中央民大建立“金字塔”网络信息安全模型.docVIP

中央民大建立“金字塔”网络信息安全模型 高校作为知识学习和人才培养的重要阵地，在当今信息化发展的大趋势下，其信息化建设已经成为信息技术及产业应用的最佳平台和范例。中央民族大学作为全国“985”、“211”重点民族高校，不仅力争在学术和教育上成为全国各民族高校的典范，同时努力利用成熟的信息化技术带动教学、科研的信息化发展，促进教职工、学生共享教学资源，协同工作、学习。 校园信息化建设的现阶段，万兆环路和无线覆盖的网络平台、信息系统和数据的高度统一和集成，极大地促进了学校教育事业的飞速发展，但同样带来信息安全的种种问题。攻击者窃听网络信息，窃取用户口令和数据库信息，篡改数据库内容、伪造用户身份、否认自己的签名，甚至删除数据库内容、摧毁网络节点、释放计算机病毒等等。校内网络运维人员在工作中出现的任何失误都可能给网络信息安全带来危险。总之，无论是无意的误操作，还是学生的好奇心与尝试心理，以及越来越复杂的网络环境，不完善的网络信息安全管理，都会给学校信息管理系统带来无法估计的损失。 面对计算机网络中的种种安全威胁，我们必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。对信息访问实行严格控制，在确保安全、可靠、持续运行的前提下，尽量为网络应用提供方便。 中央民族大学引进全面可靠的安全产品和技术，加强信息管理力度和强度，构建一个稳定可靠的网络信息安全综合体系，为学校信息化建设的快速发展提供有力的技术保证。 　　建设可靠的网络安全体系 　　中央民族大学校园网络安全体系的构建，自始至终坚持“落实规范、总体设计、先进适用、安全可靠、开放兼容、全面管理”的总原则，力图打造一个安全可靠的校园信息网络平台。 　　“金字塔”模型 　　通过在网络建设中积累的经验和对新技术、新产品的学习和了解，我们深刻了解到，构造一个良好的网络安全防护体系不仅仅靠某一个或几个安全产品和技术就能够实现，我们需要的是一个全新的理念来实现网络安全构建方案。所以我们提出了一套立体的“金字塔”网络安全体系建设模型，满足在网络层、系统层和管理层3个层次的安全需求和体系构建，见图1。 　　模型的底部，代表着庞大的网络设备安全，是“金字塔”坚实的根基，也是整个安全体系最直接、最基本的实施和操作平台，是网络信息安全体系的最终落脚点；中间层次承担着承载网络信息的系统级别的安全职能；顶端层次决定着全网安全体系构建的实施力度和手段，通过对网络设备、系统设备的管理机制、对信息建设与管理人员的安全意识的管理，构建稳定可靠的网络信息安全体系。 　　总体目标 　　“金字塔”网络信息安全体系模型的最终控制目标是“四无”，即安全管理无漏洞、网络设备无隐患、管理行为无不当、网络安全无事故，坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护中央民族大学学校信息资源的利益，维护国家安全。 　　指导思想 　　“金字塔”网络信息安全体系模型以“大安全”理念为指导思想，其不仅仅是网络建设部门的工作，同样是全员、全方位、全天候、全过程的工作，与所有单位部门每一个信息管理和操作人员息息相关，需要各个部门、教职工、广大学生的多方协调、齐抓共管。 　　基本方式 　　要实现系统的安全功能和性能，既要采取先进的安全技术，又要对已建立的系统实施有效的安全管理，在进行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。“金字塔”模型自上而下地贯彻网络信息安全管理策略和方式方法，从管理落实到技术，全面规划和完善网络安全防护层次和体系；模型自下而上地进行总结和规划，从基本设备、系统作为出发点去完善整个管理层次和模式，健全安全体制和体系。 　　网络安全防护 　　信息的传递和教学、科研学习工作的开展依赖和依托于网络环境，如何保障网络的安全，是构建中央民族大学校园网络信息安全体系的基础性工作。 　　网络边界严格控制访问 　　在网络边界上，部署网御神州SetGate 防火墙，对中央民族大学校园网进行边界隔离，严格控制进出网络安全区域的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问运用包过滤、代理网关、NAT 转换、IP+MAC地址绑定等技术，实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测)。控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。同时有效预防、发现、处理诸如蠕虫病毒、DDOS等异常的网络访问，确保中央民族大学校园网正常访问活动。 　　实时监控数据和网络行为 　　在骨干链路旁路，部署天融信网络卫士NGIDS-UF入侵检测系统，实