论文部分内容阅读
【摘要】分析了高校校园网信息安全的现有问题,阐述了高校校园网信息安全的体系化建设,以及需要重点防护的内容。
【关键词】校园网;信息安全;重点防护
1.引言
高校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等。在支撑高校业务运营、发展的同时,网络和信息系统面临的信息安全威胁也在不断增长,被发现的脆弱性或弱点越来越多,信息安全风险日益突出。面临的主要安全威胁有:网页被挂马被篡改,网站被DDOS攻击,黑客入侵校园作为跳板,网络病毒层出不穷传播迅速,敏感信息泛滥,用户信息安全意识淡薄等。
2.高校信息安全防御策略
病毒传播、黑客的攻击并不是一个静态的过程,也就要求网络安全防护系统是动态的、整体的,要真正实现一个系统的安全,就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系。高校的信息安全保障方案需要从体系化的角度,全面、整体、长期地满足高校安全保障的要求;由于人员、资金、资源等方面的限制,安全建设总是要求将有限的资源用在“刀刃”上,区分高校的业务系统进行重点防护是必要的;体系化建设结合重点保护的策略,是高校信息安全建设的最优选择。
2.1 校园信息安全体系化建设
如图1所示,体系化建设通常需要从信息安全组织体系、管理体系、技术体系三个方面着手建立统一的安全保障体系,力保网络信息安全;组织体系着眼于人员组织架构,像岗位设置、职责授权、人员任用、绩效考核等;管理体系侧重在制度的梳理,制定高校安全计划并持续改进,制定运行、维护、监控制度,明确审计的内容和程序等;技术体系分成准备、预防、检测、保护、响应、监控、评价七个阶段,根据用户需求采用相应的安全防护技术。体系化建设亦须遵循PDCA原则,即是计划(Plan)、实施(Do)、检查(Check)、调整(Adjustment),并不断改善。体系化建设建议重点考虑遵循等保、分域管理、应急响应。
2.1.1 遵循等保
2009年11月,教育部为进一步加强教育系统信息安全工作,由办公厅印发《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号),决定在教育系统全面开展信息安全等级保护工作。等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和高校信息安全体系建设有效结合,设计一套符合高校需求的信息安全保障体系,是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。
2.1.2 分域管理
分域管理的根本目的是为了更好的保障高校业务信息系统的安全,保障高校业务的稳健运行,保障高校信息系统业务使命的顺利达成。将高校安全域划分如下:
技术支撑域:可以包括网络中心、数据中心、电教中心、图书馆等;负责高校信息化规划和建设,对高校信息基础设施进行管理,提供信息交流与服务。
学生域:可以包括招生办、学生处、就业中心、物业中心、各院系;主要针對学生从招生、入学、在校培养、毕业的全程管理。
教学域:包括研究生院、教务处、注册中心、各院系;开展教学活动及教学管理。
科研域:包括科研院、各院系;对全校科研项目管理。
财务资产域:包括财务处、审计处、实验室与设备处、房产处、各院系;负责学校所有的经费业务,全校国有资产管理,实验室及其设备管理、房产管理等。
校务职能域:涉及学校的人力资源、后勤保障、社会服务及发展决策等职能部门。
安全域的划分可以通过物理方式,即同一个安全域中的计算机接在同一个网络交换机上,也可以通过逻辑方式,即利用VLAN技术,同一个安全域中的计算机划分在同一个VLAN上。安全域之间的边界保护,可以通过使用三层交换机的访问控制列表(ACL)来实现,对保密要求高的安全域,与其它安全域之间的边界保护,应使用防火墙或入侵保护设备进行访问控制,以提高这些安全域的安全性。对于不同等级的安全域间通信,禁止高密级信息由高等级安全域流向低等级安全域。
2.1.3 应急响应
针对各种可能突发的信息安全事件,高校制订对应的应急响应预案,预案对响应的流程进行梳理,具有可操作性,并明确专人负责,预案对安全事件进行分类分级别,不同级别事件启动相应的流程,对应不同的组织人员响应,通过该方案使损失减到最小。
2.2 校园安全需要重点防护
