职业院校信息安全保障体系构建研究

    张洪文 韦修圣

    

    摘? 要 当前,信息化在教育领域的渗透不断加深,建立一套完整严密的信息安全保障体系对职业院校信息化来说至关重要。为解决职业院校信息化进程中日益凸显的信息安全问题,分析校园信息安全保障体系的构建原则,并从物理安全、网络安全、系统安全、应用安全、数据库安全等五个方面提出职业院校信息安全保障体系的构建策略,为职业院校信息化建设提供参考和借鉴。

    关键词 平安校园;职业院校;信息安全保障体系;信息系统

    中图分类号:TP309? ? 文献标识码:B

    文章编号:1671-489X(2020)16-0142-03

    1 前言

    在平安校园环境下,信息化的学习生活、教学办公和科研管理都离不开信息系统稳定可靠的运行,信息安全是信息化校园提供稳定服务和可持续发展的基础和前提。目前的国内职业院校信息化建设,安全意识注入不够,缺乏标准体系的规范指导,设计与构建颇显随意,信息系统防护薄弱,存在不同程度的隐患。在信息化高速发展的大背景下,为职业院校信息化系统设计和构建标准的信息安全保障体系,能有效增强信息系统的稳定性、可靠性和安全性,为职业院校信息系统的运作保驾护航,大幅提升信息化建设的效率。

    2 构建原则

    风险、投入与安全效果相平衡的原则? 安全具有相对性,任何系统都不是绝对安全的,其设计应根据潜在的风险以及实际的安全需求,在成本投入和安全效果之间找到一个合适的平衡点,避免高成本低效益或低成本低效益,即不能为了追求高安全性而投入过大,或因过度控制成本而导致安全性不够。

    整体性原则? 信息安全体系的设计应采用系统工程的观点和方法,综合运用多种技术手段和保障措施,以保证整个防御系统的完整性。

    木桶原则? 系统的整体安全程度取决于最弱项的安全性,所以系统的安全设计不能顾此失彼。首先应全盘分析可能遇到的风险与威胁,然后对系统进行全面、均衡的防护设计,以提高整个系统安全最低点的安全性能。

    多重保护原则? 在层出不穷的攻击环境下,任何单一的保护都可能被攻破。设计一个多重保护体系,各层优势互补,当其中一层被攻破时,其他保护层还能继续保障系统的安全,系统安全性可成倍提高[1]。

    动态灵活原则? 信息安全并非一劳永逸,随着时间的推移和环境的改变,很多相对安全的体系会变得越来越不安全[2]。因此,安全体系的建设与维护是长期化的,体系的设计应具有很好的适应性、可变性或可扩充性。

    主动防御原则? 系统安全一旦出现问题,所造成的损失往往是不可挽回的,所以不要等到遭破坏或受攻击后才亡羊补牢,而应提前设计、提前部署、提前防备。

    分区域按等级保护原则? 组成系统的各部分性质和重要性都不一样,其安全性和安全需求也不一定相同,所以在设计安全体系时应划分区域并分等级保护。

    3 安全策略设计

    物理安全

    1)环境安全。要保障信息系统的安全,必须首先确保其实体运行环境的安全。根据GB/T 9361—2011《计算机场地安全要求》,结合实际安全需求,在防盗窃、防水及防潮、防火、防雷、防静电、防电磁干扰、防噪声、防鼠害、楼板承重、内部装修等方面,按照B级标准设计中心机房,同时配备UPS供配电系统、门禁系统(含入侵报警功能)、火灾自动报警系统、视频监控系统、空气调节系统,全面确保系统实体的环境安全。

    2)设备安全,主要包括服务器集群和网络设备群的物理安全。要求:按区域规范化部署,同时打上标签并登记成册,方便维护管理;配备数据库服务器和核心交换机,实现负载均衡,同时确保数据及网络服务不间断;设备与窗户保持防雨淋的安全距离。

