基于等級保護的智慧校園網絡安全防護研究

錢文標 楊清琳

摘 要：隨著高校信息化程度不斷提高，校園網絡安全問題也日漸凸顯。本文根據網絡安全等級保護三級的要求，結合高校智慧校園建設，對構建基于等級保護的網絡安全防護體系，論文分別從網絡安全、系統安全、數據安全、管理安全等四個方面進行了論述。

關鍵詞：等級保護；智慧校園；安全防護

DOI：10.16640/j.cnki.37-1222/t.2018.12.203

1 引言

目前，許多高校都在建設智慧校園，就是利用信息技術、網絡技術、云計算技術等將學?？蒲?、教學、生活和管理有關的信息進行信息化管理。智慧校園建設首先應確定信息化建設體系架構、信息標準和各系統之間的接口標準，實現數據中心、統一身份驗證、統一信息門戶三大平臺，然后再建設各種信息系統。

隨著高校信息化程度的不斷提高，校園網絡信息流量逐漸增大，校園網絡安全問題也日漸凸顯。高校各信息系統匯集了全校教師、學生的個人資料、教務信息、教學資料等敏感和重要信息，一旦發生安全事件，將嚴重損害學校教師和學生的個人利益，同時給學校的聲譽帶來負面影響[1]。因此，如何做好智慧校園網絡安全防護，構建校園安全防護體系具有非常重要的研究意義。

2 網絡安全等級保護制度

為了保障網絡安全，維護網絡空間主權和國家安全，全國人大常委會發布了《中華人民共和國網絡安全法》，并于2017年6月1日開始施行。網絡安全法第二十一條規定國家實行網絡安全等級保護制度。

智慧校園實行信息安全等級保護制度不僅是國家法律要求，更能指導如何保護網絡與信息系統。做好智慧校園信息系統的定級、備案、評估和測評工作，對發現的網絡安全隱患及時進行整改，建立智慧校園網絡安全防護體系。

3 基于等級保護的智慧校園網絡安全防護

智慧校園存在一系列安全威脅，因此實行網絡安全等級保護制度，按照安全等級保護三級的要求來進行安全防護設計[2]。下面分別從網絡安全、系統安全、數據安全和管理安全四個技術層面來設計網絡安全防護策略。

（1）網絡安全。智慧校園各重要信息系統是在校園網絡環境中運行的，因此校園網絡是否可靠安全是系統穩定運行的關鍵。根據三級等級保護的要求，從物理環境、網絡結構、入侵防御、安全審計、設備防護等方面進行設計安全防護體系。

網絡物理環境安全是網絡安全的前提，物理環境安全包括機房安全、網絡設備安全、線路安全等。

根據智慧校園的特點，可以把校園網劃分為應用網絡出口區、服務器區、網絡管理區、個人終端接入區。在網絡出口區和服務器區前面應該部署防火墻、入侵檢測設備、上網行為管理設備、安全審計設備等安全設備進行防護。

在互聯網邊界部署入侵防御系統和防火墻，明確定義防御的網絡攻擊類型，對暴力破解、SQL注入、跨站腳本攻擊等網絡攻擊進行檢測和防御，定期更新防御特征庫，重點防護蠕蟲、病毒、木馬以及高危漏洞的攻擊事件。

完善網絡設備安全審計策略，部署安全審計系統，記錄各類相關的訪問設備行為，實現不同用戶的訪問控制和動作回放。

搭建日志服務器收集網絡設備日志，定期進行日志分析，備份網絡設備的配置，對網絡設備口令復雜度進行設置，定期更新網絡設備等。

（2）系統安全操作系統作為智慧校園信息系統業務與數據存儲和處理的載體，若被攻擊將使業務系統癱瘓。根據三級等保的需求，下面分別從身份鑒別、系統防護、訪問控制等方面進行系統安全防護設計。

針對不同的操作人員，設置不同的權限賬號，設置口令策略、禁用 Telnet 服務，使用SSH 方式與服務器連接，通過安全審計系統進行日志審計。

定期更新系統補丁，信息系統服務器僅開啟需要的端口服務，關閉不需要的組件和應用服務。安裝殺毒軟件，定期更新病毒庫，并保持最新，設置定期查殺病毒。

在網絡邊界處和服務器區前面部署防火墻，并設置網絡訪問控制策略，可以基于源IP地址、目的IP地址、服務端口對訪問行為進行限制，從內外兩方面確保服務器區系統安全。配置訪問IP地址黑名單，把監控到的惡意IP地址加入到黑名單中。

（3）數據安全。為了保護學校的相關業務系統及業務系統數據的安全，需要加強網絡安全防護。根據網絡安全法三級等級保護的相關要求，需要做數據隔離、數據加密、數據訪問控制、數據備份還原等方面的安全防護[3]。

為保障用戶的數據安全和個人隱私，根據各類用戶對不同應用的需求，可以采取一定的安全手段隔離不同用戶的數據。

為確保學校重要數據能安全的傳輸和存儲，可以用高性能的數據加密算法將業務系統的重要數據加密后進行傳輸。

建立統一管理的身份認證平臺，設置用戶的訪問控制權限，只允許合法的用戶才能登陸系統進行數據訪問。在數據中心的管理方面，也需要做到嚴格控制，只允許專用IP才能登陸管理數據。

在數據容災備份方面，需要建立完善的機制，做好定時備份系統數據，如有數據丟失或業務系統停止工作，則能快速數據恢復。

（4）管理安全。智慧校園的網絡制度建設與安全管理是非常重要的[3]。學校應該根據自身情況，制定網絡安全管理相關制定；建設符合自身的安全監控平臺，已能實時監控業務系統；建設符合實際情況的安全審計平臺，當發生網絡安全事件時，能自動發出安全提醒給安全管理員；同時要做好網絡安全日志，讓學校的業務系統和數據安全得到保障。

4 結束語

在智慧校園建設中落實網絡安全等級保護制度已經成為當前高校信息化建設的一種趨勢。本文根據網絡安全等級保護三級的要求，結合智慧校園建設中遇到的現實情況，從網絡安全、系統安全、數據安全、管理安全等相關方面詳細論述，對構建智慧校園安全防護體系有一定的研究意義。

參考文獻：

[1]李賡曦，姚健，牛晨.基于等級保護制度的校園網絡安全建設實踐[J].信息安全與技術，2016（04）：72-74.

[2]朱守榮，裴軍鋒，葉欣，金瑩瑩.基于等級保護的郵件系統網絡安全防護措施與實踐[J].計算機應用與軟件，2017，34（11）：330-333.

[3]錢文標，楊清琳，張亞偉.智慧校園下的云安全架構研究[J].科技視界，2017（11）：101.

作者簡介：錢文標（1987-），男，云南大理人，碩士，研究方向：網絡與信息安全。