信息与电脑2018年第22期China Computer&Communication信息安全与管理智慧校园网络安全建设一体化策略研究胡进娟(江苏第二师范学院 信息化办公室网络中心,江苏 南京 210013)摘 要:随着数字化校园的建设,各大高校逐步向智慧校园发展。校园网络是高校信息化建设的基础网络,校园网络及其信息系统中的网络安全问题日渐凸显。高校汇集了全校师生的档案等敏感信息,一旦发生安全事件,将严重损害个人利益。为提高智慧校园网络的安全性,提出对校园网络安全体系建设开展一体化策略研究。从当前校园网络安全建设现状入手,提出智慧校园网络安全建设的措施。关键词:智慧校园;网络安全建设;一体化策略中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2018)22-199-03Research on the Integrated Strategy of Smart Campus Network Security ConstructionHu JinjuanAbstract: (Network Center of Information Office, Jiangsu Second Normal University, Nanjing Jiangsu 210013, China)network is the basic network of university informatization construction, the network security problem in campus network and its With the construction of the digital campus, universities have gradually developed into smart campuses. Campus information system is becoming more and more prominent. Universities gather sensitive information such as files of teachers and students in the school. If a security incident occurs, it will seriously harm personal interests. In order to improve the security of intelligent campus network, this paper puts forward an integrated strategy research on campus network security system construction. security construction.Starting from the current situation of campus network security construction, this paper puts forward some measures for campus network Key words: smart campus; network security construction; integrated strategy1 引言对其他安全域未深入考虑,这造成了校园网的安全隐患。当网络技术的不断发展促进了高校校园网的广泛应用。高出现网络安全事件时,管理人员无法及时更改校园网的基本校汇集了全校师生的档案、教务、教学资料等敏感信息,一建设,导致学校在网络安全管理方面承担一定损失[2]。此外,旦发生安全事件,将严重损害师生利益,同时给学校声誉造由于网络安全体系缺乏宏观层面的顶层设计,网络安全管理成负面影响[1]。因此,智慧校园建设中网络安全防护尤为重要。不能做到全面、及时。随着网络安全法的实施和等保2.0时网络安全建设已从过去单纯依靠防火墙、防病毒入侵检测系代的来临,现有的安全架构无法满足新形势下的安全要求,统等被动防御模式上升到整体防御、分区隔离、内外兼防和网络安全问题时刻困扰着网络管理人员。技管并重的主动防御模式。2.2 防御手段不足2 高校校园网络安全建设现状高校互联网的出口设备单一、功能简单,校内数据中心2.1 安全架构不完善缺少防火墙机制,云平台下虚拟机东西向流量的安全往往被忽视。