高校校园网络安全及保护建设方案
中图分类号:TP329 文献标志码:A 文章编号:1007-9416(2016)04--0000-00
近年来,随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段,为教育模式的创新、先进教育理念提供了可靠的实现方法。
高校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;大学数字化校园建设通常先提出总体解决方案,确定数字化校园的体系结构,制定数字化校园的信息标准,以及各系统之间的接口标准,然后分阶段实施。建立全校的网络安全体系,保证校园网络的安全,保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
1教育信息化中的安全体系建设
在教育信息化建设过程中,信息安全体系是保障教育信息系统的信息完整、系统可用和信息保密的重要支撑体系,对各级学校、职业教育、教育主管机构的正常工作起到了至关重要的保障作用。各级教育主管部门对教育信息系统的安全体系建设给予了充分的重视,也是由于教育信息系统的复杂性、多样性、异构性和应用环境的开放性,给整个信息系统带来了巨大安全威胁。以高校数字校园信息系统为例,高校数字校园信息系统的建设是由高校业务需求驱动的,初始的建设大多没有统一规划,有些系统是独立的网络,有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前高校网络系统是一个庞大复杂的系统,在支撑高校业务运营、发展的同时,信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出,成为高校面临的重要的、急需解决的问题之一。在进行数字化校园建设的过程中,也曾发生不少信息安全事件,如某高校数据中心一台服务器被黑客入侵,成为肉鸡,被植入僵尸木马程序,受黑客控制疯狂往外网发包,导致学校网络出口瘫痪;某高校在高招中发现网站被挂马、篡改,并且学校内部也曾经发现学生成绩的数据库,有被恶意篡改的痕迹。
2网络安全威胁分析
(1)高校网站的安全威胁,包括高校门户网站、高校招生网站、二级各院系等网站,由于高考、招生、学生就业等敏感时期,聚集了大量的学生及家长访问流量,也引起黑客的关注,高校网站面临的主要安全威胁有:网页被挂马、被篡改,黑客通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到高校网站的管理权限,进而篡改网页代码;部分攻击者将高校网站替换成黄色网站,影响极其恶劣。每年高考招生及高校重要节日期间,高校门户网站极易被DDOS攻击,这种由互联网上发起的大量同时访问会话,导致高校网站负载加剧,无法提供正常的访问。入侵者成功获取WEB服务器的控制权限后,以该服务器为跳板,对内网进行探测扫描,发起攻击,对内网核心数据造成影响。(2)随着校园网信息化的逐步深入,业务系统众多,“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大高校采用,而这些系统由于管理及防护不到位,面临着较严重的安全威胁:业务系统缺乏必要的入侵防护手段,高校网络规模扩张迅速,网络带宽及处理能力都有很大的提升,但是管理和维护人员方面的投入明显不足,没有条件管理和维护数万台计算机的安全,一旦受到黑客攻击,无法阻断攻击并发现攻击源;部分高校“一卡通”充值系统与银行互联,边界缺乏必要的隔离和审计措施,出现问题不方便定位,难以追查取证;校园网数据中心内的系统应用众多、服务器众多,管理及维护方式也不尽相同,无法做到所有的系统实施统一的漏洞管理政策。同时,对于存在安全隐患的配置检查,也缺乏自动化的高效检查工具和控制手段;业务系统权限控制不合理,有安全隐患。
3需求分析
根据对高校校园网络的威胁分析,得出在校园网络安全体系建设中,各个网络区域和业务系统的安全需求如下:
