韩红光
摘要:随着信息技术的发展和办公管理的信息化, 校园网上各类系统平台快速应用,更随着校园网有线与无线的一体化,接入校园网的用户和设备更加多样,也更容易遭受各类攻击和病毒的入侵,这对校园网防范信息的泄露和保障信息安全提出了更高要求。该项目主要针对校园网,网络安全体系设计的原则和校园网络安全建设的措施,以期有效保障校园网络用户的利益,促进校园网的健康发展。
关键词:网络;安全策略;校园网
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)08-0057-03
1 背景
1.1校园网安全现状
虽然校园网网络的发展给学校的发展和管理带来了翻天覆地的变化,但互联网是一个面向大众的开放系统,各类软硬件产品存在着各种安全隐患,网络安全事件日益增多,黑客活动攻击日趋频繁,WEB应用攻击、钓鱼网站、移动端网络恶意程序、DDOS攻击事件呈大幅增长态势,针对特定目标,特别是政府机关和高校的网络日渐增多。虽然校园网的发展,校园网中各类应用系统和平台越来越多,学校的日常运作和管理完全基于一个安全畅通的校园网,教职工在享受到了网络带来的优越性。但校园网作为一个非常特殊的一个网络体系,它影响着学校的正常运行和管理,它面对有创造力的年轻学生群体,一个可靠稳定的校园网,对于一个学校的正常运行至关重要,所以制定一个科学、可行的校园网网络安全策略,来保护校园网网络安全,在技术上筑起一道安全防火墙,显得非常有必要。
1.2信息系统等级保护的要求
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
在2014年2月27日中央网络安全和信息化领导小组成立后,加快推动了《国家信息安全等级保护制度》的建设,不断增强各政府企事业单位的安全保障能力。一般高校需要满足信息等级保护二级要求。
2 方案设计思路
根据国家信息安全等级保护相关要求,方案通过分析校园网的实际安全需求,结合教育行业业务信息的实际特性,并依据《网络安全基本要求》、《信息系统安全等级保护定级指南》等相关标准,我们高职院校需要建立满足信息安全等级保护二级要求,应能够做到防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击和一般的自然灾难,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
2.1信息系统风险评估和等级保护差距
通过采用信息安全风险评估的方法,对学校信息系统进行全面综合分析,并深化对已经定级、备案的信息系统进行资产、脆弱性、威胁和风险综合分析,在整体网络框架基础上,通过差距分析的方法与等级保护基本要求进行差距分析,形成信息系统等级保护建设整改的整体安全需求。
2.2安全保障体系框架和总体安全策略
根据等级保护的整体保护框架,并结合学校信息安全保障体系建设的实际情况,建立符合医疗信息系统特性的安全保障体系,分别是安全管理体系、安全技术体系和安全运行体系,并制定各个体系必要的安全设计原则和安全策略。
2.3安全保障体系总体设计方案
结合学校信息系统的系统应用实际,设计各类技术安全体系控制办法、安全管理体系控制办法和安全运行体系控制办法,其中:
1) 安全管理体系的实现依据《基本要求》,设计了学校的信息安全组织机构、人员安全管理制度、系统建设管理及系统运维管理等控制措施;
2) 安全技术体系的实现一方面重点落实《基本要求》,另一方面采用《安全设计技术要求》的思路和方法设计了安全计算环境、安全区域边界和安全通信网络的控制措施,在框架和控制方面把两个要求进行了结合;
3) 安全运行体系的实现根据《基本要求》,设计了符合系统全生命周期的安全需求、安全建设、安全设计与安全运维的运行体系要求,重点阐述了安全运维体系的框架和控制组成。
4) 安全管理中心的实现根据《基本要求》和《安全设计技术要求》,结合学校对保障平台建设的需求,形成覆盖安全工作管理、安全运维管理、统一安全技术管理于一体的“自动、平台化”的安全管理中心。
3 方案技术路线
根据目前国内外安全理论和标准发展,在校园网安全设计和建设信息安全保障体系主要采用如下技术方法:
3.1风险评估方法
符合GB/T 20984-2007《信息安全技术信息安全风险评估规范》中的总体要求,针对核心重要信息资产、脆弱性、威胁和信息安全风险进行综合分析。
3.2体系化设计方法
采用结构化设计方法,运用问题管理的方式,结合风险评估的结论,引用《信息系统安全等级保护基本要求》、《信息安全保障技术框架》(IATF)、《联邦信息系统的安全控制》(NIST SP800-53)中的信息安全保障的深度防御战略模型和控制框架,做好安全保障体系框架设计。
3.3等级化设计方法
根据国家等级保护策略,结合信息系统的安全保护等级,设计支撑体系框架的安全目标和安全要求,基本要求和技术方法符合国家等级保护相关标准,满足等级保护的基本目标、控制项和控制点。
4 网络安全策略规划
农业商贸职业学院网络规划由高性能核心交换机作为网络的核心,整个学院网络由承载业务的内网以及日常行政办公的外网两部分构成。网络通过访问控制技术将不同的业务类型及安全需求划分成多个安全区域,各安全区域。
