高職院校校園網安全技術防護方案設計

黃煒

（漳州職業技術學院 現代教育技術中心，福建 漳州 363000）

高職院校校園網安全技術防護方案設計

黃煒

（漳州職業技術學院 現代教育技術中心，福建 漳州 363000）

在調研高職院校網絡信息安全管理現狀的基礎上，參考國家等級保護制度，設計了高職院校校園網絡安全整體防護等級和常見業務系統等級分類，并將高職院校網絡環境劃分為三個安全域，根據不同域的網絡設施和安全級別要求設計了安全設備配置方案。

等級保護；高職院校校園網；網絡安全；技術防護

1　引言

隨著教育信息化的深入和職業教育的轉型，近年來，高職院校校園網呈現三大特點，一是網絡結構日趨復雜，網絡設施與資源越來越多,二是用戶數量迅速增多，網絡行為日益活躍，三是信息安全威脅越來越多，對安全防護工作提出了新挑戰，在國家大力推進網絡安全管理工作和實施信息系統等級保護工作的背景下，高職院校如何設計適合自身的網絡安全防護方案，建設綠色安全的校園網絡環境，是一個亟需研究的問題。

2　高職院校網絡安全技術防護現狀

為了摸清高職院校網絡安全管理現狀，筆者面向我國教育信息化基礎較好的東南地區的高職院校，通過網絡調查和電話咨詢，共調查了19所高職院校，調查結果如下：

2.1網絡安全設備配備不足

在設備配備方面，目前大部分高職院校信息網絡基本能達到信息安全等級二級標準，雖然按照國家要求，配置了防火墻、防病毒網關、信息審計系統、網絡防病毒系統、漏洞掃描系統和入侵檢測系統等必備的網絡安全設備。但是，對網絡安全所需的基本軟件、硬件設施的經費投入不足，普遍缺乏相對完整的計算機網絡安全設施。

2.2沒有進行安全分域

在安全管控方面，沒有按照安全保護強度劃分不同的安全等級，沒有根據信息系統承載業務的重要程度、信息內容的重要程度、系統遭到攻擊破壞后造成的危害程度等安全需求以及安全成本等因素，對IT服務內容進行分級分域分業務分用戶管控。

2.3安全防護技術運用不足

在安全技術方面，僅有17.9%的高職院校能應用7種以上安全技術，調查學校在網絡安全方面采用較多的技術和手段是數據備份(占85.9%)、防火墻(占85.9%)、防病毒(占78.2%)、訪問控制(占71.8%)；采用較少的技術和手段是數字證書、定期進行安全風險評估、入侵檢測、加密、系統安全加固、漏洞掃描。

2.4網絡安全事件頻發

從網絡安全設備近年統計的安全事件來看，高職院校網絡安全事件頻發，見表1，其中最常見的安全威脅是網絡木馬和網絡釣魚，主要原因是在技術防護方面，高職院校安全防護技術相對滯后，部分系統存在明顯的漏洞，管理人員的防護技能不高，不能應對常見的信息安全事件。在管理方面，網絡用戶和管理人員有章不循，操作隨意，對于安全管理松懈，組織不力。

表1　高職院校2013年網絡安全事件統計（不完全統計）

3　高職院校網絡安全防護技術體系設計

3.1技術防護體系建設準則

1999年國家發布實施的《計算機信息系統安全保護等級劃分準則》是我國第一部關于等級保護的劃分標準。2009年，教育部為進一步加強教育系統信息安全工作，由辦公廳印發《關于開展信息系統安全等級保護工作的通知》（教辦廳函[2009]80號），決定在教育系統全面開展信息安全等級保護工作。[1]通過將等級保護方法和高職院校信息安全體系建設有效結合，設計一套符合高職院校需求的信息安全保障體系，是適合我國國情，也是系統化地解決高職院校信息安全問題的一個非常有效的方法。因此，筆者認為在構建安全防護體系的過程中，應以等級保護為基本原則。

3.2技術防護體系建設思路

在構建高職院校技術安全防護體系的過程中應參照等級保護的標準和要求，使信息系統在物理層面、網絡層面、系統層面、應用層面符合國家等級保護的標準，為高職院校信息系統的安全穩定運行提供有力保障。具體而言，應從以下兩個角度設計、構建技術防護體系：

（1）構建分域的控制體系

在總體架構上，除了考慮等保因素外，高職院校信息系統的技術安全防護體系還應按照分域保護思路進行。各個安全區域內部的網絡設備、服務器、終端、應用系統形成各自的運行環境、各個安全區域之間的訪問關系形成邊界、各個安全區域之間的連接鏈路和網絡設備構成了網絡的基礎設施。[2]因此技術體系應從保護信息系統的運行環境、邊界和網絡基礎設施三個方面進行設計。

