6.2.8、校园信息安全管理

       6.2.8.1、系统概述

完善的安全防护体系是校园信息系统稳定高效运行的保证。

信息系统安全管理系统通过节点身份认证、网络访问安全、操作人员的身份认证和交易的不可抵赖性、非法攻击事件的可追踪性等主要手段对平台的机密性、完整性、可用性、可控性、科审查性进行安全的保护。

        6.2.8.2、总体规划

（1）、主要功能

为校园网管理提供了一个全面、立体的防护和管理手段，校园网管理者借助这些操作简单，易学易用的工具，可以确保校园网信息系统安全，稳定和健康的运行，确实保障信息化建设投资发挥其应有的作用。该方案全方位的从四个方面对整个校园网的安全进行管理和维护：

1) 、统一用户管理

统一用户管理是指将校园内各种人员在信息系统中的数字身份统一管理起来，实现各应用系统的用户身份信息整合，这是实现用户权限管理，应用集成，单点登录的基础。

2)、 桌面计算机补丁管理

校园网中，往往由于没有及时打上补丁或者进行软件升级而形成大量的安全漏洞，病毒或黑客们通过对漏洞的袭击，可以引发大规模的冲击波、震荡波，甚至造成整个校园网络的瘫痪。所以，实现软件的自动安装与升级可以极大程度上降低了校园网安全隐患出现的概率。

3)、 服务器运维管理

XX学校基地的服务器上都运行着很多关键业务，如邮件系统、数字图书馆系统、一卡通系统等。这些服务器一旦当机，会给整个教育基地正常的教学、工作、生活等带来很不利的影响。为了保障这些运行关键业务的服务器7*24小时不间断的正常运行，需要一套运营维护系统，为系统的健康，正常和稳定地运转提供了一个监控，预警和排错的机制，极大程度降低了运营维护的成本、难度，减少了维护人员的人数和时间，提高了工作效率。

4)、 网络安全管理

工程教育网络的正常运作给学生和教师的学习和工作带来巨大效益的同时，它带来的一些负面影响也不容忽视。例如用户访问包含病毒等恶意代码的网页导致病毒进入工程教育网络；垃圾邮件，病毒邮件等通过电子邮件进入工程教育网络，严重影响了整个学校基地网络的正常运转。通过信息过滤系统，实现了网页内容过滤，邮件过滤，应用程序过滤和用户控制等技术手段，有效地防止了上述现象在学校基地网络的发生。

5)、 防病毒及垃圾邮件

由于计算机应用的普及以及互联网的广泛应用，高校中计算机病毒呈爆炸性增长，导致了多次病毒爆发，这也反映出目前计算机系统和网络应用中的问题，计算机病毒已经成为全球性的安全问题。工程教育网络作为大型的校园网络，为保证其健康高效的运作，需要一个综合、全面的反病毒、内容管理和电子邮件安全解决方案。

（2）、具体规划

1）、统一的用户管理—活动目录与目录整合

在信息与系统安全管理体系中，对于信息和系统用户的身份认证和权限管理是一个非常关键的环节。

对于处于各个信息系统而言，用户的身份认证和权限管理是由各个系统自行管理的。随着系统数量的增加，用户需要记忆和使用多个系统的用户名和密码，系统管理员也需要管理同一用户在不同系统中的不同用户身份信息。这种状况往往导致使用、管理、和系统安全方面的许多缺陷和问题。

结合学校基地的具体情况，从系统整体架构角度出发，新一代学校基地网络的安全体系需要建立一个集中、统一、独立于各应用系统之外的用户认证和权限管理机制，以实现安全、高效的用户身份和权限管理。

从实现的技术手段讲，目前使用最多的技术是目录系统（Directory）。

目录系统的实质是一个特殊的数据库，专门用于存放和管理用户认证和权限管理的信息，并允许外部系统通过开放的标准协议（如：LDAP协议）对目录系统进行操作。

统一的目录系统是新一代校园网的关键基础设施，是实现用户单点登陆到不同应用系统，统一管理用户身份认证和权限管理的基本条件。由于统一的目录系统涉及整个系统的用户管理和各个应用系统的安全，在建设统一的目录系统是需要由经验丰富的专业技术人员进行仔细规划和设计，以适应校园网建设当前和未来持续发展的需求。

同时，考虑到学校基地用户信息存放地方与类型的多样性，如：有的存放在目录系统中、有的存放在数据库中、有的存放在文件中，必须有一个目录整合服务的产品来实现对不同地方存放的用户数据进行整合，同时提供用户身份信息的同步。

①、统一用户管理

可利用微软的目录服务产品–活动目录服务(Active Directory-AD)。负责校园网中系统用户数字身份的认证，网络资源管理，应用程序管理，文件和打印管理以及系统配置管理等，实现单一登录，安全认证、用户授权、系统策略和桌面安全管理等方面的功能需求。

