高校信息安全規(guī)劃與評(píng)估研究

洪 生，陳 松，陳 誠

（南京信息職業(yè)技術(shù)學(xué)院，江蘇 南京210023）

一、引言

近年來，隨著國家對(duì)教育信息化重視程度日益加深，教育信息化已成為國家發(fā)展戰(zhàn)略的一部分。《中國教育現(xiàn)代化2035》要求加快信息化時(shí)代教育變革，以信息化促進(jìn)教育現(xiàn)代化，建設(shè)智能化校園，統(tǒng)籌建設(shè)一體化、智能化教學(xué)、管理與服務(wù)平臺(tái)。“智慧校園”概念的提出為高校信息安全工作明確了新目標(biāo)、新方向和新要求，為智慧校園提供安全、穩(wěn)定、高效的支撐環(huán)境已成為智慧校園建設(shè)的標(biāo)配。然而，高校在數(shù)字化校園向智慧校園轉(zhuǎn)型的過程中，其數(shù)據(jù)中心承載了大量的敏感數(shù)據(jù)，且缺乏安全防護(hù)措施和制度保障，使其較容易成為黑客攻擊和威脅的目標(biāo)，如G20期間，某高校郵件系統(tǒng)首頁被篡改；十九大期間，某高校財(cái)務(wù)系統(tǒng)首頁被篡改等，給高校的教育形象和正常教學(xué)秩序造成嚴(yán)重影響。本文以南京信息職業(yè)技術(shù)學(xué)院為例，就網(wǎng)絡(luò)與信息安全規(guī)劃與評(píng)估過程中所涉及的方案設(shè)計(jì)、實(shí)施過程中的相關(guān)問題進(jìn)行探討。

二、現(xiàn)狀分析

南京信息職業(yè)技術(shù)學(xué)院數(shù)字化校園建設(shè)始于2010年，期間完成了校園主干網(wǎng)絡(luò)扁平化改造和ERP系統(tǒng)建設(shè)。主干網(wǎng)絡(luò)扁平化改造，實(shí)現(xiàn)了校園網(wǎng)有線/無線認(rèn)證、計(jì)費(fèi)和管理的一體化，突破了傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)的管理瓶頸，降低運(yùn)維和管理難度，實(shí)現(xiàn)了校園網(wǎng)高性能、易管理和精細(xì)化的建設(shè)預(yù)期。ERP系統(tǒng)整合學(xué)校教務(wù)、人事、學(xué)工、辦公系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)融合，各部門協(xié)同辦公，提升學(xué)校的信息化管理水平。

數(shù)字化校園建設(shè)的側(cè)重點(diǎn)在于網(wǎng)絡(luò)和系統(tǒng)的建設(shè)，對(duì)于網(wǎng)絡(luò)與信息安全方面建設(shè)仍停留在邊界防火墻防護(hù)攔截和VLAN隔離的層面，并沒有做過多的建設(shè)和投入。主要體現(xiàn)在以下幾個(gè)方面：一是校園網(wǎng)內(nèi)部環(huán)路問題。主干網(wǎng)絡(luò)扁平化改造后，所有業(yè)務(wù)控制都集中在核心BRAS上，在內(nèi)部網(wǎng)絡(luò)出現(xiàn)環(huán)路時(shí)，容易導(dǎo)致核心BRAS設(shè)備癱瘓，給網(wǎng)絡(luò)安全運(yùn)行造成隱患。二是數(shù)據(jù)中心信息安全問題。主要包括業(yè)務(wù)系統(tǒng)訪問安全和數(shù)據(jù)安全，因業(yè)務(wù)系統(tǒng)的開發(fā)語言不同，無法做到統(tǒng)一的漏洞管理，容易遭受Web滲透攻擊和SQL注入；數(shù)據(jù)中心核心數(shù)據(jù)缺少異地備份和容災(zāi)恢復(fù)設(shè)施，數(shù)據(jù)安全得不到有效保障；新業(yè)務(wù)系統(tǒng)上線后，相關(guān)的信息安全配套制度跟不上。

