高校網絡和信息系統安全規(guī)劃與實踐

◆張 岳

高校網絡和信息系統安全規(guī)劃與實踐

◆張 岳

(河南警察學院 河南 450046)

本文從校園信息網絡面臨的安全威脅出發(fā)。詳細介紹了警察學院在校園網絡及信息安全方面的規(guī)劃與實踐方式方法，提出了一套在高校信息化安全建設方面行之有效的信息安全技術體系和信息安全管理體系。

信息安全；規(guī)劃；管理

0 前言

信息化和全球化的發(fā)展進程正在給整個世界帶來了極大的深刻影響；每個人獲取信息的渠道和方式發(fā)生了根本的變化，例如學生通過手機或是使用筆記本獲取他們需要的信息，而不單單是通過老師的言傳身教，實際上越來越多的師生員工已經離不開校園信息化建設提供的各種服務，教學、科研、管理活動也同時離不開各類信息系統的支撐，另外校園網大數據為學校的決策過程提供重要的支撐作用；但同時，我們也應該看到，高校信息化建設過程中普遍存在信息泄露、黑客攻擊、網頁掛馬等問題，信息資源安全受到了極大的威脅；因此網絡安全和信息化建設須統一規(guī)劃，網絡安全和信息化建設需同步進行，缺一不可。

1 校園網絡及信息面臨安全威脅

1.1 學院門戶網站

學院網站的安全威脅，包括學校門戶網站、學校招生網站、二級各院系等網站，由于高考、招生、學生就業(yè)等敏感時期，聚集了大量的學生及家長訪問流量，也引起黑客的關注，學校網站面臨的主要安全威脅有：

（1）網頁被掛馬、被篡改

黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到學校網站的管理權限，進而篡改網頁代碼；部分攻擊者將學校網站替換成黃色網站，影響極其惡劣。

（2）黑客入侵校園內網的跳板

入侵者成功獲取WEB服務器的控制權限后，可以該服務器為跳板，對內網進行探測掃描，發(fā)起攻擊，對內網核心數據造成影響。

1.2 校園網業(yè)務信息系統

隨著校園網信息化的逐步深入，業(yè)務系統眾多，“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業(yè)務系統均已上線，而這些系統由于管理及防護不到位，目前面臨著較嚴重的安全威脅：

（1）業(yè)務系統缺乏必要的入侵防護手段

學校網絡規(guī)模擴張迅速，網絡帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，無暇顧及、也沒有條件管理和維護數萬臺計算機的安全。一旦學生進行黑客攻擊，無法阻斷攻擊并發(fā)現攻擊源，邊界缺乏必要的隔離和審計措施，出現問題不方便定位，追查取證。 ?

（2）系統漏洞缺乏必要的控制措施

校園網數據中心內的系統應用眾多、服務器眾多，管理及維護方式也不盡相同，無法做到所有的系統實施統一的漏洞管理政策，缺乏自動化的高效檢查工具和控制手段。

（3）業(yè)務系統權限控制不合理，有安全隱患

由于學校內應用眾多，開發(fā)模式多樣，因此難免會造成權限設計時考慮不周，造成權限漏洞，或給攻擊者以機會；學生在內網中即可訪問各種業(yè)務資源，缺乏必要的控制措施；校園“一卡通”系統數據有可能被篡改，賬號及資金缺乏安全保障；由于重要數據庫的訪問缺乏審計手段，一旦出現數據篡改現象，無法定位問題。

2 警察學院在校園網絡及信息安全方面的規(guī)劃與實踐

引入知名且具有權威性的第三方安全服務機構為我院信息中心提供專業(yè)的、先進和完善的整體安全服務體系，并協助信息中心建立相應的信息安全管理辦法，加強內部培訓及管理，建立完善的信息安全管理系統，加強身份認證、門戶網站和數據中心的安全體系建設，提高信息中心整體的信息安全意識。

