王涛 赵耀军
摘要:网络信息安全是高校信息化建设的核心内容,而网络信息安全建设的核心任务是设计一套适合自身发展的网络安全防护体系。文章首先总结和分析了高校建设、运维中存在的各种网络安全问题,其次根据网络信息安全的复杂性、处理的及时性以及传播的快速性等特点,从校园网络信息规划建设、网络信息安全的各种防护手段以及人员制度管理等方面完整地阐述了各项有效措施。
关键词:网络信息;顶层设计;信息安全防护;安全保密管理
中图分类号:TP311 文献标志码:A
0 引言
随着社会经济的快速发展和网络技术的逐渐普及,网络信息安全已经成为影响世界安全的重要因素之一[1]。由于各国网络规模建设均在日趋扩大,导致网络出现不定因素的数量在直线上升,随之而来的网络安全事件的次数也在指数级增大,如果不能及时解决出现的网络完全问题,会影响人们的工作和生活,甚至会导致用户财产信息的泄露,危及用户的生命及财产安全[2]。因此,如何保护计算机网络安全是网络工作者的巨大挑战。本文重点对高校网络信息安全防护管理的策略进行探讨,目的是减少网络安全问题出现的次数,同时降低网络故障带来的损失。
1 高校网络常见的安全问题
高校是网络安全的重要阵地,网络安全事件无处不在,日常网络维护中会出现病毒侵袭、黑客攻击、挖矿病毒、SQL注入漏洞、弱口令漏洞、源码及信息漏洞、Struts2漏洞、植入暗链漏洞[3]。校园网也时常存在各种病毒威胁,用户异常操作引起安全风险以及信息管理系统存在不同程度的漏洞等[4]。同时非重点高校网信建设中也存在以下问题:网络构建缺乏整体规划,可扩展性较差;网络管理机制欠缺,特别是人员缺少;高校网络和信息系统大部分停留在“能用”阶段,对于安全性的总体规划不足;使用者安全意识不高,网络安全制度的执行力度不够以及校园网管理行为不规范等安全问题[5]。
2 高校网络信息安全问题的解决策略
对于高校出现的各类网络安全问题,高校可以从网络规划、系统综合防御和人员管理3个方面重点采取措施进行应对。
2.1 构建多网融合的校园网络
校园网是一个为师生提供教学、办公、科研和综合信息服务的多媒体基础平台[6]。如何规划出一个安全、稳定和可靠的IPV4/IPV6校园网是非常必要的。经验总结:(1)系统可持续规划以及分步骤有序构建,依据学校校区情况、建筑情况、机房情况、现有网络情况、网络层次情况以及后期网络故障维护情况等设计适合自身应用特点的校园网络拓扑方案和地址规划,包括设备选型、网络硬件连接方案以及总体的安全防护措施体系计划等,必须意识到校园网是一个系统工程,要统筹全局,做出整体和可持续的扩展规划[7];(2)建议采用IRF技术来搭建扁平化大二层网络,IP地址的规划必须可扩展、可预留,简化组网拓扑、简化管理;(3)构建基于AC集中管理的校园无线网络全覆盖,建设中要注意无线设备的选型、无线信号优化以及特殊场景的信号要求等问题;(4)全盘考虑网络运维资源,如运维人力、网络运维管理系统、故障报修系统和上网行为审计设备等,确保校园网的运维有序稳定[8];(5)建立网络共享机制,实现服务最大化,提升计算机网络资源的利用率,通过建立资源共享服务来联动高校之间、学院之间的信息资源库,方便同学更加便捷地获取信息;(6)用新技术构建基础网络,比如采用GPON网络架构来组建电话、计算机和视频监控等业务的融合;(7)建立校园网、校园卡网、监控网以及电话网的融合网络。
2.2 综合运用多种网络安全防护技术和手段
2.2.1 各种防御手段的综合利用
构建网络信息安全防护体系,需要综合运用各类信息安全产品和技术手段,针对不同信息安全管理目标,购买不同厂家相关的信息安全产品,从而形成优势互补。