高校信息安全体系设计与应用研究

时间:2022-08-10 10:44:37

高校信息安全体系设计与应用研究

一、引言

目前,全国高校中的信息化建设发展迅速,横向发展越来越全面,纵向发展越来越深入。信息化建设对高校的教育发展具有革命性影响,已经成为促进高校教育改革创新和提高教育质量的推动力,是高校教育发展的创新前沿。大学的教学、科研和管理的正常运作几乎完全依赖于信息系统的稳定可靠运行,信息系统中的安全体系成为至关重要的部分。因此,高校需要一套完整严密的安全体系来保障信息化建设。

二、现状与问题

随着高校信息化建设的推进,大学信息化建设规模越来越大,软硬件设备配备完整,运行保障的基础技术手段基本具备。拥有了网络系统管理和应用技术支持的专业人员,在安全上采用了防火墙、防病毒等常规的安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力。但随着信息系统的发展,不管从业务功能还是数据方面都在不断的发生变化,但信息安全体系的不断完善与整改往往因得不到重视而滞后。所以就会存在以下主要问题:信息化建设领导机构及信息安全机构设置不够正规化、专一化。在之前,大多数高校中,信息安全机构不受重视、不够专一。认为信息安全部分的进程,不用单独成为信息化建设时平行推进的一条线,在信息化建设时对能考虑到的安全问题做决策,过程中未考虑到的问题,随后再去做分析。这样的结果往往使得安全部分的建设跟信息化建设脱节,如果步伐相差较大,安全系统体系最终不能到达预期的结果。防护系统过于单一。网络与信息安全事件分类不明确,出现不同问题预处理方式不明确,导致不能全面的做到预防备案。对信息系统没有主动去测试、筛选、扫描等主动检测、监测与查找,而是等待不同的安全问题出现后再去找相应的解决方案。保障措施不完善。后续处理应及时,抑制不安全影响进一步扩大。