高校信息业务系统众多,为了将有限的资源用在“刀刃”上,需要对重点的业务系统和区域进行防护。
2.2.1 重点防护之高校门户网站
高校网站已积聚了信息化建设中大量的信息资源,成为高校成熟的校务展示和应用平台。对高校的门户网站安全保护是必需的,可以周期性地进行漏洞扫描,及时发现高校门户网站中是否存在安全漏洞,并提供相应的修补建议。
在高校门户网站前部署一套WEB应用防护系统。高校网站系统往往包含门户、各院系的网站,因此WEB服务器较多,某一个院系的网站被入侵后,极易造成整个网站系统被渗透(跳转攻击方式),web防护系统可以对来自Web应用程序客户端的各类请求进行内容检测和验证,提供细粒度应用层DDoS攻击防护功能,确保访问流量的安全性与合法性;对非法的请求予以实时阻断,有效防止HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、跨站伪造(CSRF)、cookie篡改等,有效应对黑客攻击、网页挂马、敏感信息泄露等安全问题,充分保障高校网站各类Web应用的高可用性和可靠性。
2.2.2 重点防护之高校数据中心
数据中心作为高校信息化的心脏,运行着高校各种业务系统,保存着这些业务系统产生的敏感数据,如试卷、学生考试成绩、学籍学历数据、科研项目的研究成果等。 首先,在数据中心部署入侵防护系统。高校数据中心主要包含“一卡通”、OA、数据库、学籍学历管理系统等重要业务系统,针对高校内部网络用户访问数据中心的流量,提供针对性的实时检测和防御功能,过滤对服务器操作系统的攻击(缓冲区溢出攻击、恶意扫描、漏洞攻击等)、对数据库的攻击(SQL注入、缓冲区溢出攻击、植入式攻击等)、对业务系统应用程序的攻击等流量,入侵防护系统接收到数据中心外部的数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进数据中心内部,可以有效的阻斷对重要数据的恶意攻击,防止重要数据泄漏和更改。
其次,在数据中心区部署一套安全审计系统,对数据库的访问进行全程审计。数据中心的数据库包含重要的“一卡通”资金信息,因此数据的安全级别非常高,根据等级保护的要求,必须对重要业务数据进行审计,以便日后追查取证。审计系统应可以提供全面细粒度的敏感信息审计功能,系统支持基于时间、用户、协议、内容等多种条件组合的信息审计策略,实时审计高校用户对数据库系统所有操作(如:插入、删除、更新、用户自定义操作等),精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,实现数据库安全事件准确全程跟踪定位,提供实时告警、信息还原功能,对机密信息外泄、越权访问等行为及时响应处理,对事后追查取证提供有力支持。
2.2.3 重点防护之高校网络中心
在高校网络出口部署高性能防火墙。防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
在高校网络出口部署内容安全管理系统:互联网上存在各类高风险、不良、低俗、反动的网站,吸引校园内的学生访问。内容安全管理系统采用深度智能内容分析和协议识别等技术,提供全面精细的网页过滤、敏感信息监控、全程网络行为监管及网络流量分析管理,实现动态、多层次的网络内容安全管理,帮助高校打造绿色安全的上网环境;可以灵活监控管理各种上网行为,如即时通讯、论坛发贴等,避免学生发表过激的言论;可以全面管理分配各种网络应用带宽,如限制迅雷、BT、PPLIVE、网络游戏、炒股、在线视频等网络流量使用,保证高校核心业务带宽,(下转第158页)(上接第154页)提高高校网络资源利用效率。
3.结束语
综上所述,高校信息安全的防范是一个长期性和系统性的工程,要求各个高校在信息化的建设进程中,全面综合考虑各项因素,持续性的增加投入,制定科学合理的校园网络安全管理策略,加强网络安全的各项维护技术,不断拓宽网管人员的视野和知识面,不断增加用户的安全意识,构建一个安全高效的校园网,进而更好的服务学校的教学和科研工作。
参考文献
[1]王洪礼.计算机网络安全的现状和防范[J].信息安全与技术,2012,3(4):13-14.
[2]许美玉.校园网安全建设的研究[J].中国电子商务,2013(3):52.
[3]韩秀石,李晓梅.网络安全问题探讨[J].科技致富向导,2013(30):48-48.
