高职院校校园网信息安全防护体系研究
2016-12-07赖金志
赖金志
(广东轻工职业技术学院,广东 广州 510300)
高职院校校园网信息安全防护体系研究
赖金志
(广东轻工职业技术学院,广东 广州 510300)
高职院校校园网是一个复杂的网络,在支撑学校业务运营、发展的同时,面临的信息安全风险日益突出,成为学校管理急需解决的问题之一。本文分析了高职院校校园网的网络特点和信息安全现状,提出在校园网构建“等级保护,区域隔离,突出核心,纵深防御”的信息安全防护体系,并结合实践进行了探讨和分析,为校园网信息安全防护工作提供必要的参考。
高职院校;校园网;信息安全;防护体系
1 引言
随着我国学校信息化建设的逐步深入,目前高职院校的教学、科研和校园生活对信息系统依赖的程度越来越高。校园网络中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。在享受信息化带来的便利的同时,由于业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,校园网信息安全防护体系建设已经成为不容忽视的重要问题。
2 高职院校校园网特点
2.1 承载的业务需求多样
校园网不只是满足教职工上网需求,还担负着校内信息化管理、教学辅助、校园生活、游戏等业务需求,运行着包括网站、校园一卡通系统、教务管理系统、财务管理系统和招生就业系统等多个信息系统。
2.2 使用的人员类型多样
使用校园网的人员复杂多样,包括学生、教师、管理者,用户数量多、相对分散、流动性强。
2.3 接入的计算机终端多样
接入校园网的学生个人电脑是自己购买和维护的,大多使用盗版软件或者是在互联网上下载的一些破解软件,难以实施统一的安全策略来进行管理。
3 校园网信息安全现状
3.1 缺少有效的安全防护措施
目前大部分高职院校对信息安全的认识不足,校园网没有统一规划系统性的安全解决方案,缺少有效的安全防护措施,没有对内部网和外部网进行有效的隔离,完全依赖主系统的安全性。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有采取一定的防护措施,随时有可能造成网内病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
3.2 存在大量的安全漏洞
由于学校网站掌握着大量集中性人群的个人信息,已成为信息安全“黑市”交易的香饽饽。据补天漏洞响应平台查询数据显示,很多高职院校网站存在大量信息安全漏洞,其中绝大多数为高危漏洞,一旦不法分子利用这些漏洞,就可以轻而易举地入侵邮件系统,获取科研项目和机密文件,篡改网页,植入任意内容,控制大量电脑并侵入校园网络,发动APT(进阶持续性威胁)攻击,窃取账号密码等个人信息等[1]。
3.3 人员信息安全意识和技能薄弱
总体上校园用户信息安全意识淡薄,自我保护意识和能力不够,网络病毒层出不穷,传播迅速;校园里的学生好奇心强,喜欢尝试新鲜事物,发表敏感言论,传播小道消息,尝试使用黑客工具在校园网发动攻击。
4 校园网信息安全防护体系研究
由于高职院校校园网的网络特点和严峻的信息安全现状,使用单一的安全防护系统或简单堆砌各种安全产品并不能保证信息安全,必须从系统性、整体性的观点出发,在校园网内构建“等级保护,区域隔离,突出核心,纵深防御”的信息
安全防护体系,如图1所示。
图1 高职院校校园网信息安全防护体系
4.1 等级保护
根据公安部、教育部对信息系统安全等级保护的要求,建立健全等级保护工作机制,根据实际情况对已有信息系统进行定级备案,对照相应等级的技术标准和管理规范进行差距分析并实施整改,由具有资质的信息安全等级保护测评机构进行定期测评,使得信息系统在技术和管理上达到等级保护的要求。以广东某高职院校为例:该校学院综合管理系统、门户网站系统、校园一卡通系统、协同办公系统、自主招生系统、财务管理系统,承担着学校信息宣传、形象展示、校务管理、师生查询校内信息等重大业务需求,关系着广大师生的切身利益,按照《信息安全技术信息系统安全等级保护定级指南》[2],将这6个系统定为二级系统,在公安机关进行了备案,委托第三方测评机构现场通过访谈、检测和测试等手段进行差距分析,根据建议实施整改后达到二级系统技术标准和管理规范的要求,于2015年底通过了验收测评。
4.2 区域隔离
开展信息系统安全等级保护工作,不是对整个校园网进行同一等级的保护,而是对网内不同业务区域进行不同等级的保护。因此,在校园网内划分安全域,区域隔离,是进行等级保护的首要步骤。
安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略[3]。安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,而又能保障其安全性。以某高职院校为例,通过安全需求和业务需求进行分析,将其校园网划分为核心交换域、办公管理域、科研教学域、应用服务域、安全管理域和外联接入域等6个安全域,如图1所示。
核心交换域:所有安全域的承载子域,提供安全域之间网络数据的交换和路由。
办公管理域:学校教职工办公终端、网管人员维护终端所在的网络接入区域。
科研教学域:教室、实验室、图书馆和计算机房等网络接入区域。
