谭雄胜
(广东省外语艺术职业学院 广东 广州 510640)
进入到新世纪以后,互联网在人们平时生活与工作中的重要性越来越高,并慢慢发展成为不可或缺的重要一部分。高校是为社会培养高水平、高素质专业人才的重要场所,随着近几年智慧校园建设步伐的不断加快,基本上完成了涵盖计算机技术、云计算技术等新型技术手段网络体系的构建,为高校科研工作开展、教育工作创新以及生活管理模式改善等带来了极大的便利性[1]。随着2017年勒索病毒在全球大范围传播与扩散,造成了许多计算机的感染,一方面给世界各个国家敲响了警钟,另一方面使得高校在进行校园网络安全建设过程中,必须采用更加严格的标准要求,特别是现阶段我国各所高校大多数采用相同的接口标准,当有恶意程序入侵到系统中时,必然会引发巨大的经济损失。所以,在2017年6月我国正式施行《中华人民共和国网络安全法》,该法律制度的提出预示着我国首次从法律视域出发探究“网络安全等级保护制度”,为我国各个高校开展网络安全建设指明了方向[2]。依托于等级保护的校园网络安全架构开发与建设也逐渐发展为当下热门的研究话题。本文重点分析了校园网络安全架构设计基础,提出了安全域设计、数据中心策略体系架构以及功能设计,为不断提高高校校园网络安全性提供帮助。
高校要贯彻落实等级保护2.0中的相关标准要求,着重分析与探究要求项、控制点等,联系院系自身信息网络以及信息业务系统的实际情况和将来发展趋势,明确各项安全需求、内部以及边界防护的手段,制定科学合理的安全域分类方案,实现数据中心安全防护架构的开发[3]。第一,要依照我国法律法规中的要求进行自我保护,在开展信息化建设与完善的同时加强安全建设,并且实时关注最新的信息动态,依照信息实际状况第一时间变更建设方案,尤其要格外关注重点与难点系统的保护。第二,联系院校自身网络与信息系统的具体要求,在尽可能满足最小化、分权制衡等主要原则的基础之上实现对安全域的划分,同时依照数据、计算以及网管等不同中心区域的特征,设计与之相匹配的安全架构,不断完善基础安全架构,实现对校园网络的进一步优化。构建满足等级保护具体要求的、以服务广大师生为根本宗旨的高校信息安全架构体系与组织管理体制,形成拥有安全性高、完整性好、实用性强以及可追溯的校园信息安全技术保障的组织管理模式,引导各个高校稳定、高效地开展校园信息化建设,贯彻落实等级保护工作[4]。
依照等级保护2.0中的相关标准要求,加强对网络以及基础架构的不断改进,结合具体的安全需求,依托于科学划分安全域能够为提高高校校园网络信息安全提供有力帮助。基于业务层面进行安全需求分析,根据实际业务需求构建的安全防护方案和等级保护要求是开展安全域划分的重要前提[5]。底层的安全需求来源包含了多个方面,主要有国际标准、本国法律法规、各种业务系统的实际需求以及安全风险衡量等,并且该安全需求还应当要具备一定的网络安全保护功能。事实上,各类安全需求并不是一成不变的,其也会随着自身肩负的业务功能、要求、作用和在校内网络安全架构中具体位置的不同而发生较大改变。高校在进行安全风险管控时往往涵盖了各种不同方面,主要有物理访问、网络访问以及安全系统的设计、评估以及审核等。包含在相同安全域内的各种组织构成元素,必须要拥有十分相似的安全需求与手段。从安全域的层面来分析,保护手段还需要紧密结合校园网络内部与边界保护方案进行划分。在全面分析与掌握校园现有基础网络、不同业务系统、计算、数据以及网管中心具体状况的基础之上,基于安全域进行科学划分,进一步完善校园网络安全体系架构,构建匹配性好的安全模型,提高安全防范手段的科学性、精准性与及时性,在确保业务安全的基础之上,不断提高有关资源的服务效能与水平,同时能够切实降低网络安全风险,与等级保护要求相契合,为推动教育信息化不断发展提供有力支持[6]。
