醫(yī)科類院校網(wǎng)絡(luò)信息安全建設(shè)實踐

者明偉 彭桂芬 韓華

摘? 要：隨著昆明醫(yī)科大學(xué)不斷深入的信息化建設(shè)，校園網(wǎng)已成為教學(xué)、科研、辦公、生活的重要支撐平臺。學(xué)校經(jīng)過多年的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用平臺建設(shè)，已經(jīng)形成了較為穩(wěn)定的校園網(wǎng)基礎(chǔ)架構(gòu)和相對完善的校園網(wǎng)應(yīng)用平臺。但是，校園網(wǎng)的安全問題一直困擾著我校，基于此，本文通過一次安全項目建設(shè)實踐，探索醫(yī)科類院校怎樣建設(shè)網(wǎng)絡(luò)安全，并對建設(shè)過程做出一些總結(jié)。

關(guān)鍵詞：網(wǎng)絡(luò)安全設(shè)備;信息安全;校園網(wǎng)

中圖分類號：TP393.08? ? ? 文獻標(biāo)識碼：A 文章編號：2096-4706（2019）08-0146-04

Abstract：With the development of information technology in Kunming Medical University，campus network has become an important supporting platform for teaching，scientific research，office and life. After years of infrastructure construction and application platform construction，the school has formed a relatively stable campus network infrastructure and relatively perfect campus network application platform. However，the security of the campus network has been plagued by our school. Based on this，through a safety project construction practice，this paper explores how to build network security in medical colleges and universities，and summarizes the construction process.

Keywords：network security equipment;information security;campus network

0? 引? 言

隨著學(xué)校招生規(guī)模的不斷擴大，校園網(wǎng)出口帶寬不斷地增加，單臺出口設(shè)備已遠(yuǎn)遠(yuǎn)不能滿足日益增加的互聯(lián)網(wǎng)用戶需求，導(dǎo)致上網(wǎng)流量不斷被新增用戶吞噬，網(wǎng)速越來越慢，師生用戶對網(wǎng)絡(luò)的體驗較差，學(xué)校多鏈路邊界出口及增加高帶寬方面的優(yōu)勢無法體現(xiàn);其次，雖然學(xué)?；A(chǔ)網(wǎng)絡(luò)建設(shè)取得了一定的進展和成效，但信息安全領(lǐng)域還很薄弱，面對日益快速增長的網(wǎng)絡(luò)應(yīng)用，保守的網(wǎng)絡(luò)防范已不能適應(yīng)當(dāng)前大規(guī)模應(yīng)用層防護的需要，為保證學(xué)校信息化建設(shè)的順利進行和發(fā)展，需要一個良好的網(wǎng)絡(luò)安全環(huán)境，網(wǎng)絡(luò)安全建設(shè)變得非常迫切。

1? 安全需求

昆明醫(yī)科大學(xué)通過前期的項目建設(shè)，目前基本完成基礎(chǔ)網(wǎng)絡(luò)建設(shè)、校園信息管理系統(tǒng)建設(shè)、認(rèn)證計費系統(tǒng)建設(shè)等，但校園網(wǎng)絡(luò)安全體系建設(shè)缺乏，校園網(wǎng)面臨以下幾個方面的安全問題：

（1）當(dāng)前主干設(shè)備為千兆設(shè)備，網(wǎng)絡(luò)速率低，已無法滿足昆明醫(yī)科大學(xué)信息化網(wǎng)絡(luò)的需求。

（2）網(wǎng)絡(luò)出口無任何安全設(shè)備，只有一臺負(fù)載均衡設(shè)備，存在性能問題，也存在單點故障，設(shè)備損壞將導(dǎo)致全校斷網(wǎng)，產(chǎn)生重大影響。

（3）數(shù)據(jù)中心無入侵防護設(shè)備，導(dǎo)致服務(wù)器經(jīng)常被攻擊，網(wǎng)頁經(jīng)常被篡改。

（4）校園網(wǎng)的流控和認(rèn)證計費設(shè)備都為千兆網(wǎng)絡(luò)接口設(shè)備，已經(jīng)成為網(wǎng)絡(luò)發(fā)展瓶頸，制約學(xué)校出口帶寬的增加。

