何磊

摘要：該文結(jié)合我國信息安全等級保護(hù)工作的要求，闡述了在網(wǎng)絡(luò)安全形勢日益嚴(yán)峻的背景下，從安全技術(shù)和網(wǎng)絡(luò)管理兩方面構(gòu)建起校園網(wǎng)絡(luò)安全體系，保障校園網(wǎng)上信息、資源以及大規(guī)模用戶群體的網(wǎng)絡(luò)安全。

關(guān)鍵詞：等級保護(hù)；校園網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號：TP393.0 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）21-0026-02

Abstract： This article explained that in the background of the increasingly severe network security situation， how to protect the campus network information， resources and large-scale users network security by establishing campus network security system from both aspects of security technology and network management under the requirement of classified protection of information security issued.

Key words： classified protection；campus network；network security

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，高校校園網(wǎng)的網(wǎng)絡(luò)規(guī)模迅速壯大，網(wǎng)絡(luò)資源不斷豐富，已經(jīng)成為高校教學(xué)、科研和管理等各項(xiàng)工作開展的重要平臺。近年來，隨著網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，我國提出了信息安全等級保護(hù)的工作策略，特別是中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，將網(wǎng)絡(luò)安全推向更高的戰(zhàn)略高度。信息安全等級保護(hù)是我國對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，其工作內(nèi)容包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。校園網(wǎng)作為一種較為特殊的網(wǎng)絡(luò)形式，構(gòu)建起符合信息安全等級保護(hù)要求的網(wǎng)絡(luò)安全體系，已成為當(dāng)前校園網(wǎng)建設(shè)的重點(diǎn)工作。

1 校園網(wǎng)絡(luò)安全的現(xiàn)狀

高校校園網(wǎng)是一種用戶群體性較強(qiáng)、教育科研資源較為豐富、結(jié)構(gòu)較為復(fù)雜且功能多樣的高密度接入網(wǎng)絡(luò)。由于提供面向互聯(lián)網(wǎng)提供信息服務(wù)，我校校園網(wǎng)邊界和各類服務(wù)器經(jīng)常遭遇來自互聯(lián)網(wǎng)IP的各種攻擊和試探；由于以學(xué)生為主體的活躍用戶群體信息安全意識較為薄弱，用戶個人終端安全問題，如病毒、木馬等造成的校園網(wǎng)內(nèi)部安全事件也時(shí)有發(fā)生；校園內(nèi)各種獨(dú)立專網(wǎng)與校園網(wǎng)互聯(lián)的邊界管理模糊，缺乏必要的安全隔離措施。種種情況表明，建設(shè)符合信息安全等級保護(hù)要求，且符合校園網(wǎng)絡(luò)特點(diǎn)的網(wǎng)絡(luò)安全體系已經(jīng)迫在眉睫。

2 校園網(wǎng)絡(luò)安全的技術(shù)防范措施

2.1 校園網(wǎng)區(qū)域的劃分

根據(jù)校園網(wǎng)范圍內(nèi)不同的特征，將我校校園網(wǎng)邏輯上劃分為內(nèi)網(wǎng)用戶區(qū)域、公共服務(wù)器區(qū)域、內(nèi)網(wǎng)服務(wù)區(qū)域以及獨(dú)立專網(wǎng)區(qū)域，分而治之，以便在不同區(qū)域內(nèi)部和編輯制定不同的防范措施和策略，具體區(qū)域劃分如圖1。

2.2 校園網(wǎng)不同邏輯區(qū)域的安全策略

2.2.1 外網(wǎng)區(qū)域與校園網(wǎng)互聯(lián)邊界的安全技術(shù)策略

外網(wǎng)區(qū)域是相對整個校園網(wǎng)而言，是校園網(wǎng)與各類運(yùn)營商網(wǎng)絡(luò)互聯(lián)的邊界，在這兩個區(qū)域的邊界，最重要的是考慮訪問控制和網(wǎng)絡(luò)的邏輯隔離。按照信息安全等級保護(hù)的要求我校利用防火墻技術(shù)隔離兩個區(qū)域，并結(jié)合校園網(wǎng)的特點(diǎn)制定詳細(xì)的訪問控制和過濾策略，宏觀上建立起校園網(wǎng)安全體系的第一道防線。

