新时期高职院校校园网信息安全防护体系
2020-02-01朱鹂
朱鹂
(杨凌职业技术学院 陕西省咸阳市 712100)
科技的发展,信息化技术在校园网络中应用更加广泛,校园网信息可以为高职院校教学以及学生学习提供大量数据以及信息支持,保障高职院校工作开展更加有序,可是校园网在运行中会受到各种因素的侵扰,导致网络安全问题频繁产生,应创建高职院校校园网信息安全防护体系,为保证校园信息安全奠定基础。高职院校校园网对于高职院校业务运营以及发展意义重大,近几年来,校园信息网络安全问题愈加突出,成为高职院校管理需要关注的关键问题,要解决此项问题,笔者通过对高职院校校园网信息安全防护体系的研究与分析,为高职院校校园网的信息安全提供基础保障。
1 高职院校校园网的基本概述
新时期高职院校校园网除了满足教师以及员工学生上网需求,还应对校园网内的信息实施科学化管理,满足高职院校人员的教学辅助、游戏以及校园生活方面的基本需求,校园网系统主要包括教务管理、校园财务管理、校园一卡通、网站、招生就业系统等,在校园网上活动对象主要包括教师、学生、管理人员,用户数量比较多、流动性强,分散。另外,高职院校校园网的计算机接入种类多样化,通常来说,接入校园网的教师或是学生电脑是个人购买,并实施有效维护的,一些人员在互联网上下载的破解软件或是盗版软件,这些软件无法对校园网的安全实施有效防护,因此应重视校园网在运行中产生的安全问题,如图1 校园信息安全内容,并加强维护以及安全防护体系的创建,安全防护体系内容有安全策略、资产管理、人员安全、访问控制等,确保校园网运行更加安全以及可靠[1]。如图1所示。
2 高职院校校园网信息安全现状
2.1 预警机制待强化
目前,很多高职院校在对校园网进行安全防护期间,对校园网预警机制不够重视,部分高职院校创建的校园网信息安全防护系统中预警体系在创建中未曾考虑到网络运行中各种因素,导致预警体系运行没有达到预期需求[2]。
2.2 安全意识待提高
现阶段,多数高职院校对校园网信息安全缺乏足够认识,校园网缺乏统一的管理以及安全防护方案,对校园网内部以及外部网没有做到全面隔离,纯粹依赖校园网的主系统安全性。而计算机应用广泛普及,在校园网中的接入网点逐渐增多,而节点未曾采取有力防护策略,导致校园网运行中出现病毒、信息丢失、网络攻击、信息损失、数据损坏、计算机系统瘫痪等问题,严重影响校园网的正常运行[3]。
2.3 安全漏洞待筛查
高职院校的校园网中存在太多集中性个人隐私信息,要促使师生的信息安全得到良好保护,应重视对校园网安全漏洞的筛查,调查数据显示,多数高职院校网站运行均有很多安全隐患以及漏洞,这些安全漏洞中存在很多高危险漏洞,会对网络安全造成严重威胁,例如网络被不法人员侵入,网站中机密文件以及科研项目可能会被盗取。同时黑客可能会通过校园网网络安全系统进入网站中的核心区域,得到校园大量关键信息。可是,很多高职院校在校园网安全漏洞筛查工作中,效率不高,甚至高职院校很少对校园网安全漏洞筛查,导致校园网运行安全问题频出[4]。
3 高职院校校园网信息安全防护体系
3.1 骨干网安全区域设计
要保障高职院校校园网信息安全防护效果增强,应重视对校园网的骨干网安全区域的设计,保障校园网以及互联网边界数据传输更加稳定以及快速,确保校园网正常使用。可以以校园网实际结构为基础进行骨干网安全区域的设计,本次设计应用的是双核心结构,将核心交换可靠性增强。而骨干网的核心交换设备数据汇集,应确保交换设备双联。骨干安全区域需接入交换机双联路,使其连接到双核心,避免内网出现单链路故障或是单核心故障,技术人员可以应用生成的树协议以及虚拟路由协议,并在核心交换机上配备IP攻击警报,保障骨干安全区域信息得到保护。通过对高职院校校园网信息安全防护体系中骨干网安全区域设计,为网络运行安全奠定基础,保障信息传输更加安全。