活动目录在校园信息化系统中的主要功能特性有：

实现统一的用户身份管理

部署活动目录后，可以将所有用户的身份信息（用户名、密码、数字证书）统一存放、统一管理。这是实现统一的用户身份认证、“单点登陆”到不同应用系统的基本条件。用户在使用系统的过程中不需繁复地输入帐号和密码。而对于安全级别较高的应用，可以利用活动目录内置的对智能卡技术的支持，加强用户登录验证的控制。

实现统一的用户权限管理

对于简单的应用系统，通常可以使用目录系统进行用户的权限管理。可以使用活动目录的组策略技术（Group Policy）实现不同粒度的用户权限管理，如控制普通用户对桌面系统重要配置参数的修改能力、禁止用户安装不必要的软件等。可以将大量用户封装到一个组中，通过对一个组制定策略来对大量用户集中管理。子容器继承父容器中所有的组策略。于是可将越普遍的规则设定在越高层的容器中，通过继承的特性让规则作用于之下的所有容器，避免大量规则的重复制定，易于管理。

实现用户与机器的分离

无论用户在学校基地使用的是哪一台机器，只要使用同一个账号登录到域中，用户保存的文档和其他应用环境都不会变化，保证用户的工作可以继续。并可以按照用户角色（如老师、学生）等对用户的桌面环境进行定制和自动的更新。一般来说，用户的角色不同，对系统的要求也不一样。我们需要针对不同用户的需要为他们建立不同的界面风格、安装合适的应用程序；同时，当用户的身份发生变化（例如，老师的升职或者调动），可以按照用户新的身份来自动的对用户的桌面进行更新。

统一管理各种系统的基础支撑

目前的主流桌面系统自动安全管理系统都需要目录系统的支持。部署活动目录是实现桌面系统自动安全管理的基础。此外，目录系统也是统一管理打印机、文件服务器等网络资源的核心。

支持开放的目录标准协议

活动目录支持开放的目录标准协议- LDAP。不同的应用系统均可以使用LDAP协议访问活动目录的内容，对活动目录进行操作。

②、目录整合服务目录整合服务

可以用MIIS，MIIS是微软推出的用于用户信息整合与密码管理的产品，它采用了目录整合的技术，可以集成目录、数据库、将应用程序、电子邮件及操作系统的用户识别信息合而为一。还可整合多种储存机制的识别信息、提供单一的管理接口，提高信息人员的生产力、降低管理成本，在校园目录整合服务中有很大的作用。

提高用户账户信息的可管理性

可以在不同系统及平台之间方便地设置或删除使用者账户及身份信息，如分布区域、电子邮件及安全性群组等账户。例如，当人力资源部门设置新的或删除用户账户时，MIIS可以根据人力资源系统数据库的变更自动同步更新其他系统的用户账户信息，有效地提高信息系统的安全性。

密码管理功能

密码管理功能可让用户或系统管理人员方便地透过Web 接口来重设跨越多重系统的密码，简化跨系统、多系统的用户密码管理流程。

2）、对关键服务器、业务系统的运维管理

学校基地体系包括众多的关键业务应用系统。为保证这些关键系统的安全、高效、可靠运行，专门对这些关键应用系统服务器进行集中、实时、自动监控，并在出现异常情况时根据设定的预案采取对应的故障处理措施。

①、集中的服务器和应用软件运维监控

各设备名称、详细的硬件配置、软件安装信息；

全网系统升级状态信息；

以列表形式展现各操作系统、关键业务系统、服务运行状态；

以系统总体拓扑结构形式展现各操作系统、关键业务系统、服务运行状态；

对具体事件、故障提供快速的跟踪、展现机制；

并联结对应的专家系统以提供技术支持；

根据不同的应用特性对系统设备进行分组监控；

②、高效、多种形式的故障自动处理

当故障或特定事件出现时，会通过电子邮件、短信、即时消息等形式把故障信息传送给指定的负责人，或根据预案规则自动触发并执行脚本、批处理命令等；以实现、报警、以至自动处理/修复机制。

3）、加强网络防护

网络安全防护功能图

①、过滤功能

ISA最重要的功能之一，防止学生上网访问一些不良网站，主要包括：

n 网页过滤功能：集成合作伙伴提供的网站过滤插件，每日更新黑名单网址数据库；

n 应用程序过滤功能：通过定义一些常用应用程序的签名信息来过滤用户使用某些特定应用，如聊天、游戏等；

n 邮件过滤功能：ISA服务器执行SMTP 邮件的检测，阻止危险代码和不想要的电子邮件进入网络。

 ②、缓存功能

服务器部署为正向缓存服务器，并配置学校、教委的服务器实现级联，这种配置及部署方案可以使客户端更快地访问所请求的内容。启用缓存后，可以配置缓存规则，即确定是存储指定站点中的内容，还是从 ISA 服务器缓存中检索该内容。缓存规则应用于所请求的站点，而与源网络无关。此外，在启用了缓存的情况下，还可以配置内容下载任务，提前主动缓存所需内容。

