校园网络安全系统：基于真实智慧校园项目的安全加固方案

hwyzw

    展开文章目录

    文章目录

    近年来，随着《网络安全法》等法律法规和规章的实施，网络安全越来越受到企事业单位的重视。过去，网络安全设备在我们的信息系统中只起到支撑作用，现在已经转变为“网络安全系统”。 ”...本文介绍的校园网络安全系统是针对一个真正的智慧校园项目的安全加固，涉及到很多方面。你可以参考一下。

    1 网络安全系统概述

    XXX高中、初中云计算中心南北方向、连接互联网的边界和连接教育的边界部署安全门禁设备，包括防火墙、安全网关等城域网，可以根据会话状态信息来控制会话状态。提供明确允许/拒绝数据流访问的能力。控制粒度是端口级别。同时，系统能够对进出网络的信息内容进行过滤，实现应用层协议的命令级控制，充分保证系统在非实时在线层面的安全。保护功能。通过网络和安全系统的部署，具有限制最大网络流量和网络连接数的功能，实现对网络中各应用层各网段的地址欺骗控制，支持用户和系统之间允许的访问规则。允许或拒绝单个用户对受控系统的资源访问。

    在网络安全防护方面，根据信息安全等级防护要求（指第二级）需要配置两台下一代防火墙。其中2台防火墙互为备份，对互联网接入区域进行安全隔离和保护；另外，还需要配置2台上网出口审计（含上网行为管理）设备，互为备份，对访问内容、应用类型、操作类型进行控制。等用于审计和行为管理。

    安全控制策略主要包括物理安全控制策略、访问控制策略、防火墙控制策略。

    （1）物理安全策略：目的是保护计算机系统、网络设备、各种服务硬件和通信链路免受自然灾害、人为破坏和线路攻击；验证用户身份和使用权限，防止用户越权操作；确保计算机系统具有良好的电磁兼容环境；建立完善的安全管理制度，防止非法进入计算机控制室和各种盗窃、破坏活动。

    (2)访问控制策略：保证网络资源不被非法使用和访问。是维护网络系统安全、保护网络资源的重要手段。各种安全战略必须相互配合，才能真正发挥遏制作用。访问控制是网络安全最重要的核心策略之一。主要包括服务器访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络检测和锁定控制、网络端口和节点安全控制等。

    (3)防火墙控制：控制内外网通信的阈值。在网络边界建立相应的网络通信监控系统，隔离内外部网络，阻止外部网络的入侵。安全策略配置要点如下：

    2 网络安全系统架构

    根据国家标准《信息系统安全等级保护基本要求》（GB/T2019），信息系统的安全技术架构应包括物理、网络、系统、应用和数据五个层次的安全控制要素。

    基于信息系统安全等级防护的总体思路，结合荣昌中学智慧校园的特点，提出了平台安全管理系统架构。

    安全管理系统架构图（原附图可编辑）

    《总体安全策略》位于信息系统安全管理体系的第一层，是“智慧校园安全管理体系的最高指导策略”，明确了在规划、设计、实施过程中应遵循的总体安全策略。智慧校园的开发、建设、运行和维护，以及信息安全技术和管理各个环节的安全工作具有普遍的指导意义。

    “安全管理组织框架”位于信息系统安全管理体系第二层，负责建立“智慧校园安全管理组织框架”。是保证荣昌中学智慧校园安全稳定运行、保障信息系统安全管理活动有效开展的管理系统。 。

    《安全管理体系框架》位于信息系统安全管理体系的第三层，涵盖安全管理组织机构及岗位职责、人员安全管理、物理环境管理、信息系统信息/设备/介质安全管理、体系建设等。管理、安全 在运行管理、安全事故处理、应急预案管理等方面提出规范的安全管理要求。

    《配置规范、操作流程和记录表》位于信息系统安全管理体系第四层。从信息系统日常安全管理活动的执行出发，对重大安全管理活动的各项安全管理活动的配置规范、操作流程、执行或操作活动的操作形式提出具体要求，指导安全的具体执行管理工作。

