新時(shí)期高職院校校園網(wǎng)信息安全防護(hù)體系

朱鸝

（楊凌職業(yè)技術(shù)學(xué)院 陜西省咸陽(yáng)市 712100）

科技的發(fā)展，信息化技術(shù)在校園網(wǎng)絡(luò)中應(yīng)用更加廣泛，校園網(wǎng)信息可以為高職院校教學(xué)以及學(xué)生學(xué)習(xí)提供大量數(shù)據(jù)以及信息支持，保障高職院校工作開(kāi)展更加有序，可是校園網(wǎng)在運(yùn)行中會(huì)受到各種因素的侵?jǐn)_，導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題頻繁產(chǎn)生，應(yīng)創(chuàng)建高職院校校園網(wǎng)信息安全防護(hù)體系，為保證校園信息安全奠定基礎(chǔ)。高職院校校園網(wǎng)對(duì)于高職院校業(yè)務(wù)運(yùn)營(yíng)以及發(fā)展意義重大，近幾年來(lái)，校園信息網(wǎng)絡(luò)安全問(wèn)題愈加突出，成為高職院校管理需要關(guān)注的關(guān)鍵問(wèn)題，要解決此項(xiàng)問(wèn)題，筆者通過(guò)對(duì)高職院校校園網(wǎng)信息安全防護(hù)體系的研究與分析，為高職院校校園網(wǎng)的信息安全提供基礎(chǔ)保障。

1 高職院校校園網(wǎng)的基本概述

新時(shí)期高職院校校園網(wǎng)除了滿足教師以及員工學(xué)生上網(wǎng)需求，還應(yīng)對(duì)校園網(wǎng)內(nèi)的信息實(shí)施科學(xué)化管理，滿足高職院校人員的教學(xué)輔助、游戲以及校園生活方面的基本需求，校園網(wǎng)系統(tǒng)主要包括教務(wù)管理、校園財(cái)務(wù)管理、校園一卡通、網(wǎng)站、招生就業(yè)系統(tǒng)等，在校園網(wǎng)上活動(dòng)對(duì)象主要包括教師、學(xué)生、管理人員，用戶數(shù)量比較多、流動(dòng)性強(qiáng)，分散。另外，高職院校校園網(wǎng)的計(jì)算機(jī)接入種類(lèi)多樣化，通常來(lái)說(shuō)，接入校園網(wǎng)的教師或是學(xué)生電腦是個(gè)人購(gòu)買(mǎi)，并實(shí)施有效維護(hù)的，一些人員在互聯(lián)網(wǎng)上下載的破解軟件或是盜版軟件，這些軟件無(wú)法對(duì)校園網(wǎng)的安全實(shí)施有效防護(hù)，因此應(yīng)重視校園網(wǎng)在運(yùn)行中產(chǎn)生的安全問(wèn)題，如圖1 校園信息安全內(nèi)容，并加強(qiáng)維護(hù)以及安全防護(hù)體系的創(chuàng)建，安全防護(hù)體系內(nèi)容有安全策略、資產(chǎn)管理、人員安全、訪問(wèn)控制等，確保校園網(wǎng)運(yùn)行更加安全以及可靠[1]。如圖1所示。

2 高職院校校園網(wǎng)信息安全現(xiàn)狀

2.1 預(yù)警機(jī)制待強(qiáng)化

目前，很多高職院校在對(duì)校園網(wǎng)進(jìn)行安全防護(hù)期間，對(duì)校園網(wǎng)預(yù)警機(jī)制不夠重視，部分高職院校創(chuàng)建的校園網(wǎng)信息安全防護(hù)系統(tǒng)中預(yù)警體系在創(chuàng)建中未曾考慮到網(wǎng)絡(luò)運(yùn)行中各種因素，導(dǎo)致預(yù)警體系運(yùn)行沒(méi)有達(dá)到預(yù)期需求[2]。