三、信息安全劃分

根據(jù)學(xué)校實(shí)際情況，參照GB17859-1999《計(jì)算機(jī)系統(tǒng)安全等級(jí)劃分準(zhǔn)則》、GB/T20984-2007《信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、GB/T22240-2008《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、GB/T28453-2012《信息系統(tǒng)安全管理評(píng)估要求》等相關(guān)行業(yè)標(biāo)準(zhǔn)進(jìn)行劃分。[1]

圖1 高校信息安全劃分與評(píng)估指標(biāo)示意圖

四、方案規(guī)劃及設(shè)計(jì)

網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)的目標(biāo)是解決網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫和Web服務(wù)器群等系統(tǒng)的安全問題，建立安全的系統(tǒng)運(yùn)行平臺(tái)，增加黑客利用安全漏洞的攻擊成本，降低安全風(fēng)險(xiǎn)。本文根據(jù)圖1所示的評(píng)估指標(biāo)，探討南京信息職業(yè)技術(shù)學(xué)院在網(wǎng)絡(luò)安全、數(shù)據(jù)安全和制度安全等關(guān)鍵指標(biāo)上進(jìn)行的規(guī)劃和建設(shè)經(jīng)驗(yàn)。

1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

學(xué)校采用扁平化的網(wǎng)絡(luò)結(jié)構(gòu)，由邊界防火墻、核心BRAS、匯聚交換機(jī)、接入層交換機(jī)、流控組成。如圖2所示。扁平化網(wǎng)絡(luò)架構(gòu)將網(wǎng)絡(luò)劃分為兩個(gè)層次——業(yè)務(wù)控制層和寬帶接入層。其中業(yè)務(wù)控制層由邊界防火墻、核心BRAS等設(shè)備組成，用于對(duì)校園網(wǎng)內(nèi)部用戶上網(wǎng)認(rèn)證和業(yè)務(wù)控制；寬帶接入層由匯聚和接入交換機(jī)組成，提供數(shù)據(jù)交換接入和VLAN隔離服務(wù)。數(shù)據(jù)中心位于DMZ服務(wù)器區(qū)，由虛擬安全網(wǎng)關(guān)將DMZ區(qū)劃分為核心區(qū)和托管區(qū)，實(shí)現(xiàn)業(yè)務(wù)安全隔離。

圖2 扁平化網(wǎng)絡(luò)拓?fù)鋱D

2.內(nèi)網(wǎng)安全設(shè)計(jì)

校園網(wǎng)扁平化改造，降低了信息中心網(wǎng)絡(luò)運(yùn)維和管理難度，但由于建設(shè)目標(biāo)對(duì)安全問題考慮并不深入，加上扁平化自身的一些弊端，使其在新形勢(shì)下面臨諸多安全挑戰(zhàn)。主要體現(xiàn)在校園網(wǎng)主干網(wǎng)絡(luò)關(guān)鍵設(shè)備節(jié)點(diǎn)安全運(yùn)行和內(nèi)網(wǎng)網(wǎng)絡(luò)滲透攻擊方面。

南京信息職業(yè)技術(shù)學(xué)院在數(shù)字化校園向智慧校園的轉(zhuǎn)型過程中，對(duì)主干網(wǎng)絡(luò)進(jìn)行鏈路聚合升級(jí)，新增兩臺(tái)虛擬化的BRAS，并將原來的物理BRAS設(shè)備作為冗余熱備，在網(wǎng)絡(luò)出現(xiàn)環(huán)路或癱瘓時(shí)，可以切回到物理BRAS，保證關(guān)鍵設(shè)備節(jié)點(diǎn)安全運(yùn)行。在內(nèi)網(wǎng)網(wǎng)絡(luò)滲透攻擊方面，采取傳統(tǒng)的VLAN隔離的安全策略，將校園網(wǎng)劃分為公共服務(wù)區(qū)、無線/有線服務(wù)區(qū)、網(wǎng)絡(luò)管理區(qū)，并做好相關(guān)區(qū)域的訪問策略，減少校園網(wǎng)網(wǎng)絡(luò)風(fēng)暴，避免DHCP、ARP、VLAN攻擊等常規(guī)的二層網(wǎng)絡(luò)攻擊威脅。同時(shí)，建立內(nèi)網(wǎng)訪問日志審查機(jī)制，將QoS流量日志鏡像至日志服務(wù)器進(jìn)行分析，日志服務(wù)器與認(rèn)證服務(wù)器實(shí)現(xiàn)賬號(hào)統(tǒng)一管控，管理員可根據(jù)訪問時(shí)間、訪問鏈接確定訪問者身份信息。