(1)校园网络出口应对可能发生的拒绝服务攻击进行有效识别、过滤、清洗,保证网络出口的畅通,保证骨干链路的负载处于正常范围之内。(2)网络出口链路应有相应措施,对来源于公网或内网的黑客入侵、病毒传播等安全威胁进行实时识别与阻断。(3)DMZ区及内网服务器区出口链路上,应对针对WEB应用的7层攻击,如SQL注入、XSS、HTTP GET FLOOD等威胁进行全面深入的防护。(4)应对流经核心交换区域的所有流量进行深入的检测,以识别内部各网络区域之间发生的入侵事件和可疑行为。(5)应对内网用户的网络行为,如公网访问、数据库访问等进行全面的记录和审计,以满足违规事件发生后的追查取证。(6)应在不同校区之间的链路接口进行访问控制、病毒检测、入侵防护等安全控制措施。
应对全网的网络节点进行漏洞风险管理,实现漏洞预警、漏洞加固和漏洞审计的全程风险控制。(7)应对全网的网络节点进行配置合规管理,实现违规配置及时识别、配置整改全面深入、配置风险全程可控。(8)应对运维管理人员进行详细严格的权限划分,并通过技术手段控制运维行为权限,对运维行为进行全程审计,对违规运维操作进行实时告警。
4遵循等保要求
2009年11月,教育部为进一步加强教育系统信息安全工作,由办公厅印发《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号),决定在教育系统全面开展信息安全等级保护工作;等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过等级化方法和高校信息安全体系建设有效结合,设计一套符合高校需求的信息安全保障体系,是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。 5网络安全建设方案
(1)在校园网出口处旁路部署抗拒绝服务攻击系统(ADS)对拒绝服务攻击流量进行清洗,并且旁路部署网络流量分析系统(NTA)对网络流量组成和DDOS攻击成分进行分析和判断。在正常环境下,旁路部署的ADS不参与网络出口流量的路由和交换,边界路由器通过NETFLOW等技术将流量信息发送给NTA,由NTA分析流量特征,判断是否遭受DDOS攻击。当发现遭受DDOS攻击时,NTA将激活ADS,由ADS向边界路由器发送针对特定防护目标IP的路由,将所有去往被攻击目标IP的流量牵引至ADS设备。ADS系统进行恶意流量的识别和清洗,将不含有攻击成分的合法流量回注至边界路由器,按正常路由路径发送至目标IP。(2)在出口链路部署入侵防护系统,对接入互联网的访问流量进行深入过滤,有效抵御源自公网的入侵威胁,消除安全风险。(3)在DMZ区和内网服务器出口处部署WEB应用防火墙,对服务器区的WEB服务器进行全方面的防护,对针对WEB站点的黑客攻击,恶意扫描、SQL注入、跨站脚本、病毒木马传播、暴力口令破解、网页篡改等攻击手段进行深入防护。保障网站、电子教务系统、一卡通系统等应用系统的正常工作。(4)在核心交换区旁路部署安全审计系统,通过将核心交换机上各端口的流量镜像到安全审计系统的监听链路,实现对流经核心交换机的网络数据进行全程的审计和过滤。通过制定详细的安全审计策略,对违反审计策略的网络行为进行实时告警。此外,安全审计系统由部署在网络运维区的安全中心进行统一监控与策略下发,并实时收集网络时间日志和告警信息。(5)在核心交换区域的出口链路部署下一代防火墙,实现出口链路的流量检测和安全过滤,保护内部网络安全。建议在核心交换区域与各个校区的网络边界处部署下一代防火墙,通过下一代防火墙对应用层攻击、病毒进行全面阻断,可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制,保证不同网络区域之间的安全防护边界完整。同时,通过安全管理区的安全管理服务器上安装安全中心对该设备进行全面的管理。
5解决方案效果
(1)符合合规要求,例如:通过等级保护等国家强制要求,获得社会监管部门(公安局网监)的认可。网监部门明确要求学校加强学生上网行为的管理和审计,因此该系统的建设能够满足网监的要求。(2)学校业务系统得到安全保障,一卡通、数字图书馆、教务管理系统、人事系统、财务系统、档案信息等重要的资源免受黑客入侵的威胁。(3)学校门户网站安全性得到加强,基本杜绝互联网上的恶意攻击,使网站能够在关键时期(招生、国庆)提供高质量的服务。(4)学生上网行为得到规范化改进,提高了网络利用率、规避了学生恶意攻击带来的社会风险。
