文/杨蔚宇

中央民大建立“金字塔”网络信息安全模型

文/杨蔚宇

中央民族大学根据网络信息安全的发展趋势，结合“金字塔”网络信息安全体系和相关规范、模型的制定，逐步完善目前的系统，使得“金字塔”模型在保障网络信息的安全、保证校园网稳定运营方面发挥更大的作用。

高校作为知识学习和人才培养的重要阵地，在当今信息化发展的大趋势下，其信息化建设已经成为信息技术及产业应用的最佳平台和范例。中央民族大学作为全国“985”、“211”重点民族高校，不仅力争在学术和教育上成为全国各民族高校的典范，同时努力利用成熟的信息化技术带动教学、科研的信息化发展，促进教职工、学生共享教学资源，协同工作、学习。

校园信息化建设的现阶段，万兆环路和无线覆盖的网络平台、信息系统和数据的高度统一和集成，极大地促进了学校教育事业的飞速发展，但同样带来信息安全的种种问题。攻击者窃听网络信息，窃取用户口令和数据库信息，篡改数据库内容、伪造用户身份、否认自己的签名，甚至删除数据库内容、摧毁网络节点、释放计算机病毒等等。校内网络运维人员在工作中出现的任何失误都可能给网络信息安全带来危险。总之，无论是无意的误操作，还是学生的好奇心与尝试心理，以及越来越复杂的网络环境，不完善的网络信息安全管理，都会给学校信息管理系统带来无法估计的损失。

面对计算机网络中的种种安全威胁，我们必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。对信息访问实行严格控制，在确保安全、可靠、持续运行的前提下，尽量为网络应用提供方便。

中央民族大学引进全面可靠的安全产品和技术，加强信息管理力度和强度，构建一个稳定可靠的网络信息安全综合体系，为学校信息化建设的快速发展提供有力的技术保证。

建设可靠的网络安全体系

中央民族大学校园网络安全体系的构建，自始至终坚持“落实规范、总体设计、先进适用、安全可靠、开放兼容、全面管理”的总原则，力图打造一个安全可靠的校园信息网络平台。

“金字塔”模型

通过在网络建设中积累的经验和对新技术、新产品的学习和了解，我们深刻了解到，构造一个良好的网络安全防护体系不仅仅靠某一个或几个安全产品和技术就能够实现，我们需要的是一个全新的理念来实现网络安全构建方案。所以我们提出了一套立体的“金字塔”网络安全体系建设模型，满足在网络层、系统层和管理层3个层次的安全需求和体系构建，见图1。

模型的底部，代表着庞大的网络设备安全，是“金字塔”坚实的根基，也是整个安全体系最直接、最基本的实施和操作平台，是网络信息安全体系的最终落脚点；中间层次承担着承载网络信息的系统级别的安全职能；顶端层次决定着全网安全体系构建的实施力度和手段，通过对网络设备、系统设备的管理机制、对信息建设与管理人员的安全意识的管理，构建稳定可靠的网络信息安全体系。

总体目标

“金字塔”网络信息安全体系模型的最终控制目标是“四无”，即安全管理无漏洞、网络设备无隐患、管理行为无不当、网络安全无事故，坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护中央民族大学学校信息资源的利益，维护国家安全。

指导思想

“金字塔”网络信息安全体系模型以“大安全”理念为指导思想，其不仅仅是网络建设部门的工作，同样是全员、全方位、全天候、全过程的工作，与所有单位部门每一个信息管理和操作人员息息相关，需要各个部门、教职工、广大学生的多方协调、齐抓共管。

基本方式

要实现系统的安全功能和性能，既要采取先进的安全技术，又要对已建立的系统实施有效的安全管理，在进行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。“金字塔”模型自上而下地贯彻网络信息安全管理策略和方式方法，从管理落实到技术，全面规划和完善网络安全防护层次和体系；模型自下而上地进行总结和规划，从基本设备、系统作为出发点去完善整个管理层次和模式，健全安全体制和体系。