建議人事、教務、OA、校園網等信息系統按照信息系統等級保護II級標準的要求進行安全規(guī)劃整改，以達到教育部的安全要求。

建議財務、一卡通信息系統按照信息系統等級保護III級標準的要求進行安全規(guī)劃整改，以達到教育部的安全要求。

技術方面的網絡安全、主機安全、網站安全、數據庫安全主要通過安全產品的部署來解決。

管理方面安全主要通過安全服務來解決。

2.1 安全規(guī)劃

（1）信息安全體系建設方法論

①安全是相對的，不安全是絕對的。

②安全是根據需求規(guī)劃出來的，不是出了問題做應急處理出來的。

③安全管理比安全技術更重要。

（2）建立信息安全體系三層架構

圖1 信息安全體系三層架構

信息安全系統是整體的、動態(tài)的。信息安全系統符合MPDRR模型（M-management，P-protect，D-detection，R1-responce，R2-recovery），因此，要真正實現一個系統的安全，就需要建立一個從保護、檢測、響應到恢復的一套全方位的安全保障體系：

圖2 安全保障體系

我們提供的信息安全方案正是基于MPDRR模型構建的，符合信息安全系統整體性和動態(tài)性的特點。它集防火墻、入侵檢測、安全掃描、安全審計等防御于一體，將多種信息安全技術和優(yōu)秀信息安全產品在技術上有機集成，實現安全產品之間的互通與聯動，是一個統一的、可擴展的安全體系平臺。

（3）信息安全等級保護整改指南

《信息安全等級保護安全建設整改工作指南》對等保整改的思路如下圖：

圖3 信息系統安全等級保護基本要求

參考以上模型，針對等級保護的技術要求和管理要求，對我院信息系統進行相應的安全技術體系和安全管理體系的建立，從而使信息系統達到等級保護要求。

2.2 建設實踐

（1）信息安全技術體系

信息安全技術體系設計主要是針對網絡安全、主機安全、網站安全、數據庫安全的安全風險分析結果，提出對應的解決方案，通過部署相應的安全產品及策略來降低或規(guī)避信息系統各個層面的安全風險。

1）信息安全區(qū)域劃分

校園網：按著重要程度和業(yè)務處理的不同，分為核心區(qū)、互聯網接入區(qū)、應用服務器區(qū)、DMZ 區(qū)、校園網接入區(qū)、校園網安全管理區(qū)，針對不同區(qū)域進行不同的安全策略和部署。

數據中心網：分為數據存儲區(qū)、應用中心區(qū)、安全管理區(qū)、門戶網站區(qū)，針對不同區(qū)域進行不同的安全策略和部署。

2）信息安全產品的部署說明

圖4 信息安全產品部署

數據中心區(qū)：

通過部署2臺高性能防火墻進行4個安全域的劃分；

在安全管理區(qū)部署身份認證系統，建立統一的身份認證平臺。實現對各信息系統的一次性認證多系統操作，大大增加用戶和系統的安全性和簡便性。系統建設統一的用戶數據庫，對用戶權限和訪問模式等實現集中式的管理，簡化系統管理流程，提升用戶工作效率；

在安全管理區(qū)部署數據庫及業(yè)務審計系統，對數據庫進行時實的監(jiān)控，增強數據的保密性、完整性以及可用性；

在安全管理區(qū)部署一套門戶網站WEB防火墻，采用WEB入侵異常檢測技術，對WEB應用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應用提供保護；

在安全管理區(qū)部署兩臺IPS系統，以全面深入的協議分析技術為基礎，結合協議異常檢測、協議異常檢測、狀態(tài)檢測、關聯分析形成的檢測引擎，實時攔截數據流量中各種類型的惡意攻擊流量，把攻擊防御在單位網絡之外，保護單位的信息資產；

在安全管理區(qū)部署1套網頁防篡改系統，分別安裝在網站服務器上，進行頁面內容的保護，防止非授權人員隨意篡改內容，增強網站的安全性；

在安全管理區(qū)部署1套賬號集中管理與審計系統（堡壘機），集中統一的安全管理技術和平臺，使得系統和安全管理人員可以對支撐系統的用戶和各種資源進行集中管理、集中權限分配、集中審計，從技術上保證支撐系統安全策略的實施。

