您好, 访客   登录/注册

中职学校校园网络安全建设策略

来源:用户上传      作者:

  摘要:本文首先分析了当前中职学校校园网络安全建设的现状,发现中职学校经过几年的信息化校园建设,已拥有较为完善的信息化基础设施,但在校园网络安全建设方面投入不足,安全的硬件设备建设不完善,没有健全的网络安全机制,存在较大安全隐患。针对以上问题,参照信息系统安全二级等级保护建设的基本要求,本文介绍了中职学校校园网络安全硬件软件建设的主要内容。
  关键词:中职;网络安全;校园网络;等级保护
  中图分类号:TP393      文献标识码:A
  文章编号:1009-3044(2019)13-0028-02
  1 中职校园网络安全建设现状
  中职学校校园网基本已建设好万兆主干、千兆到桌面的网络系统,拥有独立的网管中心,有云服务器群,学校网站、OA办公系统、网络教学平台等信息化应用,视频监控系统、无线网已实现全校覆盖,网络维护人员主要由学校计算机老师组成,安全技术人员较少,网络安全相关硬件设备不完善,仅有防火墙、安全审计系统等,有些学校有设备,但未启用策略,未能有效地起到防护作用。校园网络存在信息系统被渗透、篡改,重要数据被盗取,监控视频外泄,内部网络中毒等安全问题。
  2 校园网网络安全建设策略
  2.1 物理和环境安全建设
  学校的信息中心(网管中心)可参照网络综合布线设备间的要求改建,位置选择靠近线缆竖井位置,建筑物的中间楼层。室内梁下净高不要低于2.5m,面积不小于10平方。机柜前面的空间不小于80cm,后面的空间不小于60cm,保证管理人员进行设备维护。门宽度不少于1.5m,可采用外开双扇防火门,配置电子门禁系统与视频监控系统,管理记录人员出入情况。
  机房配电系统配有监测仪,能监测电流、电压、电量,提供至少两个带保护接地的单相电源插座,每路开关带漏电保护,使用大功率UPS提供备用电力供应。布线方式采用强电系统走地面式铺设方式,弱电系统走天花板吊顶铺设或桥架方式,避免互相干扰。地面需做防尘,防潮,防雷等处理,安装防静电地板以及静电泄流网。服务器机柜建议采购封闭式冷通道系统,更节能环保,安全可靠。
  重点做好防火安全工作,建筑材料应该具有耐火等级,建设火灾自动消防系统,通过温感探测器、烟感探测器、声光报警器、消防警铃等检测火情、报警,并能自动灭火。一般使用喷气式自动灭火装置,门外配备手动操控系统,需防止学生人为破坏。
  2.2 网络和通讯安全
  网络管理员要根据学校具体情况,合理规划校园网络拓扑结构,根据不同的使用功能与用户数,划分相应的VLAN,分配网络地址。如:服务器群、办公网络、教学网络、实训场所、无线网络可划分独立的网络区域,实现接入隔离。在网络接入层上部署防火墙、安全审计系统、入侵防御系统、web应用防护抗攻击系统,对设备做相应的安全配置,达到边界安全的要求。
  防火墙系统:部署在网络边界最外层,设置相关的网络参数,实现对外提供路由、NAT等上网功能。通过策略里面的访问控制,建立相关的规则,提供对内安全防护,除了必要的服务之外,拒绝所有通讯。管理优化访问控制规则,注意地址转换规则,删除无用的协议,尽可能减少端口服务。
  入侵防御系统:部署在校园网出口防火墙后面,根据具体情况可配置不同IP地址、特定用户以及校园安全区域的入侵防御策略,开启系统的攻击防护、应用过滤、木马、病毒防护等功能,确保服务器区及校园内网安全性,提高校园网整体安全性。
  安全审计系统:也称上网行为管理系统,可对网络边界及重要安全事件进行审计,记录每个用户,每一网络事件,通过日志记录可查找事件相关的时间、具体用户、事件类型、事件的结果及一些相关的信息,安全审计系统具有本地备份及网络备份功能,建议启用网络备份功能,避免硬盘损坏造成数据丢失,记录至少应保留180天备查。另外可对校园内网流量实时监控,管理员通过流量管理策略,针对用户、用户组适时分配带宽,对一些特定的网络服务可限制或者阻断,如:P2P下载、流媒体、网络游戏、数据库、远程控制等,优化校园网络环境。
  web应用防护抗攻击系统:为学校的门户网站、OA办公系统、网站教学平台等应用配置相关的防护策略,对内外网用户的WEB页面请求,进行检测与验证,阻断非法的访问。其中,网页防篡改功能可以有效地保护平台的信息安全,该系统还能解决一些常见的网络攻击行为,如:数据库SQL注入攻击、XSS攻击、网站挂木马等。
  2.3 网络设备、服务器及核心数据安全
  在校园网络核心层与汇聚层,核心交换机与服务器区部署网络管理平台、网络入侵检测系统、运维安全网关等,方便管理员更好地维护校园网的路由器、交换机、防火墙等网络设备,并针对服务器区的安全进行防入侵防护,保障服务器及核心数据的安全。