（5）無上網(wǎng)行為審計，流量分析設(shè)備，無法對廣大師生的輿論進行有效的監(jiān)督和引導(dǎo)。

（6）現(xiàn)有的認(rèn)證計費系統(tǒng)不支持智能終端認(rèn)證計費，對宿舍無線路由器的使用無法進行很好的管理。

（7）校園網(wǎng)站經(jīng)常受到非法攻擊，網(wǎng)頁被篡改的安全事件時有發(fā)生，對昆明醫(yī)科大學(xué)的社會形象造成一定影響。

2? 項目建設(shè)思路與原則

2.1? 項目建設(shè)思路

根據(jù)網(wǎng)絡(luò)安全法和信息安全等級保護的要求，進行建設(shè)方案的設(shè)計。

2.2? 項目建設(shè)原則

昆醫(yī)大校園網(wǎng)安全系統(tǒng)應(yīng)有統(tǒng)一的體系結(jié)構(gòu)，而不應(yīng)是多個分系統(tǒng)的迭加或總和，因此昆醫(yī)大校園網(wǎng)安全系統(tǒng)的設(shè)計和實施，應(yīng)遵循以下原則：統(tǒng)一規(guī)劃原則、技術(shù)先進性原則、可控性原則、適度安全性原則、系統(tǒng)可擴充性原則、示范和推廣原則、技術(shù)與管理相結(jié)合原則。

3? 方案設(shè)計

3.1? 總體思路：總體規(guī)劃，分期建設(shè)，逐步加強及完善

本次方案設(shè)計，根據(jù)資金和實際情況，我們將項目分為兩期進行建設(shè)：第一期，完善基礎(chǔ)安全設(shè)備設(shè)施;第二期，將一期項目建設(shè)中單鏈路設(shè)備進行擴容升級為雙鏈路。

3.2? 本期項目建設(shè)拓?fù)?/p>

根據(jù)昆醫(yī)目前的網(wǎng)絡(luò)現(xiàn)狀，結(jié)合行業(yè)內(nèi)較為成熟和通常的解決方案提出本方案，邊界接入?yún)^(qū)域作為整個系統(tǒng)的唯一互聯(lián)網(wǎng)接口，實現(xiàn)對互聯(lián)網(wǎng)業(yè)務(wù)的緩沖，主要用于承載互聯(lián)網(wǎng)數(shù)據(jù)。為下屬分支互聯(lián)網(wǎng)以及各互聯(lián)網(wǎng)用戶和單位提供互聯(lián)網(wǎng)安全接入通路，主要包含萬兆線路負(fù)載均衡設(shè)備、出口與內(nèi)網(wǎng)區(qū)域隔離防護的萬兆下一代防火墻網(wǎng)關(guān)以及用于對網(wǎng)絡(luò)流量進行分析、輿情管理的萬兆上網(wǎng)審計設(shè)備，做到三位一體的出口管理。下一代防火墻其功能融合了基礎(chǔ)防火墻、DOS/DDOS、IDS、IPS、防毒墻、漏洞掃描等各種底層乃至應(yīng)用層安全防護功能模塊，一臺設(shè)備就具備了整網(wǎng)安全防護能力。

服務(wù)器區(qū)域部署萬兆下一代防火墻主要側(cè)重于服務(wù)器方面的防護，除基礎(chǔ)的Web應(yīng)用攻擊特征庫防護以外，結(jié)合了更加高級的服務(wù)器漏洞防護、網(wǎng)頁防篡改等功能，結(jié)合SQL注入防護、XSS攻擊防護以及新近熱火朝天的APT攻擊防護等高級功能，讓W(xué)eb服務(wù)可以更加安全可靠的發(fā)布給終端用戶，免去后顧之憂。具體部署如圖1所示。