2.2 安全意識(shí)待提高

現(xiàn)階段，多數(shù)高職院校對(duì)校園網(wǎng)信息安全缺乏足夠認(rèn)識(shí)，校園網(wǎng)缺乏統(tǒng)一的管理以及安全防護(hù)方案，對(duì)校園網(wǎng)內(nèi)部以及外部網(wǎng)沒(méi)有做到全面隔離，純粹依賴(lài)校園網(wǎng)的主系統(tǒng)安全性。而計(jì)算機(jī)應(yīng)用廣泛普及，在校園網(wǎng)中的接入網(wǎng)點(diǎn)逐漸增多，而節(jié)點(diǎn)未曾采取有力防護(hù)策略，導(dǎo)致校園網(wǎng)運(yùn)行中出現(xiàn)病毒、信息丟失、網(wǎng)絡(luò)攻擊、信息損失、數(shù)據(jù)損壞、計(jì)算機(jī)系統(tǒng)癱瘓等問(wèn)題，嚴(yán)重影響校園網(wǎng)的正常運(yùn)行[3]。

2.3 安全漏洞待篩查

高職院校的校園網(wǎng)中存在太多集中性個(gè)人隱私信息，要促使師生的信息安全得到良好保護(hù)，應(yīng)重視對(duì)校園網(wǎng)安全漏洞的篩查，調(diào)查數(shù)據(jù)顯示，多數(shù)高職院校網(wǎng)站運(yùn)行均有很多安全隱患以及漏洞，這些安全漏洞中存在很多高危險(xiǎn)漏洞，會(huì)對(duì)網(wǎng)絡(luò)安全造成嚴(yán)重威脅，例如網(wǎng)絡(luò)被不法人員侵入，網(wǎng)站中機(jī)密文件以及科研項(xiàng)目可能會(huì)被盜取。同時(shí)黑客可能會(huì)通過(guò)校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)進(jìn)入網(wǎng)站中的核心區(qū)域，得到校園大量關(guān)鍵信息。可是，很多高職院校在校園網(wǎng)安全漏洞篩查工作中，效率不高，甚至高職院校很少對(duì)校園網(wǎng)安全漏洞篩查，導(dǎo)致校園網(wǎng)運(yùn)行安全問(wèn)題頻出[4]。

3 高職院校校園網(wǎng)信息安全防護(hù)體系

3.1 骨干網(wǎng)安全區(qū)域設(shè)計(jì)

要保障高職院校校園網(wǎng)信息安全防護(hù)效果增強(qiáng)，應(yīng)重視對(duì)校園網(wǎng)的骨干網(wǎng)安全區(qū)域的設(shè)計(jì)，保障校園網(wǎng)以及互聯(lián)網(wǎng)邊界數(shù)據(jù)傳輸更加穩(wěn)定以及快速，確保校園網(wǎng)正常使用。可以以校園網(wǎng)實(shí)際結(jié)構(gòu)為基礎(chǔ)進(jìn)行骨干網(wǎng)安全區(qū)域的設(shè)計(jì)，本次設(shè)計(jì)應(yīng)用的是雙核心結(jié)構(gòu)，將核心交換可靠性增強(qiáng)。而骨干網(wǎng)的核心交換設(shè)備數(shù)據(jù)匯集，應(yīng)確保交換設(shè)備雙聯(lián)。骨干安全區(qū)域需接入交換機(jī)雙聯(lián)路，使其連接到雙核心，避免內(nèi)網(wǎng)出現(xiàn)單鏈路故障或是單核心故障，技術(shù)人員可以應(yīng)用生成的樹(shù)協(xié)議以及虛擬路由協(xié)議，并在核心交換機(jī)上配備IP攻擊警報(bào)，保障骨干安全區(qū)域信息得到保護(hù)。通過(guò)對(duì)高職院校校園網(wǎng)信息安全防護(hù)體系中骨干網(wǎng)安全區(qū)域設(shè)計(jì)，為網(wǎng)絡(luò)運(yùn)行安全奠定基礎(chǔ)，保障信息傳輸更加安全。

