中央民大建立“金字塔”網(wǎng)絡(luò)信息安全模型

文/楊蔚宇

中央民大建立“金字塔”網(wǎng)絡(luò)信息安全模型

文/楊蔚宇

中央民族大學(xué)根據(jù)網(wǎng)絡(luò)信息安全的發(fā)展趨勢，結(jié)合“金字塔”網(wǎng)絡(luò)信息安全體系和相關(guān)規(guī)范、模型的制定，逐步完善目前的系統(tǒng)，使得“金字塔”模型在保障網(wǎng)絡(luò)信息的安全、保證校園網(wǎng)穩(wěn)定運(yùn)營方面發(fā)揮更大的作用。

高校作為知識學(xué)習(xí)和人才培養(yǎng)的重要陣地，在當(dāng)今信息化發(fā)展的大趨勢下，其信息化建設(shè)已經(jīng)成為信息技術(shù)及產(chǎn)業(yè)應(yīng)用的最佳平臺和范例。中央民族大學(xué)作為全國“985”、“211”重點(diǎn)民族高校，不僅力爭在學(xué)術(shù)和教育上成為全國各民族高校的典范，同時(shí)努力利用成熟的信息化技術(shù)帶動(dòng)教學(xué)、科研的信息化發(fā)展，促進(jìn)教職工、學(xué)生共享教學(xué)資源，協(xié)同工作、學(xué)習(xí)。

校園信息化建設(shè)的現(xiàn)階段，萬兆環(huán)路和無線覆蓋的網(wǎng)絡(luò)平臺、信息系統(tǒng)和數(shù)據(jù)的高度統(tǒng)一和集成，極大地促進(jìn)了學(xué)校教育事業(yè)的飛速發(fā)展，但同樣帶來信息安全的種種問題。攻擊者竊聽網(wǎng)絡(luò)信息，竊取用戶口令和數(shù)據(jù)庫信息，篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名，甚至刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)、釋放計(jì)算機(jī)病毒等等。校內(nèi)網(wǎng)絡(luò)運(yùn)維人員在工作中出現(xiàn)的任何失誤都可能給網(wǎng)絡(luò)信息安全帶來危險(xiǎn)。總之，無論是無意的誤操作，還是學(xué)生的好奇心與嘗試心理，以及越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境，不完善的網(wǎng)絡(luò)信息安全管理，都會(huì)給學(xué)校信息管理系統(tǒng)帶來無法估計(jì)的損失。

面對計(jì)算機(jī)網(wǎng)絡(luò)中的種種安全威脅，我們必須采取有力的措施來保證安全。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地杜絕各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。對信息訪問實(shí)行嚴(yán)格控制，在確保安全、可靠、持續(xù)運(yùn)行的前提下，盡量為網(wǎng)絡(luò)應(yīng)用提供方便。

中央民族大學(xué)引進(jìn)全面可靠的安全產(chǎn)品和技術(shù)，加強(qiáng)信息管理力度和強(qiáng)度，構(gòu)建一個(gè)穩(wěn)定可靠的網(wǎng)絡(luò)信息安全綜合體系，為學(xué)校信息化建設(shè)的快速發(fā)展提供有力的技術(shù)保證。

建設(shè)可靠的網(wǎng)絡(luò)安全體系

中央民族大學(xué)校園網(wǎng)絡(luò)安全體系的構(gòu)建，自始至終堅(jiān)持“落實(shí)規(guī)范、總體設(shè)計(jì)、先進(jìn)適用、安全可靠、開放兼容、全面管理”的總原則，力圖打造一個(gè)安全可靠的校園信息網(wǎng)絡(luò)平臺。

“金字塔”模型

通過在網(wǎng)絡(luò)建設(shè)中積累的經(jīng)驗(yàn)和對新技術(shù)、新產(chǎn)品的學(xué)習(xí)和了解，我們深刻了解到，構(gòu)造一個(gè)良好的網(wǎng)絡(luò)安全防護(hù)體系不僅僅靠某一個(gè)或幾個(gè)安全產(chǎn)品和技術(shù)就能夠?qū)崿F(xiàn)，我們需要的是一個(gè)全新的理念來實(shí)現(xiàn)網(wǎng)絡(luò)安全構(gòu)建方案。所以我們提出了一套立體的“金字塔”網(wǎng)絡(luò)安全體系建設(shè)模型，滿足在網(wǎng)絡(luò)層、系統(tǒng)層和管理層3個(gè)層次的安全需求和體系構(gòu)建，見圖1。

