職業院校信息安全保障體系構建研究

張洪文　韋修圣

摘? 要 當前，信息化在教育領域的滲透不斷加深，建立一套完整嚴密的信息安全保障體系對職業院校信息化來說至關重要。為解決職業院校信息化進程中日益凸顯的信息安全問題，分析校園信息安全保障體系的構建原則，并從物理安全、網絡安全、系統安全、應用安全、數據庫安全等五個方面提出職業院校信息安全保障體系的構建策略，為職業院校信息化建設提供參考和借鑒。

關鍵詞 平安校園;職業院校;信息安全保障體系;信息系統

中圖分類號：TP309? ? 文獻標識碼：B

文章編號：1671-489X（2020）16-0142-03

1 前言

在平安校園環境下，信息化的學習生活、教學辦公和科研管理都離不開信息系統穩定可靠的運行，信息安全是信息化校園提供穩定服務和可持續發展的基礎和前提。目前的國內職業院校信息化建設，安全意識注入不夠，缺乏標準體系的規范指導，設計與構建頗顯隨意，信息系統防護薄弱，存在不同程度的隱患。在信息化高速發展的大背景下，為職業院校信息化系統設計和構建標準的信息安全保障體系，能有效增強信息系統的穩定性、可靠性和安全性，為職業院校信息系統的運作保駕護航，大幅提升信息化建設的效率。

2 構建原則

風險、投入與安全效果相平衡的原則? 安全具有相對性，任何系統都不是絕對安全的，其設計應根據潛在的風險以及實際的安全需求，在成本投入和安全效果之間找到一個合適的平衡點，避免高成本低效益或低成本低效益，即不能為了追求高安全性而投入過大，或因過度控制成本而導致安全性不夠。

整體性原則? 信息安全體系的設計應采用系統工程的觀點和方法，綜合運用多種技術手段和保障措施，以保證整個防御系統的完整性。

木桶原則? 系統的整體安全程度取決于最弱項的安全性，所以系統的安全設計不能顧此失彼。首先應全盤分析可能遇到的風險與威脅，然后對系統進行全面、均衡的防護設計，以提高整個系統安全最低點的安全性能。

多重保護原則? 在層出不窮的攻擊環境下，任何單一的保護都可能被攻破。設計一個多重保護體系，各層優勢互補，當其中一層被攻破時，其他保護層還能繼續保障系統的安全，系統安全性可成倍提高[1]。

動態靈活原則? 信息安全并非一勞永逸，隨著時間的推移和環境的改變，很多相對安全的體系會變得越來越不安全[2]。因此，安全體系的建設與維護是長期化的，體系的設計應具有很好的適應性、可變性或可擴充性。

主動防御原則? 系統安全一旦出現問題，所造成的損失往往是不可挽回的，所以不要等到遭破壞或受攻擊后才亡羊補牢，而應提前設計、提前部署、提前防備。

分區域按等級保護原則? 組成系統的各部分性質和重要性都不一樣，其安全性和安全需求也不一定相同，所以在設計安全體系時應劃分區域并分等級保護。

3 安全策略設計

物理安全

1）環境安全。要保障信息系統的安全，必須首先確保其實體運行環境的安全。根據GB/T 9361—2011《計算機場地安全要求》，結合實際安全需求，在防盜竊、防水及防潮、防火、防雷、防靜電、防電磁干擾、防噪聲、防鼠害、樓板承重、內部裝修等方面，按照B級標準設計中心機房，同時配備UPS供配電系統、門禁系統（含入侵報警功能）、火災自動報警系統、視頻監控系統、空氣調節系統，全面確保系統實體的環境安全。

2）設備安全，主要包括服務器集群和網絡設備群的物理安全。要求：按區域規范化部署，同時打上標簽并登記成冊，方便維護管理;配備數據庫服務器和核心交換機，實現負載均衡，同時確保數據及網絡服務不間斷;設備與窗戶保持防雨淋的安全距離。

