文/梁艺军

中国人民大学： 信息安全等级保护下的校园网络安全建设

文/梁艺军

学校网络现状

信息化是当前学校的教学、科研和校园生活的基本环境，网络是环境中的基础，高校已经无法离开网络而独自存在，具体的有以下几个特点：

1.攻击来源多样：虽然攻击多数是外部IP发起的，但是最危险的是内部的渗透。

2.构造复杂：由于需求的原因，网络复杂，不亚于一个小型城市的布局，虽然近期多数学校采用扁平化部署，但依然要面对5位数的信息节点、各种子网接入等。

3.功能多样：不只是上网，还担负着校内信息化管理、教学辅助，校园生活、游戏等功能要求。

4.人员的多样性：使用网络的人员复杂多样，安全策略需要满足职工、学生、临时人员等要求。

5.网络安全设置：目前校园网络未全面考虑安全问题，笔者还未能发现有学校将校园整体网络进行信息安全等级保护级别的认定。

由于网络问题而引起的群体不满会导致群体投诉事件，符合信息安全等级保护的范畴，因此只有解决了这些问题，才能真正使计算机网络为教育教学服务。有必要将校园网络置于信息安全等级保护下，使得网络安全符合信息安全等级保护的标准，解决网络安全问题。

必要性

基于以下因素，我们建议将校园网（或校园骨干网）按照信息安全等级保护进行定级，级别不低于校内信息系统的最高级别。

1.校园网是学校信息化基础，对信息系统的安全等级保护无法与学校校园网的需求很好地吻合，同时，校园网面临的攻击等问题也需要在网络层面具体的解决。

2.信息系统的安全等级保护，虽然也涉及到校园网络，但只针对与本信息系统相关的局部，无法提供整体的校园网安全保护规划和行为。

3.仅仅从网络架构出发考虑网络的架构，已经不能满足如今业务的需求。TCP/IP协议在设计之初的缺陷逐渐显露出来，其对于管理和优化方面的功能缺失，必须由合理的要求和标准进行补足。

4.将校园网络置于信息安全等级保护下，使得网络安全的设置标准等同信息安全等级保护的标准，既有国家标准，又可以有的放矢。

指导原则

以网络安全角度考虑，为了满足校园网的信息安全等级保护，在网络建设中要遵循以下原则：

结构扁平化：校园网一方面利用核心设备的强大功能尽量减少汇聚层设备，另一方面接入层和楼宇汇聚以下以二层交换接入到核心设备，在核心上做路由。

图1 校园网安全技术架构

功能区别化：根据学校网络与信息系统各节点的网络结构、具体的应用，依据信息安全等级保护的需求，可以考虑使用逻辑隔离技术（VLAN或防火墙技术）将整个学校的网络系统划分为多个安全域，实现不同安全域之间的隔离，形成区域边界，加强安全防护信息，防护来自域之外的安全风险；同时可以降低维护成本，形成安全良好的维护机制，降低整体网络风险将校园网络整体的风险降低为域内风险（比如经常发生的DOS饱和攻击）。

流量管理精细化：管理人员进行全网流量监测，采集不同时段不同网段的流量，通过流量趋势分析获得丰富的流量信息，制定规划、优化和策略。使有限的设备和出口带宽发挥最大的效用。

安全管理精细化：由于经费等限制不可能在所有网域全面部署安全设备，因此应认真探索安全工作精细化管理的管理模式、人员分工、设备配置等。

用户管理严格化：严格管理用户账号控制网络访问安全为了控制网络访问安全，取消组用户网络访问权，将账号按功能分开，严格密码操作规范，并记录访问内容。

用户行为规范化：制定管理规范，除了上网人员要遵守国家法律法规和学校纪律外，还要考虑到网络管理员行为的规范。

建立网络安全的技术框架

提到校园网安全建设，我们一方面要考虑校园信息化发展现状，针对教学系统、应用管理系统、服务系统，大数据、辅助业务等应用系统对网络的要求；另一方面还要从校内核心用户，比如：教师、学生、服务人员的角度出发；充分结合各种网络构成部分，比如：一卡通专网、财务专网、校园骨干网、校园汇聚网、校园接入网等组成部分，综合评级并制定学校校园网安全等级保护要求。

图1所示技术框架适用于指导不同校园网安全保护等级的安全建设和监督管理。

建立网络安全的管理体系

在实施网络安全建设中，要管理先行。安全体系管理层设计主要依据《信息系统安全等级保护基本要求》（以下简称“基本要求”）中的管理要求而设计。分别从以下方面进行设计：

安全管理制度

根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具体有可操作性，且必须得到有效推行和实施的制度。制定严格的制定与发布流程、方式和范围等。定期对安全管理制度进行评审和修订，修订不足及时进行改进。

安全管理机构

根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责；设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员；建立授权与审批制度；建立内外部沟通合作渠道；定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。

人员安全管理

根据基本要求制定人员录用、离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。

系统建设管理

根据基本要求制定系统建设管理制度，包括：系统定级、安全方案设计、产品采购和使用、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择等方面。从工程实施的前、中、后三个方面，从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。

系统运维管理

根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行统一、高效的系统运维。包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理，安全事件处置、应急预案管理等，使系统始终处于相应等级的安全状态中。

信息安全等级保护是国家层面的安全标准和强制性要求，具有普遍性的指导意见，但对于学校还有些无法落地的内容，尤其是网络环境，需要我们具体化，并能够突出校园网络的特殊安全防护需求，为保障学校网络运行使用的安全建设整改提供明确指导。

（作者单位为中国人民大学信息技术中心）

大数据与网络：机遇还是灾难？

根据IDC 的数据显示，在亚太地区，大数据技术和服务市场的价值将得到提升，与2012年的仅有5.48亿美元相比，2017年这一价值将上升为20亿美元。随着所谓的物联网的触须（即设备）不断进入消费者生活的新领域，将会有更多数据被生产出来。例如，即使是在电话与家庭安全系统之间最简单的连接也会产生需要存储在某个地方的数据。2015年，这个趋势将产生三种结果：我们需要新技术来分析这些数据，需要必要的网络基础设施以利用这些数据，还需要安全技术来保护这些数据。服务提供商和企业将重新思考他们构建网络以应对数据雪崩的方式，因此市场对数据技术人员的需求将达到顶峰。