3.2 校園網(wǎng)出口邊界安全區(qū)

校園網(wǎng)出口的邊界安全區(qū)域有防火墻、路由器，防火墻以及帶寬管理設(shè)備，出口邊界安全區(qū)是連接網(wǎng)絡(luò)以及校園網(wǎng)的樞紐，應(yīng)加強(qiáng)對(duì)防火墻的安全配置，防火墻安全策略的制定，并創(chuàng)建可以實(shí)現(xiàn)預(yù)期安全策略防火墻，首先應(yīng)重視防火墻設(shè)計(jì)，可以對(duì)校園網(wǎng)的風(fēng)險(xiǎn)進(jìn)行預(yù)先評(píng)估之后制定防火墻安全策略，如圖2，開(kāi)通校園網(wǎng)運(yùn)行的必要服務(wù)。路由器可以通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，將受保護(hù)的內(nèi)部網(wǎng)絡(luò)全部主機(jī)地址應(yīng)設(shè)成少數(shù)公網(wǎng)的IP 地址。設(shè)計(jì)還應(yīng)重視對(duì)帶寬設(shè)計(jì)，特別是在防火墻設(shè)計(jì)期間，應(yīng)將防火墻設(shè)置與鏈路負(fù)載結(jié)合，使得互聯(lián)網(wǎng)外接平衡。公共服務(wù)可以在防火墻圍繞形成隔離區(qū)域設(shè)置，增加域名解析以及郵件服務(wù)安全性、可靠性。另外，可以將DDoS 設(shè)備在校園網(wǎng)外部進(jìn)行科學(xué)設(shè)置，避免內(nèi)部用戶對(duì)校園網(wǎng)絡(luò)的攻擊。

3.3 終端接入安全區(qū)

終端接入安全區(qū)有無(wú)線接入設(shè)備、接入交換機(jī)，主要是為了處理訪問(wèn)控制以及終端設(shè)備安全接入過(guò)程中產(chǎn)生的問(wèn)題。利用交換機(jī)配置訪問(wèn)控制列表、開(kāi)啟防APP 欺騙、啟用生成樹(shù)等保障校園網(wǎng)運(yùn)行順暢，減少安全隱患產(chǎn)生的概率。

3.4 數(shù)據(jù)中心安全區(qū)

數(shù)據(jù)中心安全區(qū)是校園網(wǎng)安全性較高區(qū)域。安全區(qū)設(shè)計(jì)應(yīng)以高職院校校園網(wǎng)發(fā)展實(shí)際情況為主，保障網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)際匹配。技術(shù)人員可以以網(wǎng)絡(luò)不同服務(wù)器隸屬關(guān)系，將數(shù)據(jù)中心分為不同子區(qū)域，保障安全防護(hù)效果的增強(qiáng)，通過(guò)設(shè)定子區(qū)域?qū)⒂捎诙鄠€(gè)區(qū)域產(chǎn)生的互相影響作用消除。數(shù)據(jù)中心安全區(qū)中服務(wù)，其可以以校園網(wǎng)內(nèi)驅(qū)以及外區(qū)差異，設(shè)置公共服務(wù)器區(qū)以及數(shù)據(jù)庫(kù)服務(wù)區(qū)。而服務(wù)器性能應(yīng)與負(fù)載均衡技術(shù)有效結(jié)合，提升設(shè)備均衡性。

數(shù)據(jù)中心安全區(qū)也可以在核心交換機(jī)基礎(chǔ)上配置虛擬防火墻，避免校園網(wǎng)網(wǎng)絡(luò)受到外界的攻擊。如圖3，校園網(wǎng)信息安全解決方案。也可以對(duì)部分比較重要數(shù)據(jù)可以利用AES 或是DES 加密，一般首選的方式是SHA-1 作為密碼加密算法，為了保障高職院校數(shù)據(jù)中心安全區(qū)網(wǎng)絡(luò)系統(tǒng)安全，可以在修改密碼等重要數(shù)據(jù)期間，以SSL協(xié)議為依據(jù)，提升數(shù)據(jù)傳輸安全性。

