周志德

摘要：本文首先分析了當(dāng)前中職學(xué)校校園網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀，發(fā)現(xiàn)中職學(xué)校經(jīng)過(guò)幾年的信息化校園建設(shè)，已擁有較為完善的信息化基礎(chǔ)設(shè)施，但在校園網(wǎng)絡(luò)安全建設(shè)方面投入不足，安全的硬件設(shè)備建設(shè)不完善，沒(méi)有健全的網(wǎng)絡(luò)安全機(jī)制，存在較大安全隱患。針對(duì)以上問(wèn)題，參照信息系統(tǒng)安全二級(jí)等級(jí)保護(hù)建設(shè)的基本要求，本文介紹了中職學(xué)校校園網(wǎng)絡(luò)安全硬件軟件建設(shè)的主要內(nèi)容。

關(guān)鍵詞：中職;網(wǎng)絡(luò)安全;校園網(wǎng)絡(luò);等級(jí)保護(hù)

中圖分類號(hào)：TP393 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）13-0028-02

1 中職校園網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

中職學(xué)校校園網(wǎng)基本已建設(shè)好萬(wàn)兆主干、千兆到桌面的網(wǎng)絡(luò)系統(tǒng)，擁有獨(dú)立的網(wǎng)管中心，有云服務(wù)器群，學(xué)校網(wǎng)站、OA辦公系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺(tái)等信息化應(yīng)用，視頻監(jiān)控系統(tǒng)、無(wú)線網(wǎng)已實(shí)現(xiàn)全校覆蓋，網(wǎng)絡(luò)維護(hù)人員主要由學(xué)校計(jì)算機(jī)老師組成，安全技術(shù)人員較少，網(wǎng)絡(luò)安全相關(guān)硬件設(shè)備不完善，僅有防火墻、安全審計(jì)系統(tǒng)等，有些學(xué)校有設(shè)備，但未啟用策略，未能有效地起到防護(hù)作用。校園網(wǎng)絡(luò)存在信息系統(tǒng)被滲透、篡改，重要數(shù)據(jù)被盜取，監(jiān)控視頻外泄，內(nèi)部網(wǎng)絡(luò)中毒等安全問(wèn)題。

2 校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)策略

2.1 物理和環(huán)境安全建設(shè)

學(xué)校的信息中心（網(wǎng)管中心）可參照網(wǎng)絡(luò)綜合布線設(shè)備間的要求改建，位置選擇靠近線纜豎井位置，建筑物的中間樓層。室內(nèi)梁下凈高不要低于2.5m，面積不小于10平方。機(jī)柜前面的空間不小于80cm，后面的空間不小于60cm，保證管理人員進(jìn)行設(shè)備維護(hù)。門寬度不少于1.5m，可采用外開(kāi)雙扇防火門，配置電子門禁系統(tǒng)與視頻監(jiān)控系統(tǒng)，管理記錄人員出入情況。

機(jī)房配電系統(tǒng)配有監(jiān)測(cè)儀，能監(jiān)測(cè)電流、電壓、電量，提供至少兩個(gè)帶保護(hù)接地的單相電源插座，每路開(kāi)關(guān)帶漏電保護(hù)，使用大功率UPS提供備用電力供應(yīng)。布線方式采用強(qiáng)電系統(tǒng)走地面式鋪設(shè)方式，弱電系統(tǒng)走天花板吊頂鋪設(shè)或橋架方式，避免互相干擾。地面需做防塵，防潮，防雷等處理，安裝防靜電地板以及靜電泄流網(wǎng)。服務(wù)器機(jī)柜建議采購(gòu)封閉式冷通道系統(tǒng)，更節(jié)能環(huán)保，安全可靠。

重點(diǎn)做好防火安全工作，建筑材料應(yīng)該具有耐火等級(jí)，建設(shè)火災(zāi)自動(dòng)消防系統(tǒng)，通過(guò)溫感探測(cè)器、煙感探測(cè)器、聲光報(bào)警器、消防警鈴等檢測(cè)火情、報(bào)警，并能自動(dòng)滅火。一般使用噴氣式自動(dòng)滅火裝置，門外配備手動(dòng)操控系統(tǒng)，需防止學(xué)生人為破壞。