我們將防火墻連接的三個區(qū)域分別定義為ExtraNet（ISP接入）、DMZ區(qū)域（放置服務(wù)器）、IntraNet（連接校園網(wǎng)），結(jié)合包過濾防火墻特點(diǎn)，基于訪問端口非需要不開啟的原則制定了三個區(qū)域互訪的共計(jì)5條策略。如圖2所示，其中一條ExtraNet對DMZ區(qū)域訪問訪問策略，我們根據(jù)實(shí)際訪問需求僅開放了以下訪問端口。

2.2.2 校園網(wǎng)服務(wù)器區(qū)域的安全策略

校園網(wǎng)的服務(wù)器區(qū)域包括圖一中的公共服務(wù)器區(qū)域和內(nèi)網(wǎng)服務(wù)器區(qū)域，這里存放著大量的提供對內(nèi)和對外網(wǎng)絡(luò)服務(wù)的各類應(yīng)用系統(tǒng)，等級保護(hù)相關(guān)標(biāo)準(zhǔn)中也對服務(wù)器的物理安全、自身系統(tǒng)安全以及訪問控制策略的設(shè)置等提出了要求。因此除了防火墻針對DMZ區(qū)域的宏觀訪問控制策略外，我們在服務(wù)器區(qū)域部署了小型IPS系統(tǒng)，并結(jié)合服務(wù)器所承載的應(yīng)用系統(tǒng)及操作系統(tǒng)特征，制定有針對性的安全策略，如TCP連接控制、操作系統(tǒng)補(bǔ)丁、服務(wù)器安全軟件及按需開啟服務(wù)端口等，進(jìn)一步細(xì)化針對服務(wù)器區(qū)域的訪問控制。例如，圖3是我們針對某提供公共web服務(wù)的服務(wù)器制定的一些特殊訪問策略：

2.2.3 校園網(wǎng)內(nèi)各類專用網(wǎng)絡(luò)與校園網(wǎng)邊界互聯(lián)的安全策略

由于信息化建設(shè)的推進(jìn)和各類應(yīng)用業(yè)務(wù)系統(tǒng)的多樣化，校園網(wǎng)內(nèi)存在以一卡通財(cái)務(wù)系統(tǒng)、校園安防監(jiān)控系統(tǒng)為代表的各類獨(dú)立的應(yīng)用系統(tǒng)物理專網(wǎng)。隨著數(shù)字化校園建設(shè)的不斷深入，數(shù)據(jù)中心需要從原本獨(dú)立的專網(wǎng)中提取相關(guān)的業(yè)務(wù)數(shù)據(jù)，由于數(shù)據(jù)源的高敏感性和對網(wǎng)絡(luò)安全性的高要求，如何解決校園網(wǎng)和業(yè)務(wù)專網(wǎng)連接的邊界安全，成為校園網(wǎng)內(nèi)部安全的新需求。

以我校能源管理專網(wǎng)、一卡通專網(wǎng)與校園網(wǎng)對接的需求為例：能源管理系統(tǒng)的一部分?jǐn)?shù)據(jù)需要通過校園網(wǎng)進(jìn)行公示，同時(shí)為了方便學(xué)生通過一卡通POS機(jī)刷卡購電需要和一卡通系統(tǒng)進(jìn)行數(shù)據(jù)對接，而校園網(wǎng)數(shù)據(jù)中心也需要提取這兩部分?jǐn)?shù)據(jù)作為公共服務(wù)系統(tǒng)的一部分?jǐn)?shù)據(jù)來源，如圖4。我們在網(wǎng)間邊界防火墻上劃分了三個區(qū)域，制定了只允許校園網(wǎng)服務(wù)器地址和兩個前置服務(wù)器地址的互訪策略，關(guān)閉了除業(yè)務(wù)端口以外的所有訪問專網(wǎng)內(nèi)部的端口，在進(jìn)一步保障了專網(wǎng)的獨(dú)立安全運(yùn)行的同時(shí)，實(shí)現(xiàn)了三張網(wǎng)的數(shù)據(jù)共享。

