本文主要對四川廣播電視大學(xué)簡稱四川電大校園網(wǎng)絡(luò)建設(shè)展開研究，在前期建設(shè)中，學(xué)校對于網(wǎng)絡(luò)安全認(rèn)識也是不充分的，網(wǎng)絡(luò)安全也是四川電大校園內(nèi)的較弱的環(huán)節(jié)，為此下面文章結(jié)合公安部與教育部提出的信息安全等級保護(hù)要求，全面建設(shè)四川電大網(wǎng)絡(luò)安全體系，從而為學(xué)校學(xué)生提供一個安全可靠的上網(wǎng)學(xué)習(xí)環(huán)境。

　　關(guān)鍵詞：等保,網(wǎng)絡(luò)安全,電大

　　1等保制度概述

　　1.1開展等保工作的背景

　　2007年7月四部委會簽《關(guān)于印發(fā)〈信息安全等級保護(hù)管理辦法的通知〉公通[2007]43號。2014年10月教育部辦公廳印發(fā)《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南(試行)》，要求全國各高校根據(jù)實(shí)際情況，按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，開展信息系統(tǒng)的安全等級保護(hù)工作。網(wǎng)絡(luò)安全法于2017年6月1日正式實(shí)施，其中第二十一條明確我國實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。

　　1.2四川電大的等保要求

　　根據(jù)不同的信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，及其遭到攻擊破壞后對國家安全、社會秩序、公共利益、公民個人、法人或者其他組織的合法權(quán)益的危害程度，信息系統(tǒng)安全等級保護(hù)分為5級，每一級都有不同的定級標(biāo)準(zhǔn)[1]。

　　四川電大涉及師生員工個人信息的重要信息系統(tǒng)和網(wǎng)站有近百個，根據(jù)服務(wù)對象和發(fā)布方式將其劃分為五類：第一類是學(xué)生考試平臺和學(xué)習(xí)平臺，包括新為考試、終結(jié)性考試、形考平臺和成人學(xué)習(xí)平臺、中開學(xué)習(xí)平臺、精品課程、社區(qū)教育網(wǎng)等十多個網(wǎng)站或平臺;第二類是電大站群和期刊網(wǎng)站，其中電大站群影響面和訪問量都較大，它涵蓋了四川電大的院處網(wǎng)站和主要的宣傳網(wǎng)站，而期刊網(wǎng)站包括現(xiàn)代遠(yuǎn)教研究、當(dāng)代職業(yè)教育和四川遠(yuǎn)程電子出版社，訪問量較小;第三類是公用服務(wù)系統(tǒng)，如教務(wù)系統(tǒng)、電子郵件、OA協(xié)同辦公、VPN、雙向視頻、工資查詢、經(jīng)營資產(chǎn)管理與項(xiàng)目收支查詢服務(wù)等，這些系統(tǒng)應(yīng)用較專業(yè);第四類是財(cái)務(wù)系統(tǒng)，包括金財(cái)網(wǎng)和復(fù)旦天翼財(cái)務(wù)專網(wǎng)兩個;第五類是網(wǎng)絡(luò)管理和運(yùn)維專用的系統(tǒng)，如上網(wǎng)認(rèn)證服務(wù)、上網(wǎng)行為管理等。

　　根據(jù)四川電大的實(shí)際情況，結(jié)合信息系統(tǒng)安全等級保護(hù)的5級分類要求，四川電大可以參照等保二級的標(biāo)準(zhǔn)來構(gòu)建網(wǎng)絡(luò)安全體系。根據(jù)等保定級的要求構(gòu)建網(wǎng)絡(luò)安全體系，能夠有效杜絕網(wǎng)絡(luò)安全設(shè)備的重復(fù)浪費(fèi)。

　　2校園網(wǎng)概況和網(wǎng)絡(luò)安全威脅分析

　　2.1校園網(wǎng)概況

　　四川電大校園網(wǎng)絡(luò)始建于20世紀(jì)90年代初期，從無到有、從少到多，期間經(jīng)歷了三次大的建設(shè)過程。第一階段是90年代初期到2000年初期，校園網(wǎng)絡(luò)初期投入使用，校園網(wǎng)絡(luò)資源和信息系統(tǒng)較為貧乏，管理機(jī)構(gòu)和相關(guān)制度處于初創(chuàng)中;第二階段是2000年初期到2000年后期，經(jīng)過多年的逐步建設(shè)，成立了信息中心，建設(shè)了初期的網(wǎng)絡(luò)安全制度，同時(shí)，少量的信息系統(tǒng)投入運(yùn)行中;第三階段是2000年后期到2010年初期，網(wǎng)絡(luò)建設(shè)和安全制度建設(shè)力度逐步加大，專業(yè)機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備投入運(yùn)行，相關(guān)的安全制度也在不斷完善中。