（2）構建縱深的防御體系

在提出的技術防護體系中，綜合考慮采用諸如訪問控制、入侵防御、惡意代碼防范、安全審計、防病毒、傳輸加密、集中數據備份等多種技術和設備，對信息系統的運行環境、區域邊界以及網絡基礎設施進行防護，并在此基礎上實現綜合集中的安全管理，實現高職院校網絡安全防護的一體化。

3.3技術防護體系具體方案

（1）確定安全級別

根據《中華人民共和國計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》、教育部辦公廳《關于開展信息系統安全等級保護工作的通知》（教辦廳函[2009]80號），參照《計算機信息系統安全保護等級劃分準則》，對高職院校的整體安全等級設計了歸類表，見表2，主要設置了五級，分別是自主保護級、指導保護級、監督保護級、強制保護級和專控保護級，其中高職院校一般屬于前兩個級別。同時將高職院校的常見網絡安全對象根據安全的重要性進行歸類，設計了高職院校常見網絡設施與應用系統等級分類，見表3。

表2　高職院校整體安全等級歸類表

表3　高職院校常見服務對象與應用系統等級分類

（2）劃分安全域

因目前高職院校的信息安全等級基本為二級，[3]依據高職院校網絡與信息系統的網絡結構、應用情況，可以采用邏輯隔離技術（VLAN或防火墻技術）和物理隔離技術將整個學校的網絡劃分為三個層次的安全域，分別是：第一層次安全域：對外服務器區，設立DMZ區域，主要運行對外公開服務的信息，包含基礎網絡、郵件系統、門戶網站等；第二層次安全域：內網用戶區，主要是各應用系統內部根據應用人群的終端分布、部門等劃分子網或子系統。在這個區域內放置一些對內服務的設施，如基礎數據庫、內網服務器等。第三層次安全域：涉密系統服務器區，與互聯網物理隔離，將相同安全等級的應用系統從邏輯上和物理上分別劃分，主要運行具有較高安全需求的涉密辦公系統。

4　高職院校網絡安全設備配置方案

針對可能存在的安全漏洞和安全需求，在不同安全域上提出不同的安全級別要求和相應的解決方案，制定相應的安全策略，加強安全管理，保證整個系統的安全性。

4.1第一層次安全域

圖1　第一層次安全域安全設備配備示意圖

（1）部署防火墻互聯網邊界隔離整合

如圖1所示，結合高職院校網絡安全域劃分，互聯網邊界部署防火墻進行邊界整合，防火墻上劃分對外服務器、師生生活與活動區兩個安全子域。開辟安全服務區，部署入侵防御、病毒過濾以及流量審計系統，通過防火墻將互聯網接入域與接口平臺進行隔離。[4]

（2）對外服務器安全防護

將對外提供服務的服務器放置在WEB應用防火墻后，并通過入侵防御系統、以及網頁防篡改系統對服務器及頁面進行進一步的安全防護，通過應用負載系統在服務器間實現訪問請求的均衡負載。通過入侵防御系統不僅能夠對各種DDos攻擊進行有效的防護，實現系統正常運行時間最大化，免除緊急補丁的安裝。通過負載均衡的部署提高了對外服務器的服務能力。通過網頁防篡改系統加強頁面數據有效、合法以及安全。

（3）師生生活與活動區安全防護

師生生活與活動區子域包含服務器以及大量的PC。本區域防護重點是PC終端的安全，部署桌面終端安全管理系統，構建一個能集中管理的計算機終端桌面防護系統，達到對師生生活與活動區內部計算機終端接入安全、管理規范及行為管控。

4.2第二層次安全域

根據高職院校信息化業務的內容，如圖2，將第二層次安全域劃分為業務支撐區、業務應用區、內部應用區以及運維管理區，設計全面縱深防御的安全防護體系。

(1)部署雙層防火墻加強各區域間訪問控制

防火墻上劃分業務支撐區、業務生產區、內部應用區以及運維管理區四個安全子域，互聯網接入域作為第一道防火墻DMZ區域存在，各安全子域邊界部署第二道防火墻，僅開放需要與該域進行交互的端口及來源。業務接入域匯聚交換區旁路抗DDoS攻擊系統，達到最高的安全要求。通過防火墻將業務接入域與互聯網進行隔離。

(2)業務支撐區安全防護

本區域為BOSS系統提供基礎網絡平臺。[5]如圖3，區域邊界部署第二道防火墻，通過訪問控制策略嚴格定義與其他區域的交互細則，旁路部署病毒過濾及入侵檢測系統實現攻擊和惡意代碼檢測及阻斷，通過應用負載可有效提高業務服務器響應能力，實現業務請求在多臺服務器間進行負載分擔。

