系统安全防护层次

　　针对中央民族大学校园网络，其关键资源就是信息数据，而这些数据就存放在重要服务器的操作系统之上，所以操作系统本身的安全性至关重要。但不管是Unix还是Windows操作系统，其安全性都远远不够，访问控制力度、超级用户的权限滥用以及不断被发现的安全漏洞是操作系统存在的几个致命性问题。针对中央民族大学校园网中关键信息业务使用的操作系统，保障操作系统平台的安全和正常运行，为应用系统提供及时多样的服务。针对数据库，保证数据库不受到恶意侵害或未经授权的存取与修改。

　　定期扫描漏洞

　　充分利用榕基Rj-iTOP漏洞扫描系统，定期对中央民族大学学校中的服务器、数据库等进行漏洞扫描和弱点评估，发现系统存在的安全隐患，综合给出一个书面形式的安全建议则和策略，并结合解决建议，及时对中央民族大学校园网中的重要信息系统针对弱点进行加固，将系统的隐患消除在弱点被利用之前。

　　提升系统的安全防护等级

　　针对重要的服务器，在进行隐患扫描、利用WSUS补丁加固的基础上，进一步从超级用户账号管理、系统进程保护、系统注册表保护等多个方面，提升其底层操作系统的安全防护等级，确保上层的应用，从根本上提升安全防护能力。在不影响现有业务的情况下，从根本上提升服务器操作系统的安全性，削弱超级用户的权限，并且高强度抵御安全威胁最严重的缓存区溢出攻击问题。

　　严格规范口令的设置和管理

　　操作系统系统、数据库、信息系统管理和使用口令有良好的储存和管理方式，防范弱口令，因口令过于复杂而导致忘记，或者因担心忘记口令而记在显眼的位置，被他人窥探到，造成口令外泄。

　　统一口令设置规范，对口令长度、口令字符复杂度、口令历史，口令最长有效期有严格要求和规范，对不同级别权限的口令分则管理，加密保管。

　　安全管理防护层次

　　在实现可信网络计算环境、可信用户行为和可信数据安全后，将对信息系统访问过程的所有环节实现全面的防护，但若没有统一的策略管理或是对安全事件缺乏统一的分析和反馈，那么在此基础上形成的防护体系仍将是各自为政、一盘散沙，相互之间存在安全盲区，对突发事件难以共同应对、协调处理，并且不能为网络安全管理提供统一的预警、自动响应等功能，同时网络管理员也很难全面了解网络的运行状态和趋势，无法提供统一的安全状态检测。

　　在安全管理防护层次上，主要体现在两个方面：

　　一方面，基于网络安全的统一协调管理，能够有效进行资产管理、介质管理、网络安全管理、系统安全管理以及恶意代码防范管理等内容，能够实现信息系统的统一安全策略、统一安全管理等技术，通过部署安全审计系统和安全管理平台，能够很好地解决以上问题。具体如下：

　　1. 部署网神SecFox-LAS日志审计系统，在网络中建立完善的安全日志审计系统，负责采集网络中各台重要服务器以及网络设备、安全设备的日志信息，定时进行分析，并生成统计报告和安全预警报告，通过记录、分析网络中的各类设备的日志信息，实时监视网络中的各种设备状态，及时、有效分析出网络中发生的安全事件及入侵行为并根据设置的策略及规则，对违规行为进行记录、报警和阻断。

　　2. 部署网神SecFox-UTM安全管理平台，通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理和分析，对现有安全资源进行有效管理和整合，从全局角度对网络安全状况进行分析、评估与管理，获得全局网络安全视图。通过制定安全策略指导或自动完成安全设施的重新部署或回应，从而全面提高整体网络的安全防护能力，为网络提供高效的安全管理手段。

　　另一方面，基于人员的安全管理体系。管理安全主要考虑的是“人”的因素，也就是在网络安全建设及管理维护的过程中，如何通过“人”来对技术进行安全的“操作”和“配置”，并依据《计算机信息网络国际互联网安全保护管理办法》(公安部第33号令)和《信息安全等级保护管理办法》(公通字[2007]43号)的要求，从安全管理制度定制、安全管理机构建设和人员安全管理方式等角度，严格规范网络安全管理“软环境”，对安全管理体系的建设、执行、管理、运维等工作切实落实。具体如下：

　　1. 制定信息安全工作总体方针和策略，建立安全管理各类制度、操作流程和各种安全策略流程的配置文件存档，并由安全管理部门对建立的安全管理制度体系的合理性和适用性进行论证和审定，定期不定期抽查审核，对存在的不足和需要改进的内容进行修订。

　　2.设立信息安全管理职能部门，由主管副校长牵头任安全主管，设立安全管理各方面负责人岗位并定义其职责；分设系统管理员、网络管理员、专职安全管理员，并对关键设备、信息系统和应用配备多人共管，避免管理孤岛；明确和授权各管理部门和人员的工作职责和权限，形成校发文备案保存；加强部门内部、部门之间以及业界权威、专家及安全监管部门的沟通与合作，避免信息安全技术和手段的局限性。

　　3. 严格规范网络管理、信息管理和关键业务管理人员的录用和离岗过程，对相应人员签署相应保密协议和承诺书；定期对关键岗位人员进行安全技能和安全人认知的培训、审查和考核；确保外来人员访问区域、设备、系统和信息的权限和审批，形成规范流程的书面文字存档，并按照流程规定认真执行。

　　随着高校信息化的深入发展，网络信息安全的问题也显得越来越重要，构建可靠的网络信息安全体系是高校网络建设管理部门有效管理网络信息、处理海量信息和业务的必经之路。虽然网络安全体系的构建仍然存在一些问题并处于发展完善的阶段，但是这并不阻碍该体系的实施与应用，越来越广泛的信息建设与业务应用也会进一步促进这些问题的解决和体系构建的完善。

　　(作者单位为中央民族大学现代教育技术部)