　　截止到2018年，四川電大建設(shè)一個數(shù)據(jù)中心機(jī)房、兩個監(jiān)控機(jī)房、三個網(wǎng)絡(luò)匯聚機(jī)房，服務(wù)器和交換機(jī)數(shù)量都超過百臺，存儲資源超過100T，出口帶寬400M，校園網(wǎng)的骨干區(qū)域?yàn)?0000M核心網(wǎng)絡(luò)，上網(wǎng)實(shí)名認(rèn)證覆蓋了整個校園，校園網(wǎng)的建設(shè)基本完成。但在網(wǎng)絡(luò)安全方面依然處于比較薄弱的狀態(tài)，現(xiàn)有電大網(wǎng)絡(luò)中，在網(wǎng)絡(luò)出口處設(shè)置兩臺Juniper傳統(tǒng)防火墻進(jìn)行冗余備份，通過策略精細(xì)化定制能在一定程度上阻止外網(wǎng)非法訪問內(nèi)網(wǎng);兩臺上網(wǎng)行為管理產(chǎn)品用于內(nèi)網(wǎng)的安全接入及流控審計(jì)，控制內(nèi)網(wǎng)用戶上網(wǎng)流量，保證通過內(nèi)網(wǎng)上網(wǎng)擁有一個很好的體驗(yàn);兩臺F5負(fù)載均衡設(shè)備用于鏈路負(fù)載均衡和反向代理。

　　在這樣的網(wǎng)絡(luò)安全防護(hù)體系下，不論是數(shù)據(jù)中心機(jī)房的服務(wù)器，還是校園網(wǎng)中的個人電腦，都面臨著較為嚴(yán)峻的安全形勢，既有外部威脅，自身又有脆弱性和薄弱環(huán)節(jié)，是否能夠及時(shí)發(fā)現(xiàn)并成功阻止各類入侵和攻擊、防止信息資源泄露，保障校園網(wǎng)中的各類信息系統(tǒng)安全正常運(yùn)行成為網(wǎng)絡(luò)安全建設(shè)所面臨的首要問題。

　　2.2網(wǎng)絡(luò)安全威脅分析

　　2.2.1網(wǎng)絡(luò)設(shè)備自身存在的安全缺陷

　　在校園網(wǎng)中，存在傳輸基礎(chǔ)數(shù)據(jù)的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器、無線控制器等，存在固有的或配置、使用上的弱點(diǎn)，一旦暴露，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備自身面臨威脅[2]。

　　2.2.2主機(jī)系統(tǒng)自身存在的安全缺陷

　　在校園網(wǎng)中，不管是信息系統(tǒng)、Web網(wǎng)站還是其他內(nèi)網(wǎng)的服務(wù)器，都有相應(yīng)的操作系統(tǒng)，而不論是什么樣的操作系統(tǒng)，都不可能無缺陷和無漏洞。一旦系統(tǒng)中存在的漏洞和缺陷暴露，就給入侵者進(jìn)行非法操作提供了便利。另外，在實(shí)際應(yīng)用中，系統(tǒng)的應(yīng)用是否配置安全策略關(guān)系到系統(tǒng)的安全程度，系統(tǒng)如果沒有采用相應(yīng)的訪問控制和授權(quán)機(jī)制，那么掌握一般攻擊技術(shù)的人都可能成功入侵。