各种手段包括:(1)使用IT资源管理系统将各类IT资源进行统一管理和监控,以帮助网络管理人员提升网络资源的利用率和网络的服务质量;(2)使用入侵防御系统防御网络中的各种攻击威胁,通过串接部署,来实时阻断网络恶意数据包的攻击,对攻击流量进行自动拦截和阻断;(3)使用入侵检测系统旁路监听网络流量,精准发现和详细审计网络中的漏洞攻击,与防火墙联动来有效拦截攻击;(4)使用VPN+堡垒机的方式来管理虚拟服务器,确保虚拟服务器在校内外的安全访问;(5)使用上网行为管理系统来过滤员工对非法网站的访问;(6)使用日志审计系统来发现系统异常事件,通过分析日志和IT审计报表系统,有针对性地完成信息系统安全审计工作[9];(7)建立网络安全等级保护机制,对重要信息系统和网站进行安全等级分级,根据安全级别来控制系统内部风险的安全隐患,进行安全整改来提升信息系统的安全防护能力,使重点系统被攻击的风险损失降到最低;(8)使用权威厂商最新的杀毒软件和正版软件,建议用户使用通过国家信息安全评估的相关产品,如国产系统和办公软件;(9)重要网站部署HTTPS认证,传输线路采用加密技术,重要服务器之间通过SSL加密传输,并进行WAF策略防护;(10)借助防火墙等网络安全设备加固网络和虚拟化设备的安全,关闭服务器中不常用的端口,服务器默认不上外网,网络中仅允许授权的IP访问,使用单一方式登录网络设备,利用ACL规则封堵常见病毒端口,隔离校园网和一卡通专网,涉密设备严禁上外网,在每台交换机上配置ARP检测、环路检测、DHCP SNOOPNG、端口隔离以及配置危险端口的封堵策略等;(11)在涉密计算机上安装保密管理系统,通过涉密管理系统实现对人员的记录以及相关储存设备进行数据访问后的留痕;(12)在出口和服务器区增加高性能防火墙,添加严格的安全策略,如特殊端口的封禁、P2P流量控制、黑白名单以及各种防攻击策略等;(13)部署智能DNS,通过DNS来杜绝用户的异常访问,对用户的不安全域名访问做相应劫持,优化用户上网体验等;(14)部署各類信息系统的反向代理,隐藏信息系统真实的IP地址和端口;(15)利用WEB VPN综合安全网关对网络传输数据提供私密性、完整性安全防护[10];(16)使用EDR终端威胁防御系统,来抵御各种病毒、木马以及流氓软件对终端的入侵;(17)使用渗透测试和APT手段对网站和信息系统进行自身测试;(18)部署流量溯源设备以及DNS Safeguard态势监控模块来追踪用户行为,并根据云规则来过滤用户非法的DNS请求行为;(19)培养具有网络安全运维技术的相关人员,可考取CISP、CISP-PTE和数据库等相关证书;(20)采用态势感知系统,以安全大数据为基础,从全局视角出发,采用AI和大数据技术对安全事件进行关联分析来发现潜在的各种威胁;(21)对于非重要信息系统可以采用云部署和云托管,如邮箱和非重要的对外的信息系统;(22)在网络安全关键时期可购买网络安全专业服务,这样可有力地保障网络安全,还可以对整个网络信息体系的漏洞进行探测和修补;(23)根据学生区、办公区和家属区等不同区域的用途来定义MAC地址绑定规则以及用户认证方式;(24)据统计,网络信息安全40%的缺陷都来自弱口令,可以通过下发文件和责任书等,来强化高校用户校园网、路由器、服务器、统一平台、VPN、OA、教务、科研以及电脑等一切密码的复杂度,也可以购买短信网关等设备,通过对接来减弱用户对密码的遗忘。
2.2.2 建立安全大数据分析平台感知各种威胁
该平台通过大数据分析技术,将网络及信息安全相关数据(包括资产信息数据、IDS/IPS日志、安全事件数据、网络安全威胁信息、木马检测数据、Web扫描数据、堡垒机日志、网络行为审计日志、漏洞扫描日志、流量攻击日志、防火墙日志、入侵防御数据、网站攻击数据、病毒网关日志、数据库审计日志)与威胁情报信息关联,通过构建不同的安全模型来提早发现风险以形成预警安全事件,将危险扼杀于摇篮中。
2.2.3 数据库安全是信息安全的重中之重
网络信息安全的核心内容是数据库安全的防护,网络信息中心要保证数据访问、存储和提取的安全性。同时,当数据被恶意软件删除时,数据自动备份功能能够确保数据及时从备份信息中恢复,把损失降到最低。运维经验总结:(1)网络信息中心要建立标准机房,对全校的服务器资源进行统一管理和分配;(2)必须部署保障服务器区安全的防火墻,用来过滤横向和纵向的异常流量以及准入、准出规则;(3)通过堡垒机和漏洞扫描系统来加固数据库服务器;(4)建议构建RAC模式的数据库服务器,并用数据库灾备一体机来实现数据库数据的策略备份,最好具有连续的CDP保护功能;(5)部署数据库审计系统,避免数据被恶意篡改;(6)服务器区交换机制定ACL访问规则,建立数据库地址访问控制策略;(7)将一卡通专网数据库与校园网数据库分开,实现物理隔离;(8)建议将各部门业务系统的数据库统一部署于中心库,中心库通过多租户或用户私有表空间方式来实现统一管理;(9)必须配备1~2名数据库经验丰富的管理员,定期进行数据库安全巡检;(10)可建立数据库异地灾备机房,比如使用其他校区机房或兄弟院校的机房进行数据相互备份。