三、高校信息安全体系的设计与应用

1.信息化建设领导机构及信息安全机构设置。(1)学校成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。(2)数字校园建设中心作为学校信息化建设的主管部门,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置,负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促,必要时数字校园建设中心协助相关主管部门完成突发事件的技术处理。(3)成立校园网管理委员会,职责为负责领导、监督和协调校园网的建设和运行;负责对校园网建设、使用和运行中的重大问题和政策性问题进行决策。信息化领导小组由主管信息化校领导和有关职能部门负责人组成。整合网络中心、技术中心和电教中心成立数字校园建设中心,数字校园建设中心在教育信息化领导小组的领导下负责学校的信息化建设。(4)单独成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。2.完整的信息安全架构。信息安全工作是一项常抓不懈的长期工作,首都师范大学在努力做好当下相关工作的同时,分别在安全技术和管理规范上做了相应的规划。学校根据目前信息安全的现状,申报信息安全建设专项,计划通过采购数据中心防火墙、漏洞扫描系统、负载均衡等安全防护设备工相关工具,对数据中心进行整体安全加固,提升数据中心安全防护能力,切实提高系统的安全风险抵御能力,降低网络应用系统所面临安全风险威胁,保证网络应用系统安全、稳定的运行,使网络信息系统在符合国家信息安全防护相应级别的安全要求。以首都师范大学数据中心安全规划架构为例:第一层安全防护:即传统防火墙+IPS,并且对内部的应用进行详细控制,对校园网开放应用需要对开开放的端口,例如真把HTTP的80端口开放出来,其余的应和数据库等就不会出现在校园网当中,并通过IPS对于蠕虫、syn等攻击行为进行防护。第二层安全防护:由于传统的防火墙无法对于80端口的web应用进行防护,所以需要专门的web应用防火墙进行80端口的web应用的防护;在数据中心与核心交换机之间一般都使用万兆链路,web应用防火墙不能像传统防火墙能够去支持万兆接口,只能够通过策略路由的方式将所有的80端口流量全部匹配至web应用防火墙内,其余的流量还照样能够走万兆流量,一般在测试的过程中web流量基本维持在300M-500M之间,或者也可以采用反向的方式旁路在数据中心交换机上。第三层安全防护:虚拟化安全防护,在数据中心层面都提倡大二层结构,为了是最大化降低应用之间的访问延迟,所以在虚拟化网络设计当中就沿用二层设计,但由于一台物理机器上承载多台虚拟机,所以在2层交换上都是在虚拟交换机上进行,也就是说在相同虚拟机上同网段段的数据交互在网卡层面就完成,那相互之间的安全就需要依靠虚拟化安全防护来完成。第四层安全防护:数据库安全防护,这部分防护主要是在应用服务器与数据库服务器之间,监视数据库活动、防止未被授权的数据库访问、SQL注入权限或角色升级、对敏感数据的非法访问。第五层安全检测:通过漏洞扫描设备解决系统本身的漏洞和安全隐患,在拓扑中只要网络可达便可对所有的设备进行检查。该项目正在逐步推进过程中,计划于明年年底前建设完成并交付使用,通过该项目的实施,各安全设备的运行防护能够保障首都师范大学数据中心的信息安全,实现数据中心信息和网络的安全。同时,还申报并计划学校信息安全等级保护测评和整改项目,该项目启动后,将对学校重点的信息系统进行等级保护测评并针对相应的测评结果对相应问题进行有针对性的改造;对于学校整个信息安全体系及信息安全管理制度进行统一的梳理,从制度和管理上对于信息安全进行全面的保障。3.对网络与信息安全事件进行分类分级:《信息安全事件分类分级指南》(1)网络与信息安全事件分类。网络与信息安全突发事件依据发生过程、性质和特征的不同,可分为以下四类:①网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等。②设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。③灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。④信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。(2)网络与信息安全分级。网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:I级(特别重大):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;II级(重大):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出数字校园建设中心控制能力,需学校各部门协同处置的安全事件;III级(较大):学校某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,数字校园建设中心可自行处理的安全事件;IV级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。4.做好预防措施,安全漏洞检查与发现问题及时整改。依照上面指定的《信息安全事件分类分级指南》,对校园网络通信平台、应用平台和信息系统采取相应安全保障措施。建立健全安全事件预警预报体系,严格执行校园网络与信息系统安全管理制度,常年坚持校园网络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监控和安全管理,做好相关数据日志记录,确定合理规则,对校园网络进出信息实行过滤及预警。实行信息网上审批制度,对可能引发校园网络与信息安全事件的信息,要认真收集、分析、判断,发现有异常情况时,及时防范处理并逐级报告。做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。特殊时期,根据要求和部署组织专业技术人员对校园网络和信息系统采取加强性保护措施,对校园网络通信及信息系统进行不间断监控。主动检测与查找信息安全存在的漏洞风险,并根据安全154信息系统工程│2017.6.20ACADEMICRESEARCH学术研究漏洞的危险程度对问题采取以下方式进行处理:一是将存在安全隐患的网站进行短期关停,并限期封堵安全漏洞;二是对于涉及范围比较广,师生员工关注比较高的网站(如学校主页)加强安全检查和监控,并上报办公会,启动改版计划;三是对于建设较早且安全隐患较多二级部门网站进行永久性关停,并责令相关单位以新的安全标准建设新网站。对存在安全漏洞进行整改,对学校的安全风险进行全面排查,把信息安全事件扼杀在萌芽状体。以免在信息安全方面没有造成不良的影响,造成损失。5.完备的处理流程(1)预案启动。发生校园网络与信息安全事件后,数字校园建设中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。(2)应急响应①应急响应机制。III级或IV级突发事件响应:数字校园建设中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。II级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,由领导小组统一组织、协调指挥进行应急处置。I级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,领导小组再上报至市公安局等相关部门,由北京市相关部门会同我校校园网络与信息安全事件应急处置领导小组统一组织、协调指挥应急处置。②应急处理方式。根据网络与信息安全事件分类采取不同应急处置方式。对于网络攻击事件,查找网络攻击的源头,寻找对用内部的服务器等设备,关闭内部相关设备与外部的网络连接。抓包并分析网络攻击的来源信息。对造成的信息破坏进行修复,利用备份系统进行恢复。基于攻击的类型可以采取以下解决办法:病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。外部入侵:找出攻击的源头,评估分析对网络系统和数据系统造成的伤害。如果是试图入侵被防火墙直接拦截的,对入侵数据进行分析,分析其欲攻击的IP和端口。对服务器的端口进行监察或关闭。对该IP地址进行限制访问。如果已经对系统造成损害,需要立即断开与外网的连接,以免造成更为严重的伤害。内部入侵:定位内部的入侵相关信息,信息包含入侵的用户,所在办公室位置,入侵的IP地址和端口。对于入侵成功的,应立即关闭内网交换设备。设备故障事件:定位造成故障事件的设备,评估事件的严重程度,对于非持久化存储的设备或可暂时停运的设备,使用备用设备替换。迅速联系IT部门,对设备故障做维护与报备。保证相关的校园网络系统的正常运转。灾害性事件:此类事件多指自然灾害事件,根据灾害的程度,在保证人身安全的情况下,对设备以及数据进行紧急保护。信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息人。其它不确定安全事件:根据提前制定的安全事件处理原则,根据实时情况灵活多变进行处理。对于未知的处理办法,对信息安全部门进行咨询求助。③后续处理。对攻击事件先进行以上的事件处理之后,应及时的采取措施,防止攻击事件造成的危害进一步的增强。对于具有潜伏性的、长久性的病毒攻击,要实时的进行隔离和防护。对攻击事件抑制以后,追其根源,分析事件的动机和途径。解决并清除此危机,制定对此类攻击处理的成熟方案。在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。④记录上报。对于发生的安全事件,要认真做记录与统计。将记录结果向校园安全部门领导及时汇报,及时分析网络系统日志,将重要日志信息做永久存储处理。⑤结束响应。不断完善网络安全整体方案,加强技术管理,确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。6.保障措施。校园网络与信息安全应急处置是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。(1)队伍保障。加强对安全队伍工作人员的安全技术培训,增强安全队伍对日常操作的安全程度,面对突发安全事件能紧急处理。对于日常维护能做到防患于未然。(2)技术保障。拒绝采用盗版办公软件,特别是安全维护相关的软件,比如防火墙、杀毒软件等,应安装正版使用。拥有健全的安全防护体系与安全技术,对防护系统进行多方位、多层次的设计。确保安全系统的稳定与可靠。(3)资金保障。信息安全部门要积极的对安全的升级与维护项目进行申报,对于申报资金要落到安全系统建设实处。学校领导与财务部门,要大力支持安全部门的专项资金申请审批工作。将安全系统预算纳入到每年的财政预算中。(4)安全培训和演练。聘请专业的安全公司人员对部门人员进行培训与教学,在理论培训的同时,进行安全事件的软件模拟或真实模拟演练。

