信息安全等级保护背景下校园网安全体系建设初探.docx

?

?

信息安全等级保护背景下校园网安全体系建设初探

?

?

何磊

摘要：该文结合我国信息安全等级保护工作的要求，阐述了在网络安全形势日益严峻的背景下，从安全技术和网络管理两方面构建起校园网络安全体系，保障校园网上信息、资源以及大规模用户群体的网络安全。

关键词：等级保护；校园网；网络安全

：TP393.0：A：1009-3044（2016）21-0026-02

Abstract：Thisarticleexplainedthatinthebackgroundoftheincreasinglyseverenetworksecuritysituation，howtoprotectthecampusnetworkinformation，resourcesandlarge-scaleusersnetworksecuritybyestablishingcampusnetworksecuritysystemfrombothaspectsofsecuritytechnologyandnetworkmanagementundertherequirementofclassifiedprotectionofinformationsecurityissued.

Keywords：classifiedprotection；campusnetwork；networksecurity

随着互联网技术的不断发展，高校校园网的网络规模迅速壮大，网络资源不断丰富，已经成为高校教学、科研和管理等各项工作开展的重要平台。近年来，随着网络安全形势日益严峻，我国提出了信息安全等级保护的工作策略，特别是中央网络安全和信息化领导小组的成立，将网络安全推向更高的战略高度。信息安全等级保护是我国对信息和信息载体按照重要性等级分级别进行保护的一种工作，其工作内容包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。校园网作为一种较为特殊的网络形式，构建起符合信息安全等级保护要求的网络安全体系，已成为当前校园网建设的重点工作。

1校园网络安全的现状

高校校园网是一种用户群体性较强、教育科研资源较为丰富、结构较为复杂且功能多样的高密度接入网络。由于提供面向互联网提供信息服务，我校校园网边界和各类服务器经常遭遇来自互联网IP的各种攻击和试探；由于以学生为主体的活跃用户群体信息安全意识较为薄弱，用户个人终端安全问题，如病毒、木马等造成的校园网内部安全事件也时有发生；校园内各种独立专网与校园网互联的边界管理模糊，缺乏必要的安全隔离措施。种种情况表明，建设符合信息安全等级保护要求，且符合校园网络特点的网络安全体系已经迫在眉睫。

2校园网络安全的技术防范措施

2.1校园网区域的划分

根据校园网范围内不同的特征，将我校校园网逻辑上划分为内网用户区域、公共服务器区域、内网服务区域以及独立专网区域，分而治之，以便在不同区域内部和编辑制定不同的防范措施和策略，具体区域划分如图1。

2.2校园网不同逻辑区域的安全策略

2.2.1外网区域与校园网互联边界的安全技术策略

外网区域是相对整个校园网而言，是校园网与各类运营商网络互联的边界，在这两个区域的边界，最重要的是考虑访问控制和网络的逻辑隔离。按照信息安全等级保护的要求我校利用防火墙技术隔离两个区域，并结合校园网的特点制定详细的访问控制和过滤策略，宏观上建立起校园网安全体系的第一道防线。

我们将防火墙连接的三个区域分别定义为ExtraNet（ISP接入）、DMZ区域（放置服务器）、IntraNet（连接校园网），结合包过滤防火墙特点，基于访问端口非需要不开启的原则制定了三个区域互访的共计5条策略。如图2所示，其中一条ExtraNet对DMZ区域访问访问策略，我们根据实际访问需求仅开放了以下访问端口。

2.2.2校园网服务器区域的安全策略

校园网的服务器区域包括图一中的公共服务器区域和内网服务器区域，这里存放着大量的提供对内和对外网络服务的各类应用系统，等级保护相关标准中也对服务器的物理安全、自身系统安全以及访问控制策略的设置等提出了要求。因此除了防火墙针对DMZ区域的宏观访问控制策略外，我们在服务器区域部署了小型IPS系统，并结合服务器所承载的应用系统及操作系统特征，制定有针对性的安全策略，如TCP连接控制、操作系统补丁、服务器安全软件及按需开启服务端口等，进一步细化针对服务器区域的访问控制。例如，图3是我们针对某提供公共web服务的服务器制定的一些特殊访问策略：

2.2.3校园网内各类专用网络与校园网边界互联的安全策略

由于信息化建设的推进和各类应用业务系统的多样化，校园网内存在以一卡通财务