高職院校校園網信息安全防護體系研究

賴金志

（廣東輕工職業技術學院，廣東 廣州 510300）

高職院校校園網信息安全防護體系研究

賴金志

（廣東輕工職業技術學院，廣東 廣州 510300）

高職院校校園網是一個復雜的網絡，在支撐學校業務運營、發展的同時，面臨的信息安全風險日益突出，成為學校管理急需解決的問題之一。本文分析了高職院校校園網的網絡特點和信息安全現狀，提出在校園網構建“等級保護，區域隔離，突出核心，縱深防御”的信息安全防護體系，并結合實踐進行了探討和分析，為校園網信息安全防護工作提供必要的參考。

高職院校；校園網；信息安全；防護體系

1 引言

隨著我國學校信息化建設的逐步深入，目前高職院校的教學、科研和校園生活對信息系統依賴的程度越來越高。校園網絡中大量的信息資源，成為學校成熟的業務展示和應用平臺，在未來的教育信息化規劃中占有非常重要的地位。在享受信息化帶來的便利的同時，由于業務應用和網絡系統日益復雜，外部攻擊、內部資源濫用、木馬和病毒等不安全因素越來越顯著，校園網信息安全防護體系建設已經成為不容忽視的重要問題。

2 高職院校校園網特點

2.1 承載的業務需求多樣

校園網不只是滿足教職工上網需求，還擔負著校內信息化管理、教學輔助、校園生活、游戲等業務需求，運行著包括網站、校園一卡通系統、教務管理系統、財務管理系統和招生就業系統等多個信息系統。

2.2 使用的人員類型多樣

使用校園網的人員復雜多樣，包括學生、教師、管理者，用戶數量多、相對分散、流動性強。

2.3 接入的計算機終端多樣

接入校園網的學生個人電腦是自己購買和維護的，大多使用盜版軟件或者是在互聯網上下載的一些破解軟件，難以實施統一的安全策略來進行管理。

3 校園網信息安全現狀

3.1 缺少有效的安全防護措施

目前大部分高職院校對信息安全的認識不足，校園網沒有統一規劃系統性的安全解決方案，缺少有效的安全防護措施，沒有對內部網和外部網進行有效的隔離，完全依賴主系統的安全性。隨著校園內計算機應用的大范圍普及，接入校園網節點日漸增多，而這些節點大部分沒有采取一定的防護措施，隨時有可能造成網內病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。

3.2 存在大量的安全漏洞

由于學校網站掌握著大量集中性人群的個人信息，已成為信息安全“黑市”交易的香餑餑。據補天漏洞響應平臺查詢數據顯示，很多高職院校網站存在大量信息安全漏洞，其中絕大多數為高危漏洞，一旦不法分子利用這些漏洞，就可以輕而易舉地入侵郵件系統，獲取科研項目和機密文件，篡改網頁，植入任意內容，控制大量電腦并侵入校園網絡，發動APT(進階持續性威脅)攻擊，竊取賬號密碼等個人信息等[1]。

3.3 人員信息安全意識和技能薄弱

總體上校園用戶信息安全意識淡薄，自我保護意識和能力不夠，網絡病毒層出不窮，傳播迅速；校園里的學生好奇心強，喜歡嘗試新鮮事物，發表敏感言論，傳播小道消息，嘗試使用黑客工具在校園網發動攻擊。

4 校園網信息安全防護體系研究

由于高職院校校園網的網絡特點和嚴峻的信息安全現狀，使用單一的安全防護系統或簡單堆砌各種安全產品并不能保證信息安全，必須從系統性、整體性的觀點出發，在校園網內構建“等級保護，區域隔離，突出核心，縱深防御”的信息

安全防護體系，如圖1所示。

圖1 高職院校校園網信息安全防護體系

4.1 等級保護

根據公安部、教育部對信息系統安全等級保護的要求，建立健全等級保護工作機制，根據實際情況對已有信息系統進行定級備案，對照相應等級的技術標準和管理規范進行差距分析并實施整改，由具有資質的信息安全等級保護測評機構進行定期測評，使得信息系統在技術和管理上達到等級保護的要求。以廣東某高職院校為例：該校學院綜合管理系統、門戶網站系統、校園一卡通系統、協同辦公系統、自主招生系統、財務管理系統，承擔著學校信息宣傳、形象展示、校務管理、師生查詢校內信息等重大業務需求，關系著廣大師生的切身利益，按照《信息安全技術信息系統安全等級保護定級指南》[2]，將這6個系統定為二級系統，在公安機關進行了備案，委托第三方測評機構現場通過訪談、檢測和測試等手段進行差距分析，根據建議實施整改后達到二級系統技術標準和管理規范的要求，于2015年底通過了驗收測評。

4.2 區域隔離

開展信息系統安全等級保護工作，不是對整個校園網進行同一等級的保護，而是對網內不同業務區域進行不同等級的保護。因此，在校園網內劃分安全域，區域隔離，是進行等級保護的首要步驟。