　　2.2.3應(yīng)用系統(tǒng)自身存在的安全缺陷

　　常見的應(yīng)用系統(tǒng)安全缺陷包括：源程序中的漏洞，被攻擊者發(fā)現(xiàn)和利用，影響業(yè)務(wù)系統(tǒng)的使用，甚至是中斷;出于代碼調(diào)試的便捷，代碼中人為留下“后門”，一旦被攻擊者發(fā)現(xiàn)和利用后，就能夠通過“后門”直接取得系統(tǒng)的控制權(quán);很多應(yīng)用系統(tǒng)身份認(rèn)證安全性弱，黑客能夠輕易獲得應(yīng)用系統(tǒng)的訪問權(quán)限，從而訪問到業(yè)務(wù)系統(tǒng)的敏感信息，造成信息外泄;應(yīng)用系統(tǒng)的用戶名和口令不進(jìn)行加密而是以明文方式傳遞，極易被黑客截獲，然后對應(yīng)用系統(tǒng)進(jìn)行非授權(quán)訪問;各種可執(zhí)行文件成為病毒的直接攻擊對象。

　　2.2.4工作人員自身存在不足

　　安全的設(shè)備和系統(tǒng)離不開人的管理，安全策略最終要靠人來落實(shí)，因此，IT運(yùn)維和管理人員是整個信息系統(tǒng)安全防護(hù)中極為重要的一環(huán)。IT管理人員的安全意識薄弱或安全操作水平低將給信息系統(tǒng)造成極大的安全隱患。

　　3建設(shè)方案

　　在經(jīng)過多次調(diào)研后，結(jié)合四川電大的實(shí)際安全需求、安全方案建設(shè)原則以及等保二級的要求，四川電大安全建設(shè)方案包括如下四個方面：網(wǎng)絡(luò)層安全、主機(jī)層安全、應(yīng)用層安全、數(shù)據(jù)層安全。

　　3.1網(wǎng)絡(luò)層安全

　　網(wǎng)絡(luò)層指利用交換機(jī)、路由器和相關(guān)網(wǎng)絡(luò)設(shè)備建成的，可以基于本地終端或遠(yuǎn)程終端進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境，是四川電大信息化的基礎(chǔ)設(shè)施之一，是保障四川電大信息系統(tǒng)安全穩(wěn)定運(yùn)行的必備條件，也是實(shí)現(xiàn)四川電大內(nèi)部縱向交互、與其他單位橫向交流的重要保證。根據(jù)等保二級的要求，網(wǎng)絡(luò)層的安全主要涉及：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防御、惡意代碼的防范。合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，是網(wǎng)絡(luò)結(jié)構(gòu)安全的基礎(chǔ)。

　　邏輯上通過交換機(jī)的VLAN技術(shù)根據(jù)不同職能的需求在核心交換機(jī)上規(guī)劃網(wǎng)段，配置ACL策略進(jìn)行隔離，然后按需合理規(guī)劃路由，在業(yè)務(wù)終端與信息系統(tǒng)服務(wù)器之間構(gòu)建安全的邏輯路徑。物理上根據(jù)實(shí)際的安全需求，在網(wǎng)絡(luò)鏈路中加入網(wǎng)絡(luò)安全設(shè)備。網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防御、惡意代碼的防范作為網(wǎng)絡(luò)層安全的重要組成部分，既是四川電大實(shí)際的網(wǎng)絡(luò)安全需求，也是等保二級測評中的關(guān)鍵得分項(xiàng)，甚至是一票否決項(xiàng)。下一代防火墻(NGAF)集成了風(fēng)險(xiǎn)預(yù)知、深度安全防護(hù)、檢測響應(yīng)的功能，形成了全程保護(hù)、全程可視的融合安全體系。在網(wǎng)絡(luò)的邊界部署下一代防火墻(NGAF)便能夠做到網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防御、惡意代碼防范。

　　3.2主機(jī)層安全

　　主機(jī)層包括各類服務(wù)器、終端及其操作系統(tǒng)。主機(jī)層作為信息化的核心基礎(chǔ)設(shè)施，起著信息存儲、傳輸、應(yīng)用處理等核心作用，其安全性能夠影響到所承載業(yè)務(wù)的各個方面，任何一個節(jié)點(diǎn)都有可能影響整個網(wǎng)絡(luò)的安全，而作為四川電大信息應(yīng)用系統(tǒng)中重要的組成部分，系統(tǒng)層包括的設(shè)備數(shù)量眾多，面臨著各種各樣的安全風(fēng)險(xiǎn)。

