等级保护要求下高校Web安全.docVIP

等级保护要求下高校Web安全 　　【 摘 要 】 自2010年等级保护制度开始落地实施，网络环境正在逐渐稳定。采用B/S架构的应用系统越来越多，Web应用安全问题凸显。高校作为一个人才的培养摇篮，其Web服务直接影响师生办公学习的效率，其安全稳健的运行对师生的意义重大。 文章基于等级保护制度要求，对高校的Web安全进行探讨分析。 　　【 关键词 】 等级保护；高校；Web安全 　　 　　College Web Security under The Level of Protection Requirementst 　　 　　Xian Wei-quan 1 Wang Hou-kui 2 　　(1.Guangxi Teachers educational University of Computer and Information Technology Project Department; 2.Network Manage Center of Guangxi Education College GuangxiNanning 530023) 　　 　　【 Abstract 】 While the level protection system began to be born implementation in the 2010, network environment is gradually stability. The B/S structure of the application system is more and more. The problem of web application security highlights. As a cultivation education institution, web services of the college directly influence the efficiency of the teachers and students. The safe operation of the web services is important to the teachers and students. This paper analyses the colleges web security based on level protection system requirements. 　　【 Keywords 】 level protection；college；web security 　　0 引言 　　Gartner统计：网络中约75%攻击是针对Web的。教育网站因有高考信息也成为了重要的攻击对象。国家提出了信息安全等级保护策略来解决我国的信息系统安全问题。信息安全等级保护是我国信息安全保障工作的一项基本制度，目前国家已经颁布了一系列信息安全等级保护的标准。2010年，我国等级保护制度正式落地开始实施。信息安全等级保护分一至五级，一级最低，五级最高。它涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要方面。高校的校园网站被划分为第三级。本文将探讨分析依据等级保护制度的要求如何建设高校校园网络的软件硬件和管理制度来保障高校Web安全。 　　1 符合等级保护要求的高校软件建设方面 　　等级保护三级要求对该等级的网络信息系统实行强制访问控制机制，以此来达到监督保护级的效果。 　　应对Web安全威胁，需要做到对用户、管理员???资源分等级，按不同的级别“上写下读”。 　　(1) 统一进行安全标记，用来识别用户和资源的安全保密级，可分为四级：公开、秘密、机密、绝密。用户和资源有且只有一个等级，还要标识它们的范畴集。 　　(2) GB17859要求三级安全应用系统以BLP模型来确保访问权限，即允许系统进行上写下读。 　　(3) 高校用户分为安全管理员、网络通信管理员、系统管理员、审计管理员、系统操作员。所有用户以进程形式访问服务资源，进程中包含用户的安全保安级和特权。 　　(4) 本文所说的服务资源包括高校网络信息系统内所有的文件和网络通信中的数据，安全区域边界也是一种服务资源，经过边界的数据也要符合强制访问控制机制策略要求。 　　应对高校集中庞大的用户群体，需要采用电子邮件过滤、网页扫描、过滤、安装反间谍软件等手段。在高校中，办公学习软件多采用浏览器的方式，很少人用Outlook、Foxmail来收发电子邮件进行邮件过滤，可以提高办公效率、减少恶意邮件的充斥，也可以降低被病毒攻击的可能性。间谍软件危害巨大，它可以扫描硬盘文档、记录用户一切点击按键行为，有必要安装反间谍软件清除之。 　　 　　2 符合等级保护要求的高校硬件