高校网络信息安全解决方案

计算机网络与信息安全本栏目责任编辑：冯蕾Computer Knowledge and Technology 电脑知识与技术第5卷第18期(2009年6月)高校网络信息安全解决方案

张凡

（河南经贸职业学院，河南郑州450053）

摘要：该文以目前高校信息化建设过程中所出现种种安全问题为切入点，结合实际工作经验，提出了一套由信息安全技术体系和信息安全管理体系所构成的高校网络整体信息安全解决方案。

关键词：信息安全；高等院校；解决方案

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2009)18-4697-02

University of Network Information Security Solutions

ZHANG Fan

(Henan Economy and Trade Vocational College,Zhengzhou 450053,China)

Abstract:In this paper,the current information of colleges and universities in the construction process there are all sorts of security issues as the breakthrough point,combined with practical work experience,put forward a set of information security technology systems and informa -tion security management system of colleges and universities constitute the overall network information security solutions.

Key words:information security;institutions of higher learning;solutions

目前，我国高校信息化建设取得了巨大的成就，一个完整的高校信息化体系已然成型，但在成绩的背后，高校信息安全领域存在的问题也不容忽视，一些问题已演变为各个学校的“通病”，能否对它们有清醒的认识并加以妥善的处理，将决定中国高校信息化建设的未来。

1目前我国高校信息安全存在的问题

1.1建立信息安全体系的理解和观念淡薄

很多学校现在都设置有网络中心和信息中心两个部门，但是在具体的事物上部门之间的衔接与配合问题多多，主要体现在：网络中心疲于应付飞速增长的病毒和木马，天天焦头烂额；信息中心对于学校重要信息的保护缺乏整体的构建，导致重要数据丢失，学生成绩查询系统和学校网站主页被篡改的情况时有发生。

1.2机制问题

机构和体制问题是造成政出多门，未能协调统一的根本原因。理论上讲，各校的网络中心应该是各校信息安全建设的直接负责机构。但实际情况是网络中心理论责任和实际权限并不相称，统筹全校的信息化建设时常表现得心有余而力不足。

1.3标准问题

我国目前在标准建设方面还很滞后，缺乏全国统一的教育信息安全标准也是导致目前校内、校际间信息系统彼此不兼容，信息孤岛严重的客观原因。

2高校网络整体信息安全解决方案

在校园网的网络信息安全体系建设中，必须从信息安全技术体系和信息安全管理体系的建设两个方面考虑。我们提出以下校园网信息系统的整体安全体系方案。该体系主要分为三个方面，即标准管

理、技术实施、日志监督。如图1所示。

2.1规范管理制度体系

管理制度是整个信息安全体系的灵魂，它保证了整个制度体系在硬

性规定下平稳运行，为信息安全提供了良好的保障。高校应建立规范的管

理制度体系，具体表现在以下几个方面：

1)规范网络信息安全管理制度，配备专门的信息安全管理员，加强网

络信息安全保密工作。

2)制定校园网用户守则，规范网络道德。

3)制定严格的网络信息机房管理制度，保证数据中心安全。

4)规范设备安装操作管理制度，对相关配置信息及时存档。

2.2信息安全日志监控体系

日志是信息安全的重要部分，任何信息安全系统都离不开日志信息，收稿日期：2009-03-25

作者简介：张凡（1981-），男，河南沁阳市人，硕士，助教，研究方向为软件开发和项目管理。

图1校园网信息系统的整体安全体系方案ISSN 1009-3044Computer Knowledge and Technology

电脑知识与技术Vol.5,No.18,June 2009,pp.4697-4698E-mail:info@ Tel:+86-551-569096356909644697

Computer Knowledge and Technology电脑知识与技术第5卷第18期(2009年6月)

日志的监督贯穿整个信息安全体系。详细的日志和统计信息可以帮助分析网络运行状况、系统安全状态、邮件分类情况、配置操作情况等。对于信息安全日志监控体系，包括校园网络用户访问日志、网络运行平台日志系统、日志的监督和分析。

2.2.1物理层

物理层的安全包括机房建设，环境安全，安全控制三个方面。机房建设和环境安全是指机房的防火、防盗、防静电的设施配备以及合理有序的设备和线路布置；而安全控制则是指有足够的硬件支持整个安全系统的正常运行，这是安全的前提，物理层安全的缺漏通常会带来严重的后果。

2.2.2系统层

系统层的安全问题来自网络内使用的操作系统。系统层的安全性问题表现在两方面：操作系统本身的不安全性以及对操作系统的安全配置问题。随着人们对Windows操作系统的不断深入研究，Windows的系统漏洞逐渐被人们发现，这就需要我们及时地对系统进行更新，防止漏洞被利用，对于Unix系统也是同样需要不断完善的。另外，系统的口令以及安全策略方面的配置也是需要管理员慎重考虑的。