作者简介:周忠华(1978—),男,湖南益阳人,工学硕士,实验师,研究方向:计算机网络。
【关键词】校园网;信息安全;重点防护
1.引言
高校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等。在支撑高校业务运营、发展的同时,网络和信息系统面临的信息安全威胁也在不断增长,被发现的脆弱性或弱点越来越多,信息安全风险日益突出。面临的主要安全威胁有:网页被挂马被篡改,网站被DDOS攻击,黑客入侵校园作为跳板,网络病毒层出不穷传播迅速,敏感信息泛滥,用户信息安全意识淡薄等。
2.高校信息安全防御策略
病毒传播、黑客的攻击并不是一个静态的过程,也就要求网络安全防护系统是动态的、整体的,要真正实现一个系统的安全,就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系。高校的信息安全保障方案需要从体系化的角度,全面、整体、长期地满足高校安全保障的要求;由于人员、资金、资源等方面的限制,安全建设总是要求将有限的资源用在“刀刃”上,区分高校的业务系统进行重点防护是必要的;体系化建设结合重点保护的策略,是高校信息安全建设的最优选择。
2.1 校园信息安全体系化建设
如图1所示,体系化建设通常需要从信息安全组织体系、管理体系、技术体系三个方面着手建立统一的安全保障体系,力保网络信息安全;组织体系着眼于人员组织架构,像岗位设置、职责授权、人员任用、绩效考核等;管理体系侧重在制度的梳理,制定高校安全计划并持续改进,制定运行、维护、监控制度,明确审计的内容和程序等;技术体系分成准备、预防、检测、保护、响应、监控、评价七个阶段,根据用户需求采用相应的安全防护技术。体系化建设亦须遵循PDCA原则,即是计划(Plan)、实施(Do)、检查(Check)、调整(Adjustment),并不断改善。体系化建设建议重点考虑遵循等保、分域管理、应急响应。
2.1.1 遵循等保
2009年11月,教育部为进一步加强教育系统信息安全工作,由办公厅印发《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号),决定在教育系统全面开展信息安全等级保护工作。等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和高校信息安全体系建设有效结合,设计一套符合高校需求的信息安全保障体系,是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。
2.1.2 分域管理
分域管理的根本目的是为了更好的保障高校业务信息系统的安全,保障高校业务的稳健运行,保障高校信息系统业务使命的顺利达成。将高校安全域划分如下:
技术支撑域:可以包括网络中心、数据中心、电教中心、图书馆等;负责高校信息化规划和建设,对高校信息基础设施进行管理,提供信息交流与服务。
学生域:可以包括招生办、学生处、就业中心、物业中心、各院系;主要针對学生从招生、入学、在校培养、毕业的全程管理。
教学域:包括研究生院、教务处、注册中心、各院系;开展教学活动及教学管理。
科研域:包括科研院、各院系;对全校科研项目管理。
财务资产域:包括财务处、审计处、实验室与设备处、房产处、各院系;负责学校所有的经费业务,全校国有资产管理,实验室及其设备管理、房产管理等。
校务职能域:涉及学校的人力资源、后勤保障、社会服务及发展决策等职能部门。
安全域的划分可以通过物理方式,即同一个安全域中的计算机接在同一个网络交换机上,也可以通过逻辑方式,即利用VLAN技术,同一个安全域中的计算机划分在同一个VLAN上。安全域之间的边界保护,可以通过使用三层交换机的访问控制列表(ACL)来实现,对保密要求高的安全域,与其它安全域之间的边界保护,应使用防火墙或入侵保护设备进行访问控制,以提高这些安全域的安全性。对于不同等级的安全域间通信,禁止高密级信息由高等级安全域流向低等级安全域。
2.1.3 应急响应
针对各种可能突发的信息安全事件,高校制订对应的应急响应预案,预案对响应的流程进行梳理,具有可操作性,并明确专人负责,预案对安全事件进行分类分级别,不同级别事件启动相应的流程,对应不同的组织人员响应,通过该方案使损失减到最小。
2.2 校园安全需要重点防护
高校信息业务系统众多,为了将有限的资源用在“刀刃”上,需要对重点的业务系统和区域进行防护。