    3)媒体安全,包括存储媒体安全和传输媒体安全。存储媒体注意防尘、防霉、防损毁;关闭所有不用的USB接口,对于鼠标、键盘和加密狗所需接口关闭其存储设备的连接功能;建立存储媒体管理系统,对所有存储行为进行审计,防止内部存储媒体的非授权使用。传输媒体采用屏蔽万兆高速线缆、双屏蔽万兆双绞线作为核心层的传输介质;采用光纤作为汇聚层和接入层的传输介质,以提高信号传输的抗干扰性、抗截获性和保密性。

    網络安全

    1)网络边界防护。在内网连接外网的边界点配置复合型防火墙,并根据需要对出入网络的数据流设置相关安全策略,以保障内网与外网数据交换的安全性和正确导向。策略配置应遵循按需创建原则,先关闭所有策略或端口,然后按规程和需求有针对性地开通端口或创建策略;严格控制IP信任域,除用于远程登录的IP外,其余划分为非信任域并予以关闭,以避免非授权访问;定期更换健壮的登录密码,开启防火墙的认证和审计功能,确保访问的安全性和可溯源性;及时保存或备份配置文件,以备恢复时使用。

    2)网络访问控制。通过NAT、VLAN、ACL技术,结合防火墙、入侵检测系统、认证系统、扫描系统,实现外网对内网、内网对外网、内网端到端之间的访问控制。在核心路由器上配置NAT端口映射,除映射必要的服务端口(有些服务的映射须更改默认端口名,以提高访问的安全性)外,关闭所有服务器线路不用的端口,把网络按功能划分成三个服务域,分别为核心服务域(对应中心机房)、管理服务域(对应教学楼、实训楼等)和用户服务域(对应食堂、宿舍等),对核心服务域实行严格的访问控制策略;采用VLAN技术按服务域划分不同的逻辑虚拟子网,各子网之间通过三层交换机或路由器连接,各服务域间通过防火墙保护,分别运用ACL访问控制列表技术实现不同的访问控制;通过三层交换机或路由器实现不同的虚拟子网之间的访问控制以及对外网的访问控制,通过防火墙严格限制不同服务域之间的访问控制。

    3)网络入侵与病毒防范。利用防火墙的入侵检测与防御、病毒防护机制,实现整个网络体系的入侵防范与病毒防范[3]。

    4)组建SSL VPN虚拟专网。为实现远程(或移动)Web办公和Web服务,在服务域与用户域之间建立虚拟专用网,并提供统一的认证门户(平台),要求具有失效访问机制和审计功能,以保证校园内部数据在公网上的传输安全。

    5)无线网络的安全防护。通过核心服务域的无线AC控制器,实现整个校园无线网络的Portal认证、防火墙、入侵防护、策略控制、智能射频等安全功能。

    系统安全? 主要包括核心域操作系统、管理域操作系统和用户域操作系统[4],其安全性要求如表1所示。

    1)核心域系统安全。安装安全性高的正版系统;对不同服务器操作系统分别配置与需求相适应的、完整的安全策略;开启并配置系统防火墙,先关闭所有服务端口,再按需开通服务,做到服务最小化,同时关闭所有默认的共享;定期更新和设置强登录密码,设置屏幕保护且在恢复时自动跳转登录界面,并利用服务器安全审计系统对登录或退出登录的行为进行及时的安全审计;关闭远程桌面连接或远程登录功能,对于需开启远程连接的服务器,须通过网络设备或硬件防火墙设置严格的IP信任域;安装正版杀毒软件,开启系统及杀毒软件自动同步更新机制,设置定期自动查杀及自动扫描修复漏洞功能;对重要文件或目录,设置严格的读写权限或通过软件上加密锁;系统日志设置至少保留三个月;使用专门的服务器管理系统,对服务域进行集中的安全维护,对DMZ服务区设置自动扫描及防御功能。

