甘肅電大校園網等級要求下安全體系建設

魯 江，陳秀蘭

（甘肅廣播電視大學 理工農醫學院，甘肅 蘭州 730030）

甘肅電大是以網絡平臺為基礎的遠程教育體系，最初的網絡平臺提供的服務比較單一，學生在省校、分校和中央電大在線平臺進行注冊和學習，安全問題還不是很突出。但隨著校園網絡的不斷發展，提供的服務越來越多，如在線點播、云教室授課、校園內無線網全覆蓋等，教師的日常工作、科研等都離不開校園網。采用傳統的防火墻和殺毒軟件，已經無法滿足網絡的安全和對重要數據的保護，所以，對校園網絡進行分析，全面查找網絡存在的漏洞，提出符合實際的解決方案，才能構建安全網絡體系。

一、等級保護制度及我校的等級保護現狀

根據國家《關于印發〈信息安全等級保護管理辦法的通知〉（公通［2007]43 號）和教育部辦公廳印發的《教育行業信息系統安全等級保護定級工作指南（試行）》，要求全國各高校根據自己的實際情況，按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，對甘肅電大的信息系統的安全等級進行分析［1]。

甘肅電大根據等級保護國家信息安全建設的重要政策，對信息系統分等級、全盤統一部署兼顧適度風險，從業務的角度考慮，保護重要學習平臺、教務系統、科研類信息系統，根據服務對象和發布方式將其進行了等級劃分。

第一類，學生考試平臺、學習平臺及教務系統，其中包括終結性考試、行考作業、精品課程、網絡核心課程、學生注冊信息、繳費平臺等。

第二類，學校網，主要包括宣傳網站、期刊網站、各院處網站、甘肅電大學報等。

第三類，校內服務系統，如電子郵件、OA 系統、VPN、雙向視頻系統等。

參照等級保護二級的標準來構建網絡安全體系，從其定義可以看到，等級保護高度關注學校的利益和數據安全，學校的網絡系統一旦被不法分子入侵對社會及信息安全將造成嚴重威脅，因此學校信息系統至少應該滿足二級的標準［2]。

甘肅廣播電視大學校園網的建設經歷了從無到有、從簡單到復雜的過程。20世紀90年代校園網絡資源和信息系統較為貧乏，經過多年的建設和安全制度的不斷完善，甘肅電大建設了一個中心機房，安裝服務器和交換機數量超過二百臺，存儲資源超過120 T，出口帶寬500M，校園網的骨干區域為10 000 M核心網絡，校園網的建設基本完成。目前網絡管理面臨異構環境、業務融合、規范管理等問題，中心機房的安全運行需要考慮基礎設施、技術發展、業務運行、服務等各種要素，采用統一智能管理平臺，實現中心機房高可靠、自動化、24×7無人值守、可遠程的智能化科學化管理。在這樣的安全防護下，防止信息資源泄露，保障校園網的信息系統正常運行同樣是網絡安全面對的首要問題。

二、校園網絡安全威脅

校園網中各種網絡設備如交換機、路由器、無線控制器等，存在固有的或配置的各種提供服務網絡平臺的操作系統，其自身也存在系統漏洞和缺陷，入侵者會利用這些漏洞進行非法操作。另外，在實際應用中，要采用相應的訪問控制和授權機制，配置安全策略。任何設備都是有人來控制和操作的，管理人員的素質和業務能力都會給網絡帶來安全隱患。

校園網絡拓撲結構如圖1所示。

圖1 甘肅電大校園網拓撲結構圖

三、網絡中潛在安全威脅

第一，來自“外部”的入侵。校園網絡提供的各種服務需要發布到Internet網上，這樣容易受到黑客的攻擊。

第二，非授權訪問。黑客可以通過各種手段對系統設備及資源進行非正常使用，擴大權限，非法訪問信息。

第三，冒充合法用戶。黑客通過采用假冒主機欺騙合法用戶，修改口令、用戶權限、密鑰等信息，達到欺騙系統，從而達到侵占用戶資源的目的。

第四，破壞數據的完整性。黑客采用非法手段對竊取的信息進行更改、刪除、以干擾合法用戶的正常使用。

第五，數據篡改與丟失。黑客一旦入侵了學校網絡，他們往往會針對重要信息進行竊取、篡改和破壞，保護好核心業務數據的完整性、可靠性、保密性及不可抵賴性是我們需要考慮的重點。