模型的底部，代表著龐大的網(wǎng)絡(luò)設(shè)備安全，是“金字塔”堅(jiān)實(shí)的根基，也是整個(gè)安全體系最直接、最基本的實(shí)施和操作平臺，是網(wǎng)絡(luò)信息安全體系的最終落腳點(diǎn)；中間層次承擔(dān)著承載網(wǎng)絡(luò)信息的系統(tǒng)級別的安全職能；頂端層次決定著全網(wǎng)安全體系構(gòu)建的實(shí)施力度和手段，通過對網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備的管理機(jī)制、對信息建設(shè)與管理人員的安全意識的管理，構(gòu)建穩(wěn)定可靠的網(wǎng)絡(luò)信息安全體系。

總體目標(biāo)

“金字塔”網(wǎng)絡(luò)信息安全體系模型的最終控制目標(biāo)是“四無”，即安全管理無漏洞、網(wǎng)絡(luò)設(shè)備無隱患、管理行為無不當(dāng)、網(wǎng)絡(luò)安全無事故，堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)中央民族大學(xué)學(xué)校信息資源的利益，維護(hù)國家安全。

指導(dǎo)思想

“金字塔”網(wǎng)絡(luò)信息安全體系模型以“大安全”理念為指導(dǎo)思想，其不僅僅是網(wǎng)絡(luò)建設(shè)部門的工作，同樣是全員、全方位、全天候、全過程的工作，與所有單位部門每一個(gè)信息管理和操作人員息息相關(guān)，需要各個(gè)部門、教職工、廣大學(xué)生的多方協(xié)調(diào)、齊抓共管。

基本方式

要實(shí)現(xiàn)系統(tǒng)的安全功能和性能，既要采取先進(jìn)的安全技術(shù)，又要對已建立的系統(tǒng)實(shí)施有效的安全管理，在進(jìn)行安全技術(shù)基礎(chǔ)設(shè)施建設(shè)時(shí)應(yīng)注意建立配套的運(yùn)行管理機(jī)制和安全規(guī)章制度。“金字塔”模型自上而下地貫徹網(wǎng)絡(luò)信息安全管理策略和方式方法，從管理落實(shí)到技術(shù)，全面規(guī)劃和完善網(wǎng)絡(luò)安全防護(hù)層次和體系；模型自下而上地進(jìn)行總結(jié)和規(guī)劃，從基本設(shè)備、系統(tǒng)作為出發(fā)點(diǎn)去完善整個(gè)管理層次和模式，健全安全體制和體系。

網(wǎng)絡(luò)安全防護(hù)

信息的傳遞和教學(xué)、科研學(xué)習(xí)工作的開展依賴和依托于網(wǎng)絡(luò)環(huán)境，如何保障網(wǎng)絡(luò)的安全，是構(gòu)建中央民族大學(xué)校園網(wǎng)絡(luò)信息安全體系的基礎(chǔ)性工作。

網(wǎng)絡(luò)邊界嚴(yán)格控制訪問

在網(wǎng)絡(luò)邊界上，部署網(wǎng)御神州SetGate 防火墻，對中央民族大學(xué)校園網(wǎng)進(jìn)行邊界隔離，嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)安全區(qū)域的訪問，明確訪問的來源、訪問的對象及訪問的類型，確保合法訪問的正常進(jìn)行，杜絕非法及越權(quán)訪問運(yùn)用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對出入網(wǎng)絡(luò)的信息流進(jìn)行全面的控制（允許通過、拒絕通過、過程監(jiān)測）。控制類別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面。同時(shí)有效預(yù)防、發(fā)現(xiàn)、處理諸如蠕蟲病毒、DDOS等異常的網(wǎng)絡(luò)訪問，確保中央民族大學(xué)校園網(wǎng)正常訪問活動(dòng)。

實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)和網(wǎng)絡(luò)行為

在骨干鏈路旁路，部署天融信網(wǎng)絡(luò)衛(wèi)士NGIDS-UF入侵檢測系統(tǒng)，實(shí)時(shí)監(jiān)控各網(wǎng)段數(shù)據(jù)報(bào)文及網(wǎng)絡(luò)行為，提供及時(shí)的報(bào)警及響應(yīng)機(jī)制，大大增強(qiáng)了用戶的整體安全保護(hù)強(qiáng)度。