2.2.4 校園網(wǎng)內(nèi)部用戶的安全管理

高密度的內(nèi)網(wǎng)用戶接入是校園網(wǎng)的重要特點(diǎn)之一。在信息安全等級保護(hù)中，也強(qiáng)調(diào)了對內(nèi)部網(wǎng)絡(luò)用戶的身份認(rèn)證、網(wǎng)絡(luò)行為管理和審計(jì)等規(guī)范化管理措施。為了規(guī)范管理校園用戶，我校建立了從人事系統(tǒng)及教務(wù)系統(tǒng)等校園內(nèi)關(guān)于“人”的權(quán)威數(shù)據(jù)源中抽取校園網(wǎng)用戶身份信息的Radius數(shù)據(jù)庫；所有校園網(wǎng)準(zhǔn)入和準(zhǔn)出系統(tǒng)均與此數(shù)據(jù)庫對接進(jìn)行用戶身份信息的驗(yàn)證，實(shí)現(xiàn)了用戶與賬號的一一對應(yīng)；在校園網(wǎng)出口處部署了上網(wǎng)行為管理設(shè)備和日志系統(tǒng)，管理和記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，并結(jié)合認(rèn)證系統(tǒng)建立起用戶名、MAC地址、源IP地址、目的IP地址及訪問時(shí)間等多位一體的符合等級保護(hù)要求及公安部門要求的日志數(shù)據(jù)庫。

3 結(jié)語

信息安全等級保護(hù)工作大大推動了校園網(wǎng)安全體系的建設(shè)，但隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，新的網(wǎng)絡(luò)安全問題也在不斷出現(xiàn)，如針對具體web應(yīng)用的安全問題、用戶群體終端問題導(dǎo)致的內(nèi)網(wǎng)攻擊問題等等。面對層出不窮的校園網(wǎng)絡(luò)安全隱患，在不斷補(bǔ)強(qiáng)和更新技術(shù)防護(hù)手段的同時(shí)，還需要學(xué)校能夠細(xì)化和規(guī)范校園網(wǎng)的各類管理制度，加強(qiáng)信息化工作人員的安全技術(shù)培訓(xùn)，提高校園網(wǎng)用戶自身的網(wǎng)絡(luò)安全意識，構(gòu)建起多維度的校園網(wǎng)安全體系。

參考文獻(xiàn)：

[1] 周佑源， 張曉梅.信息安全管理在等級保護(hù)實(shí)施過程中的要點(diǎn)分析[J].信息安全與通信保密，2009（9）.

[2] 于慧龍，李萍.大型信息系統(tǒng)安全域劃分和等級保護(hù)[J].計(jì)算機(jī)安全，2006（7）.

[3] 李春霞，齊菊紅.校園網(wǎng)安全防御體系的相關(guān)技術(shù)及模型[J].自動化與儀器儀表，2014（1）.

[4] 王國振.高校網(wǎng)絡(luò)信息安全與應(yīng)對機(jī)制探究[J].計(jì)算機(jī)安全，2014（1）.

