高校信息安全體系設計與應用研究

導語：高校信息安全體系設計與應用研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、引言

目前，全國高校中的信息化建設發展迅速，橫向發展越來越全面，縱向發展越來越深入。信息化建設對高校的教育發展具有革命性影響，已經成為促進高校教育改革創新和提高教育質量的推動力，是高校教育發展的創新前沿。大學的教學、科研和管理的正常運作幾乎完全依賴于信息系統的穩定可靠運行，信息系統中的安全體系成為至關重要的部分。因此，高校需要一套完整嚴密的安全體系來保障信息化建設。

二、現狀與問題

隨著高校信息化建設的推進，大學信息化建設規模越來越大，軟硬件設備配備完整，運行保障的基礎技術手段基本具備。擁有了網絡系統管理和應用技術支持的專業人員，在安全上采用了防火墻、防病毒等常規的安全防護手段，保障了核心業務系統在一般情況下的正常運行，具備了基本的安全防護能力。但隨著信息系統的發展，不管從業務功能還是數據方面都在不斷的發生變化，但信息安全體系的不斷完善與整改往往因得不到重視而滯后。所以就會存在以下主要問題：信息化建設領導機構及信息安全機構設置不夠正規化、專一化。在之前，大多數高校中，信息安全機構不受重視、不夠專一。認為信息安全部分的進程，不用單獨成為信息化建設時平行推進的一條線，在信息化建設時對能考慮到的安全問題做決策，過程中未考慮到的問題，隨后再去做分析。這樣的結果往往使得安全部分的建設跟信息化建設脫節，如果步伐相差較大，安全系統體系最終不能到達預期的結果。防護系統過于單一。網絡與信息安全事件分類不明確，出現不同問題預處理方式不明確，導致不能全面的做到預防備案。對信息系統沒有主動去測試、篩選、掃描等主動檢測、監測與查找，而是等待不同的安全問題出現后再去找相應的解決方案。保障措施不完善。后續處理應及時，抑制不安全影響進一步擴大。

