高校信息安全体系设计与应用研究.docVIP

高校信息安全体系设计与应用研究 一、引言 目前，全国高校中的信息化建设发展迅速，横向发展越来越全面，纵向发展越来越深入。信息化建设对高校的教育发展具有革命性影响，已经成为促进高校教育改革创新和提高教育质量的推动力，是高校教育发展的创新前沿。大学的教学、科研和管理的正常运作几乎完全依赖于信息系统的稳定可靠运行，信息系统中的安全体系成为至关重要的部分。因此，高校需要一套完整严密的安全体系来保障信息化建设。 二、现状与问题 随着高校信息化建设的推进，大学信息化建设规模越来越大，软硬件设备配备完整，运行保障的基础技术手段基本具备。拥有了网络系统管理和应用技术支持的专业人员，在安全上采用了防火墙、防病毒等常规的安全防护手段，保障了核心业务系统在一般情况下的正常运行，具备了基本的安全防护能力。但随着信息系统的发展，不管从业务功能还是数据方面都在不断的发生变化，但信息安全体系的不断完善与整改往往因得不到重视而滞后。所以就会存在以下主要问题：信息化建设领导机构及信息安全机构设置不够正规化、专一化。在之前，大多数高校中，信息安全机构不受重视、不够专一。认为信息安全部分的进程，不用单独成为信息化建设时平行推进的一条线，在信息化建设时对能考虑到的安全问题做决策，过程中未考虑到的问题，随后再去做分析。这样的结果往往使得安全部分的建设跟信息化建设脱节，如果步伐相差较大，安全系统体系最终不能到达预期的结果。防护系统过于单一。网络与信息安全事件分类不明确，出现不同问题预处理方式不明确，导致不能全面的做到预防备案。对信息系统没有主动去测试、筛选、扫描等主动检测、监测与查找，而是等待不同的安全问题出现后再去找相应的解决方案。保障措施不完善。后续处理应及时，抑制不安全影响进一步扩大。 三、高校信息安全体系的设计与应用 1.信息化建设领导机构及信息安全机构设置。（1）学校成立校园网络与信息安全事件应急处置领导小组，全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。（2）数字校园建设中心作为学校信息化建设的主管部门，负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置，负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促，必要时数字校园建设中心协助相关主管部门完成突发事件的技术处理。（3）成立校园网管理委员会，职责为负责领导、监督和协调校园网的建设和运行；负责对校园网建设、使用和运行中的重大问题和政策性问题进行决策。信息化领导小组由主管信息化校领导和有关职能部门负责人组成。整合网络中心、技术中心和电教中心成立数字校园建设中心，数字校园建设中心在教育信息化领导小组的领导下负责学校的信息化建设。（4）单独成立校园网络与信息安全事件应急处置领导小组，全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。2.完整的信息安全架构。信息安全工作是一项常抓不懈的长期工作，首都师范大学在努力做好当下相关工作的同时，分别在安全技术和管理规范上做了相应的规划。学校根据目前信息安全的现状，申报信息安全建设专项，计划通过采购数据中心防火墙、漏洞扫描系统、负载均衡等安全防护设备工相关工具，对数据中心进行整体安全加固，提升数据中心安全防护能力，切实提高系统的安全风险抵御能力，降低网络应用系统所面临安全风险威胁，保证网络应用系统安全、稳定的运行，使网络信息系统在符合国家信息安全防护相应级别的安全要求。以首都师范大学数据中心安全规划架构为例：第一层安全防护：即传统防火墙+IPS，并且对内部的应用进行详细控制，对校园网开放应用需要对开开放的端口，例如真把HTTP的80端口开放出来，其余的应和数据库等就不会出现在校园网当中，并通过IPS对于蠕虫、syn等攻击行为进行防护。第二层安全防护：由于传统的防火墙无法对于80端口的web应用进行防护，所以需要专门的web应用防火墙进行80端口的web应用的防护；在数据中心与核心交换机之间一般都使用万兆链路，web应用防火墙不能像传统防火墙能够去支持万兆接口，只能够通过策略路由的方式将所有的80端口流量全部匹配至web应用防火墙内，其余的流量还照样能够走万兆流量，一般在测试的过程中web流量基本维持在300M-500M之间，或者也可以采用反向代理的方式旁路在数据中心交换机上。第三层安全防护：虚拟化安全防护，在数据中心层面都提倡大二层结构，为了是最大化降低应用之间的访问延迟，所以在虚拟化网络设计当中就沿用二层设计，但由于一台物理机器上承载多台虚拟机，所以在2层交换上都是在虚拟交换机上进行，也就是说在相同虚拟机上同网段段的数据交互在网卡层面就完成，那相互之间的安全就需要依靠虚拟化安全防护来完成。第四层安全防护：数据库安全防护，这部分防护主要是在应用服务器与数据库服务器之间，监视数据库活动、防止未被授权的数据库