流量控制精細(xì)

在網(wǎng)絡(luò)骨干鏈路上，部署網(wǎng)優(yōu)先鋒NetMizer流量控制系統(tǒng)，實(shí)現(xiàn)了2～7層的應(yīng)用識別分類、流量屬性分析、流量策略管理、分類統(tǒng)計(jì)報(bào)告以及狀態(tài)預(yù)警等多種功能，實(shí)現(xiàn)精細(xì)流量控制，并對嚴(yán)重占用帶寬的P2P流量通過設(shè)置帶寬使用上限和時(shí)段，降低對總體鏈路的負(fù)載影響，同時(shí)對需要保障的關(guān)鍵應(yīng)用和重點(diǎn)區(qū)域和人群，根據(jù)應(yīng)用優(yōu)先級的不同專為其設(shè)定相應(yīng)的保證帶寬，確保其獲得有保障的帶寬通道和使用感受，提高用戶的服務(wù)質(zhì)量（QoS），既保證整個(gè)網(wǎng)絡(luò)的連通性，又實(shí)現(xiàn)網(wǎng)絡(luò)流量的控制與管理，保障關(guān)鍵信息流通和應(yīng)用業(yè)務(wù)的正常開展。

定期掃描網(wǎng)絡(luò)設(shè)備

部署榕基Rj-iTOP漏洞掃描系統(tǒng)，定期對中央民族大學(xué)校園網(wǎng)中的主要網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，包括網(wǎng)絡(luò)模擬攻擊、漏洞檢測、報(bào)告服務(wù)進(jìn)程、提取對象信息、以及評測風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能，形成相關(guān)報(bào)告，并根據(jù)掃描報(bào)告對相關(guān)漏洞進(jìn)行修改，幫助網(wǎng)絡(luò)管理員控制可能發(fā)生的網(wǎng)絡(luò)安全事件，最大程度地消除安全隱患，提升其安全性，防患于未然。

凈化校園網(wǎng)絡(luò)空間

部署網(wǎng)御神州SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)，通過旁路偵聽的方式對內(nèi)部網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)和DMZ區(qū)域的數(shù)據(jù)流進(jìn)行采集、分析和識別，實(shí)時(shí)監(jiān)視使用者使用互聯(lián)網(wǎng)的狀態(tài)，記錄各種上網(wǎng)行為，發(fā)現(xiàn)對互聯(lián)網(wǎng)濫用，并對用戶上網(wǎng)過程中發(fā)送和接收的相關(guān)內(nèi)容進(jìn)行控制、存儲、查詢和分析。互聯(lián)網(wǎng)上的信息良莠不齊，而現(xiàn)在越來越多的大學(xué)生因?yàn)槭艿交ヂ?lián)網(wǎng)上不良信息的影響，對自我、人生、社會(huì)的認(rèn)識也產(chǎn)生不良的作用。隨著學(xué)生的計(jì)算機(jī)水平不斷提高、教師在辦公時(shí)對互聯(lián)網(wǎng)的依賴性增強(qiáng)，由網(wǎng)絡(luò)帶來的安全隱患在校園網(wǎng)中一觸即發(fā)。凈化網(wǎng)絡(luò)空間，同時(shí)可以讓管理者很好地了解狀況，并且對潛在的威脅者及違規(guī)操作者給予震懾性警告，并對其違規(guī)操作進(jìn)行記錄取證。

系統(tǒng)安全防護(hù)層次

針對中央民族大學(xué)校園網(wǎng)絡(luò)，其關(guān)鍵資源就是信息數(shù)據(jù)，而這些數(shù)據(jù)就存放在重要服務(wù)器的操作系統(tǒng)之上，所以操作系統(tǒng)本身的安全性至關(guān)重要。但不管是Unix還是Windows操作系統(tǒng)，其安全性都遠(yuǎn)遠(yuǎn)不夠，訪問控制力度、超級用戶的權(quán)限濫用以及不斷被發(fā)現(xiàn)的安全漏洞是操作系統(tǒng)存在的幾個(gè)致命性問題。針對中央民族大學(xué)校園網(wǎng)中關(guān)鍵信息業(yè)務(wù)使用的操作系統(tǒng)，保障操作系統(tǒng)平臺的安全和正常運(yùn)行，為應(yīng)用系統(tǒng)提供及時(shí)多樣的服務(wù)。針對數(shù)據(jù)庫，保證數(shù)據(jù)庫不受到惡意侵害或未經(jīng)授權(quán)的存取與修改。