　　一方面，其承載著信息系統(tǒng)應(yīng)用業(yè)務(wù)數(shù)據(jù)和信息，這些業(yè)務(wù)數(shù)據(jù)和信息是系統(tǒng)信息資產(chǎn)的重要組成部分;另一方面，作為支撐各項(xiàng)應(yīng)用業(yè)務(wù)的起點(diǎn)和終點(diǎn)，病毒、木馬等時(shí)刻都有通過終端蔓延滲透到后臺應(yīng)用系統(tǒng)和服務(wù)器操作系統(tǒng)中的可能，系統(tǒng)的整體安全面臨巨大的威脅。這就要求四川電大信息應(yīng)用系統(tǒng)及時(shí)調(diào)整安全防護(hù)戰(zhàn)略，將著眼點(diǎn)放到內(nèi)網(wǎng)安全上，為此需要以內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境為核心建立內(nèi)網(wǎng)安全技術(shù)體系來保障其安全，從而進(jìn)一步完善四川電大信息應(yīng)用系統(tǒng)安全技術(shù)體系。

　　根據(jù)等保二級的要求，主機(jī)層安全主要涉及：身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼的防范。四川電大采用銳捷SAM認(rèn)證系統(tǒng)來完成身份的鑒別，每一個登入校園網(wǎng)的用戶，都必須使用校園網(wǎng)的用戶賬號。再結(jié)合上網(wǎng)行為管理系統(tǒng)和堡壘機(jī)，便能做到對主機(jī)用戶的訪問控制和安全審計(jì)。入侵防范和惡意代碼的防范需要結(jié)合NGAF的IPS功能和終端防惡意代碼軟件。IPS能夠檢測到外來攻擊者入侵服務(wù)器行為，記錄下入侵者的源IP地址、入侵的方式、入侵的時(shí)間，當(dāng)發(fā)生嚴(yán)重入侵事件時(shí)能夠及時(shí)報(bào)警;終端防惡意代碼軟件掃描漏洞，及時(shí)更新系統(tǒng)補(bǔ)丁。

　　3.3應(yīng)用層安全

　　應(yīng)用層是可以提供給最終用戶真正辦公功能的層次，應(yīng)用層是終端用戶與主機(jī)層、網(wǎng)絡(luò)層的連接橋梁。應(yīng)用層涵蓋各種信息應(yīng)用、信息處理、信息傳輸、信息存儲和其他辦公應(yīng)用等，這些功能依靠相應(yīng)的應(yīng)用信息系統(tǒng)、數(shù)據(jù)庫軟件等來實(shí)現(xiàn)。隨著四川電大信息應(yīng)用系統(tǒng)各業(yè)務(wù)子系統(tǒng)和信息安全的發(fā)展，應(yīng)用系統(tǒng)將面臨諸多的安全威脅。身份認(rèn)證的欺騙、用戶權(quán)限的濫用、輸入數(shù)據(jù)校驗(yàn)的異常等等，都對應(yīng)用開發(fā)提出了新的安全設(shè)計(jì)和防護(hù)要求。而目前各主要應(yīng)用系統(tǒng)在開發(fā)之初還是以滿足應(yīng)用需求為主要出發(fā)點(diǎn)，對安全考慮還并不充分。

　　在應(yīng)用系統(tǒng)的生命周期中，在系統(tǒng)設(shè)計(jì)和開發(fā)階段進(jìn)行安全防護(hù)是對應(yīng)用系統(tǒng)進(jìn)行安全控制的一個重要手段。對于新上線的應(yīng)用系統(tǒng)，必須要考慮到應(yīng)用系統(tǒng)安全模塊的開發(fā)和改造。對于現(xiàn)有業(yè)務(wù)系統(tǒng)應(yīng)通過技術(shù)、管理、培訓(xùn)等多種手段對應(yīng)用系統(tǒng)代碼、安全功能、數(shù)據(jù)、開發(fā)、外包、測試、部署等方面所涉及的安全問題采取有針對性安全措施。

　　根據(jù)等保二級的要求，應(yīng)用層安全主要涉及：身份鑒別、安全審計(jì)、Web應(yīng)用防護(hù)、通信機(jī)密性。身份鑒別和安全審計(jì)依靠堡壘機(jī)和日志審計(jì)系統(tǒng)，通過堡壘機(jī)可以設(shè)計(jì)登錄失敗處理措施，如強(qiáng)制結(jié)束會話和限制非法登錄次數(shù)等，保證系統(tǒng)用戶名的唯一性;通過日志審計(jì)系統(tǒng)不僅生成審計(jì)記錄，還要對審計(jì)設(shè)備所記錄下數(shù)據(jù)按算法統(tǒng)計(jì)、分析，最終生成有重要參考價(jià)值的審計(jì)報(bào)表。