  网络管理平台:集成化支持各厂家设备的管理系统,该系统可以在网络中自动识别相关的网络设备,根据拓扑结构显示出来,通过拓扑图方便网络管理人员了解整个网络的运行情况。具有VLAN拓扑可视化功能,可以在全网范围内查看所有网络节点和链路的运行情况,点击相关的设备可以快速地部署VLAN,设置各端口属性,管理员可以快速管理交换机、路由器等网络设备,从而解决网络中的故障。
  网络入侵检测系统:个别内网用户网络运用水平较差,电脑长期不清理,经常无意中打开非法链接,电脑不设置密码,信息系统密码较简单等,导致内部网络的病毒和恶意小程序普遍存在。通过部署入侵检测系统,连接到需要监控网络的主交换机的监听口,监控内部网络中的所有网络连接和攻击行为,实时探测和阻断针对内网的非法网络行为,也可监控和检测外网对内网所做的攻击,实时记录并在系统内告警,极大地提高了内网与服务器区的整体安全性。
  运维安全网关(堡垒机):部署在服务器区相同的交换机上,通过设置所有登录服务器的操作必须通过堡垒机,防止内外部用户非法入侵服务器,有效的保护服务器的数据,同时对堡垒机上的所有操作实时收集记录,安全事件发生后可及时处理和审计定责。校园信息系统的服务器远程管理,杜绝直接的3389、443等端口的远程服务,可以在核心交换机配置ACL规则,限定端口的访问必须通过运维安全网关,给管理员分配不同的访问权限,保障内网安全,该方法可以有效地解决勒索病毒等攻击。如果需要外部互联网远程操作服务器,可以通過VPN拨号方式,再进行登陆。   服务器操作系统版本尽量采用安全性较高的系统,如LINUX、Cent OS,数据库系统至少采用SQL server 2012版本,不定期检查服务器系统和数据库系统的用户,防止有非法和无效用户存在,用户登录要限制非法登录次数,不要所有系统都使用同一密码,密码要有复杂性,管理员还需要不定期,无规律修改密码。加固操作系统安全,如修补所有系统安全漏洞补丁、安装杀毒软件升级病毒库、使用软件限制策略、关闭不必要的端口等。服务器硬盘组做raid阵列,对重要数据定时的做异地数据备份处理,以保障數据的安全。
  2.4 安全管理要求
  学校应成立以校长为组长的网络安全工作领导小组,组织学校技术骨干成立信息安全管理部门,合理分配工作任务,将网络安全工作常规化。建立学校网络安全各项制度,如:互联网使用条例、机房安全管理制度、网络安全责任追究制度、网络信息安全日常监测与预警,应急响应及后期处置等。安全管理制度应正式发布,及时修改存在不足,确实落实到实际工作中。
  学校应定期开展多样化的网络安全宣传活动,防微杜渐,提高全校师生的防患意识。加强各类管理人员、各部门之间网络安全工作的合作和沟通,加强和上级相关主管部门、兄弟学校、各类供应商等技术交流。定期进行常规安全检查,如硬件设备运行情况检查、服务器系统漏洞修复,重要数据的备份,查阅行为管理器日志等。不定期进行网络安全应急演练,及时发现问题,逐级上报,并尽快组织技术力量处理安全事件,分析事件产生的原因,管理员如何解决问题,收集相关的资料并记录下来,总结经验教训,提高学校网络管理员解决网络问题的能力,学校各职能部门以及校外技术员提供技术支持的应急响应的能力。
  建立校园网安日常工作制度,详细的规定系统账号管理、硬件设备安全策略设置规则、设备的升级与打补丁、安全日志管理规则等,详细记录管理员日常的巡查、维护操作,安全设备的配置信息应妥善保存,供应商处需有相关的备份,定期备份防火墙、安全审计系统、运维安全网关、智能管理中心等日志。
  3 结束语
  校园网络安全建设的内容其实涵盖面非常广,在大力建设数字化信息化校园的同时,进一步加强校园网络安全,需要学校领导的重视以及在资金上的大力支持,引进网络安全方面相关人才,送管理员到技术雄厚的企业参加培训,提高解决问题的能力。采购网络安全设备,同时引入企业技术员参与校园网络安全建设,与企业签订安全运营相关的合同,维护好校园网络。另外,可以通过培训,开讲座,宣传栏,网站宣传等手段,加大网络安全相关知识的宣传力度,提高全校师生的网络安全意识,提升网络防范能力。
  参考文献:
  [1] 林玉梅.高校校园网络安全防护方案的设计与实施[D]. 华侨大学, 2015.
  [2] 佚名. GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求概要[J]. 信息技术与标准化, 2009(11):36-38.
  【通联编辑:光文玲】
转载注明来源:https://www.xzbu.com/8/view-14910040.htm