摘 要：该文对高校信息化建设中的信息安全提出了实施方案，根据高校应用系统的重要程度，划分了一级到四级的安全等级，高校应用系统一般以三级保护作为其基本的网络安全等级，该文以三级安全保护为基础，做了阐述。

关键词：高校校园网 安全等级 实施方案

中图分类号：TP393.08 文献标识码：A 文章编号：1672-3791（2017）06（b）-0013-02

计算机技术、网络与信息化的不断发展为高等教育提供了强有力的支持手段，为教育模式的创新、先进的教育理念的实现提供了可行的技术手段。高校信息化是以建设智慧校园为目标，内容包括通过利用云计算、虚拟化和物联网等新技术建设的校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等；大学智慧校园建设总体解决方案首先应确定智慧校园的体系架构、智慧校园的信息标准以及实现各系统之间的接口标准，然后分步骤分阶段实施。

在智慧校园的建设过程中，保障各教育信息系统的信息完整性、系统可用性和信息保密性是信息安全体系的重要支撑，各高校包括职业教育和教育主管机构的正常工作起到了至关重要的保障作用。要落实国家有關信息系统安全等级保护制度建设的文件要求，要求增强高校主管部门领导的信息安全保护意识；做好高等教育信息系统的定级、备案、审查和测评工作，对发现的漏洞健全隐患及时进行整改和处理，建立起高等教育信息系统安全等级保护体系，提高高等教育信息系统安全水平，保证教育信息化的持续健康稳定发展。校园网络在支撑高校数据业务运行和发展的同时，系统所面临的信息安全威胁也随着应用的增加在不断增长、被发现的脆弱性或弱点越来越突出、网络安全、信息安全风险在不断积累和增加，成为高校面临的重要的、急需解决的安全问题之一。

1 限于篇幅现将实施等保三级及以上建设要求

区域边界访问控制：在应用系统或校园网络的安全区域出口边界处设置自主和强制访问控制策略，对进出安全区域边界的数据信息进行加密、控制、过滤等，阻止非授权访问。需要的措施：防火墙、IPS、IDS、审计类产品。

区域边界协议过滤：根据设置区域边界安全控制策略，来检查进出数据包的源地址、目的地址、传输层协议以及发送请求的服务等，确定是否允许受检查的数据包进出区域边界。需要的安全措施：IPS、防火墙、IDS、审计类产品。

区域边界安全审计：在安全区域边界处设置必要的审计机制，由安全管理中心进行集中管理，并对确认违规的行为做到及时报警和后续的处理。安全区域边界设置必要的审计机制所需要的措施：IDS、IPS、防火墙、审计类产品、安全管理中心。

区域边界完整性保护：在区域边界处设置探测软件，不间断地进行探测非法外联及入侵行为，并能迅速及时地报告安全管理中心。探测非法外联和入侵行为并及时报告安全管理中心所需要的措施：非法外联设备、IPS、防火墙、IDS、审计类产品、安全管理中心。

通信网络安全审计：在安全通信网络通道口设置必要的审计机制，由安全管理中心集中管理，并对分析和确认的数据违规行为及时报警处理。需要的措施：在安全通信网络设置审计机制、由安全管理中心集中管理、需要审计类产品、安全管理中心。

运维安全：考虑主要应用系统的审计策略是否覆盖到系统内重要的安全相关事件；主要应用系统当前审计区域是否覆盖到所有用户；主要应用系统审计过程中所记录的信息应该包括事件发生的日期与时间、触发安全事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的数据源头及事件可能造成的结果等内容；可通过非法终止审计功能或通过修改其审计配置等测试主要应用系统，来验证其审计的进程能否受到保护；在应用系统上试图产生一些重要的安全相关事件，测试应用系统是否对其进行了审计，验证应用系统安全审计的覆盖情况和记录情况与要求和要达到的目标是否一致；可以通过非授权的方法删除、修改或覆盖审计记录来测试应用系统，验证安全审计的保护情况与所要求的安全是否一致。安全审计应记录应用程序运行过程中与安全相关的事件；安全审计还可以对一些特定事件提供指定方式、指定日期的实时报警；审计的整个进程应受到保护，避免在受到其它因素干扰的情况下而发生的中断；审计所记录的数据应受到保护避免受到人为的删除、修改或覆盖等；安全审计应根据信息系统要求结合网络环境及上级要求统一的设置安全策略，实现集中审计。需要的措施：堡垒机、审计类产品。

主机和应用访问控制：应用系统是否采取身份标识和鉴别措施；操作规程和操作记录是否有添加、删除用户和修改用户权限的操作规程、操作记录和审批记录；应用系统应采用了两种及两种以上的身份鉴别技术来进行身份鉴别；是否提供身份标识功能给主要应用系统；应用系统用户的身份标识应具有唯一性；有对同一用户采取两种或两种以上组合的鉴别技术实现对用户的身份鉴别；有对系统登录的用户进行身份标识和鉴别功能；系统用户的身份信息鉴别至少有一种是能伪造的，可以通过公私钥对、生物特征等技术手段作为身份鉴别的方法；对系统登录次数是否具有限制功能；是否设置了用户登录连接超时，若超时将自动退出。需要的措施：堡垒机、审计类产品。

网络数据传输完整性保护：可以采用的方法是由密码技术支持的完整性校验机制或具有相当安全强度的其它安全机制，用来实现对网络数据在传输过程中的完整性保护，在发现完整性遭到破坏时能进行恢复。需要的措施：采用由密码技术支持的完整性校验机制或具有相当安全强度的其他安全机制、发现完整性破坏时进行恢复、完整性校验工具。

管理制度：是否建立了由安全政策、安全策略、管理制度、操作规程等层面构成的安全管理体系；信息安全工作的政策性文件中，机构安全工作的总体目标、范围、方针、原则、责任等是否明确，信息系统的安全策略是否明确；各项安全管理制度，是否覆盖到物理设备、网络、主机系统、数据、应用、管理等层面；是否具有安全管理操作的操作规程，如用户操作规程和系统维护手册等。

制定和发布：负责安全管理制度制定的部门；安全管理制度的制定程序及发布方式，是否对制定的安全管理制度进行过论证和审定，论证和评审方式如何，是否按照统一的格式标准或要求制定；是否有安全规章制度更新记录，版本变更记录；制度是否注明适用和发布范围，是否有版本的标识，是否有管理层面的签字或单位盖章；管理与运维体系，其文件覆盖物理设备、网络、主机系统、数据、应用、管理等各个层面。

2 解决方案的收益

（1）通过该解决方案符合了规范化要求，例如：通过等级保护方案的实施等强制要求，获得上级监管部门（公安局网监、省市信息安全主管部门）的认可。上级安全主管部门明确要求各高校加强上网行为的管理和审计，通过该系统的建设和完善能够满足上级网络安全检查的要求。

（2）高校各业务系统确实得到安全保障，校园一卡通、数字图书、试题库、分数查询系统、办公系统、人事及档案信息等重要的资源免受黑客入侵。

（3）学校官方网站及部门网站.安全性得到加强，基本上杜绝互联网上对网页及网站系统恶意的攻击挂马甚至内容的篡改，使网站能够在日常的运行中提供高质量的安全服务。

（4）上网行为得到规范，通过上述办法提高了用户安全意识，网络信息资源的利用率得到提高，规避和避免了恶意攻击带来的社

参考文献

[1] 李洪民.高校校园网络安全及保护建设方案[J].数字技术与应用，2016（4）：196-198.

[2] 胡建龙.校园网络安全问题及防护措施[J].科技信息，2010（25）：515-516.