安全域是指同一系統內根據信息的性質、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網或網絡，每一個邏輯區域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全策略[3]。安全域的劃分不能單純從安全角度考慮，而是應該以業務角度為主，輔以安全角度，并充分參照現有網絡結構和管理現狀，才能以較小的代價完成安全域劃分和網絡梳理，而又能保障其安全性。以某高職院校為例，通過安全需求和業務需求進行分析，將其校園網劃分為核心交換域、辦公管理域、科研教學域、應用服務域、安全管理域和外聯接入域等6個安全域，如圖1所示。

核心交換域：所有安全域的承載子域，提供安全域之間網絡數據的交換和路由。

辦公管理域：學校教職工辦公終端、網管人員維護終端所在的網絡接入區域。

科研教學域：教室、實驗室、圖書館和計算機房等網絡接入區域。

應用服務域：服務器、數據庫和存儲等核心設備所在的區域。

用戶接入域：學生、外來人員個人終端的網絡接入區域，主要分布在宿舍樓。

外聯接入域：與互聯網、教育網等外部網絡連接的接入區域。

4.3 突出核心

根據安全域的功能情況配備不同規格的安全設備，實施不同的安全策略，對于核心交換域和應用服務域的核心數據和重要應用所在的安全域進行重點保護。核心交換域的防護策略是重點保障網絡的穩定運行和各個安全域域的邊界防護和安全隔離；應用服務域的防護策略是重點保障操作系統、應用系統和數據庫管理系統的安全運行，以及對所存儲、傳輸和處理數據的安全保護；辦公管理域的防護重點是強化審計，做好權限的劃分和限制，統一終端管理和病毒防范；科研教學域側重于終端管理和病毒防范；用戶接入域側重于對病毒進行防范；外聯接入域側重于邊界安全防護。

4.4 縱深防御

綜合部署防火墻、IDS、漏洞掃描、防病毒、客戶端管理、審計系統和Web應用安全網關等多種安全產品，充分發揮其效能，從邊界、網絡、主機和應用四個層面實現縱深防御，如圖1所示。

邊界層面：在校園網與外部網絡的邊界部署防火墻、網閘和VPN等安全產品進行防護；在安全域邊界部署防火墻進行隔離，并在核心交換機執行嚴格的ACL訪問控制，防止非法訪問。

網絡層面：部署入侵檢測系統，量化、定位來自網絡的威脅情況，并準確分析、報告網絡中正在發生的各種異常事件和攻擊行為；部署防病毒網關，具有病毒殺除、關鍵字過濾和垃圾郵件組織功能，用以保護網絡內進出數據的安全。

主機層面：部署漏洞掃描設備，定期對核心交換域、應用服務域、辦公管理域和科研教學域進行掃描，及時發現安全漏洞；部署防病毒系統，加強服務器和終端的病毒防范；部署終端管理系統，對辦公管理域和科研教學域的接入終端進行統一管理；部署審計系統，進行權限控制和管理維護操作行為的審計。

應用層面：部署Web應用網關，對Web應用漏洞進行預先掃描，同時具備對SQL注入、跨站腳本等通過應用層的入

侵動作實時阻斷，并結合網頁防篡改子系統，真正達到雙重層面的“網頁防篡改”效果。

5 結語

高職院校校園網是一個復雜的網絡，在支撐學校業務運營、發展的同時，信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出，成為學校管理面臨的重要的、急需解決的問題之一。本文分析了高職院校校園網的網絡特點和信息安全現狀，通過研究提出在校園網構建“等級保護，區域隔離，突出核心，縱深防御”的信息安全防護體系，結合實踐進行了探討和分析，為其他高職院校校園網信息安全防護工作提供參考。

[1]胡立朋．高職院校的信息安全保障體系構建與應用[J]．網絡安全技術與應用，2014(01)：98-99．

[2]GB/T22240-2008．信息安全技術信息系統安全等級保護定級指南[S]．

[3]吳吉朋，王湧，李昊，等．應用安全域解決方案實踐“信息安全等級保護”[J]．電子政務，2010(01)：96-103．

Research on Information Security Protection System of Campus Network in Higher Vocational Colleges

Lai Jinzhi
(Guangdong Industry Polytechnic,Guangzhou 510300,Guangdong)

Vocational college campus network is a complex network.It faces with the increasingly prominent risk of information security while supporting the campus business operation and development.It becomes one of the urgent problems of school management.This paper analyzes the characteristics and information security situation of campus network in higher vocational colleges,proposes to build the information security protection system with"hierarchical protection,regional isolation,highlighted core, defense in depth.It combines with the practice to discuss and analyze,providing necessary reference for campus network information security and protection.

higher vocational colleges;campus network;information security;protection system

TP393.18

A

1008-6609(2016)07-0065-03

賴金志，男，廣東清遠人，碩士研究生，工程師，研究方向：集成電路設計，網絡芯片設計。