文/梁藝軍

中國(guó)人民大學(xué)： 信息安全等級(jí)保護(hù)下的校園網(wǎng)絡(luò)安全建設(shè)

文/梁藝軍

學(xué)校網(wǎng)絡(luò)現(xiàn)狀

信息化是當(dāng)前學(xué)校的教學(xué)、科研和校園生活的基本環(huán)境，網(wǎng)絡(luò)是環(huán)境中的基礎(chǔ)，高校已經(jīng)無(wú)法離開(kāi)網(wǎng)絡(luò)而獨(dú)自存在，具體的有以下幾個(gè)特點(diǎn)：

1.攻擊來(lái)源多樣：雖然攻擊多數(shù)是外部IP發(fā)起的，但是最危險(xiǎn)的是內(nèi)部的滲透。

2.構(gòu)造復(fù)雜：由于需求的原因，網(wǎng)絡(luò)復(fù)雜，不亞于一個(gè)小型城市的布局，雖然近期多數(shù)學(xué)校采用扁平化部署，但依然要面對(duì)5位數(shù)的信息節(jié)點(diǎn)、各種子網(wǎng)接入等。

3.功能多樣：不只是上網(wǎng)，還擔(dān)負(fù)著校內(nèi)信息化管理、教學(xué)輔助，校園生活、游戲等功能要求。

4.人員的多樣性：使用網(wǎng)絡(luò)的人員復(fù)雜多樣，安全策略需要滿足職工、學(xué)生、臨時(shí)人員等要求。

5.網(wǎng)絡(luò)安全設(shè)置：目前校園網(wǎng)絡(luò)未全面考慮安全問(wèn)題，筆者還未能發(fā)現(xiàn)有學(xué)校將校園整體網(wǎng)絡(luò)進(jìn)行信息安全等級(jí)保護(hù)級(jí)別的認(rèn)定。

由于網(wǎng)絡(luò)問(wèn)題而引起的群體不滿會(huì)導(dǎo)致群體投訴事件，符合信息安全等級(jí)保護(hù)的范疇，因此只有解決了這些問(wèn)題，才能真正使計(jì)算機(jī)網(wǎng)絡(luò)為教育教學(xué)服務(wù)。有必要將校園網(wǎng)絡(luò)置于信息安全等級(jí)保護(hù)下，使得網(wǎng)絡(luò)安全符合信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)，解決網(wǎng)絡(luò)安全問(wèn)題。

必要性

基于以下因素，我們建議將校園網(wǎng)（或校園骨干網(wǎng)）按照信息安全等級(jí)保護(hù)進(jìn)行定級(jí)，級(jí)別不低于校內(nèi)信息系統(tǒng)的最高級(jí)別。

1.校園網(wǎng)是學(xué)校信息化基礎(chǔ)，對(duì)信息系統(tǒng)的安全等級(jí)保護(hù)無(wú)法與學(xué)校校園網(wǎng)的需求很好地吻合，同時(shí)，校園網(wǎng)面臨的攻擊等問(wèn)題也需要在網(wǎng)絡(luò)層面具體的解決。

2.信息系統(tǒng)的安全等級(jí)保護(hù)，雖然也涉及到校園網(wǎng)絡(luò)，但只針對(duì)與本信息系統(tǒng)相關(guān)的局部，無(wú)法提供整體的校園網(wǎng)安全保護(hù)規(guī)劃和行為。

3.僅僅從網(wǎng)絡(luò)架構(gòu)出發(fā)考慮網(wǎng)絡(luò)的架構(gòu)，已經(jīng)不能滿足如今業(yè)務(wù)的需求。TCP/IP協(xié)議在設(shè)計(jì)之初的缺陷逐漸顯露出來(lái)，其對(duì)于管理和優(yōu)化方面的功能缺失，必須由合理的要求和標(biāo)準(zhǔn)進(jìn)行補(bǔ)足。

4.將校園網(wǎng)絡(luò)置于信息安全等級(jí)保護(hù)下，使得網(wǎng)絡(luò)安全的設(shè)置標(biāo)準(zhǔn)等同信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)，既有國(guó)家標(biāo)準(zhǔn)，又可以有的放矢。

