數字化校園安全保障體系研究

劉長征　滕建民

摘要 數字化校園的建設不僅僅需要好的應用平臺、完善的業務系統，更為重要的是需要建立一套完整的安全保障體系來保證整個系統的安全、可靠運行。從數字化校園安全保障體系組成、構建方法等方面進行研究，對數字化校園的可持續發展和穩定高效運行具有重要意義。

關鍵詞 數字化校園；安全；體系

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1671-489X（2009）06-0087-03

Research of Digital Campus Security System//Liu Changzheng, Teng Jianmin

Abstract Good application platform and sound business system are important in Digital Campus, But establishing a comprehensive security system to ensurethe whole system is safe, reliable operation is even more important. It researches from digital campus security system components, construction methods, which is of great significance to the digital campus of sustainable development and efficient operation.

Key words digital campus；security；system

Authors address Bengbu Tank Institute Educational Technology Center, Bengbu, Anhui 233050

隨著軍隊院校信息化進程的推進，校園網上運行的服務越來越多，數字化校園變得越來越龐大和復雜。校園網用戶對信息系統的依賴性不斷增加，因此對信息系統的服務質量也提出更高的要求，要求信息系統能夠提供每周7×24小時的優質服務。如何保證信息系統的正常運行，如何能夠以最少的投入來完成系統的維護，保證信息系統的服務質量，就成為軍隊院校信息化發展到一定程度時必須考慮的問題。同時，數字化校園也面臨著一系列的安全問題，如會受到來自外部和內部的攻擊、病毒困擾、非授權訪問、重要信息泄露等問題，這些將影響整個數字校園系統的安全并帶來極大的隱患。從總體上來講，當前一般的校園網安全方案存在的問題是安全手段單一，沒有覆蓋整個校園網的各個層次、全方位的安全措施[1]。

結合蚌埠坦克學院數字化校園建設的實際情況，提出校園信息管理中心（DMC）的概念。作為學院信息化系統的樞紐，信息中心因存放大量的關鍵數據，與各個業務部門之間有著頻繁的重要通訊。如何保證關鍵數據安全，保證各類數字化校園服務的安全運行，就成為信息中心一項最為重要的職責。然而，隨著網絡技術的發展，黑客攻擊手段日益先進，而校園信息中心內的安全對象也不是簡單系統，而是開放的、各類用戶參與其中的、與學校和社會緊密耦合的復雜系統，攻擊者可以只攻一點，而信息中心需要處處設防，這些都使得校園信息中心網絡安全的復雜性大大提高。所以，單一的網絡安全產品，或者各種安全產品、安全技術的簡單堆砌，并不能保證網絡的安全性能。只有在安全策略的指導下，建立有機的、智能化的網絡安全保障體系，才能有效地保證校園信息中心內關鍵業務和關鍵數據的安全。

1 安全保障體系的組成

在多年實際工作的基礎上，蚌埠坦克學院采用一種動態的、多方位的校園信息中心安全保障體系構建方法。

首先，網絡安全保障體系應該是動態變化的。安全防護是一個動態的過程，新的安全漏洞不斷出現，黑客的攻擊手法不斷翻新，而校園信息中心自身的情況也在不斷地發展變化。在完成安全保障體系的架設后，必須不斷對此體系進行及時的維護和更新，才能保證網絡安全保障體系的良性發展，確保它的有效性和先進性。

網絡安全保障體系構建是以安全策略為核心，以安全技術作為支撐，以安全管理作為落實手段，并通過安全培訓加強所有人的安全意識，完善安全體系賴以生存的大環境。安全體系的組成如圖1所示。

下面逐一描述安全體系的各個組成部分。

1）安全策略。安全策略是一個成功的網絡安全體系的基礎與核心。安全策略描述校園信息中心的安全目標（包括近期目標和長期目標），能夠承受的安全風險，保護對象的安全優先級等方面的內容。

2）安全技術。常見的安全技術和工具主要包括防火墻、安全漏洞掃描、安全評估分析、入侵檢測、網絡陷阱、入侵取證、備份恢復和病毒防范等。這些工具和技術手段是網絡安全體系中直觀的部分，缺少任何一種都會有巨大的危險，因為網絡入侵防范是一個整體概念。但校園信息中心往往經費有限，不能全部部署，這時就需要在安全策略的指導下分步實施。需要說明的是，雖然是單元安全產品，但在網絡安全體系中它們并不是簡單的堆砌，而是要合理部署，互聯互動，形成一個有機的整體。