另外,应用网站数量多、漏洞多,网页被篡改、信息高校校园网建设往往没有按学校实际情况,对网络安全泄露等问题时有发生。由于安全防护手段薄弱,学校难以及建设制定中、长期规划,甚至仅在互联网出口设置防火墙,时察觉分散的威胁信息,进而无法及时调整安全策略。作者简介:胡进娟(1982-),女,江苏南京人,硕士研究生,工程师。研究方向:校园网络、数据中心、网络安全、云计算。— 199 —信息安全与管理信息与电脑China Computer&Communication2018年第22期2.3 缺乏数据分析、监控、可视化管理件,而防火墙等传统设备对此束手无策。Web应用防护系统高校网络安全建设尚处于起步阶段,部分高校尚未统一(WAF)可以解决诸如此类的应用安全问题,为网站安全提规划网络安全管理体制,导致网络安全事件频发[3]。事实证明,供有力支撑。对来自Web端的各类请求,WAF通过内容检绝大部分网络安全事件可以事前阻断,但不能事前预知风险。测和验证,实时阻断非法请求,从而有效防护校园网站。因为没有深入分析校内外数据及行为,没有从全局视角去发3.2.3 网站云端安全防护现、识别、理解和分析可视化管理,所以难以做到事前预知、通过购买专业化厂商的云端防护,能够弥补WAF应用的不事中防御、事后及时止损。足。同时,可提供便捷的集中管控、统一的安全配置、业务监控3 校园网络安全建设一体化策略研究和数据分析等功能,大大简化了网络管理人员的工作复杂度。智慧校园网络安全建设应从学校实际出发,结合国家信3.2.4 虚拟化安全防护息安全等级保护相关要求,明确管理安全域,制定一体化安虚拟化环境中常出现病毒风暴、安全域混乱、虚拟全保障策略。安全域的划分包括互联网接入区、数据中心、机相互攻击等问题。虚拟化安全管理系统通过提供杀毒、终端区域以及运维管理区。webshell扫描、防暴力破解以及防火墙模块等功能,统一安3.1 互联网接入区全防护与管理物理资源池、虚拟资源池,为物理机、虚拟机提供整体安全防护。互联网接入区将校园内部网络与互联网逻辑隔离。它是连接校园内部与外部的桥梁。既面临如黑客入侵、病毒侵袭、3.3 终端区域僵尸木马等外部威胁,又面临非主观的风险引入、网络资源相关资料统计,网络安全事件约有80%源自计算机终端滥用等内部威胁。互联网接入区需通过部署下一代防火墙、问题。终端安全已成为全球计算机用户面临的新挑战。终端上网行为管理等措施保障边界网络安全。区域主要为办公区域的PC及手机端的接入,其安全保障主3.1.1 下一代防火墙(NGFW)要包括准入管理、病毒查杀、安全管控等。校园传统网络部署中,通常应用状态检测防火墙,它在3.3.1 终端准入管理性能有限的基础上,最大程度实现会话控制。但是,无法识准入管理可有效阻止非合规用户引入的安全威胁,达到别存在于数据应用层的病毒、木马、广告、垃圾邮件和应用管理用户接入的同时规范化管理终端的目的。终端准入管理程序等。下一代防火墙保留了状态检测防火墙的优点,同时提供了接入发现、用户注册、认证授权、安全检查、隔离修具备内容过滤、IPS、流量管理和用户认证等多种应用层过滤复和访问控制等“一站式”入网控制流程,使内部网络管理技术,为用户提供了L2-L7更全面的安全防御。安全、透明、可控。3.1.2 上网行为管理3.3.2 终端杀毒及安全管控上网行为管理能够实时监控、管理网络资源使用情况。办公区终端安装安全防护软件,可消除病毒、木马、未通过与认证系统对接,可以管理师生的操作行为。记录、分知恶意软件,并提供终端资产管理、漏洞补丁管理、移动存析用户网络行为后,可以实现上网人员管理、上网浏览管理、储管理和终端安全审计等功能,有效确保终端设备安全性。上网外发管理、上网应用管理以及上网流量管理。3.4 运维管理区3.2 数据中心运维管理区安全主要涉及日志收集、审计管理、资源管数据中心是校园业务服务器和存储的核心区域,其安全控、可视化管理和智能运维等。该区域的安全可通过堡垒机、保障可通过部署数据库防火墙、WAF、云端网站防护产品以VPN、安管平台来保障。及虚拟化安全系统实现。3.4.1 运维审计3.2.1 数据库防火墙部署堡垒机既可对核心设备开展运维管理,又可进行安数据库防火墙基于SQL语句和语法特征保护数据库和数全审计管控。