（1）在網(wǎng)絡(luò)出口部署1臺萬兆負(fù)載均衡設(shè)備，替換原有設(shè)備，連接目前4條外部線路，有效進行鏈路負(fù)載調(diào)配和地址轉(zhuǎn)換工作，提升出口速率;同時原有的千兆負(fù)載均衡作為冷備。

（2）在網(wǎng)絡(luò)出口處部署1臺下一代萬兆防火墻設(shè)備，并配置防病毒功能，實現(xiàn)網(wǎng)絡(luò)的訪問控制和網(wǎng)關(guān)處的病毒過濾，保障網(wǎng)絡(luò)出口的安全。

（3）部署1臺萬兆上網(wǎng)審計及流控、流量分析設(shè)備，對網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的使用情況進行分析，優(yōu)化網(wǎng)絡(luò)資源，維護網(wǎng)絡(luò)環(huán)境穩(wěn)定。本次配置1臺，具備雙鏈路模塊，且?guī)ypass功能，如設(shè)備故障，不會影響到鏈路的通斷;原有的兩臺千兆流控系統(tǒng)作為冷備，在二期建設(shè)中再增加1臺形成雙鏈路。

（4）在數(shù)據(jù)中心區(qū)域部署1臺萬兆Web應(yīng)用防火墻，能夠解決網(wǎng)站、Web應(yīng)用經(jīng)常被攻擊、網(wǎng)頁被篡改和病毒攻擊的現(xiàn)狀。在二期建設(shè)中再增加1臺形成雙鏈路。

（5）核心機交換機旁路部署SSL VPN網(wǎng)關(guān)，提供完整的SSL VPN服務(wù)。

（6）原有千兆認(rèn)證計費設(shè)備下架，部署萬兆認(rèn)證計費設(shè)備，要求能夠支持不同的計費策略，并能對智能終端和無線路由器的使用有完善的解決方案。

3.3? 二期項目建設(shè)拓?fù)?/p>

二期建設(shè)主要實現(xiàn)核心主干線路雙鏈路部署，分別增加一臺萬兆負(fù)載均衡、萬兆下一代防火墻、萬兆上網(wǎng)行為審計，萬兆Web防火墻和堡壘機系統(tǒng)。具體部署如圖2所示。

4? 設(shè)備選型

4.1? 負(fù)載設(shè)備

為防止單條線路出現(xiàn)單點故障導(dǎo)致業(yè)務(wù)不可用，同時防止跨運營商問題導(dǎo)致業(yè)務(wù)訪問速度慢，影響辦公效率等問題，本次方案通過專業(yè)的鏈路負(fù)載均衡設(shè)備，實現(xiàn)多線路的智能選路。通過鏈路健康檢查機制，實現(xiàn)對每條鏈路的健康狀況進行實時的探測，當(dāng)一條鏈路出現(xiàn)問題時，能夠快速的切換到另外一條鏈路上，只要其中一條鏈路可用，即可保證整個網(wǎng)絡(luò)的持續(xù)不間斷。此次方案建設(shè)采用的是深信服的萬兆負(fù)載均衡設(shè)備。

4.2? 出口防火墻

互聯(lián)網(wǎng)接入?yún)^(qū)域作為整個系統(tǒng)的唯一互聯(lián)網(wǎng)接口，隨時面對著互聯(lián)網(wǎng)上各種各樣的安全威脅，需要做好絕對的安全防護。因此，傳統(tǒng)的建設(shè)思路即是在出口到內(nèi)網(wǎng)核心之間部署防火墻、IPS、漏掃、AV等各種安全設(shè)備，實現(xiàn)安全防護的需求。但由于多設(shè)備串接方式又會引入新的單點故障風(fēng)險點，由于多設(shè)備可能存在功能重合且多次拆解數(shù)據(jù)處理也會導(dǎo)致業(yè)務(wù)效率急劇低下，也存在著很大的運維問題。