3.5 等級(jí)保護(hù)

開(kāi)展高職院校信息系統(tǒng)安全等級(jí)保護(hù)工作，不是人們從表面意義上理解的對(duì)校園網(wǎng)同一等級(jí)保護(hù)，而是指對(duì)國(guó)內(nèi)的業(yè)務(wù)區(qū)域?qū)嵤└鞣N等級(jí)保護(hù)，因此需將校園網(wǎng)進(jìn)行等級(jí)劃分，包括安全域以及區(qū)域隔離等級(jí)。安全域等級(jí)保護(hù)主要是指同一個(gè)系統(tǒng)內(nèi)部，管理人員依據(jù)校園網(wǎng)信息的使用主體、信息性質(zhì)、安全目標(biāo)等對(duì)網(wǎng)絡(luò)進(jìn)行科學(xué)的劃分，每一邏輯區(qū)域存在相同安全保護(hù)的需求以及安全邊界控制措施、安全訪問(wèn)控制策略，區(qū)域間的相互信任，并且網(wǎng)絡(luò)安全區(qū)域會(huì)共享同一種安全策略，對(duì)安全區(qū)域等級(jí)劃分不僅要考慮安全層面，還應(yīng)以業(yè)務(wù)角度考量，與現(xiàn)有的校園網(wǎng)管理面臨挑戰(zhàn)以及網(wǎng)絡(luò)結(jié)構(gòu)為參照依據(jù)，保障安全區(qū)域劃分以及網(wǎng)絡(luò)梳理更加有效、資質(zhì)的信息安全等級(jí)保護(hù)測(cè)評(píng)結(jié)構(gòu)，可以將校園網(wǎng)劃分為六個(gè)區(qū)域，分別為辦公管理域、外聯(lián)接入?yún)^(qū)域、科研教學(xué)域、應(yīng)用服務(wù)區(qū)域。核心交換區(qū)域、安全管理區(qū)域。

之后根據(jù)安全區(qū)域功能，在高職院校安全域等級(jí)保護(hù)系統(tǒng)配置各種規(guī)格安全設(shè)備，特別是對(duì)應(yīng)用服務(wù)域以及核心交換區(qū)域核心數(shù)據(jù)以及應(yīng)用所在安全域?qū)嵤╆P(guān)鍵保護(hù)，確保安全域的邊界以及安全隔離。另外，以教育部、公安部等對(duì)校園網(wǎng)安全系統(tǒng)安全等級(jí)保護(hù)要求，應(yīng)創(chuàng)建安全等級(jí)保護(hù)機(jī)制，對(duì)應(yīng)校園網(wǎng)安全防護(hù)實(shí)際情況，對(duì)已經(jīng)存在的安全防護(hù)系統(tǒng)定級(jí)備案，并對(duì)照對(duì)應(yīng)等級(jí)管理規(guī)范以及管理規(guī)范，對(duì)實(shí)際以及標(biāo)準(zhǔn)之間差異進(jìn)行研究以及分析，并整改，可以安排具備專(zhuān)業(yè)資質(zhì)信息安全等級(jí)保護(hù)測(cè)評(píng)部門(mén)對(duì)校園網(wǎng)進(jìn)行等級(jí)測(cè)評(píng)。例如某高職院校大二層網(wǎng)絡(luò)，有華為ME60，防火墻設(shè)備，有過(guò)等保為主，將校園網(wǎng)校園一卡通系統(tǒng)、承擔(dān)著高職院校信息宣傳、形象展示、自主招生系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，協(xié)同辦公系統(tǒng)等校園網(wǎng)安全防護(hù)體系中關(guān)鍵部分以及業(yè)務(wù)需求進(jìn)行整理以及總結(jié)，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，將其定位校園網(wǎng)耳機(jī)套，將其在公安機(jī)關(guān)備案，并將測(cè)評(píng)委托給專(zhuān)業(yè)的第三方機(jī)構(gòu)，通過(guò)對(duì)現(xiàn)場(chǎng)的檢測(cè)、訪談以及測(cè)試，對(duì)比實(shí)際校園網(wǎng)的應(yīng)用情況以及目標(biāo)之間的差距，并依據(jù)專(zhuān)業(yè)機(jī)構(gòu)提出的建議對(duì)校園網(wǎng)進(jìn)行全面整改，保障整改后滿足校園網(wǎng)安全防護(hù)管理規(guī)范以及技術(shù)標(biāo)準(zhǔn)需求，通過(guò)等級(jí)保護(hù)策略的實(shí)施保障驗(yàn)收測(cè)評(píng)的科學(xué)性，增強(qiáng)了高職院校校園網(wǎng)信息安全防護(hù)效果。