3）媒體安全，包括存儲媒體安全和傳輸媒體安全。存儲媒體注意防塵、防霉、防損毀;關閉所有不用的USB接口，對于鼠標、鍵盤和加密狗所需接口關閉其存儲設備的連接功能;建立存儲媒體管理系統，對所有存儲行為進行審計，防止內部存儲媒體的非授權使用。傳輸媒體采用屏蔽萬兆高速線纜、雙屏蔽萬兆雙絞線作為核心層的傳輸介質;采用光纖作為匯聚層和接入層的傳輸介質，以提高信號傳輸的抗干擾性、抗截獲性和保密性。

網絡安全

1）網絡邊界防護。在內網連接外網的邊界點配置復合型防火墻，并根據需要對出入網絡的數據流設置相關安全策略，以保障內網與外網數據交換的安全性和正確導向。策略配置應遵循按需創建原則，先關閉所有策略或端口，然后按規程和需求有針對性地開通端口或創建策略;嚴格控制IP信任域，除用于遠程登錄的IP外，其余劃分為非信任域并予以關閉，以避免非授權訪問;定期更換健壯的登錄密碼，開啟防火墻的認證和審計功能，確保訪問的安全性和可溯源性;及時保存或備份配置文件，以備恢復時使用。

2）網絡訪問控制。通過NAT、VLAN、ACL技術，結合防火墻、入侵檢測系統、認證系統、掃描系統，實現外網對內網、內網對外網、內網端到端之間的訪問控制。在核心路由器上配置NAT端口映射，除映射必要的服務端口（有些服務的映射須更改默認端口名，以提高訪問的安全性）外，關閉所有服務器線路不用的端口，把網絡按功能劃分成三個服務域，分別為核心服務域（對應中心機房）、管理服務域（對應教學樓、實訓樓等）和用戶服務域（對應食堂、宿舍等），對核心服務域實行嚴格的訪問控制策略;采用VLAN技術按服務域劃分不同的邏輯虛擬子網，各子網之間通過三層交換機或路由器連接，各服務域間通過防火墻保護，分別運用ACL訪問控制列表技術實現不同的訪問控制;通過三層交換機或路由器實現不同的虛擬子網之間的訪問控制以及對外網的訪問控制，通過防火墻嚴格限制不同服務域之間的訪問控制。

3）網絡入侵與病毒防范。利用防火墻的入侵檢測與防御、病毒防護機制，實現整個網絡體系的入侵防范與病毒防范[3]。

4）組建SSL VPN虛擬專網。為實現遠程（或移動）Web辦公和Web服務，在服務域與用戶域之間建立虛擬專用網，并提供統一的認證門戶（平臺），要求具有失效訪問機制和審計功能，以保證校園內部數據在公網上的傳輸安全。

5）無線網絡的安全防護。通過核心服務域的無線AC控制器，實現整個校園無線網絡的Portal認證、防火墻、入侵防護、策略控制、智能射頻等安全功能。

系統安全? 主要包括核心域操作系統、管理域操作系統和用戶域操作系統[4]，其安全性要求如表1所示。

1）核心域系統安全。安裝安全性高的正版系統;對不同服務器操作系統分別配置與需求相適應的、完整的安全策略;開啟并配置系統防火墻，先關閉所有服務端口，再按需開通服務，做到服務最小化，同時關閉所有默認的共享;定期更新和設置強登錄密碼，設置屏幕保護且在恢復時自動跳轉登錄界面，并利用服務器安全審計系統對登錄或退出登錄的行為進行及時的安全審計;關閉遠程桌面連接或遠程登錄功能，對于需開啟遠程連接的服務器，須通過網絡設備或硬件防火墻設置嚴格的IP信任域;安裝正版殺毒軟件，開啟系統及殺毒軟件自動同步更新機制，設置定期自動查殺及自動掃描修復漏洞功能;對重要文件或目錄，設置嚴格的讀寫權限或通過軟件上加密鎖;系統日志設置至少保留三個月;使用專門的服務器管理系統，對服務域進行集中的安全維護，對DMZ服務區設置自動掃描及防御功能。