    3 网络安全系统设计

    荣昌中学智慧校园根据等级防护的技术要求，以及物理安全、网络安全、主机安全、应用安全、数据安全的要求，从逻辑隔离、安全域划分和访问控制、安全审计、入侵等方面入手。预防、身份认证、病毒和恶意代码防护、网络设备等受到保护。

    3.1 物理安全设计

    本项目所需机房已建成，在物理选址、物理门禁、防盗防破坏、防雷、防火、防水防潮、防静电等方面均达到G3级防护要求，和电磁保护。

    （1）温湿度控制（G3）要求安装自动温湿度调节设施，使机房内的温湿度变化在设备运行允许的范围内。

    (2)电源(A3)要求

    3.2 网络安全设计

    3.2.1 网络结构安全

    网络结构的安全是网络安全的前提和基础。在荣昌中学智慧校园中，合理规划网络，在业务优先级和业务服务器之间建立安全路径；绘制符合当前运行情况的网络拓扑图；根据各部门的工作职能不同的网段或VLAN，根据重要性、重要性、涉及信息的重要程度等因素划分为不同的网段或VLAN；存储重要业务系统和数据的重要网段不能直接与外部系统连接，需要与其他网段隔离，划分不同的区域。

    3.2.2 网络设备保护

    为提高网络设备的安全性，保障各类网络应用的正常运行，对荣昌中学智慧校园的网络设备进行了一系列的加固。措施包括：

    3.2.3 边界访问控制

    关于荣昌中学智慧校园出入境管控，将采取以下措施：

    3.2.4 边界入侵检测

    在各个区域的边界，防火墙主要起到协议过滤的作用，并根据安全策略确定网络层数据包的合法流动。然而，防火墙并不擅长面对基于应用层内容的日益广泛的攻击。

    在教育专网核心交换机和业务服务器域交换机上以旁路方式部署入侵检测设备，利用IDS的动态检测功能检测接入状态、检测通信协议和应用协议，对网络环境进行深度检测。内容和网络出口。到处部署IPS，阻止外部数据攻击和垃圾数据流的扩散。

    3.2.5 边境安全审计

    传统的防火墙、入侵检测等设备可以防范网络访问控制、异常检测、网络攻击等事件，但无法监控各个网络边界内授权用户的访问情况。因此需要网络安全审计设备对网络边界的用户进行监控。访问行为监控管理和安全事件取证。

   

    在教育专网出口处部署网络审计系统，监控数据并记录各种操作。通过审计分析，可以发现跨区域的安全威胁，实时全面分析网络中发生的安全事件。

    3.2.6 非法外展

    根据防护等级要求，需要对终端用户的非法外联行为进行检测和控制。监控和审计用户违法违规外展活动。

    荣昌中学智慧校园涉及外网终端主机非法对外连接控制。主机监控审计系统用于实现非法外部连接功能，对终端用户的非法外部连接进行检测和审计。

    3.3 主机安全设计

    3.3.1 身份认证

    为了提高主机系统的安全性，保障各类应用的正常运行，荣昌中学智慧校园主机系统需要采取一系列的加固措施，包括：

    3.3.2 加固措施

    荣昌中学智慧校园主机系统访问控制策略需要采取一系列加固措施，包括：

    3.3.3 系统安全审计

    针对荣昌中学智慧校园主机系统安全审计，需要部署主机监控审计系统来进行系统安全审计，包括：

    3.3.4 入侵防御

    荣昌中学智慧校园防范主机系统入侵采取以下措施：

    3.3.5 主机恶意代码防范

    3.3.6 资源控制

    荣昌中学智慧校园资源控制采取以下措施：

    3.4 应用安全设计

    3.4.1 身份认证

    根据分级保护建设的要求，身份认证主要采用以下方法：

    3.4.2 访问控制

    用户登录认证需要两种方式：用户名、密码和CA证书。

    3.4.3 安全审计

    以旁路方式在网络中部署安全审计系统（SAS），将网络流量镜像到安全审计系统（SAS），对访问内容、应用类型、操作类型进行审计。

    针对网络中层出不穷的敏感信息泄露、内部人员非法网络行为等安全事件，需要设计完善的安全审计方案。安全审计系统通过对网络数据的采集、分析和识别，实时动态监控通信内容、网络行为、网络流量，发现和捕获各种敏感信息和违规行为，实时响应报警，全面记录网络系统中的各种对话。和事件，实现网络信息的智能关联分析和评估以及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。