3）安全管理。安全管理貫穿整個安全保障體系，是安全保障體系的核心，代表安全保障體系中人的因素。安全不是簡單的技術問題，不落實到管理，再好的技術、設備也是徒勞的。一個有效的安全保障體系應該是以安全策略為核心，以安全技術為支撐，以安全管理為落實。安全管理不僅包括行政意義上的安全管理，更主要的是對安全技術和安全策略的管理。

4）安全培訓。最終用戶的安全意識是信息系統是否安全的決定因素，因此對校園信息中心用戶的安全培訓和安全服務是整個安全體系中重要的、不可或缺的一部分。

2 安全保障體系構建方法

2.1 制定安全策略基于數字化校園建設目標和建設思想的要求，結合蚌埠坦克學院信息化安全現狀，制定符合

學院數字化校園分期建設規劃對安全要求的相關策略[2]。要點：安全體系的近期目標是保證所有的機器都必須設防，能夠抵御一般水平的黑客進攻；安全體系的遠期目標是實現完善的安全審計和取證機制，保證受到入侵后有證可查，鑒于大多數安全事件來自于管理員的誤操作，審計在明確事故責任上也能發揮重大作用；安全體系的長期目標是建立安全預警系統，能夠抵御較高水平的黑客攻擊。

2.2 安全技術的應用及安全工具的部署在安全策略的指導下進行安全工具和技術的部署，形成圖2所示的直觀的網絡安全體系。

在校園網的入口架設千兆防火墻，并實現VPN的功能。在數據中心網絡入口處建立第一層的安全屏障，VPN保證管理員在家里或出差時能夠安全接入數據中心。利用防火墻的網段隔離功能，設置DMZ區。使用千兆入侵監測系統對信息中心內的所有數據流動進行實時檢測入侵。使用認證服務器對數據訪問進行統一的認證。實現網絡防病毒功能，在信息中心建立病毒控管中心，為信息中心和辦公網絡提供防毒服務。根據功能將服務器劃分成服務器群，使用多級防火墻實施進一步的保護：二級防火墻保護應用服務器群，三級防火墻保護數據庫服務器群。使用安全日志及審計服務器保護關鍵日志，方便管理員管理，并作為取證的依據。

2.3 形成以系統管理員為核心的安全管理制度良好的網絡信息安全保障離不開規范嚴謹的管理制度[3]。實踐一再告訴人們，僅有安全技術防范，而無嚴格的安全管理體系相配套，是難以保障網絡系統安全的。必須制訂《防火墻安裝規范》《防火墻運行維護規范》《安全檢查規范》《日志管理規范》《補丁安裝規范》《安全緊急事件響應規范》等安全管理制度及規范，對安全技術和安全設施進行規范化管理。

實現安全管理必須遵循可操作、全局性、動態性、管理與技術的有機結合、責權分明、分權制約及安全管理的制度化等原則。建立圖3所示系統管理員為中心的日常安全管理流程，并根據日常的安全管理工作情況制定安全體系，以此來保證整個安全體系的動態性和有效性。

2.4 安全培訓與用戶服務最終用戶的安全意識是信息系統是否安全的決定因素，因此對校園信息中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分，可以理解成為校園信息中心網絡安全體系的生存土壤。特別是在目前病毒泛濫的大環境下，要通過定期培訓、及時發放病毒警告通知、敦促大家打補丁等方法，堅持不懈地努力增強所有教職員工的安全意識，提高他們的安全防范技能。

3 結論

安全保障體系的建立不是一勞永逸的，數據中心自身的情況不斷變化，新的安全問題不斷涌現，必須根據情況的變化和現有體系中暴露出的一些問題，不斷對此體系進行及時的維護和更新，保證網絡安全保障體系的良性發展，確保它的有效性和先進性。圖4顯示了蚌埠坦克學院校園信息中心安全保障體系的動態發展過程。

參考文獻

[1]吳偉斌.數字校園安全體系的研究與實現[J].泉州師范學院學報,2006(4):39-42,52

[3]劉笑軍,劉長征.數字化校園應用教程[M].蚌埠坦克學院,2008

[3]網絡信息安全保障體系[EB/OL].http://www.ecampus.fudan.edu.cn/ecampus/aboutus/network/netsecurity.jsp