2015/11/19 16:00:45 高等院校数字化校园信息安全立体防御体系建设问题与实施

随着以数字化校园为特征的高等教育信息化的迅速发展,日益多样化的信息化应用正深刻改变着教育教学的方式,推动着教育教学改革不断向前发展。在当前的数字化校园教育资源应用阶段,各种信息安全事件频发,给教育信息化应用带来了严重的后果,成为教育信息化发展过程中的一道瓶颈。现有的数字化校园信息安全通常依赖于防火墙、入侵检测和防病毒软件等,属于静态、片面、被动的防御,缺乏防御的主动性、全面性和对攻击的预测能力。

1、数字化校园信息安全立体防御层次化安全模型

针对现有的数字化校园信息安全保障体系的不足,为了减少当前静态的和片面的信息安全防御体系带来的各种安全威胁和损失,结合高校校园网应用现状,设计了数字化校园信息安全立体防御层次化安全模型。针对数字化校园日益严峻的网络安全威胁,在上述安全模型中的网络安全层,设计了数字化校园网络安全主动防护模型APPDRRCC,为数字化校园信息安全的全方位、立体化主动防护提供了理论保障。

在该校信息安全定义的基础上,从数字化校园信息安全的4个层次———物理安全层、网络安全层、数据安全层、内容安全层出发,设计了数字化校园信息安全立体防御层次化安全模型,如图1所示。数字化校园信息安全立体防御层次化安全模型的4个层次保障信息安全安全属性的对应情况如表1所示。

数字化校园信息安全系统

下面分别对数字化校园信息安全立体防御体系的4个层次进行分析。

(1)物理安全层。物理安全层主要是保障数字化校园信息网络基础设施的安全。涉及到数字化校园的电磁安全、介质安全、设备安全、动力安全、环境安全等。在物理安全层主要采取的安全措施包括电磁屏蔽(例如:防雷击、防辐射)、容灾备份(例如:数据双机热备份、远程备份等)、设备防护、可靠供电(包括UPS)等。

(2)网络安全层。网络安全层主要实施对数字化校园基础网络与信息系统的运行过程和状态的保护。针对数字化校园网络安全事件频发、影响正常教学科研等关键网络业务的正常开展、阻碍高等教育信息化应用健康发展的现状,为了实现网络安全的动态化、全过程主动防御,在借鉴经典安全模型的基础上,设计了数字化校园网络安全全过程主动防护安全模型AP-PDRRCC。

(3)数据安全层。数据安全层主要保护信息在存储、传输、处理等过程的安全性,保障数据不被窃取、篡改、假冒和抵赖,确保信息的完整性、机密性、真实性、不可抵赖性和可鉴别性等安全属性。在数据安全层主要采取的防护措施包括数据加密、数字签名等。

(4)内容安全层。内容安全层主要实现对数字化校园信息内容的隐藏、发现、分析和管理等。主要包括发现隐藏信息的真实内容、过滤特定信息、分析挖掘海量信息等。在内容安全层主要采取的措施包括信息检索、数据挖掘、特定信息过滤(例如色情、暴力等不良网络信息)、网络舆情信息分析与处理等。

2、数字化校园信息安全立体防御体系的应用

实例与效果分析根据我们设计的数字化校园信息安全立体防御层次化安全模型,结合我校信息化应用实际,在南阳师范学院校园网进行了策略部署和应用测试。下面首先介绍我校校园网的现状,然后分别以数字化校园安全模型中的网络安全层、内容安全层为例,运用前面提出的模型和方法,结合实例进行具体分析。

校园网现状概述

目前,南阳师范学院校园网通过路由器实现了中国教育和科研计算机网(CERNET,以下简称“教育网”)、中国联通和中国电信3个出口,骨干网全面支持IPv6协议,是中国教育和科研计算机网南阳城市节点单位。通过我校节点接入教育网的单位有南阳理工学院、南阳医学高等专科学校、河南工业职业技术学院等3所高校,覆盖网络用户5万余人。目前我校校园网节点规模有8000余个,覆盖教学科研办公区、学生区、家属区等,提供了多样化的网络服务,基本满足了数字化校园的应用需求。