3.2 校园网出口边界安全区
校园网出口的边界安全区域有防火墙、路由器,防火墙以及带宽管理设备,出口边界安全区是连接网络以及校园网的枢纽,应加强对防火墙的安全配置,防火墙安全策略的制定,并创建可以实现预期安全策略防火墙,首先应重视防火墙设计,可以对校园网的风险进行预先评估之后制定防火墙安全策略,如图2,开通校园网运行的必要服务。路由器可以通过网络地址转换技术,将受保护的内部网络全部主机地址应设成少数公网的IP 地址。设计还应重视对带宽设计,特别是在防火墙设计期间,应将防火墙设置与链路负载结合,使得互联网外接平衡。公共服务可以在防火墙围绕形成隔离区域设置,增加域名解析以及邮件服务安全性、可靠性。另外,可以将DDoS 设备在校园网外部进行科学设置,避免内部用户对校园网络的攻击。
3.3 终端接入安全区
终端接入安全区有无线接入设备、接入交换机,主要是为了处理访问控制以及终端设备安全接入过程中产生的问题。利用交换机配置访问控制列表、开启防APP 欺骗、启用生成树等保障校园网运行顺畅,减少安全隐患产生的概率。
3.4 数据中心安全区
数据中心安全区是校园网安全性较高区域。安全区设计应以高职院校校园网发展实际情况为主,保障网络安全防护系统的设计与实际匹配。技术人员可以以网络不同服务器隶属关系,将数据中心分为不同子区域,保障安全防护效果的增强,通过设定子区域将由于多个区域产生的互相影响作用消除。数据中心安全区中服务,其可以以校园网内驱以及外区差异,设置公共服务器区以及数据库服务区。而服务器性能应与负载均衡技术有效结合,提升设备均衡性。
数据中心安全区也可以在核心交换机基础上配置虚拟防火墙,避免校园网网络受到外界的攻击。如图3,校园网信息安全解决方案。也可以对部分比较重要数据可以利用AES 或是DES 加密,一般首选的方式是SHA-1 作为密码加密算法,为了保障高职院校数据中心安全区网络系统安全,可以在修改密码等重要数据期间,以SSL协议为依据,提升数据传输安全性。
3.5 等级保护
开展高职院校信息系统安全等级保护工作,不是人们从表面意义上理解的对校园网同一等级保护,而是指对国内的业务区域实施各种等级保护,因此需将校园网进行等级划分,包括安全域以及区域隔离等级。安全域等级保护主要是指同一个系统内部,管理人员依据校园网信息的使用主体、信息性质、安全目标等对网络进行科学的划分,每一逻辑区域存在相同安全保护的需求以及安全边界控制措施、安全访问控制策略,区域间的相互信任,并且网络安全区域会共享同一种安全策略,对安全区域等级划分不仅要考虑安全层面,还应以业务角度考量,与现有的校园网管理面临挑战以及网络结构为参照依据,保障安全区域划分以及网络梳理更加有效、资质的信息安全等级保护测评结构,可以将校园网划分为六个区域,分别为办公管理域、外联接入区域、科研教学域、应用服务区域。核心交换区域、安全管理区域。
之后根据安全区域功能,在高职院校安全域等级保护系统配置各种规格安全设备,特别是对应用服务域以及核心交换区域核心数据以及应用所在安全域实施关键保护,确保安全域的边界以及安全隔离。另外,以教育部、公安部等对校园网安全系统安全等级保护要求,应创建安全等级保护机制,对应校园网安全防护实际情况,对已经存在的安全防护系统定级备案,并对照对应等级管理规范以及管理规范,对实际以及标准之间差异进行研究以及分析,并整改,可以安排具备专业资质信息安全等级保护测评部门对校园网进行等级测评。例如某高职院校大二层网络,有华为ME60,防火墙设备,有过等保为主,将校园网校园一卡通系统、承担着高职院校信息宣传、形象展示、自主招生系统、财务管理系统,协同办公系统等校园网安全防护体系中关键部分以及业务需求进行整理以及总结,按照《信息安全技术信息系统安全等级保护定级指南》,将其定位校园网耳机套,将其在公安机关备案,并将测评委托给专业的第三方机构,通过对现场的检测、访谈以及测试,对比实际校园网的应用情况以及目标之间的差距,并依据专业机构提出的建议对校园网进行全面整改,保障整改后满足校园网安全防护管理规范以及技术标准需求,通过等级保护策略的实施保障验收测评的科学性,增强了高职院校校园网信息安全防护效果。