2.2 網(wǎng)絡(luò)和通訊安全

網(wǎng)絡(luò)管理員要根據(jù)學(xué)校具體情況，合理規(guī)劃校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，根據(jù)不同的使用功能與用戶數(shù)，劃分相應(yīng)的VLAN，分配網(wǎng)絡(luò)地址。如：服務(wù)器群、辦公網(wǎng)絡(luò)、教學(xué)網(wǎng)絡(luò)、實(shí)訓(xùn)場(chǎng)所、無(wú)線網(wǎng)絡(luò)可劃分獨(dú)立的網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)接入隔離。在網(wǎng)絡(luò)接入層上部署防火墻、安全審計(jì)系統(tǒng)、入侵防御系統(tǒng)、web應(yīng)用防護(hù)抗攻擊系統(tǒng)，對(duì)設(shè)備做相應(yīng)的安全配置，達(dá)到邊界安全的要求。

防火墻系統(tǒng)：部署在網(wǎng)絡(luò)邊界最外層，設(shè)置相關(guān)的網(wǎng)絡(luò)參數(shù)，實(shí)現(xiàn)對(duì)外提供路由、NAT等上網(wǎng)功能。通過(guò)策略里面的訪問(wèn)控制，建立相關(guān)的規(guī)則，提供對(duì)內(nèi)安全防護(hù)，除了必要的服務(wù)之外，拒絕所有通訊。管理優(yōu)化訪問(wèn)控制規(guī)則，注意地址轉(zhuǎn)換規(guī)則，刪除無(wú)用的協(xié)議，盡可能減少端口服務(wù)。

入侵防御系統(tǒng)：部署在校園網(wǎng)出口防火墻后面，根據(jù)具體情況可配置不同IP地址、特定用戶以及校園安全區(qū)域的入侵防御策略，開(kāi)啟系統(tǒng)的攻擊防護(hù)、應(yīng)用過(guò)濾、木馬、病毒防護(hù)等功能，確保服務(wù)器區(qū)及校園內(nèi)網(wǎng)安全性，提高校園網(wǎng)整體安全性。

安全審計(jì)系統(tǒng)：也稱上網(wǎng)行為管理系統(tǒng)，可對(duì)網(wǎng)絡(luò)邊界及重要安全事件進(jìn)行審計(jì)，記錄每個(gè)用戶，每一網(wǎng)絡(luò)事件，通過(guò)日志記錄可查找事件相關(guān)的時(shí)間、具體用戶、事件類型、事件的結(jié)果及一些相關(guān)的信息，安全審計(jì)系統(tǒng)具有本地備份及網(wǎng)絡(luò)備份功能，建議啟用網(wǎng)絡(luò)備份功能，避免硬盤損壞造成數(shù)據(jù)丟失，記錄至少應(yīng)保留180天備查。另外可對(duì)校園內(nèi)網(wǎng)流量實(shí)時(shí)監(jiān)控，管理員通過(guò)流量管理策略，針對(duì)用戶、用戶組適時(shí)分配帶寬，對(duì)一些特定的網(wǎng)絡(luò)服務(wù)可限制或者阻斷，如：P2P下載、流媒體、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫(kù)、遠(yuǎn)程控制等，優(yōu)化校園網(wǎng)絡(luò)環(huán)境。

web應(yīng)用防護(hù)抗攻擊系統(tǒng)：為學(xué)校的門戶網(wǎng)站、OA辦公系統(tǒng)、網(wǎng)站教學(xué)平臺(tái)等應(yīng)用配置相關(guān)的防護(hù)策略，對(duì)內(nèi)外網(wǎng)用戶的WEB頁(yè)面請(qǐng)求，進(jìn)行檢測(cè)與驗(yàn)證，阻斷非法的訪問(wèn)。其中，網(wǎng)頁(yè)防篡改功能可以有效地保護(hù)平臺(tái)的信息安全，該系統(tǒng)還能解決一些常見(jiàn)的網(wǎng)絡(luò)攻擊行為，如：數(shù)據(jù)庫(kù)SQL注入攻擊、XSS攻擊、網(wǎng)站掛木馬等。

2.3 網(wǎng)絡(luò)設(shè)備、服務(wù)器及核心數(shù)據(jù)安全

在校園網(wǎng)絡(luò)核心層與匯聚層，核心交換機(jī)與服務(wù)器區(qū)部署網(wǎng)絡(luò)管理平臺(tái)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、運(yùn)維安全網(wǎng)關(guān)等，方便管理員更好地維護(hù)校園網(wǎng)的路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，并針對(duì)服務(wù)器區(qū)的安全進(jìn)行防入侵防護(hù)，保障服務(wù)器及核心數(shù)據(jù)的安全。