因此，本次方案建設(shè)采用深信服萬兆下一代防火墻設(shè)備，單臺設(shè)備即可實現(xiàn)防火墻、IPS、漏掃、AV殺毒等功能，不需要再專門部署入侵檢測機入侵防御等設(shè)備，在保證安全功能完整的前提下提升業(yè)務(wù)處理性能，降低單點故障風(fēng)險，提供2-7層立體化的安全防御，實現(xiàn)區(qū)域的安全隔離防護。通過附帶的流量管理及控制引擎，可以對業(yè)務(wù)進行識別分析，對流量進行梳理，對關(guān)鍵業(yè)務(wù)進行帶寬保障，確保數(shù)據(jù)傳輸?shù)挠行浴?/p>

4.3? 行為審計及流控設(shè)備

要做到“實名+上網(wǎng)賬號+內(nèi)網(wǎng)地址+外網(wǎng)地址+Mac地址+網(wǎng)絡(luò)動作”的詳細(xì)網(wǎng)絡(luò)日志，當(dāng)出現(xiàn)網(wǎng)絡(luò)違法犯罪行為時，能夠給公安機關(guān)出示上網(wǎng)日志證據(jù)，對外能夠?qū)⒒ヂ?lián)網(wǎng)中不良網(wǎng)站進行過濾，對內(nèi)能夠設(shè)置多關(guān)鍵字過濾，過濾對外發(fā)表的不當(dāng)言論。本方案使用深信服的上網(wǎng)行為安全審計設(shè)備。

4.4? 數(shù)據(jù)中心Web防火墻

數(shù)據(jù)中心區(qū)域是昆醫(yī)大校園網(wǎng)安全系統(tǒng)的核心區(qū)域，該區(qū)域中包含所有數(shù)據(jù)庫服務(wù)器、虛擬化服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)存儲設(shè)備等，為整個數(shù)字校園系統(tǒng)提供數(shù)據(jù)存儲服務(wù)、數(shù)據(jù)調(diào)用服務(wù)、業(yè)務(wù)應(yīng)用服務(wù)等服務(wù)，本區(qū)域為重點防護區(qū)域。本方案使用的是深信服的萬兆Web防火墻。該系列防火墻串聯(lián)透明模式部署在內(nèi)網(wǎng)服務(wù)器的應(yīng)用系統(tǒng)之前，主要針對Web應(yīng)用系統(tǒng)進行防護，降低安全風(fēng)險，維護網(wǎng)站的公信度;分別針對安全漏洞、攻擊手段及最終攻擊結(jié)果進行掃描、防護及診斷，提供綜合Web應(yīng)用安全解決方案;事前評估：通過Web掃描器對網(wǎng)站系統(tǒng)架構(gòu)進行整體評估，評估網(wǎng)站應(yīng)用在開發(fā)過程中，開發(fā)人員忽視的安全問題，提前找出系統(tǒng)漏洞問題，便于解決問題。事中防護：提供Web攻擊行為的特征庫，針對黑客的攻擊流量進行逐一特征匹配，匹配上的流量就是黑客攻擊流量，及時進行Web安全過濾;事后彌補：針對網(wǎng)站網(wǎng)頁頻繁被篡改事件的發(fā)生，提供防篡改功能，并提供多重防護組合模型，包括內(nèi)核保護、本地備份、異地備份，可以根據(jù)實際情況進行多種防護組合。

4.5? VPN接入網(wǎng)關(guān)

學(xué)校經(jīng)常有領(lǐng)導(dǎo)、老師等出差在外或臨時需要接入到校內(nèi)網(wǎng)進行辦公，網(wǎng)絡(luò)通信安全及安全接入訪問很關(guān)鍵，基于此，部署深信服的SSL VPN系統(tǒng)。該設(shè)備旁路部署，不影響網(wǎng)絡(luò)主干路業(yè)務(wù);能實現(xiàn)隨時隨地校內(nèi)網(wǎng)遠(yuǎn)程安全訪問、快速接入服務(wù)，允許通過電腦終端、智能手機、PAD等多類設(shè)備安全接入，支持LAN-To-LAN互訪;多種安全認(rèn)證對用戶身份進行認(rèn)證，支持本地認(rèn)證、短信認(rèn)證、USB Key身份認(rèn)證、國密辦認(rèn)證體系、動態(tài)令牌認(rèn)證、X.509數(shù)字證書認(rèn)證以及LDAP，RADIUS、E-mail賬戶認(rèn)證等第三方服務(wù)器認(rèn)證;點對點全程加密，用戶終端對資源的每一次操作都經(jīng)過安全的身份驗證和加密，確保點到點的遠(yuǎn)程訪問安全;可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限，細(xì)致的用戶鎖定策略。