指導(dǎo)原則

以網(wǎng)絡(luò)安全角度考慮，為了滿足校園網(wǎng)的信息安全等級(jí)保護(hù)，在網(wǎng)絡(luò)建設(shè)中要遵循以下原則：

結(jié)構(gòu)扁平化：校園網(wǎng)一方面利用核心設(shè)備的強(qiáng)大功能盡量減少匯聚層設(shè)備，另一方面接入層和樓宇匯聚以下以二層交換接入到核心設(shè)備，在核心上做路由。

圖1 校園網(wǎng)安全技術(shù)架構(gòu)

功能區(qū)別化：根據(jù)學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用，依據(jù)信息安全等級(jí)保護(hù)的需求，可以考慮使用邏輯隔離技術(shù)（VLAN或防火墻技術(shù)）將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為多個(gè)安全域，實(shí)現(xiàn)不同安全域之間的隔離，形成區(qū)域邊界，加強(qiáng)安全防護(hù)信息，防護(hù)來(lái)自域之外的安全風(fēng)險(xiǎn)；同時(shí)可以降低維護(hù)成本，形成安全良好的維護(hù)機(jī)制，降低整體網(wǎng)絡(luò)風(fēng)險(xiǎn)將校園網(wǎng)絡(luò)整體的風(fēng)險(xiǎn)降低為域內(nèi)風(fēng)險(xiǎn)（比如經(jīng)常發(fā)生的DOS飽和攻擊）。

流量管理精細(xì)化：管理人員進(jìn)行全網(wǎng)流量監(jiān)測(cè)，采集不同時(shí)段不同網(wǎng)段的流量，通過(guò)流量趨勢(shì)分析獲得豐富的流量信息，制定規(guī)劃、優(yōu)化和策略。使有限的設(shè)備和出口帶寬發(fā)揮最大的效用。

安全管理精細(xì)化：由于經(jīng)費(fèi)等限制不可能在所有網(wǎng)域全面部署安全設(shè)備，因此應(yīng)認(rèn)真探索安全工作精細(xì)化管理的管理模式、人員分工、設(shè)備配置等。

用戶管理嚴(yán)格化：嚴(yán)格管理用戶賬號(hào)控制網(wǎng)絡(luò)訪問(wèn)安全為了控制網(wǎng)絡(luò)訪問(wèn)安全，取消組用戶網(wǎng)絡(luò)訪問(wèn)權(quán)，將賬號(hào)按功能分開(kāi)，嚴(yán)格密碼操作規(guī)范，并記錄訪問(wèn)內(nèi)容。

用戶行為規(guī)范化：制定管理規(guī)范，除了上網(wǎng)人員要遵守國(guó)家法律法規(guī)和學(xué)校紀(jì)律外，還要考慮到網(wǎng)絡(luò)管理員行為的規(guī)范。

建立網(wǎng)絡(luò)安全的技術(shù)框架

提到校園網(wǎng)安全建設(shè)，我們一方面要考慮校園信息化發(fā)展現(xiàn)狀，針對(duì)教學(xué)系統(tǒng)、應(yīng)用管理系統(tǒng)、服務(wù)系統(tǒng)，大數(shù)據(jù)、輔助業(yè)務(wù)等應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的要求；另一方面還要從校內(nèi)核心用戶，比如：教師、學(xué)生、服務(wù)人員的角度出發(fā)；充分結(jié)合各種網(wǎng)絡(luò)構(gòu)成部分，比如：一卡通專網(wǎng)、財(cái)務(wù)專網(wǎng)、校園骨干網(wǎng)、校園匯聚網(wǎng)、校園接入網(wǎng)等組成部分，綜合評(píng)級(jí)并制定學(xué)校校園網(wǎng)安全等級(jí)保護(hù)要求。

