高校網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案

摘 要：該文對(duì)高校信息化建設(shè)中的信息安全提出了實(shí)施方案，根據(jù)高校應(yīng)用系統(tǒng)的重要程度，劃分了一級(jí)到四級(jí)的安全等級(jí)，高校應(yīng)用系統(tǒng)一般以三級(jí)保護(hù)作為其基本的網(wǎng)絡(luò)安全等級(jí)，該文以三級(jí)安全保護(hù)為基礎(chǔ)，做了闡述。

關(guān)鍵詞：高校校園網(wǎng) 安全等級(jí) 實(shí)施方案

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）06（b）-0013-02

計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)與信息化的不斷發(fā)展為高等教育提供了強(qiáng)有力的支持手段，為教育模式的創(chuàng)新、先進(jìn)的教育理念的實(shí)現(xiàn)提供了可行的技術(shù)手段。高校信息化是以建設(shè)智慧校園為目標(biāo)，內(nèi)容包括通過(guò)利用云計(jì)算、虛擬化和物聯(lián)網(wǎng)等新技術(shù)建設(shè)的校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門(mén)戶(hù)、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)智慧校園建設(shè)總體解決方案首先應(yīng)確定智慧校園的體系架構(gòu)、智慧校園的信息標(biāo)準(zhǔn)以及實(shí)現(xiàn)各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分步驟分階段實(shí)施。

在智慧校園的建設(shè)過(guò)程中，保障各教育信息系統(tǒng)的信息完整性、系統(tǒng)可用性和信息保密性是信息安全體系的重要支撐，各高校包括職業(yè)教育和教育主管機(jī)構(gòu)的正常工作起到了至關(guān)重要的保障作用。要落實(shí)國(guó)家有關(guān)信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)的文件要求，要求增強(qiáng)高校主管部門(mén)領(lǐng)導(dǎo)的信息安全保護(hù)意識(shí)；做好高等教育信息系統(tǒng)的定級(jí)、備案、審查和測(cè)評(píng)工作，對(duì)發(fā)現(xiàn)的漏洞健全隱患及時(shí)進(jìn)行整改和處理，建立起高等教育信息系統(tǒng)安全等級(jí)保護(hù)體系，提高高等教育信息系統(tǒng)安全水平，保證教育信息化的持續(xù)健康穩(wěn)定發(fā)展。校園網(wǎng)絡(luò)在支撐高校數(shù)據(jù)業(yè)務(wù)運(yùn)行和發(fā)展的同時(shí)，系統(tǒng)所面臨的信息安全威脅也隨著應(yīng)用的增加在不斷增長(zhǎng)、被發(fā)現(xiàn)的脆弱性或弱點(diǎn)越來(lái)越突出、網(wǎng)絡(luò)安全、信息安全風(fēng)險(xiǎn)在不斷積累和增加，成為高校面臨的重要的、急需解決的安全問(wèn)題之一。

1 限于篇幅現(xiàn)將實(shí)施等保三級(jí)及以上建設(shè)要求

區(qū)域邊界訪(fǎng)問(wèn)控制：在應(yīng)用系統(tǒng)或校園網(wǎng)絡(luò)的安全區(qū)域出口邊界處設(shè)置自主和強(qiáng)制訪(fǎng)問(wèn)控制策略，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行加密、控制、過(guò)濾等，阻止非授權(quán)訪(fǎng)問(wèn)。需要的措施：防火墻、IPS、IDS、審計(jì)類(lèi)產(chǎn)品。

區(qū)域邊界協(xié)議過(guò)濾：根據(jù)設(shè)置區(qū)域邊界安全控制策略，來(lái)檢查進(jìn)出數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議以及發(fā)送請(qǐng)求的服務(wù)等，確定是否允許受檢查的數(shù)據(jù)包進(jìn)出區(qū)域邊界。需要的安全措施：IPS、防火墻、IDS、審計(jì)類(lèi)產(chǎn)品。

區(qū)域邊界安全審計(jì)：在安全區(qū)域邊界處設(shè)置必要的審計(jì)機(jī)制，由安全管理中心進(jìn)行集中管理，并對(duì)確認(rèn)違規(guī)的行為做到及時(shí)報(bào)警和后續(xù)的處理。安全區(qū)域邊界設(shè)置必要的審計(jì)機(jī)制所需要的措施：IDS、IPS、防火墻、審計(jì)類(lèi)產(chǎn)品、安全管理中心。

