2016/1/7 16:06:05 数字化校园网络信息整体安全方案

随着校园信息化建设的深入推进,高校网络及信息系统在学校教学办公活动中的重要性日益突出,面临的网络攻击有增无减,导致学校网络信息安全工作面临的形势非常严峻,为此,数字化校园网络信息安全必须建立一套整体安全方案,从各个角度做好安全防护,达到提高整体安全水平的目的。 一般情况下,数字化校园网络信息安全分成数字化校园网络安全和校园信息安全两部分。

1  数字化校园网络安全

数字化校园网络是学校整个信息化的基础设施,其安全是网络信息安全的基石。数字化校园网络安全主要包含数字化校园网络运行安全、网络接入安全、网络安全审计三大部分。

1.1   网络运行安全

数字化校园网络运行安全是指数字化校园网络运行稳定,服务正常,并具有一定的网络防攻击能力。网络运行安全是数字化校园网络的最基本网络安全保障,结合网络设备、网络链路和网络策略等实现对数字化校园网络安全稳定运行。

大多数情况下,数字化校园网络根据网络拓扑结构划分核心层、汇聚层和接入层。核心层是整个数字化校园网络的核心,一般采用网络设备物理级别的冗余和多物理链路冗余的方式保证网络的运行稳定;汇聚层一般位于楼宇的链路的汇合点,由于重要程度比核心层低,采用网络设备板卡级冗余即能满足网络稳定行要求,同时,与核心层设备采用双链路或多链路实现网络链路的冗余;接入层则服务范围小,网络设备数量多,重要程度低,只需提供设备冗余备份即可。

除了网络拓扑结构的稳定外,数字化校园网络还必须有一定的抗网络攻击能力,一般通过在设备上配置 ACL、网络端口隔离、QOS等网络安全策略,并在关键部位配备网络防火墙、入侵检测等安全设备对网络攻击进行过滤和防护。为了保障网络设备管理安全,网络设备访问权限(包括本地和远程)需要进行严格控制,只能运行指定的人员、指定的机器才能访问网络设备,并设置符合复杂度要求的密码且定期更换。

1.2 网络接入安全

网络接入安全是指网络有一定的安全接入管理能力,防止非授权用户获取网络接入权限,而对于授权用户只能按照权限接入网络并访问相应权限的网络资源。

数字化校园网络承担着大量的用户接入服务,服务对象有教职工、学生、外来人员等,有有线、无线等多种接入方式,接入网络复杂。为了保障接入网络安全,校园网需要有网络认证系统,实现对用户的数字化校园网络准入准出控制,针对不同类型的用户实施不同的准入准出策略,达到用户根据自己的权限访问不同的网络资源。

1.3 网络安全审计

网络安全审计要求网络有可追溯的能力,通过对用户的上网痕迹进行记录并留存,在一定的时间内根据 IP 地址等信息反查定位到具体用户。

为了保障数字化校园网络政治安全,数字化校园网络出口位置需要部署网络审计设备,对校园网用户上网行为进行记录并保存一定时间。结合网络认证系统,网络审计系统应完成基于用户、时间、IP、MAC、内容五维元素的完整记录,做到信息可追溯。

2   数字化校园信息安全

数字化校园信息安全是数字化校园信息化建设中需要重点考虑的对象,信息安全无法保障,数字化校园信息化几乎为零。为了保障信息安全,可以采取如下几步措施:

2.1   信息安全分级

根据信息的重要性进行分类,主要分成三类:(1)核心数据:主要指一卡通数据库、数字平台核心数据库、教务系统数据库等学校不能停运的核心系统及数据库,此类数据会在丢失后给学校带来巨大的损失。核心数据需要进行重点安全保护,包括软硬件冗余,系统符合安全访问权限,提供数据冗余备份等。

(2)重要数据:主要指办公系统、二级单位网站等,此类数据丢失带来局部损失,影响范围在二级单位内或非学校关键部门。此类数据需进行次级安全保护,提供一定的安全访问控制,根据系统的重要程度提供一定的冗余措施;

(3)一般数据:主要指视频网站、缓存、个人数据等,数据丢失可以恢复或影响范围很小或仅限个人等,只需提供简单的保护,主要依靠单机保护机制。

2.2   安全机制

(1)安全检测

校园信息系统是校园信息的重要铸成部分,是对外服务的窗口,也是网络攻击威胁的主要目标。校园信息系统的程序安全性决定了系统的抗攻击入侵能力,甚至影响服务器系统安全。

为了保障安全,新信息系统在上线之前必须经过安全检测,检查密码口令的安全性和网络策略的安全性,任何存在安全漏洞和隐患的系统坚决不允许上线运行。另外,系统后期软件升级和版本更新均须重新进行检测。

在日常运行中,学校信息安全部门应不定期对校内所有网站和信息系统进行安全漏洞扫描,并将漏洞检测结果分发到网站管理人员和安全责任人,监督其对系统安全漏洞修复,保证系统的安全漏洞能及时处理。

(2)安全策略

信息系统的安全策略主要保证网络访问权限和用户权限在允许范围内。 信息系统的网络访问权限必须根据系统的服务范围严格控制,只对校内服务的服务器尽可能分配校内私网 IP 地址或在使用公网 IP 地址的情况下必须在学校出口位置进行网络阻断,而对互联网开放的服务器应严格根据系统对外提供服务的情况进行网络端口的控制,保证外网的不能访问非服务端口,同时开启操作系统级网络防火墙,根据系统重要程度配备物理防火墙、应用防火墙、网页防火墙、入侵检测等安全设备,加强对信息系统的安全防护能力。

与网络攻击入侵不同,用户越权操作带来的安全威胁更为严重,所以,保证用户的操作权限至关重要。在信息系统的前期采购过程中必须重点考虑系统的权限控制问题,必须做到权限控制与实际业务管理相匹配。在运行中,信息系统必须根据工作人员的工作权限分配合理的访问操作权限,特别是核心系统的权限控制要求有安全工作小组评估后进行授权。

(3)冗余与备份

数据的物理安全是数据安全的最基本的保证,所以数据冗余备份必不可少。根据重要程度,数据的备份也分为物理备份、卷备份、操作系统备份和信息系统备份等,对于特别重要的数据。如一卡通,校园数据基础平台的数据必须保证完全的物理冗余,有条件的甚至跨校区的物理完全备份。

(4)日志审计

信息系统的日志审计是为了信息系统出现安全问题的事后追查。在网络攻击和入侵的情况下,黑客删除服务器和信息系统日志是对自己最基本的保护,故信息系统的日志保存不能放在本机。网络信息中心一般需要配备独立的日志系统,记录操作系统、信息系统、网络系统的所有访问日志,一方面对网络攻击的时候追查,同时也为网络信息系统日常维护提供安全保障。

3 总结

数字化校园网络信息安全牵扯面广,涉及人员多,任何的技术漏洞和管理缺失均有可能带来系统型大灾难,只有加强数字化校园网络信息安全整体方案建设,才能提升安全水平。当然,学校也应根据自己实际情况分级别实行安全保护,实现有限的投入得到最大的回报。


 
QQ在线咨询
销售热线
0371-53302651