圖1所示技術(shù)框架適用于指導(dǎo)不同校園網(wǎng)安全保護(hù)等級(jí)的安全建設(shè)和監(jiān)督管理。

建立網(wǎng)絡(luò)安全的管理體系

在實(shí)施網(wǎng)絡(luò)安全建設(shè)中，要管理先行。安全體系管理層設(shè)計(jì)主要依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“基本要求”）中的管理要求而設(shè)計(jì)。分別從以下方面進(jìn)行設(shè)計(jì)：

安全管理制度

根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，是具體有可操作性，且必須得到有效推行和實(shí)施的制度。制定嚴(yán)格的制定與發(fā)布流程、方式和范圍等。定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂，修訂不足及時(shí)進(jìn)行改進(jìn)。

安全管理機(jī)構(gòu)

根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)；設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進(jìn)行人員配備，配備專職安全員；建立授權(quán)與審批制度；建立內(nèi)外部溝通合作渠道；定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。

人員安全管理

根據(jù)基本要求制定人員錄用、離崗、考核、培訓(xùn)幾個(gè)方面的規(guī)定，并嚴(yán)格執(zhí)行；規(guī)定外部人員訪問(wèn)流程，并嚴(yán)格執(zhí)行。

系統(tǒng)建設(shè)管理

根據(jù)基本要求制定系統(tǒng)建設(shè)管理制度，包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇等方面。從工程實(shí)施的前、中、后三個(gè)方面，從初始定級(jí)設(shè)計(jì)到驗(yàn)收評(píng)測(cè)完整的工程周期角度進(jìn)行系統(tǒng)建設(shè)管理。

系統(tǒng)運(yùn)維管理

根據(jù)基本要求進(jìn)行信息系統(tǒng)日常運(yùn)行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行統(tǒng)一、高效的系統(tǒng)運(yùn)維。包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理，安全事件處置、應(yīng)急預(yù)案管理等，使系統(tǒng)始終處于相應(yīng)等級(jí)的安全狀態(tài)中。

信息安全等級(jí)保護(hù)是國(guó)家層面的安全標(biāo)準(zhǔn)和強(qiáng)制性要求，具有普遍性的指導(dǎo)意見(jiàn)，但對(duì)于學(xué)校還有些無(wú)法落地的內(nèi)容，尤其是網(wǎng)絡(luò)環(huán)境，需要我們具體化，并能夠突出校園網(wǎng)絡(luò)的特殊安全防護(hù)需求，為保障學(xué)校網(wǎng)絡(luò)運(yùn)行使用的安全建設(shè)整改提供明確指導(dǎo)。

（作者單位為中國(guó)人民大學(xué)信息技術(shù)中心）

大數(shù)據(jù)與網(wǎng)絡(luò)：機(jī)遇還是災(zāi)難？

根據(jù)IDC 的數(shù)據(jù)顯示，在亞太地區(qū)，大數(shù)據(jù)技術(shù)和服務(wù)市場(chǎng)的價(jià)值將得到提升，與2012年的僅有5.48億美元相比，2017年這一價(jià)值將上升為20億美元。隨著所謂的物聯(lián)網(wǎng)的觸須（即設(shè)備）不斷進(jìn)入消費(fèi)者生活的新領(lǐng)域，將會(huì)有更多數(shù)據(jù)被生產(chǎn)出來(lái)。例如，即使是在電話與家庭安全系統(tǒng)之間最簡(jiǎn)單的連接也會(huì)產(chǎn)生需要存儲(chǔ)在某個(gè)地方的數(shù)據(jù)。2015年，這個(gè)趨勢(shì)將產(chǎn)生三種結(jié)果：我們需要新技術(shù)來(lái)分析這些數(shù)據(jù)，需要必要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施以利用這些數(shù)據(jù)，還需要安全技術(shù)來(lái)保護(hù)這些數(shù)據(jù)。服務(wù)提供商和企業(yè)將重新思考他們構(gòu)建網(wǎng)絡(luò)以應(yīng)對(duì)數(shù)據(jù)雪崩的方式，因此市場(chǎng)對(duì)數(shù)據(jù)技術(shù)人員的需求將達(dá)到頂峰。