摘要:闻名全球的勒索病毒WannaCry在短短时间内就迅速波及超过150个国家,设计的行业包括医疗、企业、电力、能源、银行、交通等,虽然微软公司已经针对“永恒之蓝”系统漏洞发布了相应的补丁,但时至今日该勒索病毒仍然潜藏于世界各地并蓄势待发。网络安全不再是远离人们的一个陌生话题,而是就发生在身边,并给其正常工作生活带来严重不利影响,提高网络安全水平成为当务之急。本文从《网络安全等级保护制度》概述、基于等级保护的高校校园网络安全建设措施两方面展开研究,旨在为提高高校网络安全水平以及强化高校校园网络安全建设提供帮助。
关键词:等级保护;高校;校园网络安全建设
1《网络安全等级保护制度》概述
1.1 内涵《网络安全等级保护制度》内涵主要包括以下五方面内容: 1)定级。对全国范围内的所有信息系统根据其重要程度以及受损之后产生的危害性定为五个级别,其中第一级重要性及危害性均最低,而第五级则最高;2)备案。明确网络安全等级之后所有第二级及以上的信息系统均需要到公安机关进行备案,审核合格之后颁发相应的备案证明;3)建设整改。已经备案的单位根据网络安全等级、国家相关标准开展网络安全建设,落实安全举措并明确安全责任、建立并落实各项安全管理制度内容等;4)等级测评。前往公安机关备案的单位选择符合国家规定的测评机构对自身安全等级进行测定;5)监督检查。由公安机关对评定等级为第二级的信息系统予以指导,第三级和第四级信息系统定期进行监督检查和指导工作。
1.2 定级信息系统安全保护等级以重要性及受损后的危害性为主要评估内容,将其分为以下五个保护等级:1)第一级。信息系统受损之后将会对公民个人、法人以及其他组织合法权益带来损害但并不会对国家安全、社会秩序以及公共利益带来损害; 2)第二级。信息系统受损之后将会对公民个人、法人以及其他组织合法权益带来严重损害,或者是对社会秩序、公共利益带来损害,却并不危及国家安全;3)第三级。信息系统受损之后会对整个社会秩序、公共利益带来严重损害,或者是危及国家安全;4)第四级。信息系统受损之后会社会秩序、公共利益造成特别严重的损害,或者是严重危及国家安全;5)第五级。信息系统受损之后会对国家安全造成特别严重的损害。
2 基于等级保护的高校校园网络安全建设措施
由于高校承担着多项科研任务,某些科研项目可能涉及国家安全,所以高校校园网络安全根据《网络安全等级保护制度》定级标准应确定为第三极,在实际建设工作中也应该按照此级别进行设计,其具体措施包括以下几部分:
1)网络安全。由于高校校园信息系统均是在网络环境中运行,一旦被病毒进入网络系统将会给整个校园信息系统带来严重威胁,所以网络安全就成为一个需要引起足够重视的问题。具体措施如下:①物理环境。校园信息网络系统的物理环境由机房、网络设备、线路所组成。当前我国高校校园网总体上可以分为网络出口、服务器、网络管理、个人终端接入等功能区[3] 。所以在构建安全防护体系时就需要根据各个功能区的不同针对性的设定。在网络出口以及服务器前设置网络安全防火墙、防入侵检测及预警系统、上网行为管理系统、安全审计系统 等 加 以 防 护 。 近 些 年 来 木 马 病 毒(Trojan)、蠕 虫 病 毒(Worm)、黑客程序(Hack)、捆绑器病毒(Binder)、网页病毒陆续涌现且随着智能化设备的广泛应用,各类病毒的“智慧”随之提高,此点内容就需要进一步提高防火墙的防护能力[4] 。所以在校园信息系统的边界设置防火墙并积极运用防入侵系统无疑能够大幅降低各种病毒的入侵风险。在设置防火墙以及防入侵系统时应将目前已知的各种网络攻击类型纳入其中,特别是对于暴力破解、结构化查询语言(Structured Query Language, SQL)注入、脚本攻击等更是应该进一步细化和明确,以便于此类网络攻击发生伊始就会被防入侵系统以及防火墙检测并为网络安全管理人员提出警示[5] 。防御特征库应该以月为单位进行动态更新,在病毒猖獗时间段更是需要缩短更新频率,以最大程度上降低针对信息系统高危漏洞开展的攻击行为的发生。安全审计系统主要是针对访问行为进行备份以及动作回放,通过对各种访问行为进行记录并利用自动软件定期统计,能够辅助网络安全管理人员动态回放并针对不同的访问用户设置相应的访问权限。此外,日志服务器收集的信息内容同样重要,日志信息对于犯罪分子以及网络攻击而言具有重要意义,其内容涵盖了服务器、工作站、防火墙、应用软件等活动记录,定期对日志展开分析工作有助于公安机关审计校园信息系统的用户行为、确定网络入侵的具体范围并帮助恢复校园信息系统,为最终确定网络攻击提供完整的证据链。
2)系统安全。信息系统是网络运行所依赖的必须设备,一旦被网络攻击就会导致整个系统瘫痪,各种数据信息面临着篡改以及泄露的风险。按照第三级保护内容系统安全可从以下几方面着手:①由于整个校园信息系统中存在着诸多用户,不同用户的网络访问需求存在着明显的差异性,基于此点网络安全管理人员可根据用户的身份设定其相应的访问权限以及口令策略、禁用远程终端协议,采用安全壳协议(Secure Shell, SSH)与系统服务器保持连接,并被审计系统对其产生的日志内容进行自动审计[6] 。②系统防护则要求网络安全管理人员定期对系统进行更新,特别是脚本、补丁的更新必须与发布商保持同步。根据高校校园信息系统运行参数决定需要开启的服务端口,对于不需要或者是不必要的组件或者是应用服务予以关闭,最大程度上消除网络攻击的漏洞。③在访问控制上既要对外部的恶意访问行为进行监控,又需要对内部的恶意访问行为进行记录,通过源和目的互联网协议地址(Internet Protocol Address,IP)、服务器端口加以限制,将恶意访问的IP地址拉入系统黑名单之中[7] 。
3 小结
综上所述,随着信息技术的快速发展,网络攻击行为越发猖獗,更为严重的是多种具有一定“智慧”的病毒正在或者是已经潜藏于世界各地。由于高校普遍承担着科研重任,某些项目的重要性与国家安全、社会秩序、公众利益密切相关,使得高校校园网络成了网络攻击的重灾区,所以提高其网络安全水平、强化网络安全建设成为当务之急。本文基于等级保护视角出发,从网络安全、系统安全、数据安全、管理安全四方面内容探讨了高校校园网络安全建设的具体措施,对此方面的工作具有一定的借鉴价值。
参考文献:
[1] 左明慧.基于GPON的高校智慧校园网安全策略设计研究[J]. 赤峰学院学报(自然科学版),2018,34(11):52-54.
[2] 杨巍,孙道贺,周建锋,等.高校网络安全提升路径探索——以天津理工大学中环信息学院为例[J].产业与科技论坛,2018, 17(17):49-50.
[3] 张亮.高校网络安全管理的问题及对策研究[J].科技风,2018, 25(23):107.
《基于等级保护的高校校园网络安全建设研究》来源:《电脑知识与技术》,作者:秦丽娜。