談教學信息化系統信息安全建設的思考

前言：尋找寫作靈感？中文期刊網用心挑選的談教學信息化系統信息安全建設的思考，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要:隨著高校教學信息化系統的深入建設與擴展，教學信息化系統對日常教學的支撐和服務日益顯露出其重要性與必要性。新一代網絡安全技術和產品的引入對在現有網絡環境下加強教學信息化系統安全保證其安全穩定運行給出了有益的幫助。本文從閩南師范大學教學信息化系統的安全建設的現狀和實踐出發就此問題進行研究和思考。

關鍵詞:教學信息化系統;信息安全;態勢感知;行為管理

一、建設現狀

閩南師范大學教務處作為本校教學信息化系統的建設和管理單位多年來對教學信息化系統進行了持續的投入和建設，目前已初步建成了覆蓋“一江兩校區”的教學信息化系統。其中包括覆蓋兩校區所有教學樓和附屬設施的教學專用網絡和覆蓋全校238間教室的云多媒體教室系統，以及教務管理系統、教學可視化管理系統、音視頻信息發布系統、標準化考試巡考系統、智慧教學系統、在線教學直播錄播系統、教室物聯網管理系統等各種教學信息化應用系統。其中教學專用網絡是閩南師范大學各大教學信息化業務平臺及教務處信息系統的基礎核心，是校園網的一個重要的子網。因為有大量為廣大師生服務的重要信息(數據)平臺，所以信息系統安全是網絡保護的核心。在現有系統結構下，閩南師范大學教學信息系統已穩定運行多年。但隨著國家關于等級保護要求的提高以及信息系統在學校整體運行中的重要性日益提高，在現有教學專用網絡結構和安全設備基礎上，實施重點保護，對各應用系統深入開展信息安全保護工作，并在此基礎上指引后續信息化安全建設方向成為信息化系統建設新的工作重心。

二、現存問題

如閩南師范大學教學信息化系統拓撲圖所示，目前教學信息化系統全網使用RG-S8605E作為單獨核心，使用千兆光纖下聯RG-S2910接入交換機，由接入交換機接入RG-CT6300云桌面終端，其云桌面服務器及其他應用系統服務器全部通過直連千兆電纜接入核心交換機部署。該拓撲結構較為簡潔，但因此帶來的問題十分明顯:(1)全網拓撲結構中現有設備，使用目的均為保障日常辦公、教學業務的開展，專網網絡出口及各分區均無安全設備部署。雖然學校校園網絡出口有網絡安全設備，但隨著信息化發展，專網內部各系統面臨的安全防護、應用控制、安全連接等各類安全問題的解決迫在眉睫;(2)在目前情況下無法對用戶日常使用各類應用所產生的數據進行全面檢查和分析，對于可能存在的違規行為無法進行及時有效的深度識別、管控和審計;(3)在網絡潛在攻擊和威脅層面，現有設備架構無法對網絡流量進行審計，無法對重要原始網絡數據包的保存、威脅情報檢測、攻擊檢測等進行操作，對于各類高風險的運維訪問協議，并在連接過程進行身份識別、行為分析、風險鑒別。

三、建設思路及方案

(一)建設思路

根據閩南師范大學教學信息化系統的現狀和存在的問題，筆者及團隊從以下幾個角度出發進行思考，開展如何實行信息系統及配套網絡系統的安全建設改造，力求通過從整個系統頂層架構的調整來解決現存的問題并為今后信息系統的建設做好準備。

1．網絡架構調整

通過在教學信息化專用網絡與校園網連接的邊界安全域部署防火墻，在各個安全域邊界部署防火墻實現各個安全域的邊界隔離和劃分，在防火墻上配置訪問控制策略對外部訪問和內部數據訪問進行控制。防火墻可根據會話狀態信息，對源地址、目的地址、源端口、目的端口和協議等進行訪問控制，做到允許/拒絕訪問，控制力度可設置為端口級。

2．建立訪問控制體系

通過在安全區域邊界設置自主和強制訪問控制機制，應對源及目標計算節點的身份、地址、端口和應用協議等進行可信驗證，對進出安全區域邊界的數據信息進行控制，阻止非授權訪問。

3．建立態勢感知系統

考慮在教學信息化專網內部建設態勢感知系統，對專網內部數據訪問進行動態監控。該系統可根據采集的攻擊信息，對攻擊來源、目標等進行統計和計算，對攻擊來源進行溯源，讓管理員對全網的攻擊態勢進行動態的跟蹤了解，以及時進行處置干預，保證網內信息安全。

4．建設安全管理中心系統

安全管理中心是為提供集中安全管理功能的系統，是安全應用系統安全策略部署和控制的中心，對安全通信網絡、安全區域邊界和安全計算環境上的安全機制實施統一集中管理。安全管理中以大數據框架為基礎，結合威脅情報系統，協助建立和完善對網絡內部的安全態勢監控、安全威脅實時預警、安全事故緊急響應的能力，利用智能化預警協助管理員快速發現和分析安全問題，并通過技術手段，實現安全問題閉環管理。