    2)管理域系统安全。安装原版或纯净版操作系统;根据工作需求,配置完整及个性化的安全策略;开启系统防火墙,关闭所有不用的服务端口,共享资源需设置严格的信任域;设置强登录密码,打开屏幕保护且在恢复时自动跳转到登录界面,关闭匿名用户访问功能;安装杀毒软件并定期查杀,定期扫描和修复漏洞;含有重要数据的目录,设置严格的读写权限。

    3)用户域系统安全。不安装来历不明的操作系统、Ghost版操作系统,系统安装完成后应立即安装杀毒软件并全面扫描;开启系统防火墙;设置登录密码,打开屏幕保护且在恢复时自动跳转到登录界面;安装杀毒软件并定期查杀,定期扫描和修复漏洞。

    应用安全

    1)核心域应用安全。通过防火墙、防病毒服务器、系统自身杀毒软件实现多层病毒防范,重点是E-Mail服务器和网络存储服务器,因为这两处是病毒的集散地。通过防火墙、VLAN、统一的身份认证平台、SSL VPN和ACL技术,严格控制外网域、管理域和用户域(通过信息系统)对核心域应用服务或资源的访问,严格控制不同身份用户的访问权限,并通过服务器安全审计系统进行定期及时的安全审计[5];定期更新或升级应用服务软件,定期扫描并修复安全漏洞。

    2)管理域、用户域应用安全。通过防火墙、防病毒服务器、系统自身杀毒软件实现应用层的多重病毒防范;通过防火墙、VLAN、ACL技术,严格控制外网域及用户域对管理域、外网域对用户域的访问;通过服务器安全审计系统,对管理域和用户域的用户行为进行定期及时的安全审计;定期更新或升级客户端软件,并扫描和修复漏洞。

    数据库安全? 数据库安全包含数据的保密性(防泄露)、完整性(防篡改)、可用性(防攻击或损毁)等三个方面。数据库安全策略的设计应能实现“敏感数据看不见、核心数据拿不走、运维操作能审计”的安全目标。

    1)在应用服务器和数据库服务器之间配置数据库防火墙,任何对数据库的访问和管理都必须经过数据库防火墙,以实现对数据库的认证授权、攻击保护(如防范SQL注入、缓冲区溢出)、访问控制、安全审计等功能。

    2)在数据库服务器上安装数据库管理系统,与数据库防火墙一起,实现对数据库的二次认证,同时实现对数据库的安全存储、增量备份等综合管理与维护[6]。

    3)建立数据库的容灾备份机制。在校园内配备异地存储介质,开通主数据库与备份数据库的实时同步功能;或向知名的服务提供商租用教育云备份空间,设置安全可靠的数据备份专用通道,实现远程容灾。

    4 结语

    實践证明,信息安全保障体系的设计与构建是一个系统工程,涉及信息技术的诸多方面,需要遵循总的原则,与信息化建设同步,围绕物理安全、网络安全、系统安全、应用安全、数据库安全等五个方面构筑和细化并不断完善。

    参考文献

    [1]王聪,薛静,王革明.智慧治理高校信息安全的多重线性规划策略[J].现代教育技术,2019(6):19-25.

    [2]黄立冬.校园计算机网络信息的安全管理探讨[J].教育理论与实践,2019(11):25-26.

    [3]王延明,许宁.高校信息安全风险分析与保障策略研究[J].情报科学,2014(10):134-138.

    [4]胡立朋.高职院校的信息安全保障体系构建与应用[J].网络安全技术与应用,2014(2):98-99.

    [5]吴志军,杨义先.信息安全保障评价指标体系的研究[J].计算机科学,2010(7):7-10.

    [6]吴海燕,戚丽,沈立强.数字校园信息安全保障体系的设计与实现[J].实验技术与管理,2008(8):1-6.

    *项目来源:安顺市教育科学规划课题“中职学校智慧校园建设研究”(课题编号:安顺职教2018004)。

    作者:张洪文,安顺城市服务职业学校,高级讲师,研究方向为计算机应用技术、教育信息化;韦修圣、安顺城市服务职业学校,高级讲师,研究方向为信息技术(561000)。