信息安全臺帳是信息安全管理的基礎(chǔ)，我們在做網(wǎng)站安全管理的時(shí)候，首先需要了解學(xué)校到底有多少網(wǎng)站，分別歸屬于哪些單位管理和建設(shè)，網(wǎng)站的用途，網(wǎng)站采用的技術(shù)架構(gòu)，網(wǎng)站服務(wù)器的基本情況，網(wǎng)站管理員的情況等等，只有建立了網(wǎng)站信息安全臺帳，我們在網(wǎng)站安全管理的時(shí)候才能有的放矢，在出現(xiàn)安全故障時(shí)才能夠快速聯(lián)系到網(wǎng)站的負(fù)責(zé)單位和負(fù)責(zé)人進(jìn)行相關(guān)處理，相關(guān)技術(shù)漏洞出現(xiàn)后可以及時(shí)通知進(jìn)行補(bǔ)丁修復(fù)。

建立網(wǎng)站信息安全臺帳，是通過每年下發(fā)公文要求各單位自行申報(bào)自辦及下屬單位網(wǎng)站，這樣可以了解大部分網(wǎng)站的建設(shè)信息；另外對于新建網(wǎng)站，在申請開通校外訪問端口和學(xué)校域名之前必須先進(jìn)行網(wǎng)站信息登記；

3.2 建立網(wǎng)站安全準(zhǔn)入與退出機(jī)制

網(wǎng)站安全準(zhǔn)入是指學(xué)校單位在申請自建網(wǎng)站和發(fā)布網(wǎng)站的時(shí)候必須經(jīng)過學(xué)校的網(wǎng)站備案和安全檢測，確保只有安全性符合要求的網(wǎng)站才可入互聯(lián)網(wǎng)，從源頭就把存在安全問題的網(wǎng)站拒之門外。

網(wǎng)站歸檔退出是針對不再使用的網(wǎng)站或長期無人管理維護(hù)的網(wǎng)站而建立的一種退出機(jī)制，其目的在于清退無用的網(wǎng)站，減少網(wǎng)站安全風(fēng)險(xiǎn)。同時(shí)對于有重大安全隱患的網(wǎng)站采取下線處理，等待整改通過后才允許上線。

3.3 明確安全責(zé)任主體 實(shí)行安全責(zé)任人制度

學(xué)校成立信息安全領(lǐng)導(dǎo)小組，由校領(lǐng)導(dǎo)擔(dān)任組長，并任命各單位主要負(fù)責(zé)人是網(wǎng)絡(luò)與信息安全的第一責(zé)任人，負(fù)責(zé)整個單位的網(wǎng)絡(luò)和信息安全；明確網(wǎng)站“誰主辦誰負(fù)責(zé)”的責(zé)任制度，之前很多單位都對網(wǎng)站安全認(rèn)識不足或者認(rèn)為網(wǎng)站安全問題應(yīng)該歸學(xué)校相關(guān)技術(shù)部門管，通過明確責(zé)任主體，讓各單位開始重視自建網(wǎng)站的安全問題，推動各級單位領(lǐng)導(dǎo)重視網(wǎng)站安全問題，積極配合網(wǎng)站安全漏洞修復(fù)。

3.4 提供統(tǒng)一網(wǎng)站建設(shè)平臺 減少安全風(fēng)險(xiǎn)

高校早期的網(wǎng)站基本上是各部門委托公司或者找學(xué)生利用ASP、JSP等語言開發(fā)的動態(tài)網(wǎng)站，由于網(wǎng)站管理維護(hù)跟不上，加上開發(fā)人員水平參差不齊，網(wǎng)站漏洞百出，經(jīng)常面臨被掛木馬、SQL注入、腳本漏洞攻擊等威脅。[4]

在被通報(bào)的各類高校網(wǎng)站安全事故中大部分是一些二級單位子網(wǎng)站，高校主網(wǎng)站相對比較安全；遍布在學(xué)校各學(xué)院、部處、直屬單位甚至各實(shí)驗(yàn)室的大大小小幾十個甚至上百個網(wǎng)站，為高校的網(wǎng)站安全管理帶來眾多的安全隱患。