(二)設備選型要求

1．下一代防火墻設備

網關類安全產品作為整個網絡安全架構中的關鍵組成部分，承擔著安全防護、應用控制、安全連接、多運營商鏈路加速等多維度的復雜任務，因此在建設中要求具備以下要求:(1)采用CPU+ASIC硬件芯片融合技術，以此解決現在設備采用的傳統X86架構在應用層數據檢測方面存在的性能瓶頸問題;(2)在支持NAT、ACL、DDoS防御等傳統安全功能的同時也應支持多樣化的應用級安全功能，包括病毒查殺、入侵檢測、APP檢測、文件過濾、惡意URL過濾等;(3)可對大量的網絡應用和地址進行快速識別，要求可識別超過3000個以上的互聯網應用和超過2．5億個URL地址;(4)可針對應用、用戶、內容關聯分析，審計全網的事件日志并通過數據分析處理，將事件日志分類、整合，提供潛在威脅的預警;(5)支持與在線安全系統如線上云安全中心的聯動，可以在線獲取有效的針對未知威脅的防護方案，以便應對超出傳統防御手段的威脅與攻擊。

2．上網行為管理設備

行為管理設備可以針對性的對系統和網內用戶的數據訪問和分發等行為進行管控，對特征用戶進行預警和跟蹤，對信息化系統的內部管理有重要的意義，因此從以下幾方面提出設備要求:(1)可以精確識別用戶上網的URL、網絡搜索、外發文件、郵件、微博等，支持移動APP識別、用戶終端關聯無線APMAC、SSID識別、HTTPS網頁及SSL加密郵件識別，可以進行全面的內容審計精細透視網絡行為;(2)需要支持用戶、協議、接口上下行流量管理，支持帶寬多級嵌套管理、上網應用細分控制、上網總時長管理、會話控制，并可通過設置優先級保障關鍵業務帶寬，實現多級帶寬管理;(3)可以進行郵件收發管理和附件過濾、不良網站封堵、HTTP/FTP文件傳輸控制、搜索關鍵字過濾，異常流量檢測告警、異常行為檢測告警等精細化信息管理;(4)要求具備上網行為審計許可及公共場所無線上網服務許可，滿足6個月以上的上網日志存儲要求，支持和上級網絡管理平臺數據對接;(5)支持本地認證、支持微信認證、短信認證、LDAP、Radius、AD域認證，輕松滿足身份系統對接。

3．流量態勢感知系統

流量態勢感知設備可以進一步完善在網絡安全數據采集能力，在高速網絡環境下實行對主流網絡數據包的解碼、協議識別及會話重組/保存、重要原始網絡數據包的保存、威脅情報檢測、攻擊檢測等;對于相關重要的會話信息、攻擊檢測、威脅情報檢測等生成的安全事件轉發至BDS上層模塊作為進一步分析的數據來源，是對傳統安全防御系統的進一步完善和補充。其具體特點和選型要求有:(1)要求采用零拷貝、全程無鎖化技術處理網絡流量數據包，利用CPU向量化指令對各類模式進行識別或匹配，保證在超大流量情況下，系統整體處理無延時;(2)要求采用向量機、馬爾科夫轉移概率分析、距離分析、參數及非參數假設檢驗分析等智能分析方法對各類網絡連接及流量進行分析，對可能隱藏的問題進行深層級挖掘;(3)可從已知簽名檢測、行為檢測、網絡會話異常檢測、威脅情報檢測及事件關聯分析等多個維度對URL、郵件、網絡通道、流量等威脅載體中各類安全威脅進行深度檢測，并在高級持續威脅的漏洞利用、后門植入、后門網絡通道，C＆C回連、流量異常等多個階段、多個攻擊環節上形成比較縱深、完備的檢測體系;(4)可對于HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協議的元數據及會話數據，進行大數據存儲、搜索分析，識別、挖掘其中可疑的攻擊行為，進行安全分析效能持續改進。

結語

閩南師范大學教學信息化系統的安全建設方案依照“化被動為主動，防內與防外并重”的思路進行了整體設計，通過安全設備的多層級多方位部署防御，將原來的被動防御和消極防御轉變為主動防御，在信息系統和專網的管理中掌握優先權。管理員可以跟蹤用戶在服務器上的操作，防御黑客的入侵攻擊，加強安全網絡的防御，及加強高級威脅檢測能力。并通過“文件+流量”雙維度分析，完善各信息系統和專用網絡的“安全墻”，把網絡中的非法分子擋在墻外，也對內部進行審計管理，將內部的“病魔”驅除。同時安全設備盡量采用旁掛方式部署，避免了整體方案因為安全加固而出現新的安全問題。建設的中心思想是要解決當前安全問題，因此在增加安全設備為網絡保駕護航同時也考慮到安全設備造成的與校園網主連接出口單點故障風險，通過網絡架構和設備的合理配置盡量降低因物理鏈路原因而產生的新問題。目前，以上建設方案已經進入分期建設階段，第一期專用網絡改造調整和流量分析系統、網絡運維管理平臺等安全系統已經采購安裝建設到位，完成經費投入約200萬元。目前，已經建設完成的系統和設備已經在日常教學信息化應用中發揮應有的作用。

作者：董征 單位：閩南師范大學