高校作为知识学习和人才培养的重要阵地，在当今信息化发展的大趋势下，其信息化建设已经成为信息技术及产业应用的最佳平台和范例。中央民族大学作为全国“985”、“211”重点民族高校，不仅力争在学术和教育上成为全国各民族高校的典范，同时努力利用成熟的信息化技术带动教学、科研的信息化发展，促进教职工、学生共享教学资源，协同工作、学习。

　　校园信息化建设的现阶段，万兆环路和无线覆盖的网络平台、信息系统和数据的高度统一和集成，极大地促进了学校教育事业的飞速发展，但同样带来信息安全的种种问题。攻击者窃听网络信息，窃取用户口令和数据库信息，篡改数据库内容、伪造用户身份、否认自己的签名，甚至删除数据库内容、摧毁网络节点、释放计算机病毒等等。校内网络运维人员在工作中出现的任何失误都可能给网络信息安全带来危险。总之，无论是无意的误操作，还是学生的好奇心与尝试心理，以及越来越复杂的网络环境，不完善的网络信息安全管理，都会给学校信息管理系统带来无法估计的损失。

　　面对计算机网络中的种种安全威胁，我们必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。对信息访问实行严格控制，在确保安全、可靠、持续运行的前提下，尽量为网络应用提供方便。

　　中央民族大学引进全面可靠的安全产品和技术，加强信息管理力度和强度，构建一个稳定可靠的网络信息安全综合体系，为学校信息化建设的快速发展提供有力的技术保证。

　　建设可靠的网络安全体系

　　中央民族大学校园网络安全体系的构建，自始至终坚持“落实规范、总体设计、先进适用、安全可靠、开放兼容、全面管理”的总原则，力图打造一个安全可靠的校园信息网络平台。

　　“金字塔”模型

　　通过在网络建设中积累的经验和对新技术、新产品的学习和了解，我们深刻了解到，构造一个良好的网络安全防护体系不仅仅靠某一个或几个安全产品和技术就能够实现，我们需要的是一个全新的理念来实现网络安全构建方案。所以我们提出了一套立体的“金字塔”网络安全体系建设模型，满足在网络层、系统层和管理层3个层次的安全需求和体系构建，见图1。

　　模型的底部，代表着庞大的网络设备安全，是“金字塔”坚实的根基，也是整个安全体系最直接、最基本的实施和操作平台，是网络信息安全体系的最终落脚点；中间层次承担着承载网络信息的系统级别的安全职能；顶端层次决定着全网安全体系构建的实施力度和手段，通过对网络设备、系统设备的管理机制、对信息建设与管理人员的安全意识的管理，构建稳定可靠的网络信息安全体系。

　　总体目标

　　“金字塔”网络信息安全体系模型的最终控制目标是“四无”，即安全管理无漏洞、网络设备无隐患、管理行为无不当、网络安全无事故，坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护中央民族大学学校信息资源的利益，维护国家安全。

　　指导思想

　　“金字塔”网络信息安全体系模型以“大安全”理念为指导思想，其不仅仅是网络建设部门的工作，同样是全员、全方位、全天候、全过程的工作，与所有单位部门每一个信息管理和操作人员息息相关，需要各个部门、教职工、广大学生的多方协调、齐抓共管。

　　基本方式

　　要实现系统的安全功能和性能，既要采取先进的安全技术，又要对已建立的系统实施有效的安全管理，在进行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。“金字塔”模型自上而下地贯彻网络信息安全管理策略和方式方法，从管理落实到技术，全面规划和完善网络安全防护层次和体系；模型自下而上地进行总结和规划，从基本设备、系统作为出发点去完善整个管理层次和模式，健全安全体制和体系。

　　网络安全防护

　　信息的传递和教学、科研学习工作的开展依赖和依托于网络环境，如何保障网络的安全，是构建中央民族大学校园网络信息安全体系的基础性工作。

　　网络边界严格控制访问

　　在网络边界上，部署网御神州SetGate 防火墙，对中央民族大学校园网进行边界隔离，严格控制进出网络安全区域的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问运用包过滤、代理网关、NAT 转换、IP+MAC地址绑定等技术，实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测)。控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。同时有效预防、发现、处理诸如蠕虫病毒、DDOS等异常的网络访问，确保中央民族大学校园网正常访问活动。

　　实时监控数据和网络行为

　　在骨干链路旁路，部署天融信网络卫士NGIDS-UF入侵检测系统，实时监控各网段数据报文及网络行为，提供及时的报警及响应机制，大大增强了用户的整体安全保护强度。

　　流量控制精细

　　在网络骨干链路上，部署网优先锋NetMizer流量控制系统，实现了2～7层的应用识别分类、流量属性分析、流量策略管理、分类统计报告以及状态预警等多种功能，实现精细流量控制，并对严重占用带宽的P2P流量通过设置带宽使用上限和时段，降低对总体链路的负载影响，同时对需要保障的关键应用和重点区域和人群，根据应用优先级的不同专为其设定相应的保证带宽，确保其获得有保障的带宽通道和使用感受，提高用户的服务质量(QoS)，既保证整个网络的连通性，又实现网络流量的控制与管理，保障关键信息流通和应用业务的正常开展。

　　定期扫描网络设备

　　部署榕基Rj-iTOP漏洞扫描系统，定期对中央民族大学校园网中的主要网络设备进行扫描，包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息、以及评测风险，提供安全建议和改进措施等功能，形成相关报告，并根据扫描报告对相关漏洞进行修改，帮助网络管理员控制可能发生的网络安全事件，最大程度地消除安全隐患，提升其安全性，防患于未然。

　　净化校园网络空间

　　部署网御神州SecFox-NBA网络行为审计系统，通过旁路侦听的方式对内部网络连接到互联网和DMZ区域的数据流进行采集、分析和识别，实时监视使用者使用互联网的状态，记录各种上网行为，发现对互联网滥用，并对用户上网过程中发送和接收的相关内容进行控制、存储、查询和分析。互联网上的信息良莠不齐，而现在越来越多的大学生因为受到互联网上不良信息的影响，对自我、人生、社会的认识也产生不良的作用。随着学生的计算机水平不断提高、教师在办公时对互联网的依赖性增强，由网络带来的安全隐患在校园网中一触即发。净化网络空间，同时可以让管理者很好地了解状况，并且对潜在的威胁者及违规操作者给予震慑性警告，并对其违规操作进行记录取证。