基于校园网信息安全管理及网络安全实践课程的研究

来源:用户上传      作者:曲文亮 郭巍 关兴卓

　　摘要：随着计算机网络的不断发展，网络安全成为校园网管理中非常重要的一环。本文首先论述了校园网信息安全管理的管理策略、技术策略和用户策略，然后从网络安全的设计原则，从物理层安全、系统安全、web应用安全、管理安全四个方面阐明了具体的设计方法，又从入侵监测系统和防火墙两个方面分析了网络安全设备的具体应用，最后针对网络安全实践课程进行了研究。
　　关键词：信息安全;设计原则;入侵检测系统;网络安全实践课程
　　随着计算机网络的不断应用和发展，校园网已经成为高校发展的一面旗帜，能够拥有便捷安全的校园网不仅可以促进高校信息化教学，而且可以为智慧校园的建设提供坚实的基础。但是，如果不能确保校园网络系统的安全，常常会引起非常严重的后果，不仅会影响教学的正常进行，严重的甚至会被不法分子所利用，从而引起网络舆情。
　　校园网承担的校内各种应用越来越多，还有无线网的广泛部署，导致校园网的信息安全是否稳定，已经可以直接影响全校师生甚至相关社会人员的学习、生活和工作。特别是近年来，国家高度重视网络安全，已经成为校园网稳定运行的关键因素，各类新应用、新业务的普及，在网络建设中制定防护方案，研究网络安全策略，部署相应产品，以保证校园网络安全稳定运行已成为必须需要解决的问题。网络安全事件一旦发生，传播快，影响大，必须引起高度重视。因此，本文将在管理策略上、技术策略上、用户策略上，分别进行说明，以促进校园网的管理安全。
　　一、从管理策略考虑
　　首先要建立整体网络安全管理体系，合理规划校园网安全体系架构是建设的首要任务，需要建立安全管理的组织机构，明确安全管理的范围和内容，可以分层次规划。从安全管理制度和技术防范手段入手，形成完整、可行的网络安全管理体系。要强化组织领导、强化制度建设，落实责任，不能存在侥幸心理。完整的网络安全管理体系要包含组织、管理、技术三方面内容，组成完整的组织架构、管理方法和技术支持。对学校信息安全管理的组织结构进行从上至下的包含决策、管理、运营和应用等层次在内的分工，明确组织结构各层人员的工作职责。
　　首先，由校领导等人组建网络安全与信息化领导小组，领导小组的职责是宣传和贯彻落实国家网络安全和信息化建设的方针、政策;着眼于校园网的建设与发展的需要，协调学校网络安全和信息化建设过程中的各种问题;考察并制定校园网安全和信息化建设的长远发展、规划和政策;统筹协调校园网安全和信息化建设整体工作。其次，由各处室各学院领导人员组建安全工作小组，执行平时的网络安全工作落实和部署。再次，由包括机房的管理人员、网络的管理人员、服务器的管理人员、数据库管理人员等组成运营层面的管理队伍，具体实施系统运营层面各岗位工作人员的职责。最后，组件应用层人员。落实各信息系统及用户的安全责任，可以与各应用系统管理人员签订安全责任书，同时必须明确各应用系统的网络安全工作职责，这一层面各岗位的工作人员是网络安全工作最基础的保障。
　　还要根据国家相关法律法规进行校园网的合规性建设和应用。例如《网络安全法》第二十五条就有关于应急预案、处理系统漏洞等相关规定。在此基础上，不仅是建立应急预案，还需定时对应急预案进行演练，及时发现问题，解决问题，不断完善网络安全防护的内容[1]。
　　另外，信息安全等级保护工作也需纳入校园网安全的日常管理中。根据《信息安全等级保护管理办法》有关要求，开展基础网络和重要信息系统信息安全等级保护工作，进一步提高基础网络和重要信息系统的安全保障能力。
　　二、从技术策略考虑
　　校园网机房需保证物理环境安全，配备环境监控系统对机房的温度和湿度进行24小时实时的监控，并且有大容量不间断电源系统，能够在市电短时g中断的情况下，提供对核心设备的电力支撑。中心机房需具有门禁系统对进入机房的人员进行审核，并提供完整的用户上机记录。所有的核心网络设备、汇聚层网络设备以及接入层网络设备，均需由专人调试并且管理，交换机可以使用访问控制列表等技术配合AAA验证等方式管理以上网络设备，密码也需进行复杂度管理，防止被恶意试探。核心层与汇聚层的网络线路一般需要做到双链路冗余备份，以保障基础网络物理层面的基本安全。
　　对于网络安全技术层面，可以使用各类网络安全设备配合管理人员进行网络安全管理工作。例如使用防火墙根据校园网的安全要求设置最大带宽、进行最大连接数限制等安全操作。并且可以定期查看防火墙访问日志，能够及时发现攻击行为和不良上网记录;使用上网行为管理设备，利用设备精细化管理的功能，管控“登录”“浏览”“发表”“上传”等行为，利用通道化的QoS控制，实现基于源地址、用户、服务、应用、时间进行带宽控制和保障带宽、限制带宽、带宽借用、每个IP带宽、流量限额、带宽优先级等QoS动作，能有效地监控、管理、分析校内所有用户的上网行为;使用堡垒机面向运维安全，进行远程维护，过程可回放。校园网内各级管理员均登录堡垒机实施运维，通过堡垒机整合全部可管理资源，分类授权给不同用户账户，提升安全性，细化管理颗粒度;使用IPS实现流量清洗，对骨干流量进行过滤，减少内网遭受的来自互联网威胁可能性;使用DDOS重点清洗来自互联网的DDOS攻击流;使用Web防火墙对http请求检测分析，拦截常见的web漏洞攻击，例如SQL注入攻击、XSS跨站攻击用开源组件漏洞等常见的攻击行为;还可以使用漏扫系统，对各类物理机或虚拟机进行定期扫描，及时发现最新的漏洞并进行补丁更新等。
　　另外，《网络安全法》第二十一条也规定，网络运营者应当制定各类制度、防计算机病毒、监测并记录网络运行状态、留存网络日志、重要数据备份等。因此，对于这些项目还需配备网络审计、数据库审计等日志类防护设备，实现可回放、可溯源、可追责，为证据采集、规范数据访问提供有力手段。
　　对于数据可靠性上，可以通过数据中心虚拟化的部署，提高服务器的利用率和工作效率。并且数据中心需专网管理，利用防火墙等安全设备单独进行数据安全管理。所有服务器都必须设有符合安全规范的登录密码，由服务器管理员专人进行保管，并定期更换。对服务器管理员应定期培训，使其具有比较高的系统安全管理水平，满足对服务器进行细致的安全配置工作条件。可以实施日常对服务器的监控、对于重要系统的保障、平日进行日常巡查等。
转载注明来源:https://www.xzbu.com/1/view-15421955.htm