    1）内容审核

    提供深度的内容审计功能，可以对网页内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测和信息还原功能，还可以定制关键词库进行细粒度的审计跟踪。

    2）行为审核

    提供全面的网络行为审计功能，基于设定的行为审计策略，针对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P下载等网络游戏 监控网络应用行为，对符合行为策略的事件提供实时警报和记录。

    3）流量审计

    提供基于协议识别的流量分析功能。例如，可以识别使用80端口的P2P协议，避免基于80端口的HTTP协议的流量统计错误，更加准确可靠；可以实时统计当前网络中的各种报文流量并进行综合分析。流量分析提供详细的流量报告；可编辑指定协议流量的IP TOPN，进行自定义统计，为制定流量管理策略提供可靠支持。

    3.4.4 资源控制

    根据分级保护建设要求，荣昌中学智慧校园资源管控主要采用以下方法：

    3.5 系统运维安全

    按照平台安全管理体系框架中信息系统安全运维相关制度规定，利用物理环境、网络系统、信息安全防护等对系统和功能进行运行、维护、管理、监控和审计以及统一的安全监控管理中心等，不断完善系统运维安全管理的措施和手段，强化运维安全管理的科学规范，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件管理、应急预案管理等，保障系统安全稳定运行。

    重点是进一步建立和完善网络系统安全漏洞的日常扫描、检测、评估和加固、系统安全配置变更、恶意代码病害监测和防护、网络系统运行日志审计记录和分析、数据备份和恢复、和安全事件监控。通报和应急响应机制，重点评估和验证安全政策和机制的有效性。

    3.6 安全管理体系

   

    根据平台安全管理工作特点，制定信息安全工作总体方针和安全策略，明确安全管理工作总体目标、范围、原则和安全框架。根据安全管理活动中的各项管理内容，建立安全管理制度；建立管理者或操作人员日常管理操作的操作规程，形成由安全政策、管理制度、操作程序等体系组成的全面的信息安全管理体系，指导和有效规范各级部门的信息安全管理工作。通过制定严格的制度规定和发布程序、方式、范围等，定期对安全管理体系进行审查和修订。

    3.6.1 安全管理组织

    建立符合平台服务部门组织架构和人员分工特点的信息安全管理组织体系，酌情设立信息安全管理小组和其他信息安全管理机构，明确信息安全组织形式和运行方式安全管理组织。设立安全管理主管、专职安全管理员、安全审计员、系统管理员、网络管理员、数据库管理员等岗位，明确岗位职责。

    信息安全管理机构和部门负责指导安全体系规划和建设，制定信息安全相关标准和指南，管理信息安全事件，建立授权审批制度，与内外部相关部门保持沟通与合作，定期开展信息安全综合检查。

    3.6.2 人员安全管理

    在平台安全管理体系框架的基础上，进一步细化人员招聘、离职、考核、培训和外部人员管理等相关规定，以及日常管理工作的配套机制和措施。重点制定和完善相关人员信息安全手册、第三方外包服务机构和外部人员进入数据中心机房等控制区域的人员安全管理规范、流程和规定，建立重要岗位、外部人员和人员信息。第三方服务单位安全保密协议签署机制。

    强化信息安全意识，提高信息安全管理水平，分阶段、分层次对各岗位人员进行安全技能和安全知识培训和考核。培训内容纳入培训计划。

    3.6.3 系统建设安全

    以信息安全管理为抓手，丰富和完善信息系统项目建设管理制度中信息安全相关内容。涉及信息系统等级防护分级、安全方案设计、产品采购与使用、自有软件开发、外包软件开发、项目实施、测试验收、系统交付、安全服务商选择等解决方案。将信息安全管理策略和内容纳入从项目实施前后最初的分级设计到验收评估的整个项目周期。特别是进一步规范和细化平台系统级防护分级原则、策略和方法。并加强对信息系统软件开发过程和软件交付的安全指导和测试。

