基于等级保护的高校校园网络安全建设措施

2019-09-27 16:17:25 《电脑知识与技术》 2019年13期 715

  导读:由于高校是一个高等学院,有很多科研资源和科研信息都存储在各大高校的信息系统中,而这些信息系统有一些也实现了联网,因此需要做好相关的网络安全管理就很重要了。除此之外,高校也是各种高素质人才的学历资料信息存储的地方,这些数据泄露对于师生的影响也会很大。因此,高校需要开展等级保护工作是非常有必要,那么该如何开展呢?下面我们来看一篇来自《电脑知识与技术》 2019年13期的一篇文章《基于等级保护的高校校园网络安全建设研究》。 武汉商学院现代教育技术中心的秦丽娜觉得可以怎么建设高校校园网络安全。

  由于高校承担着多项科研任务,某些科研项目可能涉及国家安全,所以高校校园网络安全根据《网络安全等级保护制度》定级标准应确定为第三极,在实际建设工作中也应该按照此级别进行设计,其具体措施包括以下几部分:

  1)网络安全。由于高校校园信息系统均是在网络环境中运行,一旦被病毒进入网络系统将会给整个校园信息系统带来严重威胁,所以网络安全就成为一个需要引起足够重视的问题。具体措施如下:

  ①物理环境。校园信息网络系统的物理环境由机房、网络设备、线路所组成。当前我国高校校园网总体上可以分为网络出口、服务器、网络管理、个人终端接入等功能区。所以在构建安全防护体系时就需要根据各个功能区的不同针对性的设定。在网络出口以及服务器前设置网络安全防火墙、防入侵检测及预警系统、上网行为管理系统、安全审计系统等加以防护。近些年来木马病毒(Trojan)、蠕虫病毒(Worm)、黑客程序(Hack)、捆绑器病毒(Binder)、网页病毒陆续涌现且随着智能化设备的广泛应用,各类病毒的“智慧”随之提高,此点内容就需要进一步提高防火墙的防护能力。所以在校园信息系统的边界设置防火墙并积极运用防入侵系统无疑能够大幅降低各种病毒的入侵风险。在设置防火墙以及防入侵系统时应将目前已知的各种网络攻击类型纳入其中,特别是对于暴力破解、结构化查询语言(Structured Query Language,SQL)注入、脚本攻击等更是应该进一步细化和明确,以便于此类网络攻击发生伊始就会被防入侵系统以及防火墙检测并为网络安全管理人员提出警示。防御特征库应该以月为单位进行动态更新,在病毒猖獗时间段更是需要缩短更新频率,以最大程度上降低针对信息系统高危漏洞开展的攻击行为的发生。安全审计系统主要是针对访问行为进行备份以及动作回放,通过对各种访问行为进行记录并利用自动软件定期统计,能够辅助网络安全管理人员动态回放并针对不同的访问用户设置相应的访问权限。此外,日志服务器收集的信息内容同样重要,日志信息对于犯罪分子以及网络攻击而言具有重要意义,其内容涵盖了服务器、工作站、防火墙、应用软件等活动记录,定期对日志展开分析工作有助于公安机关审计校园信息系统的用户行为、确定网络入侵的具体范围并帮助恢复校园信息系统,为最终确定网络攻击提供完整的证据链。

  2)系统安全。信息系统是网络运行所依赖的必须设备,一旦被网络攻击就会导致整个系统瘫痪,各种数据信息面临着篡改以及泄露的风险。按照第三级保护内容系统安全可从以下几方面着手:

  ①由于整个校园信息系统中存在着诸多用户,不同用户的网络访问需求存在着明显的差异性,基于此点网络安全管理人员可根据用户的身份设定其相应的访问权限以及口令策略、禁用远程终端协议,采用安全壳協议(Secure Shell,SSH)与系统服务器保持连接,并被审计系统对其产生的日志内容进行自动审计。

  ②系统防护则要求网络安全管理人员定期对系统进行更新,特别是脚本、补丁的更新必须与发布商保持同步。根据高校校园信息系统运行参数决定需要开启的服务端口,对于不需要或者是不必要的组件或者是应用服务予以关闭,最大程度上消除网络攻击的漏洞。

  ③在访问控制上既要对外部的恶意访问行为进行监控,又需要对内部的恶意访问行为进行记录,通过源和目的互联网协议地址(Internet Protocol Address,IP)、服务器端口加以限制,将恶意访问的IP地址拉入系统黑名单之中。

  3)数据安全。目前我国部分高校承担着重要的科研任务,进行的科研项目对于整个国家安全或者是社会秩序、公众利益具有重要意义,所以数据安全尤为需要引起重视。在校园信息系统中对涉及以上内容的数据信息进行加密,只有访问权限或者是拥有访问口令的特定用户才能够登录和查看。对于不具有访问权限的用户采取隔离措施,避免数据的外泄。各个系统数据信息传输过程中同样存在着被攻击和泄露的风险,所以适用的加密算法必须具有较高的安全系数,所有涉及敏感信息的数据需要经过加密处理方可传输。由于科研信息具有重要的经济及社会价值,所以能够查询此类信息的管理员必须配置独立而专用的IP。此外,高校校园信息系统不可避免的面临着停止工作的情形,如自然灾害、设备因素等,所以数据容灾备份方面应建立完整的备份机制,一旦发生突发意外情形时备份系统能够迅速启动并完整备份数据信息,在最短的时间内完整数据恢复工作。

  4)管理安全。高校不仅是校园信息系统的提供者,也是使用者,在实际工作中担负着双重角色。在向公安机关备案之后高校亦需要开展网络安全建设,落实安全举措并明确安全责任、建立并落实各项安全管理制度内容。实际工作中高校主要从以下几方面着手:

  ①结合本校信息系统运行实际情况构建安全监控平台,指定专业技术人员对系统运行状态进行管控,随时掌握系统是否存在被网络攻击的风险以及存在病毒感染,并据此采取积极的预防及处理措施,消除由此带来的不良影响。

  ②建立健全网络安全管理制度。对从事科员项目的科研人员展开针对性的教育工作,将网络安全管理制度内容一一告知,重点强调各项数据信息所蕴藏的价值、网络安全面临的严峻形势、保护数据信息的重要性及泄露信息需要承担的法律责任等,从思想上端正科研人员的工作态度,避免人为因素给信息安全带来的威胁。对于正常上网的学生则开展网络安全宣教工作,对存在危险或者是木马病毒的网页一一告知,重点强调一旦因个人浏览行为对整个信息系统正常运行带来不利影响,甚至导致系统瘫痪时所需要承担的责任,震慑学生的违规行为。

  ③建立定期测定制度。高校校园网络系统在完成与之相对应的等级保护之后需要委托具有专业资质的测评机构对评估对象实施定期或者是不定期的测评工作,特别是在整个信息系统完成重大改造或者是升级之后更是应该主动通知测评机构,避免系统运行风险以及敏感信息的泄露。