3.DMZ區(qū)安全設(shè)計(jì)

DMZ區(qū) （非軍事化區(qū)）主要存放一些對(duì)外開放的Web服務(wù)器，相比校園網(wǎng)內(nèi)部安全性較弱。而數(shù)據(jù)中心往往承載大量敏感數(shù)據(jù)，對(duì)安全性要求較高，一般會(huì)考慮將數(shù)據(jù)中心放在內(nèi)網(wǎng)，通過核心交換機(jī)實(shí)現(xiàn)數(shù)據(jù)交換。但在實(shí)際的建設(shè)過程中，由于歷史原因，一些高校會(huì)選擇在DMZ區(qū)建立數(shù)據(jù)中心，然后在DMZ區(qū)增加內(nèi)部防火墻，做敏感數(shù)據(jù)的安全隔離。

南京信息職業(yè)技術(shù)學(xué)院借鑒其他高校的建設(shè)經(jīng)驗(yàn)，在考慮成本和性能匹配度的基礎(chǔ)上，選取虛擬安全網(wǎng)關(guān)作為DMZ區(qū)的內(nèi)部防火墻，將DMZ區(qū)劃分為核心區(qū)和托管區(qū)，并在核心區(qū)中對(duì)敏感數(shù)據(jù)進(jìn)行細(xì)分，設(shè)置安全隔離策略。核心區(qū)提供的服務(wù)包括學(xué)校官網(wǎng)、辦公系統(tǒng)、ERP系統(tǒng)等核心業(yè)務(wù)系統(tǒng)。托管區(qū)主要托管二級(jí)分院的業(yè)務(wù)，以及其他非核心的業(yè)務(wù)。DMZ區(qū)的安全需求主要包括Web服務(wù)安全、非Web服務(wù)安全以及安全監(jiān)控等方面。

在Web服務(wù)安全方面，考察了國內(nèi)專業(yè)的安全廠商深信服和綠盟的WAF和IDS設(shè)備，比較了兩家產(chǎn)品在性能和需求匹配度上的差異，選取綠盟的WAF作為學(xué)校Web服務(wù)群的安全防護(hù)設(shè)備。盡管WAF并不能保證完全安全，但通過一些策略的設(shè)置可以規(guī)避一些常規(guī)的Web攻擊和增加黑客的攻擊成本，比如直接屏蔽非200、301等正常HTTP響應(yīng)碼的請(qǐng)求，設(shè)置全站HTTPS等。同時(shí)，對(duì)學(xué)校ERP系統(tǒng)、站群系統(tǒng)和辦公系統(tǒng)進(jìn)行二級(jí)等保，根據(jù)等級(jí)保護(hù)要求，對(duì)不滿足等保要求的系統(tǒng)進(jìn)行整改，定期請(qǐng)專業(yè)的安全服務(wù)商對(duì)學(xué)校的核心業(yè)務(wù)系統(tǒng)進(jìn)行掃描，并在掃描檢測(cè)完成后，建立掃描檢測(cè)檔案，詳細(xì)記錄漏洞檢測(cè)結(jié)果及實(shí)施的補(bǔ)救措施與安全策略。

