浅谈高校网络安全体系建设_网络安全知识教育

　　摘要：本文分析并总结了目前国内高校普遍存在的网络安全问题，从校园网安全、信息安全以及全局安全三个方面提出了相应的规划任务，通过加强网络设施安全建设。终端安全防范措施、应用服务器安全措施、信息与数据安全建设等一系列措施，逐步实现校园网安全的可信(credible)、可管(control)，可恢复(comeback)的3c目标。
　　关键词：安全；信息化；规划
　　中图分类号：TP393　文献标识码：A
　　
　　1　校园网安全运行现状与需求
　　
　　1.1校园网安全建设现状分析
　　网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。随着高校的发展，用网人数的增加，校园网用户对信息与网络安全的要求也越来越高。大部分高校以往的网络建设，重点是“建设”，强调网络的覆盖范围，出口带宽，基础应用等，而对网络安全的关注度不够，往往是“想起一个建一个，需要一个建～个”，没有形成系统、全面、高效的网络安全体系。随着高校“信息化”建设的呼声越来越高，网络安全体系的建设也在逐步受到学校各级领导的重视。
　　1.2校园网安全体系建设需求
　　网络安全建设一直是各高校网络建设的难点和薄弱环节，一方面，技术管理手段的不全面以及管理机制的不完善制约了安全防范的力度；另一方面，校园网用户甚至是系统管理员的安全意识淡漠，以及学生用户网络行为的不确定性成为各高校网络安全工作的瓶颈。因此，网络中心需要通过采取一系列的网络安全措施、制定一系列的网络安全管理制度，在提高网络管理技术手段的同时，逐步增强用户的网络安全意识，构建稳定、安全、绿色的校园网。
　　
　　2　网络安全体系建设规划
　　
　　随着学校网络与信息化建设的逐步深入，网络安全问题、信息数据安全问题日益突出。建立一套网络安全体系，是各高校在信息化过程中的重要任务之一。
　　2.1校园网安全建设规划
　　根据各高校网络建设规划，结合现有的网络安全技术手段，应从以下几个方面做好校园网安全建设工作。
　　2.1.1加强网络设施安全建设
　　网络设施安全主要指网络设备、服务器等硬件设备的物理安全。某高校网络中心曾经发生过同批次多块硬盘损坏，机柜门被撬开。学生恶意偷用电源。光缆被挖断等安全事件，因此。在信息化的建设中，保证设备的物理安全尤为重要。
　　建立机房、设备间的防火、防盗、监控和报警方案：
　　对一些关键设备。系统和链路，应设置冗余备份系统，避免网络设备因天灾或人为因素对网络造成的影响。
　　2.1.2终端安全防范措施
　　随着各高校网络覆盖范围的逐步增加，用网人数不断增多(如某高校校园网同时在线用户已经达到4500人)，用户终端的安全问题成为校园网内网安全的主要问题之一。由于用网人员的计算机水平参差不齐，以及学生用户网络行为的不可控性，给网络安全带来了很大的隐患，因此需要从以下几个方面完善终端安全防范措施：
　　提供并推广可供全校师生员工使用的网络版杀毒软件，以及校内WSUS服务，逐步建立“没有杀毒软件”、“不打系统补丁”不上网的安全意识；
　　对校内突发的终端安全事故进行监控，及时提供必要的专杀工具、漏洞补丁：
　　提高技术人员的技术水平，采取相应的检测手段，利用先进的仪器设备，减少用户端安全事故的排查和定位时间。
　　2.1.3应用服务器安全措施
　　应用服务器是数字化校园的基础，是各个业务系统的载体，所以它的安全是至关重要的，因此，系统管理员的技术手段和安全意识在服务器的安全管理中起到至关重要的作用。
　　制定相关技术文档，规范应用服务器上线前的安全检查，督促管理员使用正版操作系统、安装杀毒软件、防火墙、自动更新等，并且定期扫描系统漏洞，更改系统密码。保证操作系统安全；