网络安全防护

信息的传递和教学、科研学习工作的开展依赖和依托于网络环境，如何保障网络的安全，是构建中央民族大学校园网络信息安全体系的基础性工作。

网络边界严格控制访问

在网络边界上，部署网御神州SetGate 防火墙，对中央民族大学校园网进行边界隔离，严格控制进出网络安全区域的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测）。控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。同时有效预防、发现、处理诸如蠕虫病毒、DDOS等异常的网络访问，确保中央民族大学校园网正常访问活动。

实时监控数据和网络行为

在骨干链路旁路，部署天融信网络卫士NGIDS-UF入侵检测系统，实时监控各网段数据报文及网络行为，提供及时的报警及响应机制，大大增强了用户的整体安全保护强度。

流量控制精细

在网络骨干链路上，部署网优先锋NetMizer流量控制系统，实现了2～7层的应用识别分类、流量属性分析、流量策略管理、分类统计报告以及状态预警等多种功能，实现精细流量控制，并对严重占用带宽的P2P流量通过设置带宽使用上限和时段，降低对总体链路的负载影响，同时对需要保障的关键应用和重点区域和人群，根据应用优先级的不同专为其设定相应的保证带宽，确保其获得有保障的带宽通道和使用感受，提高用户的服务质量（QoS），既保证整个网络的连通性，又实现网络流量的控制与管理，保障关键信息流通和应用业务的正常开展。

定期扫描网络设备

部署榕基Rj-iTOP漏洞扫描系统，定期对中央民族大学校园网中的主要网络设备进行扫描，包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息、以及评测风险，提供安全建议和改进措施等功能，形成相关报告，并根据扫描报告对相关漏洞进行修改，帮助网络管理员控制可能发生的网络安全事件，最大程度地消除安全隐患，提升其安全性，防患于未然。

净化校园网络空间

部署网御神州SecFox-NBA网络行为审计系统，通过旁路侦听的方式对内部网络连接到互联网和DMZ区域的数据流进行采集、分析和识别，实时监视使用者使用互联网的状态，记录各种上网行为，发现对互联网滥用，并对用户上网过程中发送和接收的相关内容进行控制、存储、查询和分析。互联网上的信息良莠不齐，而现在越来越多的大学生因为受到互联网上不良信息的影响，对自我、人生、社会的认识也产生不良的作用。随着学生的计算机水平不断提高、教师在办公时对互联网的依赖性增强，由网络带来的安全隐患在校园网中一触即发。净化网络空间，同时可以让管理者很好地了解状况，并且对潜在的威胁者及违规操作者给予震慑性警告，并对其违规操作进行记录取证。

系统安全防护层次

针对中央民族大学校园网络，其关键资源就是信息数据，而这些数据就存放在重要服务器的操作系统之上，所以操作系统本身的安全性至关重要。但不管是Unix还是Windows操作系统，其安全性都远远不够，访问控制力度、超级用户的权限滥用以及不断被发现的安全漏洞是操作系统存在的几个致命性问题。针对中央民族大学校园网中关键信息业务使用的操作系统，保障操作系统平台的安全和正常运行，为应用系统提供及时多样的服务。针对数据库，保证数据库不受到恶意侵害或未经授权的存取与修改。

定期扫描漏洞

充分利用榕基Rj-iTOP漏洞扫描系统，定期对中央民族大学学校中的服务器、数据库等进行漏洞扫描和弱点评估，发现系统存在的安全隐患，综合给出一个书面形式的安全建议则和策略，并结合解决建议，及时对中央民族大学校园网中的重要信息系统针对弱点进行加固，将系统的隐患消除在弱点被利用之前。

提升系统的安全防护等级

针对重要的服务器，在进行隐患扫描、利用WSUS补丁加固的基础上，进一步从超级用户账号管理、系统进程保护、系统注册表保护等多个方面，提升其底层操作系统的安全防护等级，确保上层的应用，从根本上提升安全防护能力。在不影响现有业务的情况下，从根本上提升服务器操作系统的安全性，削弱超级用户的权限，并且高强度抵御安全威胁最严重的缓存区溢出攻击问题。

严格规范口令的设置和管理

操作系统系统、数据库、信息系统管理和使用口令有良好的储存和管理方式，防范弱口令，因口令过于复杂而导致忘记，或者因担心忘记口令而记在显眼的位置，被他人窥探到，造成口令外泄。统一口令设置规范，对口令长度、口令字符复杂度、口令历史，口令最长有效期有严格要求和规范，对不同级别权限的口令分则管理，加密保管。