 ③、控制功能

控制功能：通过配置防火墙策略规则，可以根据需要控制用户访问Internet的权限。可以在系统里定义不同的用户群，如学生、教师等，然后为不同的用户群设定不同的上网权限，如上网地点、上网时间等。

④、安全功能

安全功能：所有网络管理员共同关心的安全问题都与攻击有关，在ISA服务器上可以通过配置入侵检测筛选器来检测各种特定的攻击:

DNS 入侵。发生了主机名溢出、长度溢出或区域复制攻击。

DNS 区域复制入侵。发生了区域复制攻击。

检测到入侵。外部用户曾尝试入侵。

POP 入侵。检测到 POP 缓冲区溢出。

Windows 带外攻击 (WinNuke)  

Land 攻击

循环 Ping 攻击

IP 半扫描攻击

UDP 炸弹攻击

端口扫描攻击

另外，网络上蠕虫病毒的攻击也是令网络管理员很头痛的问题，服务器可以检查应用程序层的命令和数据。通过状态筛选机制来阻止传递攻击代码。服务器监控状态应用程序层筛选器检查超文本传输协议 (HTTP) 命令和数据，并阻止数据包传递到网络中，这阻止了外围攻击。

⑤、监控功能

监控功能：可以通过Web界面，实现对绿色校园网系统进行监控。

监控信息包括：

服务器的服务健康状态，如ISA防火墙服务、网站过滤器服务，数据引擎服务等；

当前在线用户数，用户连接状态等；

当前被过滤或阻挡的网站访问信息；

系统各种告警和错误信息；

系统运行性能状况，显示服务器的性能信息，如可用磁盘、CPU利用率、可用内存、网络利用率等。

⑤、报表功能

报表功能：系统可以根据日志文件收集的Internet访问数据生成报表，可以按照每天、每周、每月或每年的重复周期来生成报表。报表可以提供以下多种统计数据：

用户访问Internet的情况。

被过滤或拒绝访问的情况

用户最常用的协议和应用程序。

按应用程序、协议和方向分类的总体 Internet 使用情况。

试图违反网络安全的操作情况。

4）、反垃圾邮件与防病毒

①、高性能的内存扫描

在内存中对通过SMTP网关的所有信息，进行病毒扫描及垃圾邮件判断。减少了传统防病毒软件中的引擎大量重复无意义的扫描工作，提高了服务器和网络性能；且真正实现了在内存中处理病毒事件，缩短了引擎单个处理染毒文件的时间。

信任扫描：动态改进实际部署中的性能和可扩展性。可置信的扫描可实现---由一个服务器（或客户机）进行的扫描受信于另一服务器（或客户机），从而避免环境中多余的、CPU密集型扫描。可在不同域上的服务器互相设置为信任域，从而避免同一个文件同一机制重复扫描的情况。在大型机构中，局域网内部邮件占日常邮件的绝大多数，其重复扫描的工作量非常之大，启用信任扫描，可很大程度上减轻各服务器出入站的扫描任务。

前置防护：与传统扫描技术相比，在内存中进行分析和处理，真正意义上实现了病毒的预防而非仅仅依赖诊治。

②、多引擎扫描机制

多引擎扫描机制集成了多个性能卓越的反病毒扫描引擎，从而以多倍于单一引擎产品的性能优势。引擎偏好设置允许管理员根据其在最优化扫描器可信度或CUP性能方面的要求。

③、蠕虫清除器

目前蠕虫病毒家族在邮件病毒中呈上升趋势，因为它具有极强的自我复制能力，自我传播能力（自带SMTP服务），破坏能力（瞬间产生大量数据垃圾可导致服务器瘫痪），且因其区别于传统病毒的独立性、攻击性和普遍性，对于蠕虫病毒的防治是所有防病毒软件必须面对的重要课题。

学校基地使用与其他防病毒产品试图对蠕虫感染文件进行修复的不同的处理方式，即由引擎判断为被蠕虫病毒感染的文件，直接删除，决不允许被感染文件进入Notes环境。由于蠕虫病毒本身及被其感染的文件数据毫无价值的数据垃圾，故没有任何保留的必要。

此功能最大程度上降低了因防病毒软件在蠕虫爆发时，不断使用引擎进行扫描、修复作业而产生的大量占用服务器CPU资源及网络带宽的问题，极大的有助于提高网络性能。将危险的蠕虫阻挡于网络之外。

④、高效的防垃圾邮件技术

内容过滤允许组件系统过滤不需要的内容，过滤内容和附件将与消息剥离，并被删除。发送通知，隔离被删除文件。可进行过滤设置的文件类型包括：

黑/白名单（Allowed/Rejected Mailhosts）信任/阻止的主机；

Sender-Domain  根据发送者域名过滤；

Subject Line     主题行文字过滤；

Message Body   邮件正文关键字策略。

MTP Gateway部署在网络中的SMTP Server上，所有经SMTP路由的邮件，都会在实时监控对其进行病毒扫描及垃圾邮件过滤。