2.3 加强使用者和管理者的行为
2.3.1 完善校园网络安全制度以及加强执行
根据相关数据显示:60%左右的信息安全问题来自管理方面。(1)完善高校网络信息安全管理制度。高校应根据国家层面的信息安全相关的法律、法规来制定适合自己的规章制度,同时相关网络安全管理制度必须完善,以确保出现网络安全问题时有据可依、有章可循和有规可执;(2)切实提高管理者的网络安全意识、责任意识以及监督意识,提高网络使用者的网络安全意识;(3)高校网络信息中心要具有管理者的角度和视野,发动各部门、二级学院以及学生的主观能动性,依托各部门信息员,共同维护网络安全;(4)制订网络安全的紧急预案。在校园网维护过程中,要建立网络安全台账,当遇到突发情况能及时分析、处理和记录。
2.3.2 安全保密管理系统应用于高校网络信息安全
网络安全的问题归根结底为人的问题,高校应时刻加强对全体师生及校内住户的网络安全宣传教育,提高大家的法律意识,养成个人上网的良好行为习惯。同时也应注意到,再高的技术防范也只是整体安全防范的一部分,人作为一个社会个体,其随意性较大,为确保网络安全,必须用规范且严格的制度来约束。本文在完整的网络安全技术体系架构的基础上,运用了安全保密管理系统,将人和设备的管理用软件系统严格约束起来,从源头上保证信息的安全。
该保密平台以《2017版军工保密资格审查认证工作指导手册》为基础,同时参考《计算机信息系统保密管理暂行规定》等规章制度,针对高校保密管理工作的特点,设计和实现安全保密管理系统,平台总体划分为系统基础功能和系统业务功能两大部分。系统基础功能为安全、配置类非业务功能,如组织机构、策略管理、权限分配、菜单管理、系统配置等;业务功能为保密日常管理涉及的所有保密日常审批流程、保密制度与保密责任、保密监督管理等。保密业务应用功能从使用角度划分为涉密人员应知应会、保密日常办事流程、保密待办事项、保密总体情况、我的保密工作、保密工作台账[11]。具体如下:
(1)应知应会。属于全体涉密人员应该了解和熟知的,由高到低分为国家政策法规、高校保密制度、涉密岗位职责、保密工作指南和保密工作计划。
(2)保密日常办事流程。提供涉密人员、涉密活动、涉密会议、涉密设备等所有保密常用流程发起入口,同时支持用户根据个人工作需要定制常用的办事流程。
(3)保密待办事项。包括需要处理的保密审批流程,可以查询已经处理的审批流程。本功能主要为高校领导、保密办、部门领导和保密员提供保密日常审批流程快捷管理。
(4)保密总体情况。为校领导、保密办、部门领导提供保密宏观数据,包括涉密载体、涉密设备、涉密事项、保密经费、涉密人员的统计。
(5)保密工作台账。提供保密业务相关的业务台账数据,包括保密设备及安防设施台账、学校秘密事项台账、学校秘密载体台账、学校涉密计算机台账、学校涉密人员台账、学校通信与办公设备台账、学校对外保密设备台账、网络设备台账。
(6)保密业务管理。依据保密管理办法提供共计56个保密日常审批流程,根据业务类型划分为保密组织机构及职责管理、保密教育培训、定密管理、涉密人员管理、国家秘密载体管理、保密要害部门管理、涉密计算机及设备管理、涉密活动管理、监督检查管理、泄密事件报告与查处管理、责任考核与奖惩管理、保密条件保障、保密工作计划管理、保密电子档案管理功能。
3 结语
文中从网络信息安全顶层设计、建设运维中存在的问题、网络信息安全的各种防护手段以及数据库的安全等方面,完整地阐述了高校网络信息安全中应注意的各个事项,最后针对网络安全归根结底为人的问题,提出了建立“安全保密管理系统”,将人和设备的管理用软件系统约束起来,从源头上保证信息的安全。在今后的网络信息化建设中,既要重视网络安全的顶层设计和长远规划,又要重视网络安全中不断出现的新问题、新方法以及高效的安全管理方法。在不断拓宽网络信息安全防御体系维度的基础上,构建一个稳定、安全、可靠的校园网络信息环境。
