本文主要對四川廣播電視大學簡稱四川電大校園網絡建設展開研究，在前期建設中，學校對于網絡安全認識也是不充分的，網絡安全也是四川電大校園內的較弱的環節，為此下面文章結合公安部與教育部提出的信息安全等級保護要求，全面建設四川電大網絡安全體系，從而為學校學生提供一個安全可靠的上網學習環境。

　　關鍵詞：等保,網絡安全,電大

　　1等保制度概述

　　1.1開展等保工作的背景

　　2007年7月四部委會簽《關于印發〈信息安全等級保護管理辦法的通知〉公通[2007]43號。2014年10月教育部辦公廳印發《教育行業信息系統安全等級保護定級工作指南(試行)》，要求全國各高校根據實際情況，按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，開展信息系統的安全等級保護工作。網絡安全法于2017年6月1日正式實施，其中第二十一條明確我國實行網絡安全等級保護制度。

　　1.2四川電大的等保要求

　　根據不同的信息系統在國家安全、經濟建設、社會生活中的重要程度，及其遭到攻擊破壞后對國家安全、社會秩序、公共利益、公民個人、法人或者其他組織的合法權益的危害程度，信息系統安全等級保護分為5級，每一級都有不同的定級標準[1]。

　　四川電大涉及師生員工個人信息的重要信息系統和網站有近百個，根據服務對象和發布方式將其劃分為五類：第一類是學生考試平臺和學習平臺，包括新為考試、終結性考試、形考平臺和成人學習平臺、中開學習平臺、精品課程、社區教育網等十多個網站或平臺;第二類是電大站群和期刊網站，其中電大站群影響面和訪問量都較大，它涵蓋了四川電大的院處網站和主要的宣傳網站，而期刊網站包括現代遠教研究、當代職業教育和四川遠程電子出版社，訪問量較小;第三類是公用服務系統，如教務系統、電子郵件、OA協同辦公、VPN、雙向視頻、工資查詢、經營資產管理與項目收支查詢服務等，這些系統應用較專業;第四類是財務系統，包括金財網和復旦天翼財務專網兩個;第五類是網絡管理和運維專用的系統，如上網認證服務、上網行為管理等。

　　根據四川電大的實際情況，結合信息系統安全等級保護的5級分類要求，四川電大可以參照等保二級的標準來構建網絡安全體系。根據等保定級的要求構建網絡安全體系，能夠有效杜絕網絡安全設備的重復浪費。

　　2校園網概況和網絡安全威脅分析

　　2.1校園網概況

　　四川電大校園網絡始建于20世紀90年代初期，從無到有、從少到多，期間經歷了三次大的建設過程。第一階段是90年代初期到2000年初期，校園網絡初期投入使用，校園網絡資源和信息系統較為貧乏，管理機構和相關制度處于初創中;第二階段是2000年初期到2000年后期，經過多年的逐步建設，成立了信息中心，建設了初期的網絡安全制度，同時，少量的信息系統投入運行中;第三階段是2000年后期到2010年初期，網絡建設和安全制度建設力度逐步加大，專業機房、服務器、網絡設備投入運行，相關的安全制度也在不斷完善中。

　　截止到2018年，四川電大建設一個數據中心機房、兩個監控機房、三個網絡匯聚機房，服務器和交換機數量都超過百臺，存儲資源超過100T，出口帶寬400M，校園網的骨干區域為10000M核心網絡，上網實名認證覆蓋了整個校園，校園網的建設基本完成。但在網絡安全方面依然處于比較薄弱的狀態，現有電大網絡中，在網絡出口處設置兩臺Juniper傳統防火墻進行冗余備份，通過策略精細化定制能在一定程度上阻止外網非法訪問內網;兩臺上網行為管理產品用于內網的安全接入及流控審計，控制內網用戶上網流量，保證通過內網上網擁有一個很好的體驗;兩臺F5負載均衡設備用于鏈路負載均衡和反向代理。

　　在這樣的網絡安全防護體系下，不論是數據中心機房的服務器，還是校園網中的個人電腦，都面臨著較為嚴峻的安全形勢，既有外部威脅，自身又有脆弱性和薄弱環節，是否能夠及時發現并成功阻止各類入侵和攻擊、防止信息資源泄露，保障校園網中的各類信息系統安全正常運行成為網絡安全建設所面臨的首要問題。