安全管理防护层次

在实现可信网络计算环境、可信用户行为和可信数据安全后，将对信息系统访问过程的所有环节实现全面的防护，但若没有统一的策略管理或是对安全事件缺乏统一的分析和反馈，那么在此基础上形成的防护体系仍将是各自为政、一盘散沙，相互之间存在安全盲区，对突发事件难以共同应对、协调处理，并且不能为网络安全管理提供统一的预警、自动响应等功能，同时网络管理员也很难全面了解网络的运行状态和趋势，无法提供统一的安全状态检测。

在安全管理防护层次上，主要体现在两个方面：

一方面，基于网络安全的统一协调管理，能够有效进行资产管理、介质管理、网络安全管理、系统安全管理以及恶意代码防范管理等内容，能够实现信息系统的统一安全策略、统一安全管理等技术，通过部署安全审计系统和安全管理平台，能够很好地解决以上问题。具体如下：

1. 部署网神SecFox-LAS日志审计系统，在网络中建立完善的安全日志审计系统，负责采集网络中各台重要服务器以及网络设备、安全设备的日志信息，定时进行分析，并生成统计报告和安全预警报告，通过记录、分析网络中的各类设备的日志信息，实时监视网络中的各种设备状态，及时、有效分析出网络中发生的安全事件及入侵行为并根据设置的策略及规则，对违规行为进行记录、报警和阻断。

2. 部署网神SecFox-UTM安全管理平台，通过对网络中各种设备（包括路由设备、安全设备等）、安全机制、安全信息的综合管理和分析，对现有安全资源进行有效管理和整合，从全局角度对网络安全状况进行分析、评估与管理，获得全局网络安全视图。通过制定安全策略指导或自动完成安全设施的重新部署或回应，从而全面提高整体网络的安全防护能力，为网络提供高效的安全管理手段。

另一方面，基于人员的安全管理体系。管理安全主要考虑的是“人”的因素，也就是在网络安全建设及管理维护的过程中，如何通过“人”来对技术进行安全的“操作”和“配置”，并依据《计算机信息网络国际互联网安全保护管理办法》（公安部第33号令）和《信息安全等级保护管理办法》（公通字[2007]43号）的要求，从安全管理制度定制、安全管理机构建设和人员安全管理方式等角度，严格规范网络安全管理“软环境”，对安全管理体系的建设、执行、管理、运维等工作切实落实。具体如下：

1. 制定信息安全工作总体方针和策略，建立安全管理各类制度、操作流程和各种安全策略流程的配置文件存档，并由安全管理部门对建立的安全管理制度体系的合理性和适用性进行论证和审定，定期不定期抽查审核，对存在的不足和需要改进的内容进行修订。

2．设立信息安全管理职能部门，由主管副校长牵头任安全主管，设立安全管理各方面负责人岗位并定义其职责；分设系统管理员、网络管理员、专职安全管理员，并对关键设备、信息系统和应用配备多人共管，避免管理孤岛；明确和授权各管理部门和人员的工作职责和权限，形成校发文备案保存；加强部门内部、部门之间以及业界权威、专家及安全监管部门的沟通与合作，避免信息安全技术和手段的局限性。

3. 严格规范网络管理、信息管理和关键业务管理人员的录用和离岗过程，对相应人员签署相应保密协议和承诺书；定期对关键岗位人员进行安全技能和安全人认知的培训、审查和考核；确保外来人员访问区域、设备、系统和信息的权限和审批，形成规范流程的书面文字存档，并按照流程规定认真执行。

随着高校信息化的深入发展，网络信息安全的问题也显得越来越重要，构建可靠的网络信息安全体系是高校网络建设管理部门有效管理网络信息、处理海量信息和业务的必经之路。虽然网络安全体系的构建仍然存在一些问题并处于发展完善的阶段，但是这并不阻碍该体系的实施与应用，越来越广泛的信息建设与业务应用也会进一步促进这些问题的解决和体系构建的完善。

（作者单位为中央民族大学现代教育技术部）