    3.6.4 系统运维安全

    按照平台安全管理体系框架中信息系统安全运维相关制度规定，利用物理环境、网络系统、信息安全防护等对系统和功能进行运行、维护、管理、监控和审计以及统一的安全监控管理中心等，不断完善系统运维安全管理的措施和手段，强化运维安全管理的科学规范，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件管理、应急预案管理等，保障系统安全稳定运行。

    重点是进一步建立和完善网络系统安全漏洞的日常扫描、检测、评估和加固、系统安全配置变更、恶意代码病害监测和防护、网络系统操作日志审计记录和分析、数据备份和恢复、以及安全事件的监控。通报和应急响应机制，重点评估和验证安全政策和机制的有效性。

    3.6.5 安全管理体系

    结合平台运营实际情况，基于机房运维管理流程，建立有效的安全运维管理制度、应急预案和故障沟通通报制度，形成安全运维体系，确保平台的日常运营和维护。安全。

    3.7 导出设计

    3.7.1出口状况分析

    经过对大量中学客户的实际调研，发现目前中学校园网出口主要面临以下问题：

    1）关键业务运行不畅，链路带宽无法有效利用。

    越来越多的用户抱怨网速慢。打开网页需要很长时间，高峰时段更慢。 QQ/MSN甚至视频会议都是断断续续的。严重时，完全影响学校正常业务发展。 BT、迅雷等P2P应用流量过大，挤占了关键用户或关键应用的带宽，导致服务质量差，降低了用户上网体验。例如：视频会议时断时续，OA工作时，打开页面存在巨大延迟。与此形成鲜明对比的是，多条出口链路中部分链路的流量很小，流量分布不均匀导致部分链路带宽资源闲置和浪费。如何保证带宽得到充分利用，使关键业务运营能够获得必要的带宽。

    2）如何管理学生的上网行为

    随着无线校园网络的建设，电子书包等教学服务开始兴起，学生使用平板电脑上网。如果学生的上网行为不加以控制，网络上的色情、暴力内容将严重影响学生的身心健康。

    3）安全合规问题

    日志审计：在重大政治事件、安全事件频发的背景下，全国各地正在开展安全检查。如何满足公安部82号令要求的日志审核要求？如何符合入网检验标准？

    （一）实名制问题

    不仅接入网络需要认证，访问也需要出局认证（可以简单理解为网关认证）。基于出局认证，针对不同的用户身份部署相应的策略。同时，通过日志审核功能，可以将用户与审核日志进行匹配，非法评论可以直接定位到人。

    对于高新区中学校园网络信息平台来说，主要网络边界包括互联网边界、上级机关互联边界、内部不同业务系统之间的区域边界等，均存在一定的安全风险。

    (2)网络边界问题

    3.7.2 退出部署方法

    出口安全拓扑图

    3.7.3 园区网出口部署方案

    本项目校园网规模较小。为了减少后续维护的工作量，出口的设计必须坚持简洁的原则。因此，适合使用 ALL in ONE 类型的设备。 EG是一款多业务综合网关，集成了多链路负载均衡、ISP路由、流量控制、上网行为管理、审计、VPN等功能，取代了传统的糖葫芦式出口。简化出口部署。再加上EG简洁的WEB管理界面，减少了学校网络中心教师的维护工作量。

    随着教育资源平台的建设，校园网络安全问题应越来越受到重视，在网络边界应部署高性能的硬件防火墙设备。在防火墙上设置路由策略和防御策略。使用防火墙部署单独的 DMZ 服务器区域。并且内部网络通过核心交换机划分为多个VLAN。并在核心交换机上部署ACL策略。隔离网络上的每个不同的应用程序。提高网络整体可靠性，拦截来自互联网的安全威胁，保障校本及教育局资源平台安全，防止重要教育数据泄露。

    3.7.4 出口关键技术及价值点

    1）明确网络边界，保证整个网络的安全