3.6 縱深防御

高職院校校園網(wǎng)防護(hù)體系中有IDS、防火墻、華為ME60、漏洞掃描、客戶端管理、病毒防御等，從不同層面發(fā)揮著縱深防御作用，例如應(yīng)用層面、網(wǎng)絡(luò)層面、校園邊界層面。在校園網(wǎng)邊界層面。技術(shù)人員在創(chuàng)建校園安全防護(hù)體系中，可以在校園網(wǎng)與外部網(wǎng)絡(luò)邊界設(shè)置防火墻，例如可以在安全域邊界進(jìn)行防火墻設(shè)置如圖4，可以對(duì)校園網(wǎng)有害信息進(jìn)行分析，起到隔離有害信息的效果。技術(shù)人員在校園網(wǎng)核心交換機(jī)執(zhí)行ACL 訪問(wèn)控制，降低對(duì)高職院校非法訪問(wèn)的概率產(chǎn)生。而在網(wǎng)絡(luò)層面的安全防御，技術(shù)人員設(shè)計(jì)了入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)行產(chǎn)生的安全隱患或是威脅進(jìn)行定位，并精確分析，將網(wǎng)絡(luò)正在發(fā)生的異常以及攻擊行為進(jìn)行及時(shí)報(bào)告。同時(shí)在校園網(wǎng)中設(shè)置了預(yù)防病毒的網(wǎng)管，可以將病毒查殺，并具備將關(guān)鍵字體過(guò)濾、郵件組織等功能，使得校園網(wǎng)絡(luò)運(yùn)行更加安全。

而在校園網(wǎng)絡(luò)主機(jī)層面的安全防御機(jī)制，應(yīng)在校園網(wǎng)中設(shè)置漏洞掃描設(shè)備，可以定期對(duì)校園網(wǎng)應(yīng)用服務(wù)區(qū)域、核心交換區(qū)域、科研教學(xué)以及管理辦公區(qū)域進(jìn)行全程掃描，將產(chǎn)生的安全漏洞及時(shí)查找，發(fā)現(xiàn)安全漏洞并及時(shí)處理，還可以對(duì)校園網(wǎng)中的病毒入侵起到防范作用。在網(wǎng)絡(luò)層面還可以對(duì)校園網(wǎng)審計(jì)系統(tǒng)實(shí)施權(quán)限控制和管理維護(hù)，將其涉及到的操作行為進(jìn)行審計(jì)。應(yīng)用層面安全防護(hù)，可以通過(guò)設(shè)計(jì)Web 應(yīng)用網(wǎng)關(guān)，對(duì)校園網(wǎng)Web 應(yīng)用漏洞預(yù)先掃描，還應(yīng)對(duì)SQL 注入、跨站腳本等實(shí)現(xiàn)阻斷效果，與網(wǎng)頁(yè)防篡改子系統(tǒng)結(jié)合，達(dá)到網(wǎng)頁(yè)防篡改目標(biāo)。