非Web服務(wù)安全需求主要是服務(wù)器與服務(wù)器之間，內(nèi)網(wǎng)與DMZ區(qū)之間非Web層面的安全。目前學(xué)校核心服務(wù)均已實(shí)現(xiàn)虛擬化，在虛擬化環(huán)境下，僅依靠傳統(tǒng)的邊界防火墻進(jìn)行安全防御顯然是不夠的，需要更加細(xì)粒度的安全防護(hù)措施，保障虛擬機(jī)之間的安全，避免某臺(tái)虛擬機(jī)的安全問題，波及整個(gè)虛擬化平臺(tái)。為解決此類問題，一方面在邊界防火墻至數(shù)據(jù)中心之間采用兩臺(tái)高性能的物理機(jī)，通過vSphere虛擬化后，部署虛擬安全網(wǎng)關(guān)集群，通過虛擬安全網(wǎng)關(guān)將DMZ區(qū)劃分為核心區(qū)和托管區(qū)，設(shè)置不同的安全策略；另一方面在VMware虛擬化平臺(tái)中部署專用虛擬安全網(wǎng)關(guān)，對(duì)虛擬化平臺(tái)中的核心業(yè)務(wù)系統(tǒng)進(jìn)行劃分和歸類，并根據(jù)業(yè)務(wù)分類情況對(duì)虛擬機(jī)之間的流量進(jìn)行防護(hù)和過濾。內(nèi)網(wǎng)與DMZ區(qū)之間，可通過虛擬安全網(wǎng)關(guān)設(shè)置訪問策略，比如校園網(wǎng)有線/無線服務(wù)區(qū)只能訪問DMZ區(qū)的Web服務(wù)，公共服務(wù)區(qū)的校外用戶通過WiFi連接至校園網(wǎng)，僅可以訪問學(xué)校官網(wǎng)或一些靜態(tài)網(wǎng)站等。

在安全監(jiān)控方面，考察了開源監(jiān)控平臺(tái)Zabbix[2]和金智的安心守護(hù)，Zabbix因?yàn)槭情_源的項(xiàng)目，功能實(shí)現(xiàn)有限，但可以滿足基本的監(jiān)控需求，可進(jìn)行二次開發(fā)，安心守護(hù)的功能較為豐富，可進(jìn)行一鍵大屏展示、報(bào)表展示、報(bào)修等附加功能。在綜合考慮實(shí)用性、可操作性和經(jīng)濟(jì)性適用的基礎(chǔ)上，我們選取了開源Zabbix監(jiān)控平臺(tái)。Zabbix的工作模式主要有兩種，C/S模式和基于SNMP協(xié)議的監(jiān)控模式?；赟NMP協(xié)議的監(jiān)控模式主要適用于監(jiān)控校園網(wǎng)內(nèi)部的接入交換機(jī)、樓宇匯聚交換機(jī)、核心BRAS、QoS、邊界防火墻等網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，C/S模式主要適用于監(jiān)控DMZ區(qū)服務(wù)器的運(yùn)行狀態(tài)。學(xué)校的交換設(shè)備主要采用銳捷、華為和華三的網(wǎng)絡(luò)設(shè)備，可以使用通用的Zabbix監(jiān)控模板實(shí)現(xiàn)監(jiān)控，但有些網(wǎng)絡(luò)設(shè)備由于缺少相應(yīng)的監(jiān)控模板，只能通過SNMP協(xié)議監(jiān)控到少量的信息，比如核心BRAS、邊界防火墻和WAF設(shè)備。Zabbix作為開源監(jiān)控項(xiàng)目，在C/S模式下，理論上所有的服務(wù)器都可以通過編譯部署Zabbix客戶端，實(shí)現(xiàn)全監(jiān)控。

4.數(shù)據(jù)安全及備份機(jī)制

數(shù)據(jù)安全主要包括業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)數(shù)據(jù)安全兩個(gè)方面，業(yè)務(wù)數(shù)據(jù)主要指在服務(wù)過程中產(chǎn)生的數(shù)據(jù)，系統(tǒng)數(shù)據(jù)主要指系統(tǒng)運(yùn)行所需的軟件代碼。