　　2.2網絡安全威脅分析

　　2.2.1網絡設備自身存在的安全缺陷

　　在校園網中，存在傳輸基礎數據的網絡設備，如交換機、路由器、無線控制器等，存在固有的或配置、使用上的弱點，一旦暴露，可能導致網絡設備自身面臨威脅[2]。

　　2.2.2主機系統自身存在的安全缺陷

　　在校園網中，不管是信息系統、Web網站還是其他內網的服務器，都有相應的操作系統，而不論是什么樣的操作系統，都不可能無缺陷和無漏洞。一旦系統中存在的漏洞和缺陷暴露，就給入侵者進行非法操作提供了便利。另外，在實際應用中，系統的應用是否配置安全策略關系到系統的安全程度，系統如果沒有采用相應的訪問控制和授權機制，那么掌握一般攻擊技術的人都可能成功入侵。

　　2.2.3應用系統自身存在的安全缺陷

　　常見的應用系統安全缺陷包括：源程序中的漏洞，被攻擊者發現和利用，影響業務系統的使用，甚至是中斷;出于代碼調試的便捷，代碼中人為留下“后門”，一旦被攻擊者發現和利用后，就能夠通過“后門”直接取得系統的控制權;很多應用系統身份認證安全性弱，黑客能夠輕易獲得應用系統的訪問權限，從而訪問到業務系統的敏感信息，造成信息外泄;應用系統的用戶名和口令不進行加密而是以明文方式傳遞，極易被黑客截獲，然后對應用系統進行非授權訪問;各種可執行文件成為病毒的直接攻擊對象。

　　2.2.4工作人員自身存在不足

　　安全的設備和系統離不開人的管理，安全策略最終要靠人來落實，因此，IT運維和管理人員是整個信息系統安全防護中極為重要的一環。IT管理人員的安全意識薄弱或安全操作水平低將給信息系統造成極大的安全隱患。

　　3建設方案

　　在經過多次調研后，結合四川電大的實際安全需求、安全方案建設原則以及等保二級的要求，四川電大安全建設方案包括如下四個方面：網絡層安全、主機層安全、應用層安全、數據層安全。

　　3.1網絡層安全

　　網絡層指利用交換機、路由器和相關網絡設備建成的，可以基于本地終端或遠程終端進行數據傳輸的網絡環境，是四川電大信息化的基礎設施之一，是保障四川電大信息系統安全穩定運行的必備條件，也是實現四川電大內部縱向交互、與其他單位橫向交流的重要保證。根據等保二級的要求，網絡層的安全主要涉及：網絡結構安全、網絡訪問控制、網絡入侵防御、惡意代碼的防范。合理規劃網絡結構，是網絡結構安全的基礎。

　　邏輯上通過交換機的VLAN技術根據不同職能的需求在核心交換機上規劃網段，配置ACL策略進行隔離，然后按需合理規劃路由，在業務終端與信息系統服務器之間構建安全的邏輯路徑。物理上根據實際的安全需求，在網絡鏈路中加入網絡安全設備。網絡訪問控制、網絡入侵防御、惡意代碼的防范作為網絡層安全的重要組成部分，既是四川電大實際的網絡安全需求，也是等保二級測評中的關鍵得分項，甚至是一票否決項。下一代防火墻(NGAF)集成了風險預知、深度安全防護、檢測響應的功能，形成了全程保護、全程可視的融合安全體系。在網絡的邊界部署下一代防火墻(NGAF)便能夠做到網絡訪問控制、網絡入侵防御、惡意代碼防范。

　　3.2主機層安全

　　主機層包括各類服務器、終端及其操作系統。主機層作為信息化的核心基礎設施，起著信息存儲、傳輸、應用處理等核心作用，其安全性能夠影響到所承載業務的各個方面，任何一個節點都有可能影響整個網絡的安全，而作為四川電大信息應用系統中重要的組成部分，系統層包括的設備數量眾多，面臨著各種各樣的安全風險。

　　一方面，其承載著信息系統應用業務數據和信息，這些業務數據和信息是系統信息資產的重要組成部分;另一方面，作為支撐各項應用業務的起點和終點，病毒、木馬等時刻都有通過終端蔓延滲透到后臺應用系統和服務器操作系統中的可能，系統的整體安全面臨巨大的威脅。這就要求四川電大信息應用系統及時調整安全防護戰略，將著眼點放到內網安全上，為此需要以內網網絡環境為核心建立內網安全技術體系來保障其安全，從而進一步完善四川電大信息應用系統安全技術體系。