3.6 纵深防御
高职院校校园网防护体系中有IDS、防火墙、华为ME60、漏洞扫描、客户端管理、病毒防御等,从不同层面发挥着纵深防御作用,例如应用层面、网络层面、校园边界层面。在校园网边界层面。技术人员在创建校园安全防护体系中,可以在校园网与外部网络边界设置防火墙,例如可以在安全域边界进行防火墙设置如图4,可以对校园网有害信息进行分析,起到隔离有害信息的效果。技术人员在校园网核心交换机执行ACL 访问控制,降低对高职院校非法访问的概率产生。而在网络层面的安全防御,技术人员设计了入侵检测系统,对网络运行产生的安全隐患或是威胁进行定位,并精确分析,将网络正在发生的异常以及攻击行为进行及时报告。同时在校园网中设置了预防病毒的网管,可以将病毒查杀,并具备将关键字体过滤、邮件组织等功能,使得校园网络运行更加安全。
而在校园网络主机层面的安全防御机制,应在校园网中设置漏洞扫描设备,可以定期对校园网应用服务区域、核心交换区域、科研教学以及管理办公区域进行全程扫描,将产生的安全漏洞及时查找,发现安全漏洞并及时处理,还可以对校园网中的病毒入侵起到防范作用。在网络层面还可以对校园网审计系统实施权限控制和管理维护,将其涉及到的操作行为进行审计。应用层面安全防护,可以通过设计Web 应用网关,对校园网Web 应用漏洞预先扫描,还应对SQL 注入、跨站脚本等实现阻断效果,与网页防篡改子系统结合,达到网页防篡改目标。
4 完善校园网信息安全防护体系的措施
4.1 明确安全防护目标
依据高职院校信息管理体系目前在运行中存在困境以及问题,并对技术以及管理方面内容进行全方位考量,制定动态校园网安全防范方案,并依据方案创建数字化校园网,确保校园网内部系统安全以及顺利运行。要保障校园网信息安全防护目标的实现,可以从以下几个步骤进行:
(1)保障网络运行稳定。校园网网络稳定运行,可以使得信息系统更加可靠;
(2)防止校园网运行受到内部或是外部因素干扰,维护系统稳定以及安全;
(3)保障高职院校校园网安全基础下,安全防护体系需尽量为系统不同的应用提供方便,校园网身份认证需要保持统一,适当控制角色访问情况;
(4)创建具备实用性以及可操作性网络信息平台可以为教学或是高职院校管理工作的进行提供基础保障。
4.2 制定安全策略
高职院校需要结合安全防范体系模型,从不同层面开展校园网信息安全防护体系建设工作,安全防护体系中安全策略是最关键的内容,可以确保校园信息传递安全性。安全策略主要包括:
(1)制定安全防护体系的建设方针,创建安全防护体系,并制定相关安全策略,例如数据安全、系统安全以及病毒防护等。制定好安全策略后,要确保其得到全面且有效实施;
(2)还应构建对应的安全管理制度,制度主要内容包括安全策略的操作流程、操作规范、操作细节等内容,管理人员可以依据安全管理制度对安全策略进行有效实践以及落实,保障安全防护体系建设策略得到科学的落实,为校园网安全防护提供支持。
5 结束语
高职院校校园网对高职院校管理以及教学做出卓越贡献,由于校园网在运行中会受到各种因素的影响,例如病毒侵袭等导致校园网的运行安全问题重重,因此,应创建校园网安全防护体系,并对防护体系构建加强分析以及研究,了解创建前高职院校校园网信息安全现状,例如预警机制问题、安全漏洞待处理、安全意识待提升等问题,并提出积极改善措施,加强等级保护、纵深防御、校园网出口边界安全区的防护等,确保高职院校校园网系统安全运行,保障信息以及数据安全。