5? 實施后的效果

項目于2016年實施完畢，我校部署了萬兆負(fù)載均衡設(shè)備，出口萬兆防火墻，WAF萬兆防火墻，VPN設(shè)備、萬兆上網(wǎng)行為審計設(shè)備，通過網(wǎng)絡(luò)安全項目的建設(shè)，具備了網(wǎng)絡(luò)安全預(yù)警監(jiān)控、網(wǎng)絡(luò)輿情監(jiān)控、內(nèi)外網(wǎng)資源隔離、網(wǎng)頁防篡改等能力，同時所部屬的都是萬兆設(shè)備，實現(xiàn)了學(xué)校主干鏈路的升級改造工作，由千兆主干鏈路升級到了萬兆主干鏈路。

6? 結(jié)? 論

網(wǎng)絡(luò)安全需要安全設(shè)備，建設(shè)安全設(shè)備以后，更需要專業(yè)人員管理，典型的是規(guī)則庫與應(yīng)用系統(tǒng)合規(guī)性存在矛盾，出口的防火墻對很多應(yīng)用系統(tǒng)進行不合理規(guī)則攔截，導(dǎo)致應(yīng)用系統(tǒng)無法對外提供服務(wù)，需要不斷調(diào)整規(guī)則，磨合防火墻和應(yīng)用系統(tǒng)之間的匹配性，這就需要耗費更多的人力;下一代防火墻可以作為路由出口代替?zhèn)鹘y(tǒng)的路由器，項目中學(xué)校就用負(fù)載設(shè)備和防火墻替換了路由器;網(wǎng)絡(luò)安全管理規(guī)章制度尤為重要，可以說三分技術(shù)，七分管理。隨著本期安全項目建設(shè)完成，日后工作的重點將放在防火墻策略的調(diào)整上做研究。

參考文獻：

[1] 黃美娟.構(gòu)建高校網(wǎng)絡(luò)意識形態(tài)安全機制的思考 [J].學(xué)校黨建與思想教育，2017（12）：14-17.

[2] 戴文健.網(wǎng)絡(luò)安全及辦公網(wǎng)絡(luò)建設(shè)安全防范 [J].甘肅科技縱橫，2018，47（12）：9-11+92.

[3] 袁昌，朱鵬飛，李濤.廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)思路 [J].廣播與電視技術(shù)，2018，45（6）：30-32.

[4] 賈雪飛，劉玉嶺，嚴(yán)妍，等.基于能力機會意圖模型的網(wǎng)絡(luò)安全態(tài)勢感知方法 [J].計算機應(yīng)用研究，2016，33（6）：1775-1779.

[5] 鄭毅平.基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（9）：51+53.

[6] 李騰飛，李強，余祥，等.基于拓?fù)渎┒捶治龅木W(wǎng)絡(luò)安全態(tài)勢感知模型 [J].計算機應(yīng)用，2018，38（S2）：157-163+169.

[7] 劉強.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究 [J].中國新通信，2017，19（1）：113-114.

作者簡介：者明偉（1983.09-），男，漢族，云南玉溪人，助理工程師，碩士研究生，研究方向：計算機應(yīng)用系統(tǒng)開發(fā);通訊作者：彭桂芬（1979.09-），女，漢族，云南大理人，就職于現(xiàn)代教育技術(shù)中心，講師，碩士研究生，主要研究方向：計算機應(yīng)用和現(xiàn)代教育技術(shù)。