　　根據等保二級的要求，主機層安全主要涉及：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼的防范。四川電大采用銳捷SAM認證系統來完成身份的鑒別，每一個登入校園網的用戶，都必須使用校園網的用戶賬號。再結合上網行為管理系統和堡壘機，便能做到對主機用戶的訪問控制和安全審計。入侵防范和惡意代碼的防范需要結合NGAF的IPS功能和終端防惡意代碼軟件。IPS能夠檢測到外來攻擊者入侵服務器行為，記錄下入侵者的源IP地址、入侵的方式、入侵的時間，當發生嚴重入侵事件時能夠及時報警;終端防惡意代碼軟件掃描漏洞，及時更新系統補丁。

　　3.3應用層安全

　　應用層是可以提供給最終用戶真正辦公功能的層次，應用層是終端用戶與主機層、網絡層的連接橋梁。應用層涵蓋各種信息應用、信息處理、信息傳輸、信息存儲和其他辦公應用等，這些功能依靠相應的應用信息系統、數據庫軟件等來實現。隨著四川電大信息應用系統各業務子系統和信息安全的發展，應用系統將面臨諸多的安全威脅。身份認證的欺騙、用戶權限的濫用、輸入數據校驗的異常等等，都對應用開發提出了新的安全設計和防護要求。而目前各主要應用系統在開發之初還是以滿足應用需求為主要出發點，對安全考慮還并不充分。

　　在應用系統的生命周期中，在系統設計和開發階段進行安全防護是對應用系統進行安全控制的一個重要手段。對于新上線的應用系統，必須要考慮到應用系統安全模塊的開發和改造。對于現有業務系統應通過技術、管理、培訓等多種手段對應用系統代碼、安全功能、數據、開發、外包、測試、部署等方面所涉及的安全問題采取有針對性安全措施。

　　根據等保二級的要求，應用層安全主要涉及：身份鑒別、安全審計、Web應用防護、通信機密性。身份鑒別和安全審計依靠堡壘機和日志審計系統，通過堡壘機可以設計登錄失敗處理措施，如強制結束會話和限制非法登錄次數等，保證系統用戶名的唯一性;通過日志審計系統不僅生成審計記錄，還要對審計設備所記錄下數據按算法統計、分析，最終生成有重要參考價值的審計報表。

　　Web應用防護依靠Web應用防火墻(WAF)，傳統的防火墻無法在應用層面測定一個數據包在擁有正確的地址指向情況下是否包含安全風險，但Web應用防火墻能夠對數據包中包含的內容進行詳細檢測，發現并阻止有安全威脅的數據包。通信機密性可以依靠VPN技術或者加密軟件，采用SSLVPN、IPSECVPN能在一定程度上保障數據傳輸的安全，加密軟件會在通信過程中對整個報文或會話過程進行加密。

　　3.4數據層安全

　　數據層是信息系統數據和用戶數據的匯聚地，對于四川電大而言，數據至關重要。根據等保二級的要求，數據層安全需求包括：數據完整性、數據保密性、數據庫安全審計。數據的安整性和數據的保密性，可以依靠下一代防火墻(NGAF)和存儲設備來實現。NGAF擁有加密機制和加密協議，可以對數據進行加密。數據的完整性在傳輸過程中能夠由校驗技術來保證，將存儲數據生成多份，保證當數據完整性受到破壞時可恢復數據。數據庫安全審計可以依靠數據審計系統來完成，該系統能通過關聯審計應用層訪問和數據庫操作請求，完整記錄下訪問者信息，在需要時實現完全追溯。

　　4結語

　　四川電大是一所應用網絡技術和信息技術的學校，校園網安全的重要性日益凸顯。結合信息系統安全等級保護的要求，打造符合四川電大實際需求的網絡安全體系，將是四川電大未來信息化建設的重點工作。網絡安全領域的形勢變化非常迅速，各種攻擊手段、各種新技術不斷出現，本文中提到的安全體系建設方案還有許多不足之處，希望能在今后的工作中不斷完善。

　　參考文獻：

　　[1]王厚奎.等保要求下的高校網絡安全體系構建研究[D].桂林:廣西師范大學,2011.

　　[2]林玉梅.高校校園網絡安全防護方案的設計與實施[D].泉州:華僑大學,2015.

　　更多網絡安全論文：大學生網絡安全意識提升方法探究

　　在發展網絡經濟，國家大數據等一系列國家方針戰略政策下，我國的互聯網技術也獲得了長久的發展。互聯網的復雜環境對于大學生產生了深刻的影響，在大學生的日常教育中，也應注重大學生的網絡安全意識教育。為此本文主要研究當前大學生網絡安全現狀，分析提升網絡安全意識的途徑，強化學生的網絡安全意識，降低學生生命財產損失，幫助大學生更快成才。