它提供了统一口令管理、身份认证、操作授权据。通过部署数据库防火墙,可以防止内部人员的误操作、越和关键操作监控等功能,全程跟踪、记录运维人员的操作行权访问、违规备份。对外部的数据库访问请求而言,可有效阻为,不仅达到事前预防、事中预警的目的,也是事后追溯的断黑客攻击、SQL注入、权限盗用等行为,保障校园数据安全。可靠证据来源。3.2.2 本地化网站安全防护3.4.2 用户安全接入高校网站常发生网页篡改、SQL注入、挂马等安全事SSL VPN可使师生在校外使用PC、手机等终端,通过— 200 —信息与电脑2018年第22期China Computer&Communication信息安全与管理浏览器远程接入内网,访问校内资源。VPN集中管理资源,上升趋势。构建校园网络过程中,安全问题时刻影响高校各对各级别用户配置细粒度的访问策略。用户只有在校外通过项工作的顺利开展。本文分析了目前高校网络安全建设的现身份认证和数据加密传输后,才能随时随地地访问校园网内状,并提出了智慧校园网络安全建设一体化策略,对构建智各种资源,保障了校内关键资源的安全性。慧校园网络安全立体防护体系有一定参考价值。3.4.3 安管平台建立安管平台,通过收集校内各类网络设备、安全设备、参考文献服务器操作系统、数据库以及各种应用系统的日志、事件、[1]李赓曦,姚健,牛晨.基于等级保护制度的校园网络告警信息,多维度跨域分析,深入挖掘数据,可视化形式呈安全建设实践[J].信息安全与技术,2016,7(4):72-74.现全网安全态势。此外,针对校园系统薄弱领域,联动安全[2]蔡春莹.高校校园网网络安全问题分析及解决方案探设备实现自动精准阻断。索[J].数字通信世界,2017(8):205.4 结 语[3]高薇,许浩,宁玉文,等.基于安全态势感知平台的高校网络SOC研究——以第四军医大学为例[J].计算机技术随着我国信息化时代的不断发展,智慧校园网络建设呈与发展,2018(1):150-154.(上接第192页)少了企业单位在名誉等方面的损失。技术给危机公关管理系统提供了技术上的支持,使得基于大加强内部沟通,各个部门权责明确,提高决策效率。该数据的危机管理系统成为可能。公共部门可以更快地从源头系统根据功能划分为权责明确的4个部分,每个部分有自己上收集数据,找到应对危机事件的对策,更重要的是,公共部门具体的功能和任务,在整个危机管理过程中都扮演着重部门可以更加注重时效性,切实加强预测与防控,强化舆情要的角色,缺一不可。明确的权责分工有利于发挥每个部门管理,为监控与预防提供可能,降低了企业单位的直接和间的资源和长处,提高资源的利用率,同时也大大提高了各个接损失。本研究探索出了新时代下的危机管理的新方法和新部门在危机发生时的沟通效率,从而使管理者在需要快速作模式,无论是对公共部门还是企业,都具有一定的指导意义出决策的危机阶段能够果断采取明智的措施。和广泛应用前景。加强内部监督,督促决策的执行。危机管理是一个具有流程的过程,下一步骤的部门可以监督上一步骤的工作,从参考文献而在内部形成一种自我监督的机制,使得所有部门在整个危机管理流程中不放松,时刻关注公共危机的走向,也因此,[1]陈剩勇,于兰兰.网络化治理:一种新的公共治理模这种具有自我监督也可以推动对决策执行的监督,对决策作式[J].政治学研究,2012(2):108-119.出实时的调整。[2]霍晓静.论自媒体时代新闻媒体危机管理[J].中国报利用大数据技术优势形成评估和反馈机制。大数据时代业,2018(4).的海量数据,是流动着的资产,合理高效地利用这些流动资[3]张俊杰,杨利.基于大数据技术的企业危机管理创新产可以为企业单位创造新的价值。该系统依托的评估和反馈[J].商业经济研究,2015(22):94-95.步骤,就是针对每次危机管理的过程,整理相关的数据材料,[4]王柳梅.自媒体时代高校网络舆情危机管理研究[D].总结出成功或失败的经验,从而为企业单位本身和其他的企长春:长春工业大学,2017.业单位解决类似危机提供更有参考价值的建议。[5]张俊杰,杨利.基于大数据技术的企业危机管理创新[J].商业经济研究,2015(22):94-95.5 结 语[6]何军.基于云计算技术的大数据下企业危机管理系统自媒体信息传播给危机公关管理带来压力,同时大数据研究[J].科技管理研究,2014(21):159-164.— 201 —