校园网网络信息安全防护体系的研究
方案,让所有的安全技术构成一个有机整体。
3 建设信息安全防护体系的目标与策略
3.1 网络信息安全防护体系的建设目标
根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制订一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行。这就是网络信息安全防护体系的建设目标。具体来讲,主要包括以下几方面内容:①提高学校主干网络的稳定性,以此保障校园信息系统的可靠性;②不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性;③避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行;④在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制;⑤构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。
3.2 网络信息安全防护体系的建设策略
结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制订总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制订相关的网络安全策略,比如病毒防护、系统和数据安全等。在这个过程中,为了确保安全策略的顺利实施,也需要制订相应的安全管理体制,并给出规范的操作流程。
4 网络信息安全防护体系的总体架构
4.1 划分安全区域
在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这2个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域,如图2所示,然后根据每一个安全区域的具体特征,制订相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、网络、系统、应用和数据安全这5个层次。
4.2 互联网边界和校园骨干网安全区域架构
为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。
4.3 校园数据中心安全区域的架构
根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,比如应用服务器外区和内区、公共服务器區和数据库服务区。其中,公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。
5 结束语
综上所述,网络的开放性、计算机病毒的威胁以及黑客的攻击等各种因素的存在,对校园网网络信息的安全构成了严重的威胁。因此,学校在校园网建设的过程中,要做好信息安全防护工作,不断提高信息系统的安全管理水平,建立并完善校园网网络信息安全防护体系,从而确保校园网网络的安全、稳定运行,保障校园网网络信息安全。
参考文献
[1]赖金志.高职院校校园网信息安全防护体系研究[J].电脑与电信,2016(07).
[2]董莹.网络信息安全防护体系的构建探析[J].中国新技术新产品,2014(24).
〔编辑:刘晓芳〕