然而,随着日益复杂化的教育信息化应用的发展和校园网用户的急剧增加,校园网面临着日益严峻的安全威胁,各种安全事件频发,安全形势不容乐观。例如,每年高考前后都是网页挂马的高发期,恶意代码活动猖獗。由于近年来校园网络规模的扩大以及P2P软件的泛滥使用,校园网有限的带宽资源被大量占用,甚至出现了高峰期Web网页无法打开的尴尬局面,严重影响了学校关键业务的开展;另外,师生的网上交易账号、网游账户、MSN、QQ被盗的情况时有发生,给师生带来了不小损失。由于学校的二级单位对其管理运行的二级网站管理不完善,感染病毒和木马的情况时有发生,导致很多访问挂马网站的用户被感染木马。还有互联网中各种色情、反动、暴力等不良信息,以及影响高校和谐稳定的突发事件舆情等都亟待得到有效的处理和解决。

网络安全层应用实例与效果分析

在上述的数字化校园信息安全立体防御层次化安全模型中,网络安全层主要实施对校园基础网络与信息系统的运行过程和状态的保护。对于数字化校园网网络安全的全过程主动防护模型APPDRRCC,我们分别对其中的风险评估、系统防护、实时监测、应急响应等重要环节进行应用测试和分析。

对于风险评估环节,为了掌握数字化校园的安全态势,按照上述APPDRRCC模型的要求,对校园网中的资产、威胁、脆弱性(漏洞)3种要素进行风险评估,全面掌握网络安全面临的威胁。我校实施的信息系统脆弱性评估结果如表2所示。

数字化校园信息系统脆弱性评估


针对脆弱性评估发现的漏洞,我们及时进行漏洞修复,避免了攻击者的恶意利用,提高了重要信息系统的安全防护水平。经过漏洞修复后,上述服务器网页挂马的几率显著降低,系统的安全防护能力得到了明显提升。

在风险评估的基础上,根据信息系统的重要性不同实施不同强度的信息系统安全等级保护。理想的信息安全防御系统是对所有的攻击行为或弱点都进行安全防护,但是从组织资源、人力物力资源限制等实际情况考虑,“不惜一切代价”的防御方法显然是不合理的。应当引入“适度安全、重点防护”的思想,寻求信息安全的风险和投入之间的平衡,对不同重要性的信息系统进行不同强度的防护。结合公安部等4部委联合开展的信息安全等级保护工作,在对我校各种信息系统安全测评的基础上确定不同的安全级别,部分信息系统的安全等级评定结果如表3所示。在安全定级的基础上完成备案、建设整改、督导检查等工作,提高了重要信息系统的安全防护能力和水平。

数字化校园信息系统安全等级


在系统防护环节,为了提高数字化校园网络对恶意代码的防御能力,我校统一部署了网络版的防病毒软件,另外,通过校园网信息平台及时发布网络安全事件的预警和应急解决方案,为用户提供便捷的信息安全技术支持服务。

通过实时监测环节能够实时监控校园网的运行情况,及时发现和处理异常情况。网络流量管理是数字化校园安全管理中的一个十分重要而棘手的问题。通过部署网络流量控制设备,并在相关的网络设备上进行策略设置,能够较好地解决网络流量资源滥用问题。为了防范突发的异常网络流量对校园网的攻击,实现对校园网各出口流量和内部流量的实时监测,在校园网出口设备上以端口镜像的方式部署流量监控软件,从而实时监测校园网的各种流量分布情况。

容安全层应用实例与效果分析

内容安全是数字化校园信息安全体系中十分重要的环节之一,关系到能否营造健康向上、有利于学生成长的校园网络文化氛围,同时也是影响高校和谐稳定的重要因素之一。在上述的数字化校园信息安全立体防御层次化安全模型中,内容安全层主要实现对信息内容的隐藏、发现、分析和管理等,从而确保信息利用的安全。采取的措施包括数据挖掘、信息过滤、舆情分析等。

在不良网络信息过滤方面,我校采取了“人工+技术”的方式保障内容安全。组织队伍方面,通过建立一支网络舆情监测与引导队伍来营造健康向上校园网络文化氛围。技术方面,通过部署专业的内容监控设备过滤不良网络信息。

该校垃圾邮件过滤系统统计结果显示,该系统运行1年来已拦截了占总邮件数量83.1%的垃圾邮件,从而节省了大量的网络带宽和存储资源,大大减少了垃圾邮件对用户资源的浪费。

更多关于数字化校园信息系统内容请你关注http://www.yijiaoedu.com


 
QQ在线咨询
销售热线
0371-53302651