三、高校信息安全體系的設計與應用

1.信息化建設領導機構及信息安全機構設置。（1）學校成立校園網絡與信息安全事件應急處置領導小組，全面負責和統一指揮校園網絡與信息安全重大突發事件的應急處置工作。（2）數字校園建設中心作為學校信息化建設的主管部門，負責校園主干網絡與主要信息系統安全事件的預防、監測、報告和應急處置，負責對學校其他部門主管的網絡信息系統的安全防護情況進行日常檢查、指導和督促，必要時數字校園建設中心協助相關主管部門完成突發事件的技術處理。（3）成立校園網管理委員會，職責為負責領導、監督和協調校園網的建設和運行；負責對校園網建設、使用和運行中的重大問題和政策性問題進行決策。信息化領導小組由主管信息化校領導和有關職能部門負責人組成。整合網絡中心、技術中心和電教中心成立數字校園建設中心，數字校園建設中心在教育信息化領導小組的領導下負責學校的信息化建設。（4）單獨成立校園網絡與信息安全事件應急處置領導小組，全面負責和統一指揮校園網絡與信息安全重大突發事件的應急處置工作。2.完整的信息安全架構。信息安全工作是一項常抓不懈的長期工作，首都師范大學在努力做好當下相關工作的同時，分別在安全技術和管理規范上做了相應的規劃。學校根據目前信息安全的現狀，申報信息安全建設專項，計劃通過采購數據中心防火墻、漏洞掃描系統、負載均衡等安全防護設備工相關工具，對數據中心進行整體安全加固，提升數據中心安全防護能力，切實提高系統的安全風險抵御能力，降低網絡應用系統所面臨安全風險威脅，保證網絡應用系統安全、穩定的運行，使網絡信息系統在符合國家信息安全防護相應級別的安全要求。以首都師范大學數據中心安全規劃架構為例：第一層安全防護：即傳統防火墻+IPS，并且對內部的應用進行詳細控制，對校園網開放應用需要對開開放的端口，例如真把HTTP的80端口開放出來，其余的應和數據庫等就不會出現在校園網當中，并通過IPS對于蠕蟲、syn等攻擊行為進行防護。第二層安全防護：由于傳統的防火墻無法對于80端口的web應用進行防護，所以需要專門的web應用防火墻進行80端口的web應用的防護；在數據中心與核心交換機之間一般都使用萬兆鏈路，web應用防火墻不能像傳統防火墻能夠去支持萬兆接口，只能夠通過策略路由的方式將所有的80端口流量全部匹配至web應用防火墻內，其余的流量還照樣能夠走萬兆流量，一般在測試的過程中web流量基本維持在300M-500M之間，或者也可以采用反向的方式旁路在數據中心交換機上。第三層安全防護：虛擬化安全防護，在數據中心層面都提倡大二層結構，為了是最大化降低應用之間的訪問延遲，所以在虛擬化網絡設計當中就沿用二層設計，但由于一臺物理機器上承載多臺虛擬機，所以在2層交換上都是在虛擬交換機上進行，也就是說在相同虛擬機上同網段段的數據交互在網卡層面就完成，那相互之間的安全就需要依靠虛擬化安全防護來完成。第四層安全防護：數據庫安全防護，這部分防護主要是在應用服務器與數據庫服務器之間，監視數據庫活動、防止未被授權的數據庫訪問、SQL注入權限或角色升級、對敏感數據的非法訪問。第五層安全檢測：通過漏洞掃描設備解決系統本身的漏洞和安全隱患，在拓撲中只要網絡可達便可對所有的設備進行檢查。該項目正在逐步推進過程中，計劃于明年年底前建設完成并交付使用，通過該項目的實施，各安全設備的運行防護能夠保障首都師范大學數據中心的信息安全，實現數據中心信息和網絡的安全。同時，還申報并計劃學校信息安全等級保護測評和整改項目，該項目啟動后，將對學校重點的信息系統進行等級保護測評并針對相應的測評結果對相應問題進行有針對性的改造；對于學校整個信息安全體系及信息安全管理制度進行統一的梳理，從制度和管理上對于信息安全進行全面的保障。3.對網絡與信息安全事件進行分類分級：《信息安全事件分類分級指南》（1）網絡與信息安全事件分類。網絡與信息安全突發事件依據發生過程、性質和特征的不同，可分為以下四類：①網絡攻擊事件：校園網絡與信息系統因病毒感染、非法入侵等造成學校網站或部門二級網站主頁被惡意篡改，應用系統數據被拷貝、篡改、刪除等。②設備故障事件：校園網絡與信息系統因網絡設備和計算機軟硬件故障、人為誤操作等導致業務中斷、系統宕機、網絡癱瘓。③災害性事件：因洪水、火災、雷擊、地震、臺風、非正常停電等外力因素導致網絡與信息系統損毀，造成業務中斷、系統宕機、網絡癱瘓。④信息內容安全事件：利用校園網絡在校內外傳播法律法規禁止的信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益等。（2）網絡與信息安全分級。網絡與信息安全突發事件依據可控性、嚴重程度和影響范圍的不同，可分為以下四級：I級（特別重大）：學校網絡與信息系統發生全校性大規模癱瘓，對學校正常工作造成特別嚴重損害，且事態發展超出學校控制能力的安全事件；II級（重大）：學校網絡與信息系統造成全校性癱瘓，對學校正常工作造成嚴重損害，事態發展超出數字校園建設中心控制能力，需學校各部門協同處置的安全事件；III級（較大）：學校某一區域的網絡與信息系統癱瘓，對學校正常工作造成一定損害，數字校園建設中心可自行處理的安全事件；IV級（一般）：某一局部網絡或信息系統受到一定程度損壞，對學校某些工作有一定影響，但不危及學校整體工作的安全事件。4.做好預防措施，安全漏洞檢查與發現問題及時整改。依照上面指定的《信息安全事件分類分級指南》，對校園網絡通信平臺、應用平臺和信息系統采取相應安全保障措施。建立健全安全事件預警預報體系，嚴格執行校園網絡與信息系統安全管理制度，常年堅持校園網絡安全工作值班制度。加強對校園網絡與學校網站等重點信息系統的監控和安全管理，做好相關數據日志記錄，確定合理規則，對校園網絡進出信息實行過濾及預警。