高校电子政务系统网络安全解决方案

摘要：高校电子政务系统的建设过程中信息安全是一个极为重要的问题。本文在介绍武汉职业技术学院电子政务系统建设的基础上，讨论了网络信息安全问题。网络信息安全涉及到安全要求、安全政策、安全体系和具体的安全设施，根据在电子政务系统建设中的经验和体会说明自己的见解。

关键词：信息安全，安全政策，安全体系，安全设施

中图分类号：TN915.08文献标识码： A 文章编号：

武汉职业技术学院是国家教育部批准独立设置、湖北省人民政府主办、湖北省教育厅直属的全日制普通高等学校。学校坐拥“武汉·中国光谷”的中心地利，抢占了高职教育发展的战略高地，开创了区域化、国际化、现代化高职办学的成功范例。学校整体办学条件、办学实力、办学水平跃居湖北省高职院校前列，成为湖北高职教育的著名品牌、中部高职教育的改革先锋，并作为国家重点示范性院校在全国高职教育领域产生了重要影响。

1. 武汉职业技术学院电子政务系统网络系统现状

高校电子政务系统的应用和主要服务对象是老师与学生，师生拥有电脑的比例以及使用电脑的频率比较大，上网浏览存在安全隐患的网站，接收陌生文件等网络应用会导致校园网内病毒泛滥；观看网络视频，严重占据网络速度与流量，甚至阻塞网络运行；同时师生人数较多，每个用户对网络安全的认识也不尽相同。经过调查、分析、研究，该校电子政务系统存在以下的安全隐患：

1. 校园网直接与因特网相连，校园网内、外部网络攻击情况严重；

2. 用户数量大，使用频率高：该校大部分教学工作、科研工作及日常行政办公等都是以网络为应用平台。如果在节点没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失与损坏、网络被攻击、系统瘫痪等严重后果；

3. 缺乏统一管理：前期的网络建设投资很大，随着学校的逐步发展以及校园环境的变迁，使得网络统一管理的问题越发突出；

4. 网管中心负荷量大：大部分的网络管理工作都是由网络中心来完成的，由于人员少，校园网络的维护与运营、使用网络的规章制度以及相关费用的收取等等工作进行比较缓慢。

所以，一个科学的网络安全系统对校园网的正常运行起着至关重要的作用。

2. 武汉职业技术学院电子政务系统安全实施

2.1 防火墙的实施

根据武汉职业技术学院的具体校园网网络背景，防火墙设备选用两台千兆防火墙：EX-520。选用的防火墙产品具有2个千兆光纤端口，2个百兆端口。

对于防火墙的部署，是基于以下几点来考虑和设计的：

1、两个千兆光纤端口分别接：DMZ区（DMZ区一般是对外提供WWW、DNS、Email、FTP、BBS等服务的特殊小型网络）；武汉职业技术学院内部校园网。

2、一个百兆网口，用于连接整个校园网或者电子政务系统的上级信息网。剩余的其他端口，可根据具体网络应用需要连接其他网段或局域网子网。

3、防火墙设备的安全策略配置与实施：

解决网络边界点安全，保护内部网络；根据IP地址、协议类型、端口等实现数据包过滤功能以及地址转换；

保证内部安全服务器网络（DMZ区）的安全；

实现IP与MAC地址绑定，避免出现IP地址欺骗或者乱用网络资源；

开启黑白名单功能，实现URL过滤，过滤不健康网站；

具有自身保护能力，可防范对防火墙的常见攻击；

启动入侵检测及告警功能；

学生访问不良信息网站后的日志记录，做到有据可查；

多种应用协议的支持。

防火墙部署示意图

2.2 网络分段技术在学院网络安全方案中的应用

为了确保不同部门、不同职权等级的人员相对的信息安全，将网络划分为若干个子网是很有必要的，它是对内部局域网采取的重要安全措施。

网络分段的目的就是将非法用户与敏感的网络资源相互隔离，网络分段可分为物理分段与逻辑分段两种方式，也可以综合应用物理分段与逻辑分段两种方法来实现对局域网的安全控制。

1. 以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(通常成为单播数据包)还是会被同一台集线器上的其他用户所侦听。

因此，应该以交换式集线器代替共享式集线器，使单播数据包(Unicast Packet)仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包。但是一般情况下广播包和多播包内的关键信息，要远远少于单播包。

2. 虚拟网VLAN的划分

虚拟局域网技术（VLAN）将地理位置不同的、同属一个单位的几个局域网划分成一个虚拟网段，以便单位内部的数据共享和管理。

校园的主干部分（及核心层与汇聚层之间）运行动态路由协议，每个汇聚层交换机作为第三层设备将会成为广播流量的边界，从而也中断了VLAN跨过主干网络，可以说每个汇聚点都是一个VLAN管理的域，不同的VLAN 管理域之间的VLAN从命名上或VLAN ID号的分配上都没有任何关系。而在每个VTP域中，VLAN1专门用于交换机之间控制面板流量的传输，而不承载用户数据，也不作为管理VLAN，并在Trunk上清除了VLAN1的用户流量以减小VLAN1生成树的直径。

VLAN的划分从理论上来说是可以跨地域范围的，但还是建议基于一定的地理位置来划分VLAN，这不仅可以把广播限制在一定的区域，而且为VLAN到网络中心的访问提供了确定的访问路径，便于troubleshooting，也为交换机式网络升级到路由网络提供了便利。

一直以来，电子政务的安全问题都是困扰信息行业的巨大难题。一方面，随着科技水平的提高和网络的高速发展和普及，呈现出来新的安全问题也层出不穷，加重了安全问题的负担；另一方面，人们对安全问题的认知程度以及管理水平的参差不齐，也大大增加了解决安全问题的难度。现阶段，我们要以客观务实的态度，从科学合理的理论角度提出相对合理的解决方案，下一步，随着科技文明程度的普遍提高和人们认识的整体提升，在各层面的努力下建立保障机制，提高安全意识，电子政务系统安全问题一定会逐步得到完满解决。