高校校园网络安全及保护建设方案.docVIP

高校校园网络安全及保护建设方案 摘要：校园网络经过近20年的基础设施建设与发展，已经达到了相当的规模，加强校园网络的应用是当今高校校园网络的主要工作，伴随着网络的应用，网络安全也必须一并加强建设和管理，将网络安全提高到与网络应用相同的地步，才能使得校园网络应用安全、稳定、可靠。 关键词：校园网 安全 等级保护 建设方案 中图分类号：TP329 文献标志码：A 文章编号：1007-9416（2016）04--0000-00 近年来，随着我国社会经济的不断发展，国家对教育事业的支持和投入不断增加，我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段，为教育模式的创新、先进教育理念提供了可靠的实现方法。 高校信息化主要以数字化校园建设为主，主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等；大学数字化校园建设通常先提出总体解决方案，确定数字化校园的体系结构，制定数字化校园的信息标准，以及各系统之间的接口标准，然后分阶段实施。建立全校的网络安全体系，保证校园网络的安全，保证关键数据、关键应用的安全以及关键业务部门的安全，实现校园网络及其应用系统的安全高效运行。 1教育信息化中的安全体系建设 在教育信息化建设过程中，信息安全体系是保障教育信息系统的信息完整、系统可用和信息保密的重要支撑体系，对各级学校、职业教育、教育主管机构的正常工作起到了至关重要的保障作用。各级教育主管部门对教育信息系统的安全体系建设给予了充分的重视，也是由于教育信息系统的复杂性、多样性、异构性和应用环境的开放性，给整个信息系统带来了巨大安全威胁。以高校数字校园信息系统为例，高校数字校园信息系统的建设是由高校业务需求驱动的，初始的建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前高校网络系统是一个庞大复杂的系统，在支撑高校业务运营、发展的同时，信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出，成为高校面临的重要的、急需解决的问题之一。在进行数字化校园建设的过程中，也曾发生不少信息安全事件，如某高校数据中心一台服务器被黑客入侵，成为肉鸡，被植入僵尸木马程序，受黑客控制疯狂往外网发包，导致学校网络出口瘫痪；某高校在高招中发现网站被挂马、篡改，并且学校内部也曾经发现学生成绩的数据库，有被恶意篡改的痕迹。 2网络安全威胁分析 （1）高校网站的安全威胁，包括高校门户网站、高校招生网站、二级各院系等网站，由于高考、招生、学生就业等敏感时期，聚集了大量的学生及家长访问流量，也引起黑客的关注，高校网站面临的主要安全威胁有：网页被挂马、被篡改，黑客通过SQL注入、跨站脚本等攻击方式，可以轻松的拿到高校网站的管理权限，进而篡改网页代码；部分攻击者将高校网站替换成黄色网站，影响极其恶劣。每年高考招生及高校重要节日期间，高校门户网站极易被DDOS攻击，这种由互联网上发起的大量同时访问会话，导致高校网站负载加剧，无法提供正常的访问。入侵者成功获取WEB服务器的控制权限后，以该服务器为跳板，对内网进行探测扫描，发起攻击，对内网核心数据造成影响。（2）随着校园网信息化的逐步深入，业务系统众多，“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大高校采用，而这些系统由于管理及防护不到位，面临着较严重的安全威胁：业务系统缺乏必要的入侵防护手段，高校网络规模扩张迅速，网络带宽及处理能力都有很大的提升，但是管理和维护人员方面的投入明显不足，没有条件管理和维护数万台计算机的安全，一旦受到黑客攻击，无法阻断攻击并发现攻击源；部分高校“一卡通”充值系统与银行互联，边界缺乏必要的隔离和审计措施，出现问题不方便定位，难以追查取证；校园网数据中心内的系统应用众多、服务器众多，管理及维护方式也不尽相同，无法做到所有的系统实施统一的漏洞管理政策。同时，对于存在安全隐患的配置检查，也缺乏自动化的高效检查工具和控制手段；业务系统权限控制不合理，有安全隐患。 3需求分析 根据对高校校园网络的威胁分析，得出在校园网络安全体系建设中，各个网络区域和业务系统的安全需求如下： （1）校园网络出口应对可能发生的拒绝服务攻击进行有效识别、过滤、清洗，保证网络出口的畅通，保证骨干链路的负载处于正常范围之内。（2）网络出口链路应有相应措施，对来源于公网或内网的黑客入侵、病毒传播等安全威胁进行实时识别与阻断。（3）DMZ区及内网服务器区出口链路上，应对针对WEB应用的7层攻击，如SQL注入、XSS、HTTP GET FLOOD等威胁进行全面深入的防护。（4）应对流经