在实际进行安全域划分时,必须要建立在纵深防御理念的基础之上,同时基于网络审视安全,基于安全审视网络,依照各个高校的具体情况,将服务广大师生作为重要宗旨,严格遵守等级保护2.0中的相关要求,最终将安全域划分成边界接入域、计算环境域、支撑性设施以及网络基础设施四个方面[7]。值得注意的是,这四类不同域之间不仅仅只是交融、隔离的关系,在布局以及管理上存在明显的阶级关系。在这种情况下,导致四种安全域既是包含在系统架构之下,但是又不会完全被约束在系统架构科学划分下,在保证所有业务系统功能正常高效运行的前提之下,开展针对性强的安全防护与隔离,能够进一步提高校园网络安全架构的整体性与标准性。网络基础设施是校园网络安全架构设计的重要前提,依照其实际情况将其分为主干、汇集以及接入三个部分,涵盖了网络安全架构中的每种网络设施以及通信支持设备。支撑性设施域通常涵盖了网络安全部分、网络管理部分以及其余相关支撑部分等。网络基础设施域和支撑性设施域是不同边界、计算等上层区域均能使用的部分[8]。计算环境域通常涵盖了各式各样的服务器以及数据库等,并依照这些部分的重要等级不同将其设定为核心区域、关键区域以及普遍区域三类。边界接入域是高校业务边界和不同接入的终端设施,主要涵盖了互联网接入区、外部接入区、内部接入区以及内网接入区四个方面。如图1所示为安全域划分示意图。
图1 安全域划分
基于接入层面分析安全域的划分,一般包含了物理接入与逻辑接入两个方面[9]。具体来说,物理接入一般指和某个交换机建立连接,而逻辑接入通常是将其分类到相同VLAN中。各类安全域的边界防护主要是建立在三层ACL包过滤基础之上的,同时依托于NAT转化将内部的主机地址隐蔽起来。此外,核心交换与分布交换在进行包过滤操作时,只能允许拥有指定IP地址的用户才能够进行访问,同时针对关键位置设定相应的访问流量标准,避免在同一时间内出现大量访问。对于一些容易产生较大规模访问量的安全域,可以借助于防火墙(FW)以及NIPS等专业设施来有效控制访问量,加强对安全域边界的防护,尽可能地对各个安全域开展有效的安全性管控。在实际进行安全域之间的通信时,当相互通信的域之间存在安全等级差距时,应当要避免高保密信息从高处流向低处。在对各个安全域进行分析时,要重点从应用主体、业务特性、流量流向以及服务目标等方面入手,针对一些有着较高保密等级的安全域,需要提前将相关内网管理软件安装到终端设备上,不仅可以加强对病毒库的管理,与此同时还可以实现对系统安全补丁的管理,增强监控力度,及时发现各种不合法的外联、端口开启,约束或者拒绝其外部设备端口应用等,打开主机防火墙功能,提高对ARP欺骗、入侵防护等的防范水平,进一步增强高校校园网络域内的安全性[10]。
采用传统方法进行安全域划分时,一般会出现较多问题,具体表现在以下四个部分。第一,传统的安全域划分方法是建立在全面分析与把握网络架构的前提之下,和业务之间的联系不紧密。第二,将信息资源的价值属性当成基准,从而导致网络架构复杂程度高。第三,将信任关系探究当成重要准则,将一些问题变得更加复杂与烦琐。第四,基于防护等级进行划分与管控时,在复杂网络架构中面临诸多问题。相比较于传统安全域划分方法,本文提出的方式能够有效规避这些不足。