四、结语

高校信息化管理水平是衡量高校办学水平的重要尺度,信息化管理过程中的安全是重中之重。随着高等教育的迅速发展, 办学规模不断扩大, 教学管理越来越复杂化, 高校的信息系统管理工作面临着严峻挑战。伴随着高校信息化进程的不断推进,新的信息安全隐患不断涌现,信息风险也不断加大,建立一套高效、集成的信息安全保障体系势在必行。利用技术措施加强信息安全防护,保证管理信息系统正常运行,这样才能满足教学管理的需要。

作者:刘海龙 安寅杰 单位:首都师范大学数字校园建设中心

参考文献

[1]吴晓瞻.高校安全协同办公信息系统的设计与实现[D].浙江:浙江工业大学,2016.

[2]黄文雯.办公业务安全保障系统的设计与实现[A].中国电机工程学会电力信息化专业委员会、国家电网公司信息通信分公司:2016电力行业信息化年会论文集,2016,(4):10-23.

[3]姚亚玲.高校网络教学管理系统的设计与实现[D].吉林:吉林大学,2016.

[4]黄宏杰,陈永清.现代校园网信息安全化的研究[J].计算机时代,2016,(12):46-48+52.

[5]徐豪.高校网络安全管理问题与对策研究[J].数字技术与应用,2016,(09):200-201.

[6]赵欢,陈熙.高校信息安全体系的研究与实现[J].中国教育信息化,2013,(13):87-89.

[7]李刚,王俊崴.高校管理信息系统安全问题分析[J].中国教育信息化,2016,(15):42-45.