　　Web應(yīng)用防護(hù)依靠Web應(yīng)用防火墻(WAF)，傳統(tǒng)的防火墻無法在應(yīng)用層面測定一個數(shù)據(jù)包在擁有正確的地址指向情況下是否包含安全風(fēng)險(xiǎn)，但Web應(yīng)用防火墻能夠?qū)��?shù)據(jù)包中包含的內(nèi)容進(jìn)行詳細(xì)檢測，發(fā)現(xiàn)并阻止有安全威脅的數(shù)據(jù)包。通信機(jī)密性可以依靠VPN技術(shù)或者加密軟件，采用SSLVPN、IPSECVPN能在一定程度上保障數(shù)據(jù)傳輸?shù)陌踩�，加密軟件會在通信過程中對整個報(bào)文或會話過程進(jìn)行加密。

　　3.4數(shù)據(jù)層安全

　　數(shù)據(jù)層是信息系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)的匯聚地，對于四川電大而言，數(shù)據(jù)至關(guān)重要。根據(jù)等保二級的要求，數(shù)據(jù)層安全需求包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)庫安全審計(jì)。數(shù)據(jù)的安整性和數(shù)據(jù)的保密性，可以依靠下一代防火墻(NGAF)和存儲設(shè)備來實(shí)現(xiàn)。NGAF擁有加密機(jī)制和加密協(xié)議，可以對數(shù)據(jù)進(jìn)行加密。數(shù)據(jù)的完整性在傳輸過程中能夠由校驗(yàn)技術(shù)來保證，將存儲數(shù)據(jù)生成多份，保證當(dāng)數(shù)據(jù)完整性受到破壞時(shí)可恢復(fù)數(shù)據(jù)。數(shù)據(jù)庫安全審計(jì)可以依靠數(shù)據(jù)審計(jì)系統(tǒng)來完成，該系統(tǒng)能通過關(guān)聯(lián)審計(jì)應(yīng)用層訪問和數(shù)據(jù)庫操作請求，完整記錄下訪問者信息，在需要時(shí)實(shí)現(xiàn)完全追溯。

　　4結(jié)語

　　四川電大是一所應(yīng)用網(wǎng)絡(luò)技術(shù)和信息技術(shù)的學(xué)校，校園網(wǎng)安全的重要性日益凸顯。結(jié)合信息系統(tǒng)安全等級保護(hù)的要求，打造符合四川電大實(shí)際需求的網(wǎng)絡(luò)安全體系，將是四川電大未來信息化建設(shè)的重點(diǎn)工作。網(wǎng)絡(luò)安全領(lǐng)域的形勢變化非常迅速，各種攻擊手段、各種新技術(shù)不斷出現(xiàn)，本文中提到的安全體系建設(shè)方案還有許多不足之處，希望能在今后的工作中不斷完善。

　　參考文獻(xiàn)：

　　[1]王厚奎.等保要求下的高校網(wǎng)絡(luò)安全體系構(gòu)建研究[D].桂林:廣西師范大學(xué),2011.

　　[2]林玉梅.高校校園網(wǎng)絡(luò)安全防護(hù)方案的設(shè)計(jì)與實(shí)施[D].泉州:華僑大學(xué),2015.

　　更多網(wǎng)絡(luò)安全論文：大學(xué)生網(wǎng)絡(luò)安全意識提升方法探究

　　在發(fā)展網(wǎng)絡(luò)經(jīng)濟(jì)，國家大數(shù)據(jù)等一系列國家方針戰(zhàn)略政策下，我國的互聯(lián)網(wǎng)技術(shù)也獲得了長久的發(fā)展。互聯(lián)網(wǎng)的復(fù)雜環(huán)境對于大學(xué)生產(chǎn)生了深刻的影響，在大學(xué)生的日常教育中，也應(yīng)注重大學(xué)生的網(wǎng)絡(luò)安全意識教育。為此本文主要研究當(dāng)前大學(xué)生網(wǎng)絡(luò)安全現(xiàn)狀，分析提升網(wǎng)絡(luò)安全意識的途徑，強(qiáng)化學(xué)生的網(wǎng)絡(luò)安全意識，降低學(xué)生生命財(cái)產(chǎn)損失，幫助大學(xué)生更快成才。