参考文献
[1]明婧薇.计算机网络信息安全及其防护对策[J].电子技术与软件工程,2019(2):208-209.
[2]秦波.计算机网络系统安全维护研究[J].电子技术与软件工程,2021(20):252-253.
[3]于枫,刘惠婵.无线网络发展及安全实现[J].现代电子技术,2021(2):58-62.
[4]钱罕林.计算机网络信息安全防护策略研究[J].系统安全,2018(11):96-97.
[5]陈冬梅.基于计算机网络技术的计算机网络信息安全及其防护策略[J].电子测试,2017(4):131-132.
[6]侯斐斐.大数据时代计算机网络信息安全及防護策略[J].数码设计,2020(11):10-11.
[7]张春生.计算机网络信息安全及防护策略分析[J].电子技术与软件工程,2019(11):203-204.
[8]李沛然,张富强.计算机网络信息安全防护策略及评估算法[J].网络安全技术与应用,2021(8):22-23.
[9]张璐明.大数据时代计算机网络信息安全及防护策略分析[J].网络安全技术与应用,2021(3):153-155.
[10]何昊坤.信息和通信技术供应链安全保密风险管理思路研究[J].保密科学技术,2021(10):48-51.
[11]王涛,杜庆,张英成.智能安全保密管理平台的构建[J].信息技术与信息化,2020(1):68-69.
(编辑 王雪芬)
Discussion on strategies of network information security management in universities
Wang Tao1, Zhao Yaojun2
(1.Network Information Center,Xian Aeronautical University, Xian 710077, China;
2.Xian Poisson Software Technology Co., Ltd., Xian 710065, China)
Abstract: Network information security is the core content of university information construction, and the core task of network information security construction is to design a set of network security protection system suitable for its own development. This paper firstly summarizes and analyzes various network security problems existing in the construction and operation and maintenance of colleges and universities, and secondly, according to the complexity of network information security, timeliness of processing and rapidity of propagation and other characteristics, it completely elaborates various effective measures from the aspects of campus network information planning and construction, various protection means of network information security and personnel system management.
Key words: Internet information; top-level design; information security protection; security management