4 完善校園網(wǎng)信息安全防護(hù)體系的措施

4.1 明確安全防護(hù)目標(biāo)

依據(jù)高職院校信息管理體系目前在運(yùn)行中存在困境以及問(wèn)題，并對(duì)技術(shù)以及管理方面內(nèi)容進(jìn)行全方位考量，制定動(dòng)態(tài)校園網(wǎng)安全防范方案，并依據(jù)方案創(chuàng)建數(shù)字化校園網(wǎng)，確保校園網(wǎng)內(nèi)部系統(tǒng)安全以及順利運(yùn)行。要保障校園網(wǎng)信息安全防護(hù)目標(biāo)的實(shí)現(xiàn)，可以從以下幾個(gè)步驟進(jìn)行：

（1）保障網(wǎng)絡(luò)運(yùn)行穩(wěn)定。校園網(wǎng)網(wǎng)絡(luò)穩(wěn)定運(yùn)行，可以使得信息系統(tǒng)更加可靠；

（2）防止校園網(wǎng)運(yùn)行受到內(nèi)部或是外部因素干擾，維護(hù)系統(tǒng)穩(wěn)定以及安全；

（3）保障高職院校校園網(wǎng)安全基礎(chǔ)下，安全防護(hù)體系需盡量為系統(tǒng)不同的應(yīng)用提供方便，校園網(wǎng)身份認(rèn)證需要保持統(tǒng)一，適當(dāng)控制角色訪問(wèn)情況；

（4）創(chuàng)建具備實(shí)用性以及可操作性網(wǎng)絡(luò)信息平臺(tái)可以為教學(xué)或是高職院校管理工作的進(jìn)行提供基礎(chǔ)保障。

4.2 制定安全策略

高職院校需要結(jié)合安全防范體系模型，從不同層面開(kāi)展校園網(wǎng)信息安全防護(hù)體系建設(shè)工作，安全防護(hù)體系中安全策略是最關(guān)鍵的內(nèi)容，可以確保校園信息傳遞安全性。安全策略主要包括：

（1）制定安全防護(hù)體系的建設(shè)方針，創(chuàng)建安全防護(hù)體系，并制定相關(guān)安全策略，例如數(shù)據(jù)安全、系統(tǒng)安全以及病毒防護(hù)等。制定好安全策略后，要確保其得到全面且有效實(shí)施；

（2）還應(yīng)構(gòu)建對(duì)應(yīng)的安全管理制度，制度主要內(nèi)容包括安全策略的操作流程、操作規(guī)范、操作細(xì)節(jié)等內(nèi)容，管理人員可以依據(jù)安全管理制度對(duì)安全策略進(jìn)行有效實(shí)踐以及落實(shí)，保障安全防護(hù)體系建設(shè)策略得到科學(xué)的落實(shí)，為校園網(wǎng)安全防護(hù)提供支持。

5 結(jié)束語(yǔ)

高職院校校園網(wǎng)對(duì)高職院校管理以及教學(xué)做出卓越貢獻(xiàn)，由于校園網(wǎng)在運(yùn)行中會(huì)受到各種因素的影響，例如病毒侵襲等導(dǎo)致校園網(wǎng)的運(yùn)行安全問(wèn)題重重，因此，應(yīng)創(chuàng)建校園網(wǎng)安全防護(hù)體系，并對(duì)防護(hù)體系構(gòu)建加強(qiáng)分析以及研究，了解創(chuàng)建前高職院校校園網(wǎng)信息安全現(xiàn)狀，例如預(yù)警機(jī)制問(wèn)題、安全漏洞待處理、安全意識(shí)待提升等問(wèn)題，并提出積極改善措施，加強(qiáng)等級(jí)保護(hù)、縱深防御、校園網(wǎng)出口邊界安全區(qū)的防護(hù)等，確保高職院校校園網(wǎng)系統(tǒng)安全運(yùn)行，保障信息以及數(shù)據(jù)安全。