2）管理域系統安全。安裝原版或純凈版操作系統;根據工作需求，配置完整及個性化的安全策略;開啟系統防火墻，關閉所有不用的服務端口，共享資源需設置嚴格的信任域;設置強登錄密碼，打開屏幕保護且在恢復時自動跳轉到登錄界面，關閉匿名用戶訪問功能;安裝殺毒軟件并定期查殺，定期掃描和修復漏洞;含有重要數據的目錄，設置嚴格的讀寫權限。

3）用戶域系統安全。不安裝來歷不明的操作系統、Ghost版操作系統，系統安裝完成后應立即安裝殺毒軟件并全面掃描;開啟系統防火墻;設置登錄密碼，打開屏幕保護且在恢復時自動跳轉到登錄界面;安裝殺毒軟件并定期查殺，定期掃描和修復漏洞。

應用安全

1）核心域應用安全。通過防火墻、防病毒服務器、系統自身殺毒軟件實現多層病毒防范，重點是E-Mail服務器和網絡存儲服務器，因為這兩處是病毒的集散地。通過防火墻、VLAN、統一的身份認證平臺、SSL VPN和ACL技術，嚴格控制外網域、管理域和用戶域（通過信息系統）對核心域應用服務或資源的訪問，嚴格控制不同身份用戶的訪問權限，并通過服務器安全審計系統進行定期及時的安全審計[5];定期更新或升級應用服務軟件，定期掃描并修復安全漏洞。

2）管理域、用戶域應用安全。通過防火墻、防病毒服務器、系統自身殺毒軟件實現應用層的多重病毒防范;通過防火墻、VLAN、ACL技術，嚴格控制外網域及用戶域對管理域、外網域對用戶域的訪問;通過服務器安全審計系統，對管理域和用戶域的用戶行為進行定期及時的安全審計;定期更新或升級客戶端軟件，并掃描和修復漏洞。

數據庫安全? 數據庫安全包含數據的保密性（防泄露）、完整性（防篡改）、可用性（防攻擊或損毀）等三個方面。數據庫安全策略的設計應能實現“敏感數據看不見、核心數據拿不走、運維操作能審計”的安全目標。

1）在應用服務器和數據庫服務器之間配置數據庫防火墻，任何對數據庫的訪問和管理都必須經過數據庫防火墻，以實現對數據庫的認證授權、攻擊保護（如防范SQL注入、緩沖區溢出）、訪問控制、安全審計等功能。

2）在數據庫服務器上安裝數據庫管理系統，與數據庫防火墻一起，實現對數據庫的二次認證，同時實現對數據庫的安全存儲、增量備份等綜合管理與維護[6]。

3）建立數據庫的容災備份機制。在校園內配備異地存儲介質，開通主數據庫與備份數據庫的實時同步功能;或向知名的服務提供商租用教育云備份空間，設置安全可靠的數據備份專用通道，實現遠程容災。

4 結語

實踐證明，信息安全保障體系的設計與構建是一個系統工程，涉及信息技術的諸多方面，需要遵循總的原則，與信息化建設同步，圍繞物理安全、網絡安全、系統安全、應用安全、數據庫安全等五個方面構筑和細化并不斷完善。

參考文獻

[1]王聰，薛靜，王革明.智慧治理高校信息安全的多重線性規劃策略[J].現代教育技術，2019（6）：19-25.

[2]黃立冬.校園計算機網絡信息的安全管理探討[J].教育理論與實踐，2019（11）：25-26.

[3]王延明，許寧.高校信息安全風險分析與保障策略研究[J].情報科學，2014（10）：134-138.

[4]胡立朋.高職院校的信息安全保障體系構建與應用[J].網絡安全技術與應用，2014（2）：98-99.

[5]吳志軍，楊義先.信息安全保障評價指標體系的研究[J].計算機科學，2010（7）：7-10.

[6]吳海燕，戚麗，沈立強.數字校園信息安全保障體系的設計與實現[J].實驗技術與管理，2008（8）：1-6.

*項目來源：安順市教育科學規劃課題“中職學校智慧校園建設研究”（課題編號：安順職教2018004）。

作者：張洪文，安順城市服務職業學校，高級講師，研究方向為計算機應用技術、教育信息化;韋修圣、安順城市服務職業學校，高級講師，研究方向為信息技術（561000）。