定期掃描漏洞

充分利用榕基Rj-iTOP漏洞掃描系統(tǒng)，定期對中央民族大學(xué)學(xué)校中的服務(wù)器、數(shù)據(jù)庫等進(jìn)行漏洞掃描和弱點(diǎn)評估，發(fā)現(xiàn)系統(tǒng)存在的安全隱患，綜合給出一個(gè)書面形式的安全建議則和策略，并結(jié)合解決建議，及時(shí)對中央民族大學(xué)校園網(wǎng)中的重要信息系統(tǒng)針對弱點(diǎn)進(jìn)行加固，將系統(tǒng)的隱患消除在弱點(diǎn)被利用之前。

提升系統(tǒng)的安全防護(hù)等級

針對重要的服務(wù)器，在進(jìn)行隱患掃描、利用WSUS補(bǔ)丁加固的基礎(chǔ)上，進(jìn)一步從超級用戶賬號管理、系統(tǒng)進(jìn)程保護(hù)、系統(tǒng)注冊表保護(hù)等多個(gè)方面，提升其底層操作系統(tǒng)的安全防護(hù)等級，確保上層的應(yīng)用，從根本上提升安全防護(hù)能力。在不影響現(xiàn)有業(yè)務(wù)的情況下，從根本上提升服務(wù)器操作系統(tǒng)的安全性，削弱超級用戶的權(quán)限，并且高強(qiáng)度抵御安全威脅最嚴(yán)重的緩存區(qū)溢出攻擊問題。

嚴(yán)格規(guī)范口令的設(shè)置和管理

操作系統(tǒng)系統(tǒng)、數(shù)據(jù)庫、信息系統(tǒng)管理和使用口令有良好的儲存和管理方式，防范弱口令，因口令過于復(fù)雜而導(dǎo)致忘記，或者因擔(dān)心忘記口令而記在顯眼的位置，被他人窺探到，造成口令外泄。統(tǒng)一口令設(shè)置規(guī)范，對口令長度、口令字符復(fù)雜度、口令歷史，口令最長有效期有嚴(yán)格要求和規(guī)范，對不同級別權(quán)限的口令分則管理，加密保管。

安全管理防護(hù)層次

在實(shí)現(xiàn)可信網(wǎng)絡(luò)計(jì)算環(huán)境、可信用戶行為和可信數(shù)據(jù)安全后，將對信息系統(tǒng)訪問過程的所有環(huán)節(jié)實(shí)現(xiàn)全面的防護(hù)，但若沒有統(tǒng)一的策略管理或是對安全事件缺乏統(tǒng)一的分析和反饋，那么在此基礎(chǔ)上形成的防護(hù)體系仍將是各自為政、一盤散沙，相互之間存在安全盲區(qū)，對突發(fā)事件難以共同應(yīng)對、協(xié)調(diào)處理，并且不能為網(wǎng)絡(luò)安全管理提供統(tǒng)一的預(yù)警、自動(dòng)響應(yīng)等功能，同時(shí)網(wǎng)絡(luò)管理員也很難全面了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)和趨勢，無法提供統(tǒng)一的安全狀態(tài)檢測。

在安全管理防護(hù)層次上，主要體現(xiàn)在兩個(gè)方面：

一方面，基于網(wǎng)絡(luò)安全的統(tǒng)一協(xié)調(diào)管理，能夠有效進(jìn)行資產(chǎn)管理、介質(zhì)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理以及惡意代碼防范管理等內(nèi)容，能夠?qū)崿F(xiàn)信息系統(tǒng)的統(tǒng)一安全策略、統(tǒng)一安全管理等技術(shù)，通過部署安全審計(jì)系統(tǒng)和安全管理平臺，能夠很好地解決以上問題。具體如下：