網(wǎng)絡(luò)管理平臺(tái)：集成化支持各廠家設(shè)備的管理系統(tǒng)，該系統(tǒng)可以在網(wǎng)絡(luò)中自動(dòng)識(shí)別相關(guān)的網(wǎng)絡(luò)設(shè)備，根據(jù)拓?fù)浣Y(jié)構(gòu)顯示出來(lái)，通過(guò)拓?fù)鋱D方便網(wǎng)絡(luò)管理人員了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。具有VLAN拓?fù)淇梢暬δ?，可以在全網(wǎng)范圍內(nèi)查看所有網(wǎng)絡(luò)節(jié)點(diǎn)和鏈路的運(yùn)行情況，點(diǎn)擊相關(guān)的設(shè)備可以快速地部署VLAN，設(shè)置各端口屬性，管理員可以快速管理交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，從而解決網(wǎng)絡(luò)中的故障。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：個(gè)別內(nèi)網(wǎng)用戶網(wǎng)絡(luò)運(yùn)用水平較差，電腦長(zhǎng)期不清理，經(jīng)常無(wú)意中打開(kāi)非法鏈接，電腦不設(shè)置密碼，信息系統(tǒng)密碼較簡(jiǎn)單等，導(dǎo)致內(nèi)部網(wǎng)絡(luò)的病毒和惡意小程序普遍存在。通過(guò)部署入侵檢測(cè)系統(tǒng)，連接到需要監(jiān)控網(wǎng)絡(luò)的主交換機(jī)的監(jiān)聽(tīng)口，監(jiān)控內(nèi)部網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)連接和攻擊行為，實(shí)時(shí)探測(cè)和阻斷針對(duì)內(nèi)網(wǎng)的非法網(wǎng)絡(luò)行為，也可監(jiān)控和檢測(cè)外網(wǎng)對(duì)內(nèi)網(wǎng)所做的攻擊，實(shí)時(shí)記錄并在系統(tǒng)內(nèi)告警，極大地提高了內(nèi)網(wǎng)與服務(wù)器區(qū)的整體安全性。

運(yùn)維安全網(wǎng)關(guān)（堡壘機(jī)）：部署在服務(wù)器區(qū)相同的交換機(jī)上，通過(guò)設(shè)置所有登錄服務(wù)器的操作必須通過(guò)堡壘機(jī)，防止內(nèi)外部用戶非法入侵服務(wù)器，有效的保護(hù)服務(wù)器的數(shù)據(jù)，同時(shí)對(duì)堡壘機(jī)上的所有操作實(shí)時(shí)收集記錄，安全事件發(fā)生后可及時(shí)處理和審計(jì)定責(zé)。校園信息系統(tǒng)的服務(wù)器遠(yuǎn)程管理，杜絕直接的3389、443等端口的遠(yuǎn)程服務(wù)，可以在核心交換機(jī)配置ACL規(guī)則，限定端口的訪問(wèn)必須通過(guò)運(yùn)維安全網(wǎng)關(guān)，給管理員分配不同的訪問(wèn)權(quán)限，保障內(nèi)網(wǎng)安全，該方法可以有效地解決勒索病毒等攻擊。如果需要外部互聯(lián)網(wǎng)遠(yuǎn)程操作服務(wù)器，可以通過(guò)VPN撥號(hào)方式，再進(jìn)行登陸。

服務(wù)器操作系統(tǒng)版本盡量采用安全性較高的系統(tǒng)，如LINUX、Cent OS，數(shù)據(jù)庫(kù)系統(tǒng)至少采用SQL server 2012版本，不定期檢查服務(wù)器系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶，防止有非法和無(wú)效用戶存在，用戶登錄要限制非法登錄次數(shù)，不要所有系統(tǒng)都使用同一密碼，密碼要有復(fù)雜性，管理員還需要不定期，無(wú)規(guī)律修改密碼。加固操作系統(tǒng)安全，如修補(bǔ)所有系統(tǒng)安全漏洞補(bǔ)丁、安裝殺毒軟件升級(jí)病毒庫(kù)、使用軟件限制策略、關(guān)閉不必要的端口等。服務(wù)器硬盤組做raid陣列，對(duì)重要數(shù)據(jù)定時(shí)的做異地?cái)?shù)據(jù)備份處理，以保障數(shù)據(jù)的安全。