2.2.3网络层

信息安全体系中的网络层指基础的IP地址控制技术，对全校进行静态IP地址分配，IP地址的分配采取实名制登记，实现将IP 地址与mac地址的绑定，防止IP地址盗用和ARP攻击。设置基于IP地址的Vlan划分，不允许Vlan间的通信，阻隔了内部的信息窃取和攻击行为。建立Sniffer监控站，对相关信息进行监控，及时发现异常IP，防止出现僵尸网络。

2.2.4信息资源层

对于这一层的安全主要考虑所采用的应用软件和业务数据的安全性，它包括：数据库软件、Web服务、电子邮件系统等，其安全可以通过计费网关、邮件过滤、病毒防范、数据分析来解决。

1)计费网关

计费网关系统是基于用户身份的计费系统，计费网关系统所有进程以nobody身份运行保证进程安全，能够防止IP地址的冒用，保证计费的真实性，有效地防止窃听保证账号的安全，所有管理员的相关操作都会被记入日志，用户的登录和连线通过浏览器进行，也可以通过浏览器的安全连接进行以保证用户ID、密码的传输安全。

2)邮件过滤

在垃圾邮件控制和防范方面，采用满足公安部有关垃圾邮件过滤的技术要求，通过系统接口，可以同各地公安机关的垃圾邮件网关接警平台进行对接的网关系统。

3)病毒防范

学校应建立病毒检测系统，监控网络运行情况，能够在第一时间内检测到网络异常和病毒攻击，定期进行系统安全性扫描分析，评估安全性能。建立应急响应系统，发现感染病毒的机器，立即隔离，防止向网络中其他用户传播。提高个人用户防范意识，加强个人计算机防护，定期更新杀毒软件和防火墙，对资料和引导区信息定期备份，及时发布系统漏洞信息，提醒用户下载修复。

4)数据分析

建立数据分析系统，对网络用户流量信息、用户访问信息、系统扫描信息等进行数据汇总，由系统管理人员定期进行数据分析，将异常情况及时通知有关人员并做好记录。对相关数据的整理分析帮助管理人员更好的掌握信息网络的整体运行情况，也为指定策略和计划提供了资料。

2.2.5核心设备层

合理的网络结构是信息安全体系的重要部分，而网络设备的安全防护则是重中之重。安全防护技术通常有几下几种手段，防火墙技术、访问控制技术、病毒防御技术、认证授权审计(3A)、VPN技术。

防火墙可以过滤进出网络的数据包，管理进出网络的访问行为，记录通过防火墙的信息内容和活动；访问控制技术是允许用户对其使用的数据库进行适当的权限访问，限制随意删除、修改或拷贝工作。

认证技术其目的是实现身份鉴别服务、机密性服务和不可否认服务，它也是校园网进行用户管理的常用手段，目前校园网普遍存在的IP地址盗用问题，是可以通过认证技术解决的。同时，认证技术还可以针对校园网用户进行简单的访问控制设置，区分合法与非法用户。

入侵检测技术是一种新型的网络安全技术，它可以实时地通过网络监控攻击行为，并采取相应的防护手段；而异常监控技术则可以实时监控网络异常、系统异常和应用的异常；一旦攻击形成，我们还可以在入侵检测系统中进行日志分析，采用取证技术，以便可以亡羊补牢或者直接定位攻击者。

2.2.6园区防护层

校园网的整体防护应建立等级保护制度，重点保障基础网络和重要系统的安全，完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。对黑客的嗅探和扫描，应该能将大部分阻拦在校园网之外并捕获相关信息。对外来不良信息和反动信息，应能及时发现、阻拦相关信息，使其无法进入校园网。

3结束语

总之，高校网络信息安全是一个动态发展过程，是检测、监视、安全响应的循环过程。对网络安全防范体系的建立不是一劳永逸的，随着计算机技术的发展，新技术的不断涌现和使用，新的安全问题也不断涌现，在对网络安全的防范策略要不断改进，保证网络安全防范体系的良性发展，确保校园网络朝着健康、安全、高速的方向发展。

参考文献：

[1]胡铮.网络与信息安全[M].北京:清华大学出版社,2006.

[2]许桂芳.浅谈局域网安全防范[J].农业网络信息,2007(2):62-66.

[3]翁小兰.VLAN技术在校园网中的应用[J].网管员世界,2005(4):72-73.

4698

计算机网络与信息安全

本栏目责任编辑：冯蕾