1. 部署網(wǎng)神SecFox-LAS日志審計(jì)系統(tǒng)，在網(wǎng)絡(luò)中建立完善的安全日志審計(jì)系統(tǒng)，負(fù)責(zé)采集網(wǎng)絡(luò)中各臺重要服務(wù)器以及網(wǎng)絡(luò)設(shè)備、安全設(shè)備的日志信息，定時(shí)進(jìn)行分析，并生成統(tǒng)計(jì)報(bào)告和安全預(yù)警報(bào)告，通過記錄、分析網(wǎng)絡(luò)中的各類設(shè)備的日志信息，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)中的各種設(shè)備狀態(tài)，及時(shí)、有效分析出網(wǎng)絡(luò)中發(fā)生的安全事件及入侵行為并根據(jù)設(shè)置的策略及規(guī)則，對違規(guī)行為進(jìn)行記錄、報(bào)警和阻斷。

2. 部署網(wǎng)神SecFox-UTM安全管理平臺，通過對網(wǎng)絡(luò)中各種設(shè)備（包括路由設(shè)備、安全設(shè)備等）、安全機(jī)制、安全信息的綜合管理和分析，對現(xiàn)有安全資源進(jìn)行有效管理和整合，從全局角度對網(wǎng)絡(luò)安全狀況進(jìn)行分析、評估與管理，獲得全局網(wǎng)絡(luò)安全視圖。通過制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或回應(yīng)，從而全面提高整體網(wǎng)絡(luò)的安全防護(hù)能力，為網(wǎng)絡(luò)提供高效的安全管理手段。

另一方面，基于人員的安全管理體系。管理安全主要考慮的是“人”的因素，也就是在網(wǎng)絡(luò)安全建設(shè)及管理維護(hù)的過程中，如何通過“人”來對技術(shù)進(jìn)行安全的“操作”和“配置”，并依據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》（公安部第33號令）和《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）的要求，從安全管理制度定制、安全管理機(jī)構(gòu)建設(shè)和人員安全管理方式等角度，嚴(yán)格規(guī)范網(wǎng)絡(luò)安全管理“軟環(huán)境”，對安全管理體系的建設(shè)、執(zhí)行、管理、運(yùn)維等工作切實(shí)落實(shí)。具體如下：

1. 制定信息安全工作總體方針和策略，建立安全管理各類制度、操作流程和各種安全策略流程的配置文件存檔，并由安全管理部門對建立的安全管理制度體系的合理性和適用性進(jìn)行論證和審定，定期不定期抽查審核，對存在的不足和需要改進(jìn)的內(nèi)容進(jìn)行修訂。

2．設(shè)立信息安全管理職能部門，由主管副校長牽頭任安全主管，設(shè)立安全管理各方面負(fù)責(zé)人崗位并定義其職責(zé)；分設(shè)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、專職安全管理員，并對關(guān)鍵設(shè)備、信息系統(tǒng)和應(yīng)用配備多人共管，避免管理孤島；明確和授權(quán)各管理部門和人員的工作職責(zé)和權(quán)限，形成校發(fā)文備案保存；加強(qiáng)部門內(nèi)部、部門之間以及業(yè)界權(quán)威、專家及安全監(jiān)管部門的溝通與合作，避免信息安全技術(shù)和手段的局限性。

3. 嚴(yán)格規(guī)范網(wǎng)絡(luò)管理、信息管理和關(guān)鍵業(yè)務(wù)管理人員的錄用和離崗過程，對相應(yīng)人員簽署相應(yīng)保密協(xié)議和承諾書；定期對關(guān)鍵崗位人員進(jìn)行安全技能和安全人認(rèn)知的培訓(xùn)、審查和考核；確保外來人員訪問區(qū)域、設(shè)備、系統(tǒng)和信息的權(quán)限和審批，形成規(guī)范流程的書面文字存檔，并按照流程規(guī)定認(rèn)真執(zhí)行。

隨著高校信息化的深入發(fā)展，網(wǎng)絡(luò)信息安全的問題也顯得越來越重要，構(gòu)建可靠的網(wǎng)絡(luò)信息安全體系是高校網(wǎng)絡(luò)建設(shè)管理部門有效管理網(wǎng)絡(luò)信息、處理海量信息和業(yè)務(wù)的必經(jīng)之路。雖然網(wǎng)絡(luò)安全體系的構(gòu)建仍然存在一些問題并處于發(fā)展完善的階段，但是這并不阻礙該體系的實(shí)施與應(yīng)用，越來越廣泛的信息建設(shè)與業(yè)務(wù)應(yīng)用也會(huì)進(jìn)一步促進(jìn)這些問題的解決和體系構(gòu)建的完善。

（作者單位為中央民族大學(xué)現(xiàn)代教育技術(shù)部）