通過網(wǎng)站群系統(tǒng)，初步實(shí)現(xiàn)高校網(wǎng)站的統(tǒng)一部署、分級管理、信息共享和專人維護(hù)，改善了原有網(wǎng)站建設(shè)中的管理無序、信息孤島、資源浪費(fèi)等現(xiàn)象。更為重要的是網(wǎng)站群系統(tǒng)作為學(xué)校信息基礎(chǔ)平臺是由有專業(yè)技術(shù)力量的信息辦或網(wǎng)絡(luò)中心進(jìn)行管理和維護(hù)；網(wǎng)站群系統(tǒng)作為校級重點(diǎn)安全防護(hù)系統(tǒng)，通過第三方的等級保護(hù)評測，定期安全巡檢等措施保護(hù)網(wǎng)站群系統(tǒng)自身的安全。避免了二級單位自建網(wǎng)站缺乏技術(shù)力量導(dǎo)致的安全困境。

3.5 完善網(wǎng)站安全架構(gòu)和安全設(shè)備 為網(wǎng)站安全管理提供技術(shù)保障

各類安全技術(shù)手段是高校網(wǎng)站安全策略的重要組成部分，通過完善網(wǎng)站安全架構(gòu)，購買網(wǎng)站安全設(shè)備，為網(wǎng)站安全防護(hù)提供技術(shù)保障；

在網(wǎng)站安全部署上一般通過網(wǎng)絡(luò)防火墻實(shí)行內(nèi)外網(wǎng)隔離方式，網(wǎng)站的管理和發(fā)布端分開部署，管理端部署在內(nèi)網(wǎng)，發(fā)布端部署在外網(wǎng)，發(fā)布的網(wǎng)站采用靜態(tài)化的方式，外網(wǎng)訪問管理端需要使用VPN進(jìn)行連接；

重要網(wǎng)站前端采用負(fù)載均衡設(shè)備，應(yīng)對大規(guī)模訪問；實(shí)行外部存儲一天一備，并實(shí)行異地備份，以確保網(wǎng)站數(shù)據(jù)安全；

核心的網(wǎng)站應(yīng)用外部署WAF（web應(yīng)用防火墻） 進(jìn)行防護(hù)，阻止網(wǎng)絡(luò)攻擊和sql注入；

重要的靜態(tài)網(wǎng)站服務(wù)器通過采用強(qiáng)認(rèn)證的網(wǎng)頁防篡改系統(tǒng)進(jìn)行防護(hù)，比如主頁服務(wù)器和網(wǎng)站群系統(tǒng)發(fā)布服務(wù)器等。

4 結(jié)論

高校網(wǎng)站安全管理是一項(xiàng)長期的艱巨的工作。在技術(shù)與管理的雙輪驅(qū)動下，除了文中所述及點(diǎn)外我們還需要通過建立健全的組織體系、管理規(guī)章和責(zé)任制度，進(jìn)一步落實(shí)國家信息安全等級保護(hù)制度，增強(qiáng)安全預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)能力，提高高校網(wǎng)站整體安全防護(hù)水平。

參考文獻(xiàn)：

[1] 張慶吉，曹連剛，趙玉秀.高校網(wǎng)站安全問題分析及其對策 [J].電子商務(wù)，2010（6）：58-59.

[2] 360互聯(lián)網(wǎng)安全中心.2013年中國高校網(wǎng)站安全報(bào)告[EB/OL]. 北京：360互聯(lián)網(wǎng)安全中心.[2014-1-1].http：//zt.#/1101061855.php？dtid=1101062368&did=1101062961.

[3] 呂美敬， 葉新恩， 劉明剛.淺談高校網(wǎng)站群安全管理與對策分析[J].山東工業(yè)技術(shù)，2016（9）：130-131.

[4] 楊建軍.基于網(wǎng)站安全的解決方案[J].計(jì)算機(jī)安全，2011（10）：52-56.