區(qū)域邊界完整性保護(hù)：在區(qū)域邊界處設(shè)置探測(cè)軟件，不間斷地進(jìn)行探測(cè)非法外聯(lián)及入侵行為，并能迅速及時(shí)地報(bào)告安全管理中心。探測(cè)非法外聯(lián)和入侵行為并及時(shí)報(bào)告安全管理中心所需要的措施：非法外聯(lián)設(shè)備、IPS、防火墻、IDS、審計(jì)類(lèi)產(chǎn)品、安全管理中心。

通信網(wǎng)絡(luò)安全審計(jì)：在安全通信網(wǎng)絡(luò)通道口設(shè)置必要的審計(jì)機(jī)制，由安全管理中心集中管理，并對(duì)分析和確認(rèn)的數(shù)據(jù)違規(guī)行為及時(shí)報(bào)警處理。需要的措施：在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制、由安全管理中心集中管理、需要審計(jì)類(lèi)產(chǎn)品、安全管理中心。

運(yùn)維安全：考慮主要應(yīng)用系統(tǒng)的審計(jì)策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件；主要應(yīng)用系統(tǒng)當(dāng)前審計(jì)區(qū)域是否覆蓋到所有用戶(hù)；主要應(yīng)用系統(tǒng)審計(jì)過(guò)程中所記錄的信息應(yīng)該包括事件發(fā)生的日期與時(shí)間、觸發(fā)安全事件的主體與客體、事件的類(lèi)型、事件成功或失敗、身份鑒別事件中請(qǐng)求的數(shù)據(jù)源頭及事件可能造成的結(jié)果等內(nèi)容；可通過(guò)非法終止審計(jì)功能或通過(guò)修改其審計(jì)配置等測(cè)試主要應(yīng)用系統(tǒng)，來(lái)驗(yàn)證其審計(jì)的進(jìn)程能否受到保護(hù)；在應(yīng)用系統(tǒng)上試圖產(chǎn)生一些重要的安全相關(guān)事件，測(cè)試應(yīng)用系統(tǒng)是否對(duì)其進(jìn)行了審計(jì)，驗(yàn)證應(yīng)用系統(tǒng)安全審計(jì)的覆蓋情況和記錄情況與要求和要達(dá)到的目標(biāo)是否一致；可以通過(guò)非授權(quán)的方法刪除、修改或覆蓋審計(jì)記錄來(lái)測(cè)試應(yīng)用系統(tǒng)，驗(yàn)證安全審計(jì)的保護(hù)情況與所要求的安全是否一致。安全審計(jì)應(yīng)記錄應(yīng)用程序運(yùn)行過(guò)程中與安全相關(guān)的事件；安全審計(jì)還可以對(duì)一些特定事件提供指定方式、指定日期的實(shí)時(shí)報(bào)警；審計(jì)的整個(gè)進(jìn)程應(yīng)受到保護(hù)，避免在受到其它因素干擾的情況下而發(fā)生的中斷；審計(jì)所記錄的數(shù)據(jù)應(yīng)受到保護(hù)避免受到人為的刪除、修改或覆蓋等；安全審計(jì)應(yīng)根據(jù)信息系統(tǒng)要求結(jié)合網(wǎng)絡(luò)環(huán)境及上級(jí)要求統(tǒng)一的設(shè)置安全策略，實(shí)現(xiàn)集中審計(jì)。需要的措施：堡壘機(jī)、審計(jì)類(lèi)產(chǎn)品。

主機(jī)和應(yīng)用訪(fǎng)問(wèn)控制：應(yīng)用系統(tǒng)是否采取身份標(biāo)識(shí)和鑒別措施；操作規(guī)程和操作記錄是否有添加、刪除用戶(hù)和修改用戶(hù)權(quán)限的操作規(guī)程、操作記錄和審批記錄；應(yīng)用系統(tǒng)應(yīng)采用了兩種及兩種以上的身份鑒別技術(shù)來(lái)進(jìn)行身份鑒別；是否提供身份標(biāo)識(shí)功能給主要應(yīng)用系統(tǒng)；應(yīng)用系統(tǒng)用戶(hù)的身份標(biāo)識(shí)應(yīng)具有唯一性；有對(duì)同一用戶(hù)采取兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)對(duì)用戶(hù)的身份鑒別；有對(duì)系統(tǒng)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別功能；系統(tǒng)用戶(hù)的身份信息鑒別至少有一種是能偽造的，可以通過(guò)公私鑰對(duì)、生物特征等技術(shù)手段作為身份鑒別的方法；對(duì)系統(tǒng)登錄次數(shù)是否具有限制功能；是否設(shè)置了用戶(hù)登錄連接超時(shí)，若超時(shí)將自動(dòng)退出。需要的措施：堡壘機(jī)、審計(jì)類(lèi)產(chǎn)品。