實行信息網上審批制度，對可能引發校園網絡與信息安全事件的信息，要認真收集、分析、判斷，發現有異常情況時，及時防范處理并逐級報告。做好服務器及數據中心的數據備份及登記工作，建立災難性數據恢復機制。特殊時期，根據要求和部署組織專業技術人員對校園網絡和信息系統采取加強性保護措施，對校園網絡通信及信息系統進行不間斷監控。主動檢測與查找信息安全存在的漏洞風險，并根據安全154信息系統工程│2017.6.20ACADEMICRESEARCH學術研究漏洞的危險程度對問題采取以下方式進行處理：一是將存在安全隱患的網站進行短期關停，并限期封堵安全漏洞；二是對于涉及范圍比較廣，師生員工關注比較高的網站（如學校主頁）加強安全檢查和監控，并上報辦公會，啟動改版計劃；三是對于建設較早且安全隱患較多二級部門網站進行永久性關停，并責令相關單位以新的安全標準建設新網站。對存在安全漏洞進行整改，對學校的安全風險進行全面排查，把信息安全事件扼殺在萌芽狀體。以免在信息安全方面沒有造成不良的影響，造成損失。5.完備的處理流程（1）預案啟動。發生校園網絡與信息安全事件后，數字校園建設中心和突發安全事件的信息系統建管部門應盡最大可能收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍，評估事件帶來的影響和損害，確認突發事件的類別和等級，并參照下述響應機制對突發事件進行處置。（2）應急響應①應急響應機制。III級或IV級突發事件響應：數字校園建設中心和突發安全事件的信息系統建管部門自行負責應急處置工作，有關情況報分管校領導。II級突發事件響應：數字校園建設中心立即上報分管校領導和校園網絡與信息安全事件應急處置領導小組，由領導小組統一組織、協調指揮進行應急處置。I級突發事件響應：數字校園建設中心立即上報分管校領導和校園網絡與信息安全事件應急處置領導小組，領導小組再上報至市公安局等相關部門，由北京市相關部門會同我校校園網絡與信息安全事件應急處置領導小組統一組織、協調指揮應急處置。②應急處理方式。根據網絡與信息安全事件分類采取不同應急處置方式。對于網絡攻擊事件，查找網絡攻擊的源頭，尋找對用內部的服務器等設備，關閉內部相關設備與外部的網絡連接。抓包并分析網絡攻擊的來源信息。對造成的信息破壞進行修復，利用備份系統進行恢復?；诠舻念愋涂梢圆扇∫韵陆鉀Q辦法：病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍；為避免產生更大的損失，保護健康的計算機，必要時可關閉相應的端口，甚至相應樓層的網絡，及時請有關技術人員協助，尋找并公布病毒攻擊信息，以及殺毒、防御方法。外部入侵：找出攻擊的源頭，評估分析對網絡系統和數據系統造成的傷害。如果是試圖入侵被防火墻直接攔截的，對入侵數據進行分析，分析其欲攻擊的IP和端口。對服務器的端口進行監察或關閉。對該IP地址進行限制訪問。如果已經對系統造成損害，需要立即斷開與外網的連接，以免造成更為嚴重的傷害。內部入侵：定位內部的入侵相關信息，信息包含入侵的用戶，所在辦公室位置，入侵的IP地址和端口。對于入侵成功的，應立即關閉內網交換設備。設備故障事件：定位造成故障事件的設備，評估事件的嚴重程度，對于非持久化存儲的設備或可暫時停運的設備，使用備用設備替換。迅速聯系IT部門，對設備故障做維護與報備。保證相關的校園網絡系統的正常運轉。災害性事件：此類事件多指自然災害事件，根據災害的程度，在保證人身安全的情況下，對設備以及數據進行緊急保護。信息內容安全事件：接到校內網站出現不良信息的報案后，應迅速屏蔽該網站的網絡端口或拔掉網絡連接線，阻止有害信息的傳播，根據網站相關日志記錄查找信息人并做好善后處理；對公安機關要求我校協查的外網不良信息事件，根據校園網上網相關記錄查找信息人。其它不確定安全事件：根據提前制定的安全事件處理原則，根據實時情況靈活多變進行處理。對于未知的處理辦法，對信息安全部門進行咨詢求助。③后續處理。對攻擊事件先進行以上的事件處理之后，應及時的采取措施，防止攻擊事件造成的危害進一步的增強。對于具有潛伏性的、長久性的病毒攻擊，要實時的進行隔離和防護。對攻擊事件抑制以后，追其根源，分析事件的動機和途徑。解決并清除此危機，制定對此類攻擊處理的成熟方案。在確保安全事件解決后，要及時清理系統，恢復數據、程序、服務，恢復工作應避免出現誤操作導致的數據丟失。④記錄上報。對于發生的安全事件，要認真做記錄與統計。將記錄結果向校園安全部門領導及時匯報，及時分析網絡系統日志，將重要日志信息做永久存儲處理。⑤結束響應。不斷完善網絡安全整體方案，加強技術管理，確保信息系統的穩定與安全。根據工作需要聘請信息安全顧問為應急處置過程和重建工作提供咨詢和技術支持。6.保障措施。校園網絡與信息安全應急處置是一項長期的、隨時可能發生的工作，必須做好各項應急保障工作。（1）隊伍保障。加強對安全隊伍工作人員的安全技術培訓，增強安全隊伍對日常操作的安全程度，面對突發安全事件能緊急處理。對于日常維護能做到防患于未然。（2）技術保障。拒絕采用盜版辦公軟件，特別是安全維護相關的軟件，比如防火墻、殺毒軟件等，應安裝正版使用。擁有健全的安全防護體系與安全技術，對防護系統進行多方位、多層次的設計。確保安全系統的穩定與可靠。（3）資金保障。信息安全部門要積極的對安全的升級與維護項目進行申報，對于申報資金要落到安全系統建設實處。學校領導與財務部門，要大力支持安全部門的專項資金申請審批工作。將安全系統預算納入到每年的財政預算中。（4）安全培訓和演練。聘請專業的安全公司人員對部門人員進行培訓與教學，在理論培訓的同時，進行安全事件的軟件模擬或真實模擬演練。