应用服务域:服务器、数据库和存储等核心设备所在的区域。
用户接入域:学生、外来人员个人终端的网络接入区域,主要分布在宿舍楼。
外联接入域:与互联网、教育网等外部网络连接的接入区域。
4.3 突出核心
根据安全域的功能情况配备不同规格的安全设备,实施不同的安全策略,对于核心交换域和应用服务域的核心数据和重要应用所在的安全域进行重点保护。核心交换域的防护策略是重点保障网络的稳定运行和各个安全域域的边界防护和安全隔离;应用服务域的防护策略是重点保障操作系统、应用系统和数据库管理系统的安全运行,以及对所存储、传输和处理数据的安全保护;办公管理域的防护重点是强化审计,做好权限的划分和限制,统一终端管理和病毒防范;科研教学域侧重于终端管理和病毒防范;用户接入域侧重于对病毒进行防范;外联接入域侧重于边界安全防护。
4.4 纵深防御
综合部署防火墙、IDS、漏洞扫描、防病毒、客户端管理、审计系统和Web应用安全网关等多种安全产品,充分发挥其效能,从边界、网络、主机和应用四个层面实现纵深防御,如图1所示。
边界层面:在校园网与外部网络的边界部署防火墙、网闸和VPN等安全产品进行防护;在安全域边界部署防火墙进行隔离,并在核心交换机执行严格的ACL访问控制,防止非法访问。
网络层面:部署入侵检测系统,量化、定位来自网络的威胁情况,并准确分析、报告网络中正在发生的各种异常事件和攻击行为;部署防病毒网关,具有病毒杀除、关键字过滤和垃圾邮件组织功能,用以保护网络内进出数据的安全。
主机层面:部署漏洞扫描设备,定期对核心交换域、应用服务域、办公管理域和科研教学域进行扫描,及时发现安全漏洞;部署防病毒系统,加强服务器和终端的病毒防范;部署终端管理系统,对办公管理域和科研教学域的接入终端进行统一管理;部署审计系统,进行权限控制和管理维护操作行为的审计。
应用层面:部署Web应用网关,对Web应用漏洞进行预先扫描,同时具备对SQL注入、跨站脚本等通过应用层的入
侵动作实时阻断,并结合网页防篡改子系统,真正达到双重层面的“网页防篡改”效果。
5 结语
高职院校校园网是一个复杂的网络,在支撑学校业务运营、发展的同时,信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出,成为学校管理面临的重要的、急需解决的问题之一。本文分析了高职院校校园网的网络特点和信息安全现状,通过研究提出在校园网构建“等级保护,区域隔离,突出核心,纵深防御”的信息安全防护体系,结合实践进行了探讨和分析,为其他高职院校校园网信息安全防护工作提供参考。
[1]胡立朋.高职院校的信息安全保障体系构建与应用[J].网络安全技术与应用,2014(01):98-99.
[2]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S].
[3]吴吉朋,王湧,李昊,等.应用安全域解决方案实践“信息安全等级保护”[J].电子政务,2010(01):96-103.
Research on Information Security Protection System of Campus Network in Higher Vocational Colleges
Lai Jinzhi
(Guangdong Industry Polytechnic,Guangzhou 510300,Guangdong)
Vocational college campus network is a complex network.It faces with the increasingly prominent risk of information security while supporting the campus business operation and development.It becomes one of the urgent problems of school management.This paper analyzes the characteristics and information security situation of campus network in higher vocational colleges,proposes to build the information security protection system with"hierarchical protection,regional isolation,highlighted core, defense in depth.It combines with the practice to discuss and analyze,providing necessary reference for campus network information security and protection.
higher vocational colleges;campus network;information security;protection system
TP393.18
A
1008-6609(2016)07-0065-03
赖金志,男,广东清远人,硕士研究生,工程师,研究方向:集成电路设计,网络芯片设计。