2.4 安全管理要求

學(xué)校應(yīng)成立以校長(zhǎng)為組長(zhǎng)的網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，組織學(xué)校技術(shù)骨干成立信息安全管理部門，合理分配工作任務(wù)，將網(wǎng)絡(luò)安全工作常規(guī)化。建立學(xué)校網(wǎng)絡(luò)安全各項(xiàng)制度，如：互聯(lián)網(wǎng)使用條例、機(jī)房安全管理制度、網(wǎng)絡(luò)安全責(zé)任追究制度、網(wǎng)絡(luò)信息安全日常監(jiān)測(cè)與預(yù)警，應(yīng)急響應(yīng)及后期處置等。安全管理制度應(yīng)正式發(fā)布，及時(shí)修改存在不足，確實(shí)落實(shí)到實(shí)際工作中。

學(xué)校應(yīng)定期開(kāi)展多樣化的網(wǎng)絡(luò)安全宣傳活動(dòng)，防微杜漸，提高全校師生的防患意識(shí)。加強(qiáng)各類管理人員、各部門之間網(wǎng)絡(luò)安全工作的合作和溝通，加強(qiáng)和上級(jí)相關(guān)主管部門、兄弟學(xué)校、各類供應(yīng)商等技術(shù)交流。定期進(jìn)行常規(guī)安全檢查，如硬件設(shè)備運(yùn)行情況檢查、服務(wù)器系統(tǒng)漏洞修復(fù)，重要數(shù)據(jù)的備份，查閱行為管理器日志等。不定期進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，及時(shí)發(fā)現(xiàn)問(wèn)題，逐級(jí)上報(bào)，并盡快組織技術(shù)力量處理安全事件，分析事件產(chǎn)生的原因，管理員如何解決問(wèn)題，收集相關(guān)的資料并記錄下來(lái)，總結(jié)經(jīng)驗(yàn)教訓(xùn)，提高學(xué)校網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)問(wèn)題的能力，學(xué)校各職能部門以及校外技術(shù)員提供技術(shù)支持的應(yīng)急響應(yīng)的能力。

建立校園網(wǎng)安日常工作制度，詳細(xì)的規(guī)定系統(tǒng)賬號(hào)管理、硬件設(shè)備安全策略設(shè)置規(guī)則、設(shè)備的升級(jí)與打補(bǔ)丁、安全日志管理規(guī)則等，詳細(xì)記錄管理員日常的巡查、維護(hù)操作，安全設(shè)備的配置信息應(yīng)妥善保存，供應(yīng)商處需有相關(guān)的備份，定期備份防火墻、安全審計(jì)系統(tǒng)、運(yùn)維安全網(wǎng)關(guān)、智能管理中心等日志。

3 結(jié)束語(yǔ)

校園網(wǎng)絡(luò)安全建設(shè)的內(nèi)容其實(shí)涵蓋面非常廣，在大力建設(shè)數(shù)字化信息化校園的同時(shí)，進(jìn)一步加強(qiáng)校園網(wǎng)絡(luò)安全，需要學(xué)校領(lǐng)導(dǎo)的重視以及在資金上的大力支持，引進(jìn)網(wǎng)絡(luò)安全方面相關(guān)人才，送管理員到技術(shù)雄厚的企業(yè)參加培訓(xùn)，提高解決問(wèn)題的能力。采購(gòu)網(wǎng)絡(luò)安全設(shè)備，同時(shí)引入企業(yè)技術(shù)員參與校園網(wǎng)絡(luò)安全建設(shè)，與企業(yè)簽訂安全運(yùn)營(yíng)相關(guān)的合同，維護(hù)好校園網(wǎng)絡(luò)。另外，可以通過(guò)培訓(xùn)，開(kāi)講座，宣傳欄，網(wǎng)站宣傳等手段，加大網(wǎng)絡(luò)安全相關(guān)知識(shí)的宣傳力度，提高全校師生的網(wǎng)絡(luò)安全意識(shí)，提升網(wǎng)絡(luò)防范能力。

參考文獻(xiàn)：

[1] 林玉梅.高校校園網(wǎng)絡(luò)安全防護(hù)方案的設(shè)計(jì)與實(shí)施[D]. 華僑大學(xué)， 2015.

[2] 佚名. GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求概要[J]. 信息技術(shù)與標(biāo)準(zhǔn)化， 2009（11）：36-38.

【通聯(lián)編輯：光文玲】