高校网络信息安全建设浅谈.docxVIP

?

?

高校网络信息安全建设浅谈

?

?

干俊

摘要：随着国家信息化建设的大力推进，在信息化内容爆炸式增长时期，针对校园网络信息环境，提出了从安全的计算环境、安全的区域边界、安全的通信网络、安全的管理中心、安全的管理制度五个角度入手，有效阻隔不良信息，防止信息泄露，杜绝黑客入侵，营造一个良好的校园网络信息环境。

关键词：网络;信息;安全;审计;管理

：TP393????：A????：1009-3044（2019）01-0032-02

校园上网的主体是学生，思想活跃，对于新生事物充满好奇。校园是思想政治和意识形态的主要阵地，境外的敌对势力和其他有害青少年身心健康的内容和意识形态也针对学院进行了多种多样的宣传和蛊惑手段，而信息网络这一高科技的产物，在给師生们的学习、生活带来便利的同时也无一例外地成为一些有害思想和内容的重要传播载体。学生正处于知识、思想快速汲取的阶段，人生观，价值观还未定型，网络用户安全意识薄弱，没有防范网络攻击的经验;有些人崇拜黑客，一心想着如何进行网络攻击，而校园网则成为首要攻击对象，如果没有正确的引导很容易走上违法犯罪的道路。一方面是内部学生的尝试性测试，利用黑客技术损害到校园网络;另一方面是外部非法团体的恶意探测、攻击，意图盗取师生的个人信息，校园内部的财务数据，文件资料，非法买卖盈利;再一方面，就是境外非法势力的蓄意破坏，重大活动期间宣告政治主张，篡改校园主页恶意传播不良信息等，给高校网络带来极大的安全隐患。

通过国家信息安全漏洞共享平台（CNVD）漏洞库提交的教育行业安全事件数据来看，安全风险主要来自三个方面，具体分析：

1）支撑平台漏洞。以常见WEB发布平台nginx，iis，apache，tomcat为例，某些版本存在缺陷，不能及时补漏，造成SQL注入、web文档信息泄露。

2）web站点内容泄露。Web站点对外发布信息，由于操作员对敏感数据缺乏保护意识，造成不应发布的数据对外公开发布。学院主站，子站;教务系统、学工系统、招生就业平台、图书馆等。

3）业务系统自身缺陷。以学院教务系统为例，由于采购时间较早，软件版本较低，后期检查时存在高危SQL注入漏洞、高危任意文件下载漏洞等。

在网络信息安全事件频发的大环境下，学院应该对网络信息安全提高重视。

根据学院网络信息安全自评结果，应从以下几点加强管理：

1安全的计算环境

计算环境的安全主要空间、主机、业务三个方面的安全风险组成，具体包括：物理机房安全、主机身份鉴别、业务访问控制、软件系统审计、恶意入侵防范、病毒代码防范、系统软硬件容错、业务数据完整性与保密性、数据库备份与恢复、资源环境合理控制、非活跃信息保护、行为管控等方面。

数据库审计：缺少针对数据的审计设备，不能很好地满足主机安全审计的要求，需要部署专业的数据库审计设备。

运维堡垒机：未实现管理员对网络设备和服务器管理时的双因素认证，计划通过部署堡垒机来实现。

主机审计：主机自身安全策略配置不能符合要求，计划通过专业安全服务实现服务器整改加固。

备份与恢复：没有完善的数据备份与恢复方案，需要采购数据备份系统并制定相关策略。

系统管理员：针对操作系统、业务系统、数据库的用户名/口令，制定安全策略复，访问控制策略，限制登陆条件、超时锁定、用户权限，使得资源的访问和操作处在可控范围内。

2安全的区域边界

区域边界的安全主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。

边界访问控制：需要优化网络结构，根据业务情况合理划分安全域，合理划分网段和VLAN;对于重要的信息系统的网络设施采取冗余措施;访问控制需要在构建安全计算环境的基础上，依托防火墙等安全设备进行访问控制。现网需要在边界部署下一代防火墙实现边界访问控制，在各个重点安全域部署下一代防火墙来实现各安全域的重点隔离防护。

边界入侵防范：现网没有实现边界攻击防护，需要新增入侵防御系统/或新增下一代防火墙IPS功能模块。

恶意代码防范：主机恶意代码防护通过部署终端病毒查杀软件实现，网络边界恶意代码防护需要部署下一代防火墙，开启AV防病毒功能，并且要求网络层与主机的恶意代码库不同。

防web应用层攻击：现网目前未做应用层攻击防护，计划新增WEB应用防火墙和网页防篡改系统。

互联网出口安全审计：现网未实现对网络行为进行精细化识别和控制，需要部署上网行为管理产品来保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计。

边界完整性保护：边界没有实现非法外联，需要部署终端安全管理设备。

3安全的通信网络

通信网络的安全性主要包括：网络架构，网络安全，安全审计，网络通信设备保护，完整性和保密性。

网络架构：网络架构的合理性对网络能否有效的承载业务起着关键性的作用。因此网络架构设计初期就要