圖2　第二層次安全域安全設備部署圖

圖3　業務支撐區安全防護設備部署圖

(3)業務生產區安全防護

本區域為高職院校教學交流互動平臺提供基礎網絡平臺。如圖4，區域邊界部署第二道防火墻，通過訪問控制策略嚴格定義與其他區域的交互細則，旁路部署病毒過濾及入侵檢測系統實現攻擊和惡意代碼檢測及阻斷，通過應用負載可有效提高業務服務器響應能力，實現業務請求在多臺服務器間進行負載分擔。

(4)應用區安全防護

本區域為高職院校內部相關辦公系統，如圖5，在區域邊界部署第二道防火墻，通過訪問控制策略嚴格定義與其他區域的交互細則。

圖4　業務生產區安全防護圖　

圖5　內部應用區安全防護設備部署圖

(5)運維管理區安全防護

運維管理區主要是用于第三方人員、系統管理員，開發、測試、維護的區域，任何對網絡或服務器業務系統的更改測試，都需要在此處完成；同時該區域還包含各類運維支撐系統，實現全面IT運維管理，為高職院校IT運維團隊提供決策支持。如圖6，每個區域均需要利用防火墻，進行網絡層隔離，也可通過不同VLAN定制不同訪問控制策略來實現網絡隔離。由于該區域對整個高職院校數據中心具備最高訪問權限，因此區域邊界部署第二道防火墻，通過訪問控制策略嚴格定義與其他區域的交互細則。

圖6　運維管理區安全防護設備圖

4.3第三層次安全域

第三層次安全域主要是針對需要聯接廣域網的高職院校涉密網絡的安全防護，如圖7。

(1)邊界配備防火墻和防病毒系統，設置總體的安全策略

在防火墻外配備密碼機，負責涉密辦公系統按照不同密級，將數據進行加密傳輸；其中機密以下級信息應用服務必須配備應用服務加密設備。機密以上信息應用服務必須配備終端加密設備。

(2)區域內部部署

在區域核心交換機旁路上必須部署入侵檢測系統并及時進行策略更新，監控異常網絡行為和檢測實時攻擊，在該區域核心交換機旁路上部署漏洞掃描設備和補丁更新系統，發現應用系統與服務器的漏洞并及時更新補丁，在密級應用系統前端部署訪問控制設備和CA系統，實現用戶按照權限訪問密級應用系統，在用戶終端部署可以檢測非法外聯與非法接入的終端安全監控系統，用戶終端部署水印系統，對文件進行加密。

5　小結

高職院校網絡安全防護工作是一項系統工程，在完善的學校安全防護體系的基礎上，更需要充分培養學校IT服務人員和用戶的信息安全防護意識，[6]才能滿足越來越高的安全管理要求。然而，隨著信息安全等級防護制度的推行，學校網絡信息安全分級將會越來越明細，新的安全威脅又不斷涌現，因此高職院校網絡安全防護方案將在本文提出的安全設備設備配置方案的基礎上，需要根據根據信息安全形勢的變化進一步完善和優化，才能充分適應新的安全管理需求。

圖7　第三層次安全域安全設備配置示意圖

[1]于世梁.國家安全視角下的網絡安全新舉措[J].江西行政學院學報，2014，16(3)：77-80.

[2]李寶玲，曹寶香.基于 ITIL的安全管理平臺流程響應機制設計[J].計算機安全，2013(3)：36-40.

[3]王文文，孫新召.信息安全等級保護淺議[J].計算機安全，2013(1)：68-77.

[4]鄭雯.基于ITIL理論的信息安全與信息化資源智能管控體系的研究與建設[D].山東：中國海洋大學碩士論文，2012.

[5]余勇，林為民.工業控制SCADA系統的信息安全防護體系研究[J].信息網絡安全，2012(5)：74-77.

[6]張明德，鄭雪峰，蔡翌.應用安全模型研究[J].信息網絡安全，2012(8)：121-125.

（責任編輯：季 平）

Design of Security Technology and Protection Scheme of Campus network in Higher Vocational Colleges

HUANG Wei
(Zhangzhou Institute of Technology,Zhangzhou,Fujian 363000,China)

Based on present situation of the research of vocational college network information security management,reference to national level protection system,the manuscript designed the overall protection of higher vocational college campus network security level and common business system classification of higher vocational colleges,and divides the three security domains for the network environment,according to the network facilities and different level of security domain requirements,designed safety equipment configuration scheme.

Level of protection;Campus Network of higher vocational colleges;Network security; Technology protection

TP393.08

A

1673-1417（2015）01-0023-07

10.13908/j.cnki.issn1673-1417.2015.01.0005

2015-01-05

黃煒 (1982-)，女，福建漳州人，助教，學士，研究方向：教育技術。