在实际制定数据中心安全策略过程中,必须要保证基础网络以及信息系统拥有较高的稳定性、实用性、真实性、可追溯性以及易于审查等,其中的内容需要包含数据、计算、网络管理以及安全等四类中心的各个部分。现阶段,随着现代互联网技术的不断发展,网络应用得越来越深入,使得许多数据信息拥有非常高的价值属性,比如用户自身隐私信息、财务信息、科学研究成果信息以及知识产权信息等,为了能够获得这些高价值网络信息,许多网络不良人员便通过各种手段非法获取这些数据,加强对这类数据信息的入侵,因此设计与开发科学有效的数据中心安全策略体系架构,并充分发挥架构的安全性能,是提高各类数据信息的安全性,贯彻落实等级保护工作要求的重要基础。
总之,数据中心安全策略的特征可以浓缩为以下八个字,即四层保护,多层防御。在进行四层防护的基础之上可以为数据中心提供全方位的防御体系,具体来说,可以针对链路层到应用层的所有数据信息构建抵御DDoS、访问权限控制、数据信息备份、查找不良攻击、核实审查操作环境与情况、屏蔽危险隐患等安全防御系统,再结合拥有多方位的架构服务器、数据信息网络和系统、安全设施体系等,探究与明确网络应用主体、业务特征与属性、流量发展方向以及服务目标等,依托于多层信息拦截系统,可以有效避免有害程序进入到系统中,进一步改善网络数据中心总体信息防御系统的工作速度与效果。
依照等级保护2.0中的相关标准要求,在进行数据中心体系架构设计与相关功能开发过程中,应当要基于安全防护、安全检验、隔离复原以及信息备份等四方面进行规划,有效弥补负载平衡(LBS)、防火墙(FW)、入侵检验与防御(IPS/IDS)、安全网关以及运行核心等主要软硬件的结构缺陷,及时对相关重要数据信息进行备份,对可能存有不良问题的数据信息进行隔离,对存在安全隐患的操作给予拒绝,同时第一时间精准查找出具有安全问题的数据与操作,实现对相关风险的防范与控制,提高数据中心的规范性与可靠性,从而有效保证各项数据信息的安全性。
在硬件安全防护层位置设定相应的防火墙以及负载均衡。防火墙手段只允许进行指定的服务与访问,对存在较高危险系数的端口给予严格的限制。负载均衡是一种切实可行的重要设施,不仅能够有效改善数据中心的运行效率,同时还具有良好的可用性,能够高效、精准地处置好各个方面的流量,如HTTP、TCP以及UDP等,紧接着依托于较多不同服务器进行流量分发,有效防范某个点故障对整体数据信息处理产生较大的影响。数据安全检测层设置入侵检测(IDS),当检测出不良信息时可以及时发出警报,规划安全审计,全面精准把握需要控制的目标,依照各个高等院校实际运营情况,联系各个具体应用构建安全管控标准,针对监控系统中的不足之处与问题点,深入分析与比对其一致性,逐步健全各项安全配置、安全监测技术以及安全管理体制等,核查安全手段的具体内容与落实情况,确保使用的防范方法具有较高的可行性,提高评估的精准性与可靠性。在数据隔离恢复层中规划入侵防护(IPS)以及防恶意篡改策略,以此来提高服务器中各类不良隔离数据的安全性,对相关损坏数据进行自主修复,并且依托于数据中心中的数据安全备份层来保证各项数据信息的及时同步,同时全面备份数据库中包含的数据信息。基于硬件安全防护层、数据安全检测层、数据隔离恢复层以及数据安全备份层,构建多个级别、不同层次、三维立体的安全防范策略系统,进一步增强数据中心安全防御体系的总体运行效率,如图2所示为具体的数据中心功能设计。
图2 数据中心功能设计
综上所述,依照等级保护2.0中的相关标准要求,联系高等院校信息网络以及业务信息系统的具体情况,设计和校园网等级保护相匹配的网络安全架构,科学合理地划分安全域,同时对数据中心策略体系架构与功能设计实际运行状况进行检测与监视,第一时间优化不良的检查点,切实保障高校校园网络的安全性。