四、結語

高校信息化管理水平是衡量高校辦學水平的重要尺度，信息化管理過程中的安全是重中之重。隨著高等教育的迅速發展, 辦學規模不斷擴大, 教學管理越來越復雜化, 高校的信息系統管理工作面臨著嚴峻挑戰。伴隨著高校信息化進程的不斷推進，新的信息安全隱患不斷涌現，信息風險也不斷加大，建立一套高效、集成的信息安全保障體系勢在必行。利用技術措施加強信息安全防護，保證管理信息系統正常運行，這樣才能滿足教學管理的需要。

作者:劉海龍 安寅杰 單位:首都師范大學數字校園建設中心

參考文獻

[1]吳曉瞻.高校安全協同辦公信息系統的設計與實現[D].浙江:浙江工業大學,2016.

[2]黃文雯.辦公業務安全保障系統的設計與實現[A].中國電機工程學會電力信息化專業委員會、國家電網公司信息通信分公司:2016電力行業信息化年會論文集,2016,(4):10-23.

[3]姚亞玲.高校網絡教學管理系統的設計與實現[D].吉林:吉林大學,2016.

[4]黃宏杰,陳永清.現代校園網信息安全化的研究[J].計算機時代,2016,(12):46-48+52.

[5]徐豪.高校網絡安全管理問題與對策研究[J].數字技術與應用,2016,(09):200-201.

[6]趙歡,陳熙.高校信息安全體系的研究與實現[J].中國教育信息化,2013,(13):87-89.

[7]李剛,王俊崴.高校管理信息系統安全問題分析[J].中國教育信息化,2016,(15):42-45.