在業(yè)務(wù)數(shù)據(jù)安全方面，需防范SQL注入、數(shù)據(jù)庫權(quán)限管理不規(guī)范和管理員誤操作造成的臟數(shù)據(jù)情況。南京信息職業(yè)技術(shù)學(xué)院通過采用綠盟的數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)ERP系統(tǒng)、網(wǎng)站群、辦公系統(tǒng)等核心業(yè)務(wù)系統(tǒng)進(jìn)行SQL語句安全審計(jì)，使其滿足數(shù)據(jù)質(zhì)量QA控制和數(shù)據(jù)治理標(biāo)準(zhǔn)，并對(duì)核心業(yè)務(wù)系統(tǒng)的DBA權(quán)限進(jìn)行規(guī)范化管理。同時(shí)，根據(jù)業(yè)務(wù)系統(tǒng)采用的數(shù)據(jù)庫，采取相應(yīng)的備份手段，并建立數(shù)據(jù)庫恢復(fù)應(yīng)急響應(yīng)機(jī)制。比如，針對(duì)Oracle數(shù)據(jù)庫，采用基于數(shù)據(jù)塊的RMAN備份和基于數(shù)據(jù)對(duì)象（表、存儲(chǔ)過程）的EXP/EXPDP備份方式，并通過NFS協(xié)議同步至異地大容量的NAS設(shè)備中。

在系統(tǒng)數(shù)據(jù)安全方面，修復(fù)軟件代碼漏洞，更新軟件運(yùn)行組件，動(dòng)態(tài)頁面靜態(tài)化，確保系統(tǒng)能正常穩(wěn)定運(yùn)行，同時(shí)采用Veeam對(duì)VMware虛擬化平臺(tái)中的虛擬機(jī)進(jìn)行整機(jī)備份，對(duì)于物理機(jī)中的業(yè)務(wù)系統(tǒng)，可先通過P2V遷移至虛擬化平臺(tái)，再通過Veeam進(jìn)行備份。

5.安全管理制度

安全管理是三分技術(shù)七分管理，在信息化建設(shè)中，安全技術(shù)不是萬能的，往往由于安全技術(shù)手段太多，導(dǎo)致系統(tǒng)運(yùn)行緩慢，影響用戶體驗(yàn)。所以，在運(yùn)用先進(jìn)技術(shù)的同時(shí)，必須要適當(dāng)發(fā)揮管理手段的作用，建立與之相匹配的管理制度。

（1）建立網(wǎng)絡(luò)與信息安全監(jiān)督檢查制度，定期對(duì)學(xué)校網(wǎng)絡(luò)與信息安全工作和措施制度的落實(shí)、執(zhí)行情況進(jìn)行監(jiān)督檢查；建立網(wǎng)絡(luò)與信息安全管理責(zé)任制，關(guān)鍵責(zé)任人簽署網(wǎng)絡(luò)與信息安全責(zé)任書，明確相關(guān)責(zé)任人應(yīng)遵守的規(guī)定、承擔(dān)的責(zé)任、履行的義務(wù)；建立重大信息安全事故應(yīng)急響應(yīng)機(jī)制，明確重大信息安全事件處理的責(zé)任部門、人員、流程、采取的措施、處理和報(bào)告的時(shí)限，積極配合有關(guān)部門做好信息安全事件的調(diào)查和取證。

（2）建立網(wǎng)絡(luò)設(shè)備運(yùn)行維護(hù)制度，明確維護(hù)部門、維護(hù)內(nèi)容、維護(hù)周期、系統(tǒng)功能檢測(cè)周期；建立重要系統(tǒng)的備份維護(hù)管理制度；建立設(shè)備操作安全管理制度，應(yīng)明確崗位操作權(quán)限、操作設(shè)備范圍、操作內(nèi)容，建立操作日志記錄，實(shí)行操作密碼管理。