網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)：可以采用的方法是由密碼技術(shù)支持的完整性校驗(yàn)機(jī)制或具有相當(dāng)安全強(qiáng)度的其它安全機(jī)制，用來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)在傳輸過(guò)程中的完整性保護(hù)，在發(fā)現(xiàn)完整性遭到破壞時(shí)能進(jìn)行恢復(fù)。需要的措施：采用由密碼技術(shù)支持的完整性校驗(yàn)機(jī)制或具有相當(dāng)安全強(qiáng)度的其他安全機(jī)制、發(fā)現(xiàn)完整性破壞時(shí)進(jìn)行恢復(fù)、完整性校驗(yàn)工具。

管理制度：是否建立了由安全政策、安全策略、管理制度、操作規(guī)程等層面構(gòu)成的安全管理體系；信息安全工作的政策性文件中，機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等是否明確，信息系統(tǒng)的安全策略是否明確；各項(xiàng)安全管理制度，是否覆蓋到物理設(shè)備、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；是否具有安全管理操作的操作規(guī)程，如用戶(hù)操作規(guī)程和系統(tǒng)維護(hù)手冊(cè)等。

制定和發(fā)布：負(fù)責(zé)安全管理制度制定的部門(mén)；安全管理制度的制定程序及發(fā)布方式，是否對(duì)制定的安全管理制度進(jìn)行過(guò)論證和審定，論證和評(píng)審方式如何，是否按照統(tǒng)一的格式標(biāo)準(zhǔn)或要求制定；是否有安全規(guī)章制度更新記錄，版本變更記錄；制度是否注明適用和發(fā)布范圍，是否有版本的標(biāo)識(shí)，是否有管理層面的簽字或單位蓋章；管理與運(yùn)維體系，其文件覆蓋物理設(shè)備、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等各個(gè)層面。

2 解決方案的收益

（1）通過(guò)該解決方案符合了規(guī)范化要求，例如：通過(guò)等級(jí)保護(hù)方案的實(shí)施等強(qiáng)制要求，獲得上級(jí)監(jiān)管部門(mén)（公安局網(wǎng)監(jiān)、省市信息安全主管部門(mén)）的認(rèn)可。上級(jí)安全主管部門(mén)明確要求各高校加強(qiáng)上網(wǎng)行為的管理和審計(jì)，通過(guò)該系統(tǒng)的建設(shè)和完善能夠滿(mǎn)足上級(jí)網(wǎng)絡(luò)安全檢查的要求。

（2）高校各業(yè)務(wù)系統(tǒng)確實(shí)得到安全保障，校園一卡通、數(shù)字圖書(shū)、試題庫(kù)、分?jǐn)?shù)查詢(xún)系統(tǒng)、辦公系統(tǒng)、人事及檔案信息等重要的資源免受黑客入侵。

（3）學(xué)校官方網(wǎng)站及部門(mén)網(wǎng)站.安全性得到加強(qiáng)，基本上杜絕互聯(lián)網(wǎng)上對(duì)網(wǎng)頁(yè)及網(wǎng)站系統(tǒng)惡意的攻擊掛馬甚至內(nèi)容的篡改，使網(wǎng)站能夠在日常的運(yùn)行中提供高質(zhì)量的安全服務(wù)。

（4）上網(wǎng)行為得到規(guī)范，通過(guò)上述辦法提高了用戶(hù)安全意識(shí)，網(wǎng)絡(luò)信息資源的利用率得到提高，規(guī)避和避免了惡意攻擊帶來(lái)的社

參考文獻(xiàn)

[1] 李洪民.高校校園網(wǎng)絡(luò)安全及保護(hù)建設(shè)方案[J].數(shù)字技術(shù)與應(yīng)用，2016（4）：196-198.

[2] 胡建龍.校園網(wǎng)絡(luò)安全問(wèn)題及防護(hù)措施[J].科技信息，2010（25）：515-516.