信息安全等级保护背景下校园网安全体系建设初探

作者：何磊

来源：《电脑知识与技术》2016年第21期

        摘要：该文结合我国信息安全等级保护工作的要求，阐述了在网络安全形势日益严峻的背景下，从安全技术和网络管理两方面构建起校园网络安全体系，保障校园网上信息、资源以及大规模用户群体的网络安全。

        关键词：等级保护；校园网；网络安全

        中图分类号：TP393.0 文献标识码：A 文章编号：1009-3044（2016）21-0026-02

        Abstract： This article explained that in the background of the increasingly severe network security situation， how to protect the campus network information， resources and large-scale users’ network security by establishing campus network security system from both aspects of security technology and network management under the requirement of classified protection of information security issued.

        Key words： classified protection；campus network；network security

        随着互联网技术的不断发展，高校校园网的网络规模迅速壮大，网络资源不断丰富，已经成为高校教学、科研和管理等各项工作开展的重要平台。近年来，随着网络安全形势日益严峻，我国提出了信息安全等级保护的工作策略，特别是网络安全和信息化领导小组的成立，将网络安全推向更高的战略高度。信息安全等级保护是我国对信息和信息载体按照重要性等级分级别进行保护的一种工作，其工作内容包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。校园网作为一种较为特殊的网络形式，构建起符合信息安全等级保护要求的网络安全体系，已成为当前校园网建设的重点工作。

        1 校园网络安全的现状

        高校校园网是一种用户群体性较强、教育科研资源较为丰富、结构较为复杂且功能多样的高密度接入网络。由于提供面向互联网提供信息服务，我校校园网边界和各类服务器经常遭遇来自互联网IP的各种攻击和试探；由于以学生为主体的活跃用户群体信息安全意识较为薄弱，用户个人终端安全问题，如病毒、木马等造成的校园网内部安全事件也时有发生；校园内各种专网与校园网互联的边界管理模糊，缺乏必要的安全隔离措施。种种情况表明，建设符合信息安全等级保护要求，且符合校园网络特点的网络安全体系已经迫在眉睫。

        2 校园网络安全的技术防范措施

        2.1 校园网区域的划分

        根据校园网范围内不同的特征，将我校校园网逻辑上划分为内网用户区域、公共服务器区域、内网服务区域以及专网区域，分而治之，以便在不同区域内部和编辑制定不同的防范措施和策略，具体区域划分如图1。

        2.2 校园网不同逻辑区域的安全策略

        2.2.1 区域与校园网互联边界的安全技术策略

        区域是相对整个校园网而言，是校园网与各类运营商网络互联的边界，在这两个区域的边界，最重要的是考虑访问控制和网络的逻辑隔离。按照信息安全等级保护的要求我校利用防火墙技术隔离两个区域，并结合校园网的特点制定详细的访问控制和过滤策略，宏观上建立起校园网安全体系的第一道防线。

        我们将防火墙连接的三个区域分别定义为ExtraNet（ISP接入）、DMZ区域（放置服务器）、IntraNet（连接校园网），结合包过滤防火墙特点，基于访问端口非需要不开启的原则制定了三个区域互访的共计5条策略。如图2所示，其中一条ExtraNet对DMZ区域访问访问策略，我们根据实际访问需求仅开放了以下访问端口。

        2.2.2 校园网服务器区域的安全策略

        校园网的服务器区域包括图一中的公共服务器区域和内网服务器区域，这里存放着大量的提供对内和对络服务的各类应用系统，等级保护相关标准中也对服务器的物理安全、自身系统安全以及访问控制策略的设置等提出了要求。因此除了防火墙针对DMZ区域的宏观访问控制策略外，我们在服务器区域部署了小型IPS系统，并结合服务器所承载的应用系统及操作系统特征，制定有针对性的安全策略，如TCP连接控制、操作系统补丁、服务器安全软件及按需开启服务端口等，进一步细化针对服务器区域的访问控制。例如，图3是我们针对某提供公共web服务的服务器制定的一些特殊访问策略：

        2.2.3 校园网内各类专用网络与校园网边界互联的安全策略

        由于信息化建设的推进和各类应用业务系统的多样化，校园网内存在以一卡通财务系统、校园安防监控系统为代表的各类的应用系统物理专网。随着数字化校园建设的不断深入，数据中心需要从原本的专网中提取相关的业务数据，由于数据源的高敏感性和对网络安全性的高要求，如何解决校园网和业务专网连接的边界安全，成为校园网内部安全的新需求。

        以我校能源管理专网、一卡通专网与校园网对接的需求为例：能源管理系统的一部分数据需要通过校园网进行公示，同时为了方便学生通过一卡通POS机刷卡购电需要和一卡通系统进行数据对接，而校园网数据中心也需要提取这两部分数据作为公共服务系统的一部分数据来源，如图4。我们在网间边界防火墙上划分了三个区域，制定了只允许校园网服务器地址和两个前置服务器地址的互访策略，关闭了除业务端口以外的所有访问专网内部的端口，在进一步保障了专网的安全运行的同时，实现了三张网的数据共享。

        2.2.4 校园网内部用户的安全管理

        高密度的内网用户接入是校园网的重要特点之一。在信息安全等级保护中，也强调了对内部网络用户的身份认证、网络行为管理和审计等规范化管理措施。为了规范管理校园用户，我校建立了从人事系统及教务系统等校园内关于“人”的权威数据源中抽取校园网用户身份信息的Radius数据库；所有校园网准入和准出系统均与此数据库对接进行用户身份信息的验证，实现了用户与账号的一一对应；在校园网出口处部署了上网行为管理设备和日志系统，管理和记录内网用户的上网行为，并结合认证系统建立起用户名、MAC地址、源IP地址、目的IP地址及访问时间等多位一体的符合等级保护要求及门要求的日志数据库。

        3 结语

        信息安全等级保护工作大大推动了校园网安全体系的建设，但随着互联网技术的不断发展，新的网络安全问题也在不断出现，如针对具体web应用的安全问题、用户群体终端问题导致的内网攻击问题等等。面对层出不穷的校园网络安全隐患，在不断补强和更新技术防护手段的同时，还需要学校能够细化和规范校园网的各类管理制度，加强信息化工作人员的安全技术培训，提高校园网用户自身的网络安全意识，构建起度的校园网安全体系。

        参考文献：

        [1] 周佑源， 张晓梅.信息安全管理在等级保护实施过程中的要点分析[J].信息安全与通信保密，2009（9）.

        [2] 于慧龙，李萍.大型信息系统安全域划分和等级保护[J].计算机安全，2006（7）.

        [3] 李春霞，齐菊红.校园网安全防御体系的相关技术及模型[J].自动化与仪器仪表，2014（1）.

        [4] 王国振.高校网络信息安全与应对机制探究[J].计算机安全，2014（1）.