第六，破壞系統的可用性。黑客對提供的服務系統進行干擾，影響系統的正常作業流程，病毒一旦入侵系統，會使系統運行速度變慢甚至癱瘓。

第七，網絡病毒。網絡病毒對整個網絡的威脅越來越大。

第八，來自內部人員的威脅。內部員工的終端與Internet 相連，其計算機容易遭到黑客的攻擊，黑客就可以利用它作為跳板，攻擊重要的服務器［3]。

四、解決方案

通過對現有網絡的分析，根據二級等級保護要求，從信息安全、數據安全、網絡安全、更加嚴格的訪問機制等方面進行綜合考慮，提出以下解決方案。

（一）整體網絡架構

1.我校教育大廈和旅游大廈校區與核心交換機之間建議部署訪問控制設備，避免未授權的用戶通過教育大廈與旅游大廈訪問核心交換機；

2.對無線網絡區增加訪問控制粒度；

3.加強應用服務域的安全機制，增添“WEB防火墻”中入侵檢測、惡意代碼防范、防病毒等功能；

4.各區域之間加強無線網絡區與其他網絡區域之間的訪問控制粒度；

5.解決整體的網絡架構存在的缺陷，互聯網接入域以及核心交換域應采取雙機冗余設備的方式，避免因一臺設備的故障從而引起全網網絡故障；

6.在網絡中訪問控制設備應具有對數據提供運行/拒絕訪問的能力，控制粒度應能達到網段級；

7.應能夠限制網絡連接數以及最大流量；

8.應在網絡中部署惡意代碼防范設備，并且能夠及時得對惡意代碼進行檢測和清除。

（二）設備功能方面

1.登錄設備時能夠進行身份甄別；

2.應能夠在會話處于非活躍狀態下限定連接時間并且終止連接；

3.對設備的運行狀況的有日志記錄并保存；

4.設備應具有登錄失敗后的處理功能，能夠限制登錄次數及時結束會話和網絡連接超時退出等措施；

5.當進行遠程管理時，采取必要的加密措施防止信息在網絡傳輸過程中被截取；

6.網絡設備操作系統及應用程序應遵循最小安裝原則，只安裝需要的組件；

7.應加強對系統服務的管理、關閉默認共享和高危端口等；

8.應能及時發現設備可能存在的漏洞，并且及時的修補。

（三）設備性能方面

1.核心設備及服務器的業務處理能力具備冗余，以滿足業務高峰期的需要；

2.整體網絡架構具有冗余，避免關鍵節點存在故障；

3.對重要的教學資源應有備份，存儲設備應有冗余［4]。

（四）校園網硬件設備

根據現有設備使用情況以及需滿足二級等級保護要求增加設備。

1.終端殺毒設備。網絡結構中的所有終端設備需安裝防病毒軟件，且防病毒軟件必須為最新，病毒庫必須更新至最新，對防病毒軟件進行統一管理和及時升級等；

2.虛擬化服務器間安全網關。目前所有的服務器部署采用虛擬化平臺，各個平臺之間需要具有安全防護措施，避免由于一臺虛擬主機出現安全事件而影響其他的虛擬服務器；

3.智能DNS設備。目前網絡結構中部署有一臺智能DNS，但設備已老化，數據處理方面存在不足，對現有的智能DNS設備進行升級，能夠判斷訪問者的IP地址并解析出對應的IP地址，對于非法的IP用戶禁止訪問服務器。

4.堡壘機。由于網絡中設備、服務器等繁多，設置堡壘機可以實現統一的分配賬戶以及集中的管控，粗放權限管理、運維賬號混用、賬號的管理無序等問題，避免了潛在的風險，通過部署堡壘機設備，用唯一身份標識的可以對多臺設備進行維護，確保用戶擁有的權限是完成任務所需的最小權限，防止非法、越權訪問事件發生[5]。

5.漏洞掃描設備、WEB 漏洞掃描設備。從當前的網絡結構中分析得出，整體網絡中未部署漏洞掃描設備以及WEB漏洞掃描設備，無法定期進行漏洞掃描，無法及時發現和修補系統安全漏洞，這樣就會存在未授權人員利用漏洞攻擊信息系統的風險。建議部署漏洞掃描設備以及WEB 漏洞掃描設備，以全方位檢測IT 系統存在的脆弱性，解決安全配置問題及應用系統安全漏洞。通過強制修改系統存在的弱口令，關閉系統不必要開放的賬號和端口，停止不必要的服務，完善整體安全風險報告，幫助網絡管理人員及時發現WEB 漏洞，掃描設備用于發現網站的風險隱患，并及時采取有效的修補措施，降低風險、減少損失。

6.日志審計設備。根據當前網絡結構分析得知，網絡中未部署日志審計設備，無法對網絡中的所有設備、服務器等所產生的日志進行集中管理并分析生成審計報表，且日志的保存周期無法滿足《網絡安全法》規定的6個月，因此，應有部署日志審計設備，能夠針對大量分散設備的日志進行高效采集、統一管理、集中存檔，為安全事件的事后取證提供可靠的依據。

7.VPN 上網設備。根據網絡結構分析以及滿足業務運行情況，需部署一臺VPN 上網設備，可方便分校地區的用戶以及在放假休息期間及時查看網絡的運行狀況。

8.交換機。根據網絡結構分析得知，在教育大廈以及旅游大廈校區與核心交換機之間需部署一臺匯聚交換機，方便線路的部署以及訪問控制的限制，從而滿足業務的運行及安全方面的需求。

9.網絡安全制度建設。在系統安全的各項建設內容中，安全管理體系的建設是關鍵和基礎。通過有效的安全管理體系建設，最終實現采取集中控制、分級管理，建立完整的安全管理體系，能夠實現動態的、系統的、制度化的、以預防為主的安全管理模式，從而能夠提供全方位、多層次、快速有效的網絡安全防護。

五、總結

甘肅電大校園網按照國家信息安全保障體系建設的政策標準，按照等級保護的辦法及其相關標準規范落實，擔當起信息安全等級保護的責任。等級保護與國家利益和社會秩序緊密聯系，學校的信息系統如果被入侵或破壞后可能對社會秩序和公眾利益造成嚴重損害，影響學校的聲譽。網絡安全需要全體人員共同參與，加強專業維護人的業務水平及使用人員的安全意識，加強對相關人員定期進行安全方面的培訓，養成良好的上網習慣也非常重要［5］。