（3）建立第三方托管服務(wù)安全管理制度，明確第三方托管服務(wù)器的安全責(zé)任人、安全聯(lián)絡(luò)員以及聯(lián)系方式。

五、評(píng)估流程與結(jié)果分析

已有的信息安全評(píng)估方法包括層次分析法[3]、模糊評(píng)判法[4]、德爾菲法[5]、灰色關(guān)聯(lián)分析理論、人工神經(jīng)網(wǎng)絡(luò)等評(píng)價(jià)方法。楊愛民、高放等[6]提出了一種云計(jì)算環(huán)境下的模糊層次評(píng)價(jià)方法（F-AHP），構(gòu)建了云計(jì)算環(huán)境下的多租戶、節(jié)點(diǎn)通信、遠(yuǎn)程存儲(chǔ)以及虛擬化的安全評(píng)估模型，劉佳、徐賜文[7]對(duì)幾種常見的信息安全評(píng)估方法進(jìn)行了比較。本文在借鑒上述文獻(xiàn)的基礎(chǔ)上，采取模糊層次分析法，對(duì)方案進(jìn)行評(píng)估，評(píng)估流程如下。

1.建立評(píng)估因素集

設(shè)P={P1，P2…Pi}為評(píng)估因素集合，P1為評(píng)估子因素。根據(jù)圖1，對(duì)應(yīng)取值為：

2.建立評(píng)語集

設(shè)V={v1，v2…vj}為評(píng)估因素的評(píng)語集合。本文選取評(píng)語V=[很差，差，一般，良好，優(yōu)]，對(duì)應(yīng)的評(píng)語分?jǐn)?shù)為V=[20，40，60，70，90]。

3.確定各評(píng)估因素的權(quán)重

4.建立模糊評(píng)價(jià)矩陣

邀請(qǐng)12名專家組成員，根據(jù)圖1設(shè)計(jì)調(diào)查表，對(duì)設(shè)計(jì)方案進(jìn)行評(píng)分[5][6][7]，統(tǒng)計(jì)P中12個(gè)評(píng)估因素的評(píng)語分?jǐn)?shù)分布，歸一化處理后，得到單因素Pi→V的模糊關(guān)系矩陣Ri，單因素評(píng)價(jià)矩陣Bi=wiRi，則多因素模糊評(píng)價(jià)矩陣為：

5.得出評(píng)價(jià)結(jié)果

經(jīng)多輪評(píng)分，并適當(dāng)調(diào)整每輪各因素的權(quán)重及各子因素的權(quán)重，得出評(píng)價(jià)結(jié)果分值的數(shù)學(xué)期望落在69～79之間，評(píng)估的結(jié)果為良好。

六、結(jié)論

本文以南京信息職業(yè)技術(shù)學(xué)院為例，就網(wǎng)絡(luò)與信息安全規(guī)劃與評(píng)估過程中所涉及的方案設(shè)計(jì)、實(shí)施過程中的相關(guān)問題進(jìn)行探討。主要探討了扁平化網(wǎng)絡(luò)下校園內(nèi)網(wǎng)的安全需求和應(yīng)對(duì)措施、DMZ區(qū)安全的安全需求，以及數(shù)據(jù)安全和備份機(jī)制，著重探討虛擬安全網(wǎng)關(guān)在DMZ區(qū)安全中扮演的角色和實(shí)現(xiàn)方式。然后，采用模糊層次評(píng)價(jià)方法對(duì)設(shè)計(jì)方案進(jìn)行評(píng)估，評(píng)估結(jié)果顯示，方案設(shè)計(jì)較好地完成了建設(shè)和規(guī)劃目標(biāo)。本文采取的模糊層次評(píng)價(jià)方法屬于靜態(tài)評(píng)估方法，各個(gè)因素的權(quán)重分配存在主觀因素，而且專家在評(píng)分時(shí)也存在主觀因素干擾，因此，需要更加細(xì)分、精確的評(píng)估方法，如量化權(quán)重分配因子，動(dòng)態(tài)地評(píng)估系統(tǒng)運(yùn)行時(shí)的網(wǎng)絡(luò)流量、安全審計(jì)日志、訪問日志以及滲透測(cè)試等情況。