校園網安全管理區(qū)：

在互聯網出口位置部署兩臺高性能防火墻，提供對網絡的訪問控制，同時通過DMZ 區(qū)的設置，保護校方對外提供服務器的安全；

在校園網安全管理區(qū)部署流量控制和計費系統來提供對于校內用戶訪問外網的流量控制和計費統計的需求；

在校園網安全管理區(qū)部署安全漏洞掃描系統，對內部信息處理設施安全漏洞及其脆弱性的評估，可以使用戶了解信息系統內的服務器和網絡通訊設備的系統漏洞和安裝設置漏洞，了解漏洞的分布狀況和危險等級，并針對每一個漏洞提出一個可行的安全解決方案或補救措施，完整地為網絡系統提供安全評估，為調整本身的安全策略提供原始數據和資料。

在校園網安全管理區(qū)部署一臺信息安全審計系統，檢測用戶的非法操作，杜絕內部人員濫用互聯網資源的違規(guī)行為；

在校園網安全管理區(qū)部署一套SOC平臺，實現了安全設備進行集中管理、安全策略統一配置、安全事件集中管理、安全風險評估等功能，使網絡信息安全可控與結果可視化；

在互聯網出口和核心交換機之間部署一套DDOS防御網關，用于攔截各種DDoS攻擊及變種DDoS的攻擊；

在校園網安全管理區(qū)部署一臺IDS系統，方便對網絡情況進行記錄、取證工作，對網絡上的可疑行為做出策略反應，及時切斷入侵源,記錄攻擊行為、及時報警并通過各種途徑通知網絡管理員，最大幅度地保障內部系統安全；

在DMZ區(qū)部署一套WEB防火墻，采用WEB入侵異常檢測技術，對WEB應用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應用提供保護。

（2）信息安全管理體系

信息安全管理體系建設主要是針對安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理的安全風險分析結果，提出對應的解決方案，通過制度的設置及安全服務的采購來降低或規(guī)避信息系統各個層面的安全風險。

我院建立了完善的安全管理策略，主要針對人員管理，機房管理，終端機管理，文檔管理設備和運行等安全管理機制。

① 安全管理制度

人員管理：

包括配套的培訓和考核機制。建立內部人員管理制度和外部人員管理制度，包括：

內部工作人員管理、外部相關人員管理。

物理環(huán)境與設施管理：

建立物理環(huán)境與設備管理制度，包括：周邊環(huán)境、涉密場所、保障設施等。

設備與介質管理：

建立設備與介質管理制度，包括：設備與介質的采購與選型、設備與介質的操作與使用、設備與介質的保存與保管、設備與介質的維修與報廢。

信息保密管理：

建立信息保密管理制度，包括：信息分類與控制、用戶管理與授權、信息系統安全互聯控制。

②安全管理機構

安全管理機構建設主要有：設定安全管理員一職, 并明確崗位的職責與任務，落實安全管理責任制。

③人員安全管理

人員安全管理建設主要有以下幾個方面：聘請專業(yè)咨詢公司，制定安全培訓管理方案，制度化、常態(tài)化進行安全培訓。進一步規(guī)范人員錄用、人員離崗、人員考核、外部人員訪問的管理制度。對信息中心工作人員進行安全意識培訓，加強人員安全意識、避免安全管理漏洞。

④系統建設管理

系統建設管理主要有以下幾個方面：制定系統建設相關的管理制度，明確系統定級備案、方案設計、產品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等內容的管理責任部門、具體管理內容和控制方法，并按照管理制度落實各項管理措施。

⑤系統運維管理

系統運維管理主要有以下幾個方面：聘請專業(yè)安全維護公司，對系統的環(huán)境和資產安全、設備和介質安全、網絡安全、系統安全、備份與恢復等進行管理和定期維護。

3 總結

隨著高校信息化建設的發(fā)展,校園網絡安全將會面臨更加嚴峻的挑戰(zhàn)。本文系高校信息化安全建設規(guī)劃實踐，希望能對不同的用戶提供參考。

本文受河南省科技攻關項目資助（項目編號：142102210365）。