2.2.1 重点防护之高校门户网站
高校网站已积聚了信息化建设中大量的信息资源,成为高校成熟的校务展示和应用平台。对高校的门户网站安全保护是必需的,可以周期性地进行漏洞扫描,及时发现高校门户网站中是否存在安全漏洞,并提供相应的修补建议。
在高校门户网站前部署一套WEB应用防护系统。高校网站系统往往包含门户、各院系的网站,因此WEB服务器较多,某一个院系的网站被入侵后,极易造成整个网站系统被渗透(跳转攻击方式),web防护系统可以对来自Web应用程序客户端的各类请求进行内容检测和验证,提供细粒度应用层DDoS攻击防护功能,确保访问流量的安全性与合法性;对非法的请求予以实时阻断,有效防止HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、跨站伪造(CSRF)、cookie篡改等,有效应对黑客攻击、网页挂马、敏感信息泄露等安全问题,充分保障高校网站各类Web应用的高可用性和可靠性。
2.2.2 重点防护之高校数据中心
数据中心作为高校信息化的心脏,运行着高校各种业务系统,保存着这些业务系统产生的敏感数据,如试卷、学生考试成绩、学籍学历数据、科研项目的研究成果等。 首先,在数据中心部署入侵防护系统。高校数据中心主要包含“一卡通”、OA、数据库、学籍学历管理系统等重要业务系统,针对高校内部网络用户访问数据中心的流量,提供针对性的实时检测和防御功能,过滤对服务器操作系统的攻击(缓冲区溢出攻击、恶意扫描、漏洞攻击等)、对数据库的攻击(SQL注入、缓冲区溢出攻击、植入式攻击等)、对业务系统应用程序的攻击等流量,入侵防护系统接收到数据中心外部的数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进数据中心内部,可以有效的阻斷对重要数据的恶意攻击,防止重要数据泄漏和更改。
其次,在数据中心区部署一套安全审计系统,对数据库的访问进行全程审计。数据中心的数据库包含重要的“一卡通”资金信息,因此数据的安全级别非常高,根据等级保护的要求,必须对重要业务数据进行审计,以便日后追查取证。审计系统应可以提供全面细粒度的敏感信息审计功能,系统支持基于时间、用户、协议、内容等多种条件组合的信息审计策略,实时审计高校用户对数据库系统所有操作(如:插入、删除、更新、用户自定义操作等),精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,实现数据库安全事件准确全程跟踪定位,提供实时告警、信息还原功能,对机密信息外泄、越权访问等行为及时响应处理,对事后追查取证提供有力支持。
2.2.3 重点防护之高校网络中心
在高校网络出口部署高性能防火墙。防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
在高校网络出口部署内容安全管理系统:互联网上存在各类高风险、不良、低俗、反动的网站,吸引校园内的学生访问。内容安全管理系统采用深度智能内容分析和协议识别等技术,提供全面精细的网页过滤、敏感信息监控、全程网络行为监管及网络流量分析管理,实现动态、多层次的网络内容安全管理,帮助高校打造绿色安全的上网环境;可以灵活监控管理各种上网行为,如即时通讯、论坛发贴等,避免学生发表过激的言论;可以全面管理分配各种网络应用带宽,如限制迅雷、BT、PPLIVE、网络游戏、炒股、在线视频等网络流量使用,保证高校核心业务带宽,(下转第158页)(上接第154页)提高高校网络资源利用效率。
3.结束语
综上所述,高校信息安全的防范是一个长期性和系统性的工程,要求各个高校在信息化的建设进程中,全面综合考虑各项因素,持续性的增加投入,制定科学合理的校园网络安全管理策略,加强网络安全的各项维护技术,不断拓宽网管人员的视野和知识面,不断增加用户的安全意识,构建一个安全高效的校园网,进而更好的服务学校的教学和科研工作。
参考文献
[1]王洪礼.计算机网络安全的现状和防范[J].信息安全与技术,2012,3(4):13-14.
[2]许美玉.校园网安全建设的研究[J].中国电子商务,2013(3):52.
[3]韩秀石,李晓梅.网络安全问题探讨[J].科技致富向导,2013(30):48-48.
作者简介:周忠华(1978—),男,湖南益阳人,工学硕士,实验师,研究方向:计算机网络。