范、病毒代碼防范、系統軟硬件容錯、業務數據完整性與保密性、數據庫備份與恢復、資源環境合理控制、非活躍信息保護、行為管控等方面。

數據庫審計：缺少針對數據的審計設備，不能很好地滿足主機安全審計的要求，需要部署專業的數據庫審計設備。

運維堡壘機：未實現管理員對網絡設備和服務器管理時的雙因素認證，計劃通過部署堡壘機來實現。

主機審計：主機自身安全策略配置不能符合要求，計劃通過專業安全服務實現服務器整改加固。

備份與恢復：沒有完善的數據備份與恢復方案，需要采購數據備份系統并制定相關策略。

系統管理員：針對操作系統、業務系統、數據庫的用戶名/口令，制定安全策略復，訪問控制策略，限制登陸條件、超時鎖定、用戶權限，使得資源的訪問和操作處在可控范圍內。

2 安全的區域邊界

區域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。

邊界訪問控制：需要優化網絡結構，根據業務情況合理劃分安全域，合理劃分網段和VLAN;對于重要的信息系統的網絡設施采取冗余措施;訪問控制需要在構建安全計算環境的基礎上，依托防火墻等安全設備進行訪問控制。現網需要在邊界部署下一代防火墻實現邊界訪問控制，在各個重點安全域部署下一代防火墻來實現各安全域的重點隔離防護。

邊界入侵防范：現網沒有實現邊界攻擊防護，需要新增入侵防御系統/或新增下一代防火墻IPS功能模塊。

惡意代碼防范：主機惡意代碼防護通過部署終端病毒查殺軟件實現，網絡邊界惡意代碼防護需要部署下一代防火墻，開啟AV防病毒功能，并且要求網絡層與主機的惡意代碼庫不同。

防web應用層攻擊：現網目前未做應用層攻擊防護，計劃新增WEB應用防火墻和網頁防篡改系統。

互聯網出口安全審計：現網未實現對網絡行為進行精細化識別和控制，需要部署上網行為管理產品來保障網絡關鍵應用和服務的帶寬，對網絡流量、用戶上網行為進行深入分析與全面的審計。

邊界完整性保護：邊界沒有實現非法外聯，需要部署終端安全管理設備。

3 安全的通信網絡

通信網絡的安全性主要包括：網絡架構，網絡安全，安全審計，網絡通信設備保護，完整性和保密性。

網絡架構：網絡架構的合理性對網絡能否有效的承載業務起著關鍵性的作用。因此網絡架構設計初期就要考慮到設備的冗余性，提供網絡通信高可用性;足夠的數據帶寬處理能力，以滿足高峰期數據交換需求;并合理的劃分物理邊界和虛擬網段。

網絡安全：網管型網絡設備均要支持SSH加密訪問，并確保啟用，同時停用TELNET訪問。

安全審計：通過采集、存儲網絡通信數據，并通過相關智能技術對數據進行分析、識別，實現檢測通信內容、網絡行為，發現和捕獲各類敏感信息和違規行為。

網絡通信設備保護：加強設備所在空間的安全管理，加強設備間人員進出管理。

通信完整性和保密性：為確保專有網絡信息的安全，在進行數據訪問、操作時應通過專用的安全設備確保數據收發的一致性，完整性。并在傳輸過程中采取加密措施，能抵御非法的攻擊和篡改，確保數據安全性。

網絡審計：針對用戶訪問的網頁內、郵件、數據庫、即時通信等內容提供細粒度的審計。并有針對性的制定合規策略，實現非法行為的實時告警，規范用戶網絡應用行為。

4 安全的管理平臺

在網絡世界有句術語“三分技術、七分管理”，更是突顯了管理在網絡安全體系中的重要地位。除了安全產品、防范技術實施到位外，有效的安全管理更是保障安全技術落實到位的手段，安全管理平臺是實現安全管理的支撐平臺。

安全綜合管理平臺，可以將網絡設備、安全設備、業務系統等相關報警日志統一記錄，并對日志進行識別、分析。進行單一日志縱向分析，關聯日志橫向對比。發現潛在的攻擊征兆和安全趨勢，確保任何安全事件、事故得到及時的響應和處理。

5 安全的管理制度

從等保思想出發，技術雖然重要，但人才是安全等級保護的重點，因此除了技術措施，工藝美院還需要運用現代安全管理原理、方法和手段，從技術上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發生。需要優化安全管理組織，完善安全管理制度，制定信息系統建設和安全運維管理的相關管理要求，規范人員安全管理。

從以上五方面入手，可以有效阻隔不良信息，防止信息泄露，杜絕黑客入侵，提高高校網絡信息安全管理水平，降低信息安全事件發生概率。營造安全、規范的網絡信息使用環境，為學院的信息化建設奠定安全基石。