　　建立完善可靠的容灾恢复方案，对关键服务器采用双机热备方式，并且提供可靠的数据备份系统，如采用RAID技术以及利用磁带备份数据，确保事故发生时业务数据不丢失，系统能够快速恢复；
　　建立授权控制体系，对不同管理员设定不同的系统、数据库管理权限：
　　完善访问日志分析系统，定期对日志进行整理和分析，制定相应的安全策略。
　　2.1.4网络出口及边界安全
　　目前高校网络出口及边界设备主要分为路由器。防火墙、VPN等三类设备，网络出口及边界的安全主要包括配置合理、全面的安全策略，以及如何提高安全响应速度和快速、准确地定位攻击来源。针对这些方面，需要在出口及边界设备的管理中做到以下几点：
　　建立密码维护制度。定期更换设备Telnet、SSH登录密码以及SNMP共同体名；
　　>制定详细的ACL策略，限制登录设备的IP地址；
　　采取NAT机制。在保证校内用户正常上网的同时，继续优化8812路由器的安全功能；
　　启用防火墙的防病毒功能，在源头阻断病毒入侵；
　　合理规划SSL VPN的用户权限；
　　建立IDS+IPS的联动机制。完善网络监控与入侵防范；
　　建立出入双向的访问日志系统。
　　2.1.5应用分析控制技术的应用
　　在网络安全管理中，网络流量、网络应用的分析至关重要，网络管理人员需要明确地知道网络中有哪些网络应用，各种应用在网络中所占的带宽以及是否存在不良应用，如图1。
　　随着上网人数的增多，网络出口不可避免地出现拥堵现象，因此，需要进一步对网络应用进行分析，并制定有效的控制策略。
　　实时记录出口带宽使用情况，对恶意占用带宽的应用进行限制，确保基本应用的高效运行；
　　对网络流量进行监控，利用相关协议分析工具对网络应用进行深层坎的分析。
　　2.2信息安全建设规划
　　信息安全指保证系统中的信息不被破坏、不被窃取、不被非法复制和使用等。
　　2.2.1信息安全保障措施
　　通过一系列的措施，保证信息在传输和存储时的安全。
　　建立完善的实名上网制度，并且与各系统的日志配合，建立“上网ID+上网时间+上网IP+上网入”的一一对应关系；
　　建立合理的文件上传、审查制度，对关键数据采取数字签名技术，做到谁上传谁负责，安全事故责任到人；
　　对论坛、留言板等提供用户交流的版块加强监管力度。对有害和敏感信息进行监控；
　　数字校园关键服务器问数据传输采取加密方式，防止网络窃听、数据泄露等安全事故的发生；
　　对病毒邮件、垃圾邮件以及含有敏感信息的邮件进行过滤。
　　2.2.2数据安全建设
　　随着高校信息化建设的推进，各部门工作信息化的程度也将越来越高，如何保证数据安全，提高管理信息系统(MIS)的安全性是信息化过程中必须考虑的问题。
　　各部门需要制定MIS的相关管理制度：
　　制定MIS系统数据备份、灾难恢复方案；
　　定期对MIS漏洞进行修补。防止数据泄露。
　　2.3全局安全体系建设
　　根据对网络体系分层的概念，针对不同的层次制定不同的网络安全措施。做到有的放矢，从技术上实现检测、上报和控制一体化。例如锐捷公司提出的全局安全网络(GSN)，如图2。
　　整合已建立的安全措施，增加针对上网用户的准入策略。在用户连入网络之前先进行客户端病毒及漏洞扫描，保证连入网络的客户端的安全性，从而最大限度地降低网络安全风险：
　　建立统一的安全管理平台(SMP)，通过下发警告消息，下发修复程序，下发阻断或者隔离策略等手段智能处理安全事件。
　　
　　3　校园网安全建设目标
　　
　　随着网络建设的稳步推进，各高校也将进一步完善网络安全体系建设，将校园网建设成可信(Credible)、可管(Control)、可恢复(comeback)的3C网络，建立一个全方位、多层次、系统的网络安全体系。为校园网信息化建设提供安全保障。