4.1互联网出口安全
下一代防火墙可以在如下几个方面进行安全加强:
1) 对进出网络的数据包进行合法性检查,防止非授权服务和非授权主机操作系统的访问。
2) 抵御攻击。抵御来自互联网的黑客攻击、DDOS攻击等,确保学院网络稳定、可靠的运行。
3) 防止病毒。通过防火墙对学院网络服务器区域与其他安全域的逻辑隔离,有效防止了病毒的传播。
4) 具备L2-7层的攻击防护技术,使防护技术不存在短板。不仅仅需要防护外部攻击,并能检查服务器/终端外发流量是否有风险,弥补了传统安全设备只防外不防内的漏洞。
4.2 上网行为安全
上网行为管理可以为我们解决如下问题:
1) 流量控制。在网络出口处部署上网行为管理系统,对学校网络的进出数据流量进行管理。
2) 过滤功能。对员工在日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,提高员工工作效率。
3) 行为审计。提供对电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免学校机密信息泄露或发表反动言论等。
4.3 服务器群安全
在WEB应用服务器前端部署WAF(WEB应用防火墙)可以解决如下问题:
1) Web扫描器对客户网站架构进行整体评估,评估客户网站在开发过程中,开发人员忽视的安全问题。
2) 针对黑客的攻击流量进行逐一特征匹配,匹配上的流量就是黑客攻击流量。
3) 针对流量峰值和平均值进行限制,防止黑客使用DDOS,避免网站服务器出现拒绝死机情况。
4.4 数据库安全
数据库安全审计可以对业务网络中的各种数据库进行全方位的安全审计,集成了数据库审计、主机审计、应用审计和网络流量审计,可有效保障客户业务网络中数据安全和操作合规,具体包括:数据访问审计、数据变更审计、用户操作审、违规访问行为审计。
5 安全策略设计
5.1安全使命
保障业务和信息系统安全、稳定、持续运行,促进信息化长期发展,为信息化建设提供可持续发展的信息网络安全技术和管理支撑。
信息安全的意义是为业务和信息系统服务,保证各个业务系统能正常运行,进而使业务信息系统安全、稳定且持续运行,这是信息安全保障体系建设的最重要使命。
5.2安全目标
保证业务信息和网络的机密性、完整性和可用性,确保学校各业务系统达到等级保护二级要求。
1) 机密性是使信息和网络资源不能泄露给未授权的个人、实体、或不被其利用。
2) 完整性是指保护信息和网络资源的完全和完整。
3) 可用性是已授权实体如有需要访问信息和网络资源就可以使用和访问。
5.3安全策略体系
安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全策略体系。
5.4安全方针和主策略
最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。
5.5安全策略的制定和发布管理
安全策略系列文档制定后,必须有效发布和执行。发布和执行过程中除了要得到学院的高层领导的大力支持和推动,同时需要有合适的、可行的发布和推动手段,在发布和执行前对各类相关人员进行充分培训,保证操作人员知道和了解相关部分的内容。
安全策略在制定和发布过程中,应当实施以下安全管理:
1) 安全管理制度应具有统一的格式,并进行版本控制,避免出现混乱;
2) 安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定;
3) 安全管理制度应通过正式、有效的方式发布;
4) 安全管理制应注明发布范围,并对收发文进行登记。
各类政策的实施是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到许多部门和教职工,也可能需要改变以前的工作方式和流程,所以推行起来会可能遇到相当大的阻力。
6结束语
计算机及校园网络建设作为学校计算机辅助管理的“重中之重”, 许多学校在网络安全工作中也做了不少的探索,未来的网络安全也将呈现多种发展趋势:
1) 安全需求将会“从单一安全防御过渡到综合体系防御”,“从点的安全防御过渡到成体系的建设”;
2) 技术发展也出现了新的:专一和融合,诸如下一代防火墙、ISP、数据库审计等产品开始深入校园;
3) 安全管理体系化,逐步建立并完善信息安全管理保障体系,进行网络安全应急响应管理体系的建设,加快网络与信息安全标准化的制定和实施工作。
随着时代的发展,新的网络安全问题也会层出不穷,新的解决方案也会不断涌现,网络安全的研究也任重而道远。
参考文献:
[1] 熊珍珠,张文婷. 校园网安全策略的研究[J]. 软件导刊,2011(1).
[2] 史姣丽.基于模拟攻击的高校网络安全风险评估研究[J].计算机工程与科学,2012(12).
[3] 谢根亮. 入侵检测系统综述[J]. 网络安全技术与应用,2008(5).
[4] 吴金宇.网络安全风险评估关键技术研究[D].北京邮电大学,2013.
[5] 覃肖云. 基于校园网分布式入侵检测系统的研究与实现[J]. 大众科技, 2009(4).
[6] 曾宪达.校园网络安全防护及对策[J].硅谷,2012(20).